Mac-Server und macOS 10.14 Mojave – (nicht) updaten!

Am 24.09.2018 erschien das nächste große Betriebssystem-Update von Apple namens macOS 10.14 Mojave. Einige Tage später stand auch das lange angekündigte Update auf Server 5.7 zur Verfügung. Was man Anfang des Jahres schon angekündigt hatte, wird damit Realität: Apple entfernt mit dieser Version einige Server-Funktionen, die uns über die Jahre sprichwörtlich treue Dienste geleistet haben. Folgende Dienste stehen ab sofort auf der roten Liste und sind nicht weiter Bestandteil von macOS:

  • DHCP
  • DNS
  • Netboot und NetInstall
  • Software-Aktualisierung
  • Kalender
  • Kontakte
  • Nachrichten
  • VPN
  • Webseiten (Apache, PHP)
  • Wiki

Apple hatte diesen Diensten im Laufe des vergangenen Jahres noch eine Gnadenfrist eingeräumt und diese nur noch auf laufenden Systemen unterstützt (bei Server-Neuinstallationen waren sie schon nicht mehr verfügbar), aber ab der neuen Server-Version 5.7 ist damit Schluss!

Somit bleibt für Mac-Admins, die auf einige dieser Dienste setzen, aktuell nur die Wahl, mit ihrem Server bei macOS 10.13 High Sierra zu bleiben. Durch die Versorgung des Betriebssystems mit Sicherheits-Updates bleibt ab jetzt noch eine letzte Umstiegs-Gnadenfrist bis zum Sommer 2020. Allerdings sollte man bedenken, dass Apple in dieser Zeit wahrscheinlich keines der Server-Pakete (Apache, Bind, PHP etc.) mehr aktualisieren wird. Dadurch könnte ein Mac-Server, der im Internet erreichbar ist, schon früher einer Sicherheitsbedrohung ausgesetzt sein.

Was nun?

Unter folgenden Umständen kann man als Mac-Admin seinen Apple-Server dennoch getrost auf macOS Mojave aktualisieren (d.h. sobald Server 5.7 von Apple freigegeben wurde):

  1. Man nutzt auf dem Server keinen der oben genannten Dienste.
  2. Man kann auf den ein oder anderen Dienst in Zukunft verzichten.

Apple hat den Server übrigens nicht ganz abgeschafft.
Folgende Dienste sind ab sofort in jedem Mac enthalten:

  • Fileserver (AFP, SMB, WebDAV)
  • Caching (Alternative zu Softwrae-Aktualisierung)

Folgende Dienste sind weiterhin Bestandteil von macOS Server 5.7:

  • Open Directory inkl. Benutzer- und Gruppenverwaltung
  • Verwaltung von Zertifikaten
  • Profilmanager
  • Xsan

Was ist mit den anderen Diensten?

Dienste wie DHCP, DNS oder VPN können von den meisten gängigen Internet-Routern übernommen werden. Apple hat übrigens einen Migrations-Leitfaden mit Vorschlägen veröffentlicht, den man sich als Admin mal in Ruhe zu Gemüte führen sollte. Wahrscheinlich werde ich hier in Zukunft auch noch die eine oder andere technische Lösung präsentieren. Stay tuned!

Sicherheitslücke in S-MIME und PGP-Verschlüsselung – Apple Mail absichern

Mail.app Entfernte Inhalte in Nachrichten laden deaktivieren

Wie am 14.05.2018 bekannt wurde, ist es Forschern gelungen, die Verschlüsselung von E-Mails so auszuhebeln, dass Angreifer unter Umständen Zugriff auf die unverschlüsselte Nachrichten erhalten können. Nähere Informationen dazu gibt es u.a. hier (FAZ) und hier (mactechnews.de). Das Problem scheint nur HTML-formatierte E-Mails zu betreffen, die verschlüsselt wurden.

