Mac-Server und macOS 10.14 Mojave – (nicht) updaten!

Am 24.09.2018 erschien das nächste große Betriebssystem-Update von Apple namens macOS 10.14 Mojave. Einige Tage später stand auch das lange angekündigte Update auf Server 5.7 zur Verfügung. Was man Anfang des Jahres schon angekündigt hatte, wird damit Realität: Apple entfernt mit dieser Version einige Server-Funktionen, die uns über die Jahre sprichwörtlich treue Dienste geleistet haben. Folgende Dienste stehen ab sofort auf der roten Liste und sind nicht weiter Bestandteil von macOS:

  • DHCP
  • DNS
  • Netboot und NetInstall
  • Software-Aktualisierung
  • Kalender
  • Kontakte
  • Nachrichten
  • VPN
  • Webseiten (Apache, PHP)
  • Wiki

Apple hatte diesen Diensten im Laufe des vergangenen Jahres noch eine Gnadenfrist eingeräumt und diese nur noch auf laufenden Systemen unterstützt (bei Server-Neuinstallationen waren sie schon nicht mehr verfügbar), aber ab der neuen Server-Version 5.7 ist damit Schluss!

Somit bleibt für Mac-Admins, die auf einige dieser Dienste setzen, aktuell nur die Wahl, mit ihrem Server bei macOS 10.13 High Sierra zu bleiben. Durch die Versorgung des Betriebssystems mit Sicherheits-Updates bleibt ab jetzt noch eine letzte Umstiegs-Gnadenfrist bis zum Sommer 2020. Allerdings sollte man bedenken, dass Apple in dieser Zeit wahrscheinlich keines der Server-Pakete (Apache, Bind, PHP etc.) mehr aktualisieren wird. Dadurch könnte ein Mac-Server, der im Internet erreichbar ist, schon früher einer Sicherheitsbedrohung ausgesetzt sein.

Was nun?

Unter folgenden Umständen kann man als Mac-Admin seinen Apple-Server dennoch getrost auf macOS Mojave aktualisieren (d.h. sobald Server 5.7 von Apple freigegeben wurde):

  1. Man nutzt auf dem Server keinen der oben genannten Dienste.
  2. Man kann auf den ein oder anderen Dienst in Zukunft verzichten.

Apple hat den Server übrigens nicht ganz abgeschafft.
Folgende Dienste sind ab sofort in jedem Mac enthalten:

  • Fileserver (AFP, SMB, WebDAV)
  • Caching (Alternative zu Softwrae-Aktualisierung)

Folgende Dienste sind weiterhin Bestandteil von macOS Server 5.7:

  • Open Directory inkl. Benutzer- und Gruppenverwaltung
  • Verwaltung von Zertifikaten
  • Profilmanager
  • Xsan

Was ist mit den anderen Diensten?

Dienste wie DHCP, DNS oder VPN können von den meisten gängigen Internet-Routern übernommen werden. Apple hat übrigens einen Migrations-Leitfaden mit Vorschlägen veröffentlicht, den man sich als Admin mal in Ruhe zu Gemüte führen sollte. Wahrscheinlich werde ich hier in Zukunft auch noch die eine oder andere technische Lösung präsentieren. Stay tuned!

macOS Dateifreigabe für Canon ImageRunner einrichten

Schnellübersicht: Moderne Multifunktions-Kopierer erlauben es einem Benutzer, ein Dokument zu scannen und direkt auf einem Server im Büro abzulegen. Dieser Artikel zeigt, wie eine solche Verbindung zu einem macOS Fileserver eingerichtet wird.

Wer eine aktuelle Version von macOS Server einsetzt, wird schon bemerkt haben, dass Apple endgültig das FTP-Protokoll entfernt hat, so dass keine Netzwerkverbindungen mehr per FTP auf den Server hergestellt werden können.

Wenn man einen Multifunktionsdrucker im Büro hat, gibt es in der Regel ein paar andere Optionen für die Verbindungsaufnahme, aber die sind alles andere als Plug & Play.

Ich beschreibe hier, wie man an einem Canon ImageRunner Multifunktions-Kopierer (wie sie heute in vielen Büros anzutreffen sind) eine Verbindung zum Server per SMB-Protokoll einrichtet.

1. Freigabe am Server einrichten

Das Einrichten der Freigabe ist ja mittlerweile für das normale macOS und die Server-Version gleich: Man öffne die Einstellungen-App und gehe auf Freigaben.

Unter Dateifreigabe wähle man den Ordner aus, in den der Multifunktionsdrucker die gescannten Dokumente ablegen soll. Ich habe hier einen Ordner angelegt und diesen „Eingang“ genannt. Bitte darauf achten, dass SMB aktiviert ist. Damit der Drucker nicht potenziell Zugriff auf andere Freigaben erhält, sollte man am Mac einen eigenen Benutzer für ihn anlegen. In unserem Fall haben wir den Benutzer „Office“ angelegt und diesem Lese- und Schreibrechte auf die Freigabe gegeben.

