Сервер Apple MDM, iOS работает нормально, регистрация OS X завершается сбоем с неожиданной ошибкой

Итак, как показывают многие из моих прошлых вопросов, я работал над внедрением службы Apple MDM с нуля. Теперь он безупречно работает практически с любым устройством iOS, которое мы ему подбрасываем, и это приятно. Однако, когда мы пытаемся зарегистрировать устройство OS X, которое, согласно Apple, использует тот же API, оно с треском терпит неудачу с неожиданной ошибкой (в отличие от исключенных, я полагаю).

Следующие 2 строки появляются в system.log:

Mar 18 15:33:05 dizzy mdmclient[23234]: *** ERROR *** [Agent:510] ProcessOTABootstrapPayload (Unable to receive OTA identity profile <InternalError:1>)
Mar 18 15:33:05 dizzy System Preferences[93537]: *** ERROR *** [CPInstallerUI:510] Profile installation (Device Enrollment (com.capasystems.enrollment.handshake )) (Unable to receive OTA identity profile <InternalError:1>

Просматривая журналы серверов SCEP, я вижу, что он даже не пытается подключиться, прежде чем определить, что он не может получить профиль идентификации OTA. Так что я немного в растерянности, я пробовал устранять проблемы с сетью, но устройство iOS в той же сети работает нормально. Я пробовал использовать соединение SSL и соединение без SSL. Нет разницы.

Мы используем JSCEP для сервера SCEP, если это имеет значение. Есть ли у кого-нибудь хоть малейшее представление о том, какую недокументированную дополнительную инфраструктуру или что-то иное мне не хватает, чтобы все это MDM работало на OS X?


macos mdm
person Mikkel Løkke    schedule 18.03.2013    source источник

Ответы (3)


arrow_upward
2
arrow_downward

У меня была такая же проблема в течение долгого времени, я потратил слишком много времени, пытаясь понять это.

Для меня ответ пришел, когда я смог успешно зарегистрировать одну машину (мой macbook pro, мою личную машину) и не смог зарегистрировать другую (mac mini). Оказывается, для успешной регистрации требуется действительный сертификат с CN=com.apple.idms.appleid.prd.XXX.... Этот сертификат, по-видимому, связан с учетной записью iCloud вошедшего в систему пользователя, что означает, что если вы не вошли в учетную запись iCloud на компьютере, у вас нет сертификата. После того, как я (а) вошел в действующую учетную запись iCloud и (б) попытался зарегистрироваться в нашем решении mdm, этот сертификат появился в цепочке ключей входа, и регистрация прошла гладко.

Надеюсь, это поможет кому-то.

person UnicodeSnowman    schedule 03.07.2013
comment
Нужно ли мне размещать корень центра сертификации Apple в полезной нагрузке регистрации, пожалуйста? Причина, по которой я спрашиваю, заключается в том, что я вошел в систему с действительным пользователем icloud на своей MAC OS X Yosemite, но у меня все еще есть та же проблема. - person michelle; 17.06.2015

arrow_upward
0
arrow_downward

Я бы дважды проверил проблемы с сетью. Ваш Mac и ваш iPhone могут находиться в двух разных сетях (проводной и беспроводной), и в этом случае они могут иметь разные порты, доступные на сервере SCEP.

Кроме того, в случае, если ваш сервер SCEP защищен ssl (например, стоит за Apache), убедитесь, что на вашем Mac установлен корневой сертификат в System Roots.

КСТАТИ. Если у вас есть что-то вроде Apache, сидящего перед сервером SCEP, проверьте также его журналы.

person Victor Ronin    schedule 18.03.2013

arrow_upward
0
arrow_downward

Ошибка означает, что устройство не может получить сертификат удостоверения в полезной нагрузке. Либо укажите identitycertuuid на scep payloaduuid, либо на payloaduuid identity.p12, который вы включаете в полезную нагрузку.

person Vanarp    schedule 18.04.2014
comment
Нет, это не так. В вопросе прямо указано, что он работает на iOS, поэтому с полезной нагрузкой все в порядке. Проблема заключается в том, как правильно указал @UnicodeSnowman, что по крайней мере некоторые действительные (по крайней мере, согласно документации) устройства OSX не имеют правильного сертификата для приема полезных данных регистрации MDM, если вы не вошли в iCloud. - person Mikkel Løkke; 20.04.2014
comment
Кроме того, как я уже писал, просматривая журналы серверов SCEP, я вижу, что он даже не пытается подключиться, прежде чем определить, что он не может получить профиль идентификации OTA. поэтому очевидно, что в какой-то момент он терпит неудачу до получения сертификата личности. Это имеет смысл, если он отклоняет его из-за отсутствия правильного корневого сертификата Apple. - person Mikkel Løkke; 20.04.2014