Die Lösung ist ganz einfach. Man öffnet in Apple Mail die Einstellungen und stellt sicher, dass im Reiter Darstellung bei Entfernte Inhalte in Nachrichten laden kein Haken gesetzt ist. Damit ist zumindest die unmittelbare Gefahr gebannt. Generell empfiehlt es sich, Mails nicht mit HTML zu formatieren (außer, man verschickt Newsletter, aber die würde man nicht verschlüsseln).Mail.app Entfernte Inhalte in Nachrichten laden deaktivieren
Diese Einstellung empfiehlt sich übrigens auch für den Web-Browser Safari, wo standardmäßig das Öffnen von Downloads aktiviert ist. Hier entfernt man das Häkchen in den Safari-Einstellungen unter Allgemein.

Safari Einstellungen Sichere Dateien nach dem Laden öffnen deaktivieren

macOS Dateifreigabe für Canon ImageRunner einrichten

Schnellübersicht: Moderne Multifunktions-Kopierer erlauben es einem Benutzer, ein Dokument zu scannen und direkt auf einem Server im Büro abzulegen. Dieser Artikel zeigt, wie eine solche Verbindung zu einem macOS Fileserver eingerichtet wird.

Wer eine aktuelle Version von macOS Server einsetzt, wird schon bemerkt haben, dass Apple endgültig das FTP-Protokoll entfernt hat, so dass keine Netzwerkverbindungen mehr per FTP auf den Server hergestellt werden können.

Wenn man einen Multifunktionsdrucker im Büro hat, gibt es in der Regel ein paar andere Optionen für die Verbindungsaufnahme, aber die sind alles andere als Plug & Play.

Ich beschreibe hier, wie man an einem Canon ImageRunner Multifunktions-Kopierer (wie sie heute in vielen Büros anzutreffen sind) eine Verbindung zum Server per SMB-Protokoll einrichtet.

1. Freigabe am Server einrichten

Das Einrichten der Freigabe ist ja mittlerweile für das normale macOS und die Server-Version gleich: Man öffne die Einstellungen-App und gehe auf Freigaben.

Unter Dateifreigabe wähle man den Ordner aus, in den der Multifunktionsdrucker die gescannten Dokumente ablegen soll. Ich habe hier einen Ordner angelegt und diesen “Eingang” genannt. Bitte darauf achten, dass SMB aktiviert ist. Damit der Drucker nicht potenziell Zugriff auf andere Freigaben erhält, sollte man am Mac einen eigenen Benutzer für ihn anlegen. In unserem Fall haben wir den Benutzer “Office” angelegt und diesem Lese- und Schreibrechte auf die Freigabe gegeben.

2. Zugriff am Drucker herstellen.

Nun loggen wir uns über das Web-Interface des Druckers ein. Dazu gibt man einfach die IP-Adresse des Canon-Druckers im Web-Browser ein, zum Beispiel http://192.168.10.5:8000.

Hat man sich mit Benutzername und Passwort eingeloggt, gelangt man auf das Remote UI. Auf der rechten Seite klickt man auf das Adressbuch, woraufhin sich eine Adressbuchliste öffnet. Hier klickt man auf die erste Liste “Adressbuch 01” (oder ähnlich).

Jetzt kann man einen neuen Adressbucheintrag für die Serverfreigabe anlegen. Im Type-Dropdown wählen wir “File” (bzw. “Datei“, wenn das Menü deutschsprachig ist). Es erscheint eine Eingabemaske, und jetzt kommen die entscheidenden Einstellungen:

Unter “Name” kann ein aussagekräftiger Name eingetragen werden. In meinem Fall habe ich mich für “Eingang” entschieden, weil die Freigabe auf dem Server auch so heißt. Der Name muss aber nicht übereinstimmen.

Unter “Protokoll” wählen wir “Windows/SMB“.