2. Zugriff am Drucker herstellen.

Nun loggen wir uns über das Web-Interface des Druckers ein. Dazu gibt man einfach die IP-Adresse des Canon-Druckers im Web-Browser ein, zum Beispiel http://192.168.10.5:8000.

Hat man sich mit Benutzername und Passwort eingeloggt, gelangt man auf das Remote UI. Auf der rechten Seite klickt man auf das Adressbuch, woraufhin sich eine Adressbuchliste öffnet. Hier klickt man auf die erste Liste „Adressbuch 01“ (oder ähnlich).

Jetzt kann man einen neuen Adressbucheintrag für die Serverfreigabe anlegen. Im Type-Dropdown wählen wir „File“ (bzw. „Datei„, wenn das Menü deutschsprachig ist). Es erscheint eine Eingabemaske, und jetzt kommen die entscheidenden Einstellungen:

Unter „Name“ kann ein aussagekräftiger Name eingetragen werden. In meinem Fall habe ich mich für „Eingang“ entschieden, weil die Freigabe auf dem Server auch so heißt. Der Name muss aber nicht übereinstimmen.

Unter „Protokoll“ wählen wir „Windows/SMB„.

Bei „Hostname“ ist es wichtig, dass wir uns genau an die Schreibweise halten. Hier wird der Servername, gefolgt vom Freigabenamen eingetragen. In meinem Fall hat der Server einen voll aufgelösten DNS-Namen, ansonsten würde man hier die IP-Adresse des Servers eintragen. Die Schreibweise lautet also z.B.:

\\server.firma.de\Freigabename

oder

\\192.168.x.y\Freigabename

Bei „Anwendername“ müssen wir wieder die Schreibweise genau beachten. In unserem Fall haben wir Open Directory am Server aktiviert, daher sind die Benutzer, die am Server angelegt werden, auch der Domain zugeordnet. In diesem Fall sieht die Schreibweise für den Server so aus:

server.firma.de/benutzername

Bei „Passwort“ wird natürlich das Passwort des Benutzers eingetragen, und damit sind wir fertig und können den Canon Multifunktions-Drucker nutzen, um Dateien auf einem macOS Dateiserver zu speichern.

Hinweis: Ich habe meine Konfiguration mit Multifunktionsdruckern der Canon ImageRunner Advance-Serie und macOS-Versionen zwischen 10.11 El Capitan und 10.14 Mojave erfolgreich getestet. Es gibt tausende netzwerkfähige Kopierer und Drucker da draußen, die andere Protokoll-Versionen von SMB unterstützen (davon gibt es mittlerweile so einige), bei denen diese Herangehensweise möglicherweise nicht funktioniert. Ich übernehme daher natürlich keine Gewähr. 😉

Filevault vs. macOS-Update

Technik ist heute in vielen Bereichen einfacher zu bedienen als vor einigen Jahren, aber die Komplexität unter der Oberfläche steigt dafür stetig an. Manchmal blitzt diese Komplexität dann im Alltag auf und man sieht sich mit merkwürdigen Problemen konfrontiert, die man trotz jahrelanger Erfahrung nie zuvor gesehen hat.

So geschehen vor einigen Tagen. Im Zuge der Umsetzung einer IT-Sicherheitsrichtlinie haben wir alle Computer des Unternehmens auf FileVault-Verschlüsselung umgestellt. Morgens kam ein Kollege zu mir, der sich nicht in seinen iMac einloggen konnte. Der Mac hing offenbar in einem Installationsfenster mit folgender Meldung fest: macOS could not be installed on your computer. Ein Neustart führte immer wieder zurück zu dieser Meldung.

Was war geschehen? Wir hatten FileVault an dem Mac mit macOS 10.13.3 am Vortag aktiviert. Da der Rechner mit einem 3 TB fassenden FusionDrive ausgestattet ist, muss man mit einem mehrtägigen Verschlüsselungsprozess rechnen. Ich hatte den Kollegen also gebeten, den Rechner nach Feierabend nicht herunterzufahren. Das hatte er auch befolgt, allerdings war der Mac so eingestellt, dass Software-Updates automatisch heruntergeladen und im Hintergrund installiert werden – die empfohlene Standard-Einstellung von macOS.

Der iMac nutzte also die nächtliche Stunde, nach Updates Ausschau zu halten, wurde mit dem Zusatz-Update zu macOS 10.13.3 fündig, und führte die Installation des Updates selbständig durch. Beim anschließenden Neustart kam es dann zum oben abgebildeten Fehler – und der Kollege konnte am nächsten Tag nicht arbeiten.

