我有一个Mac OS X 10.6 Snow Leopard Server开放式目录pipe理系统,有一个用户从一个群组(他们所属的唯一一个群组)获得移动性和应用程序pipe理偏好。 该工作站还运行Mac OS X 10.6 Snow Leopard,当用户login并尝试运行我们的主应用程序时,他们明确允许运行(通过组的首选项),它说:“您没有权限使用应用程序'Blah'“。
现在,应用程序被添加到总是允许的应用程序的列表,无符号(所以应用程序版本或文件内容的细微差别不应该被禁止)。 它甚至存在于允许应用程序的文件夹列表中的/ Applications的子目录中。
我将这个用户login到新的工作站时遇到了这个问题,通常这个工作如下:
/Library/Managed\ Preferences/ , ~/.FileSync , ~/Library/Preferences/com.apple.finder.plist和~/Library/Preferences/com.apple.MCX.plist 。 ~/.FileSync , ~/Library/Preferences/com.apple.finder.plist和~/Library/Preferences/com.apple.MCX.plist 。 但是,这不再解决这个问题。
他们的家庭同步偏好设置(在组)上,以同步~ ,但不是以下文件(手动,在login和注销时…在这里没有后台同步):
~/.SymAVQSFile ~/NAVMac800QSFile ~/Library ~/.FileSync ~/.account 他们的首选项同步偏好设置(同时在组)同步~/Library & ~/Documents/Microsoft User Data ,但不是以下文件(也手动,login和注销时…无后台同步):
~/.SymAVQSFile ~/.Trash ~/.Trashes ~/Documents/Microsoft User Data/Entourage Temp ~/Library/Application Support/SyncServices ~/Library/Application Support/MobileSync ~/Library/Caches ~/Library/Calendars/Calendar Cache ~/Library/Logs ~/Library/Mail/AvailableFeeds ~/Library/Mail/Envelope Index ~/Library/Preferences/Macromedia/ ~/Library/Printers ~/Library/PubSub/Database ~/Library/PubSub/Downloads ~/Library/PubSub/Feeds ~/Library/Safari/Icons.db ~/Library/Safari/HistoryIndex.sk ~/Library/iTunes/iPhone Software Updates IMAP-* Exchange-* EWS-* Mac-* ~/Library/Preferences/ByHost ~/Library/Preferences/com.apple.dock.plist ~/Library/Preferences/com.apple.sitebarlists.plist ~/Library/Application Support/4D ~/Library/Preferences/com.apple.MCX.plist ~/.FileSync ~/.account 即使~/Library/Preferences/com.apple.MCX.plist在首选项同步期间无法同步,它似乎仍然频繁地出现在服务器的networking主页上。
除了~/Library/Preferences/com.apple.MCX.plist还有其他文件是否包含可能导致这个应用程序显示为不允许的应用程序pipe理的首选项? 有关~/Library/Preferences/com.apple.MCX.plist不断同步备份到服务器上的networking主文件夹的任何想法?
更新:我觉得今天早上我find了一个解决方法,但是它似乎也是非常临时的。 基本上,loking在/Library/Managed\ Preferences/[shortname]/com.apple.applicationaccess.new.plist我发现它没有有问题的应用程序的条目,但/Library/Managed\ Preferences/[shortname]/complete.plist确实。 当然,我删除了com.apple.applicationaccess.new.plist ,再次login,它工作…在一个工作站上。 它在别人上失败了,并且在多次注销并重新login之后,即使进一步删除了com.apple.applicationaccess.new.plist之后,它们也再次失败。 奇怪的是, com.apple.applicationaccess.new.plist和complete.plist都包含一个正在讨论的应用程序的条目,但它仍然表示不允许。
进一步更新:好的,所以我现在有一个可重复的解决方法,似乎每次重新启动工作站后需要:
sudo mcxrefresh -n 'shortname' (注销并返回,因为相关用户将无法工作)。 如果您完全按照所述完成所有操作,则可以通过注销并重新login来继续工作,但不能通过重新启动。 如果在重新启动后,尝试使用本地pipe理员帐户login,运行sudo mcxrefresh -n 'shortname' ,注销,然后以相关用户身份login,则无法工作 。
另一个更新我们的Open Directory中没有任何计算机组,所以它不应该从那里得到任何冲突的设置。 在执行上述过程之前和之后,我运行了sudo mcxquery -format xml -user shortname -group groupname以允许运行相关的应用程序并且结果是相同的(将结果保存到文件和diff文件中…我是不只是在这里猜测)。
前进一步,前进一步: Mac OS X 10.6.5 Server更新发布后,我们将Open Directory Master升级到了它,因为这些更改包含了以下pipe理的首选项修复程序,我希望可以解决此问题:
这似乎稍微改善了这种情况。 现在有问题的应用程序通常会正常启动。 如果,并且当它启动“您没有权限使用应用程序”错误时,将用户注销并重新login似乎可以纠正它。
也就是说 ,我们不得不在用户的~/Applications/目录中添加一些应用程序,这些~/Applications/仍然无法启动。 工作站运行的是Mac OS X 10.6.4,OD Master(工作站绑定的)正在运行Mac OS 10.6.5 Server(虽然有两个OD Replicas仍在运行10.6.4 Server),我们正在使用工作组pipe理器10.6.3(包括在服务器pipe理工具10.6.5升级中)添加应用程序(一如既往,无符号)。 这次我在/var/log/system.log试图从~/Applications启动一个允许的应用程序时发现了以下内容:
Dec 22 17:36:24 hostname parentalcontrolsd[43221]: -[ActivityTracker checkApp:csFlags:] [954:username] -- *** Incoming app appears to be masquerading as white listed app and failed signature validation: /Users/username/Applications/FileMaker Pro 5.5/FileMaker Pro.app/Contents/MacOS/FileMaker Pro. Note: This may be a valid app of a different version than what was whitelisted (on a different volume?) Dec 22 17:36:24 hostname [0x0-0xa42a42].com.filemaker.filemakerpro[43304]: launch of /Users/username/Applications/FileMaker Pro 5.5/FileMaker Pro.app/Contents/MacOS/FileMaker Pro was blocked Dec 22 17:36:24 hostname com.apple.launchd.peruser.1340[6375] ([0x0-0xa42a42].com.filemaker.filemakerpro[43304]): Exited with exit code: 255 Dec 22 17:36:24 hostname parentalcontrolsd[43221]: -[ActivityTracker(Private) _removeAppFromWhiteList:] [1362:username] -- *** Couldn't find local user record
运行sudo mcxquery -format xml -user username -group groupname包含FileMaker Pro 5.5的以下条目(并且似乎包括用户的应用程序白名单和组的应用程序白名单的完整集成):
<dict> <key>bundleID</key> <string>com.filemaker.filemakerpro</string> <key>displayName</key> <string>FileMaker Pro</string> </dict>
注意缺less<key>appID</key><data> ... </data> ,这似乎指定了一个签名的应用程序。 虽然列入白名单的目录也显示在结果中正确列出,但它们实际上也不允许应用程序运行。
这里发生了什么?! 我应该在哪里看?