Bei “Hostname” ist es wichtig, dass wir uns genau an die Schreibweise halten. Hier wird der Servername, gefolgt vom Freigabenamen eingetragen. In meinem Fall hat der Server einen voll aufgelösten DNS-Namen, ansonsten würde man hier die IP-Adresse des Servers eintragen. Die Schreibweise lautet also z.B.:

\\server.firma.de\Freigabename

oder

\\192.168.x.y\Freigabename

Bei “Anwendername” müssen wir wieder die Schreibweise genau beachten. In unserem Fall haben wir Open Directory am Server aktiviert, daher sind die Benutzer, die am Server angelegt werden, auch der Domain zugeordnet. In diesem Fall sieht die Schreibweise für den Server so aus:

server.firma.de/benutzername

Bei “Passwort” wird natürlich das Passwort des Benutzers eingetragen, und damit sind wir fertig und können den Canon Multifunktions-Drucker nutzen, um Dateien auf einem macOS Dateiserver zu speichern.

Hinweis: Ich habe meine Konfiguration mit Multifunktionsdruckern der Canon ImageRunner Advance-Serie und macOS-Versionen zwischen 10.11 El Capitan und 10.13 High Sierra erfolgreich getestet. Es gibt tausende netzwerkfähige Kopierer und Drucker da draußen, die möglicherweise andere Protokoll-Versionen von SMB unterstützen (davon gibt es mittlerweile so einige), bei denen diese Herangehensweise möglicherweise nicht funktioniert. Ich übernehme daher natürlich keine Gewähr. 😉

Filevault vs. macOS-Update

Technik ist heute in vielen Bereichen einfacher zu bedienen als vor einigen Jahren, aber die Komplexität unter der Oberfläche steigt dafür stetig an. Manchmal blitzt diese Komplexität dann im Alltag auf und man sieht sich mit merkwürdigen Problemen konfrontiert, die man trotz jahrelanger Erfahrung nie zuvor gesehen hat.

So geschehen vor einigen Tagen. Im Zuge der Umsetzung einer IT-Sicherheitsrichtlinie haben wir alle Computer des Unternehmens auf FileVault-Verschlüsselung umgestellt. Morgens kam ein Kollege zu mir, der sich nicht in seinen iMac einloggen konnte. Der Mac hing offenbar in einem Installationsfenster mit folgender Meldung fest: macOS could not be installed on your computer. Ein Neustart führte immer wieder zurück zu dieser Meldung.

Was war geschehen? Wir hatten FileVault an dem Mac mit macOS 10.13.3 am Vortag aktiviert. Da der Rechner mit einem 3 TB fassenden FusionDrive ausgestattet ist, muss man mit einem mehrtägigen Verschlüsselungsprozess rechnen. Ich hatte den Kollegen also gebeten, den Rechner nach Feierabend nicht herunterzufahren. Das hatte er auch befolgt, allerdings war der Mac so eingestellt, dass Software-Updates automatisch heruntergeladen und im Hintergrund installiert werden – die empfohlene Standard-Einstellung von macOS.

Der iMac nutzte also die nächtliche Stunde, nach Updates Ausschau zu halten, wurde mit dem Zusatz-Update zu macOS 10.13.3 fündig, und führte die Installation des Updates selbständig durch. Beim anschließenden Neustart kam es dann zum oben abgebildeten Fehler – und der Kollege konnte am nächsten Tag nicht arbeiten.

Offenbar hat macOS High Sierra einen Bug, der die Installation eines System-Updates mit Neustart verhindert, wenn die FileVault-Verschlüsselung noch nicht abgeschlossen ist.

Die Lösung

Den Mac aus diesem Teufelskreis zu befreien erforderte etwas Trial-and-Error. Am Ende half folgende Methode:

  • Den Mac mit gedrückter Umschalt-Taste in den sicheren Modus booten lassen. Das funktioniert.
  • Sich mit einem Benutzer einloggen.
  • Die Systemeinstellungen-Startvolume öffnen
  • Die System-Festplatte auswählen und neu starten
  • Dann sollte man wieder normal booten und bis zum Anmeldebildschirm vordringen können

Ein Start mit gedrückter Alt-Taste zum Auswählen des Startvolumes funktionierte übrigens nicht, weil statt der Festplatte nur ein Installations-Volume angezeigt wurde.

Sobald man das System erfolgreich gebootet hat, sollte man übrigens umgehend in die Systemeinstellungen – App Store gehen und dort das automatische Installieren von System-Updates ausschalten – und erst wieder einschalten, wenn die initiale Verschlüsselung des Startvolumes abgeschlossen ist!

macOS Server – war’s das?

Ende Januar 2018 wurde es offiziell – macOS Server wird endgültig nicht mehr das sein, was es einmal war – eine Server-Lösung von Apple, die alles abdeckt, was man gemeinhin von einem Server-System erwarten kann. Der kalifornische Hersteller hat in einem Support-Artikel (https://support.apple.com/de-de/HT208312) das Ende einer Ära verkündet.

Eigentlich ist es das Ende des zweiten macOS Server-Lebens. Das erste kam mit dem Ende von Apples Xserve-Serverlinie (das letzte Modell war 2009 vorgestellt worden) und der Server Admin-Tools aus Mac OS X 10.6 Snow Leopard Server. 2011 läutete Apple eine neue Ära ein. Seit Mac OS X 10.7 Lion und iOS 5 läuft die Entwicklung von Apples Betriebssystemen* im Gleichschritt, erfolgen jährliche kostenlose Major-Updates jeweils zur gleichen Zeit im Herbst.

*macOS, iOS, tvOS, watchOS

Seit 2011 gab es kein separates Mac OS X Server-Betriebssystem mehr. Stattdessen setzt Apple mit der Server-App als “Add-On” zu macOS auf ein radikal anderes Konzept. Besonders zu Beginn der neuen Server-App-Ära war die eingeschränkte Funktionalität zum Vorgänger aus Mac OS X 10.6 frappierend. Dies verbesserte sich im Laufe der Jahre, Apple erweiterte die Server-App auf und unter der Oberfläche und ließ immer ein wenig Hoffnung, es könnte mit dem Server als Nischenprodukt immer so weitergehen.

Nun sind wir aktuell (Anfang Februar 2018) bei Server Version 5.5 angelangt und folgende Dienste haben uns allein seit Server 5.2 verlassen bzw. wurden versteckt oder ausgelagert:

  • Xcode Server (ist direkt in die Xcode-Entwicklungsumgebung gewandert)
  • FTP Server
  • iOS Filesharing
  • WebDAV-Filesharing (ist nur noch über ein Commandline-Tool administrierbar)
  • Filesharing (ist jetzt in den Systemeinstellungen – Freigaben von macOS zu finden)
  • Time Machine Server (ebenso)
  • Caching-Server (ebenso)
  • Software-Aktualisierung (ist noch über das Menü erreichbar, wird aber nicht mehr weiterentwickelt)

Mit einem weiteren Update der Server-App im kommenden Frühjahr 2018 werden die meisten anderen macOS Server-Dienste versteckt, solange sie auf einem bestehenden System nicht in Benutzung sind, und in zukünftigen Versionen sollen sie ganz fehlen.

Ist die Server-App tot?

Nein, ist sie nicht! Einer der meistgenutzten Dienste von Apples Server-System hat seinen Weg – ich hatte es oben schon erwähnt – ins normale macOS gefunden und ist somit nun für jedermann verfügbar: Dateifreigabe. Eigentlich hat es diese Funktion immer schon in macOS gegeben, allerdings konnten sich bis macOS Sierra maximal zehn Personen mit der Dateifreigabe eines Macs verbinden. Wer mehr gleichzeitige Verbindungen benötigte, musste den Server kaufen. Diese Beschränkung könnte künftig aufgehoben sein (obwohl ich in Apples Supportbereich dazu keine Information finden konnte).

Sehr schade ist allerdings das neue/alte Interface der Dateifreigaben, bei dem sehr viele Funktionen in den kleinen Raum der Systemeinstellung Freigabe gequetscht werden mussten. Das war in der Server-App besser gelöst. Immerhin, wer die Server-App installiert hat, kann sie auch weiterhin nutzen, um z.B. einen Überblick über komplexe Zugriffsrechte einzelner Freigaben zu behalten oder zu verändern.

Zum detaillierten Einstellen von Zugriffsrechten eignet sich die Server-App auch ohne vorhandenes Dateifreigabe-Kontrollfeld noch. Dazu wechselt man in der Übersicht der Server-App auf das Feld Speicher.

Ein weiteres praktisches Feature, das vor allem in größeren Arbeitsgruppen die immer noch wertvolle Internet-Bandbreite schonen hilft, ist Caching. Dieser Dienst kann nun ebenfalls auf jedem beliebigen Mac mit macOS High Sierra aktiviert werden und sorgt dafür, dass Inhalte wie Apple Software-Updates oder App-Downloads aus dem App Store zwischengelagert werden und so nur einmal heruntergeladen werden müssen. Alle weiteren Downloads derselben Inhalte werden dann vom Caching-Server bedient.

Die wesentlichen Dienste, die weiterhin in Apples Server erhalten bleiben, sind schließlich Open Directory und Profilmanager. Open Directory ist ein Verzeichnisdienst auf Open LDAP-Basis, der für die Authentifizierung von Benutzern verwendet wird, und ermöglicht durch die Unterstützung von Replica-Servern und Backups eine robuste Verwaltung sehr großer Benutzer- und Gruppendatenbestände (und war seit Mac OS X 10.3 Server das Herzstück des Apple Servers).

Profilmanager schließlich ist vermutlich letztlich der Grund, warum Apple seine Serverlinie nicht komplett aufgegeben hat. Die hauseigene Entwicklung eines Mobile Device Managements (für die zentrale Verwaltung von Macs und iOS-Geräten) ist Blaupause für alle professionellen MDM-Systeme auf dem Markt (zumindest diejenigen, die Macs und iPads/iPhones unterstützen) und ein Showcase für viele Verwaltungs-Funktionen, die mit jeder neuen Version von macOS und iOS hinzukommen.

Viele langjährige Fans der Apple-Server werfen dem Hersteller vor, die professionellen Anwender weiter vor den Kopf zu stoßen und sich nur noch für “Teens mit Tausend-Euro-Smartphones” zu interessieren. Ironischerweise ist das hier nicht zutreffend, denn Apple orientiert sich mit dieser Entwicklung besonders an den Interessen der großen Institutionen. Diese benötigen eine einfache und leistungsfähige Plattform, um Tausende Geräte fertig konfiguriert auszurollen und zentral zu verwalten. Hier hat Apple in den letzten fünf Jahren sehr große Fortschritte gemacht (ebenso wie die Verbreitung von Apple-Hardware im Business) – allerdings überlässt man auch dieses Feld letztlich großen externen Playern. Profilmanager als Teil der 20 € teuren Server-App ist letztlich nicht mehr als ein “Proof of Concept”, das seinen Zweck in kleinen Umgebungen mit 50 administrierten Geräten gut erfüllt.

Fazit

Die Zeit der All in One-Lösung ist vorbei. Wer seine Apple-Arbeitsgruppe mit einer zentralen Dateifreigabe ausstatten will, kann dafür weiterhin einen Mac mini mit angeschlossenem Speichersystem verwenden.

Wer eine Groupware für Mail, Kalender etc. benötigt, sucht sich einen passenden Cloud-Dienst oder holt sich eine Lösung wie Kerio Connect (die diese Aufgabe sowieso viel besser beherrscht, als es Apples Server je konnte).

Für Web- und Wiki-Dienste gibt es Hoster und Hunderte Open-Source-Projekte, mit denen man sich die fehlende Funktionalität zur Not selbst auf einem Mac zusammenbauen könnte.

Und für eine zentrale Verwaltung von Benutzern und ihre Apple-Geräte bleibt uns dann noch macOS Server erhalten – vorerst zumindest.

Jetzt Kontakt aufnehmen!
Top