Offenbar hat macOS High Sierra einen Bug, der die Installation eines System-Updates mit Neustart verhindert, wenn die FileVault-Verschlüsselung noch nicht abgeschlossen ist.

Die Lösung

Den Mac aus diesem Teufelskreis zu befreien erforderte etwas Trial-and-Error. Am Ende half folgende Methode:

  • Den Mac mit gedrückter Umschalt-Taste in den sicheren Modus booten lassen. Das funktioniert.
  • Sich mit einem Benutzer einloggen.
  • Die Systemeinstellungen-Startvolume öffnen
  • Die System-Festplatte auswählen und neu starten
  • Dann sollte man wieder normal booten und bis zum Anmeldebildschirm vordringen können

Ein Start mit gedrückter Alt-Taste zum Auswählen des Startvolumes funktionierte übrigens nicht, weil statt der Festplatte nur ein Installations-Volume angezeigt wurde.

Sobald man das System erfolgreich gebootet hat, sollte man übrigens umgehend in die Systemeinstellungen – App Store gehen und dort das automatische Installieren von System-Updates ausschalten – und erst wieder einschalten, wenn die initiale Verschlüsselung des Startvolumes abgeschlossen ist!

Mysteriöser Speicherplatzschwund auf dem Mac

Neulich bei einem Kunden: der Speicherplatz auf seinem Macbook Pro 13″ (Modell 2012, 1 TB SSD, macOS High Sierra) nahm ohne erkennbaren Grund stetig ab. Der Kunde hatte schon mit dem Ausmisten begonnen und alte Daten gelöscht, um Platz freizuschaufeln. Also wurde es höchste Zeit, den Rechner einmal unter die Lupe zu nehmen.

Eine Inspektion auf fehlerhaftes Verhalten förderte erst einmal nichts zutage, aber eine Analyse des Speicherplatzes ergab Erstaunliches. Meine Vermutung war, dass ein System-Logfile aufgebläht sein könnte, aber in den Systemverzeichnissen war alles normal. Stattdessen führte die Spur direkt ins Benutzer-Verzeichnis, und zwar genauer zu

~/Library/Containers/com.apple.mail/Data/Library/Logs/Mail
Das Macbook wurde im Target-Modus gestartet und seine SSD mit WhatSize* ausgelesen. Das Mail-Logverzeichnis des Benutzers war ganze 507 GB groß!

Eine kurze Recherche im Internet ergab des Rätsels Lösung: In der Mail-App gibt es ein Dialogfeld zum Überprüfen der Verbindung und Kommunikation mit den Mailservern. Dieses findet man im Menü Fenster -> Verbindung prüfen. In diesem Dialogfeld kann man einen Haken setzen, der Protokoll für Verbindungskativität heißt. Ist dieser gesetzt, wird fortan die gesamte Kommunikation der Postfächer mit dem Mailserver in besagtes Log geschrieben. Hat man mehrere Postfächer und ein großes E-Mailaufkommen, kann man quasi dabei zuschauen, wie der Speicherplatz auf dem Mac schmilzt.

Die einfache Lösung lautet also: In Mail das Menü Fenster -> Verbindung prüfen öffnen und den Haken bei Protokoll für Verbindungsaktivität entfernen.

*Für die Analyse des Speicherplatzes kam WhatSize zum Einsatz. Diese Mac-Anwendung leistet mir schon seit vielen Jahren treue Dienste und hat einen optionalen Administrator-Mode, mit dem sie auch ansonsten geschützte Systembereiche analysieren kann. Sie ist in einer (nicht ganz aktuellen) Gratis-Version im Mac App Store verfügbar. Die neueste Version gibt es aber nur auf der Webseite des Entwicklers.

Schwere Sicherheitslücke in macOS High Sierra – und Fix

Am 28. und 29.11.2017 geisterte es durch alle Medien: Apple hat sich einen riesigen Schnitzer in seinem aktuellsten Betriebssystem macOS High Sierra erlaubt, der bis dato auch noch in den aktuellsten Beta-Versionen von macOS 10.13.2 vorhanden ist: Personen mit physischem Zugriff auf einen Mac können sich offenbar vollen Administrator-Zugriff auf das System verschaffen.

Alles, was man tun muss, ist in einem Authentifizierungs-Dialog „root“ als Benutzer einzutragen und das Passwort-Feld leerzulassen. Teilweise muss man zwei oder drei Mal auf OK klicken, bevor sich das Schloss plötzlich öffnet und man vollen Zugriff auf das System hat.

Die Lösung

Ohne jetzt darüber zu spekulieren, wie so etwas möglich sein konnte, will ich hier die Lösung skizzieren. Zwei Dinge sind zu tun:

  1. root-Passwort ändern
  2. root-Benutzer aktiviert lassen und keinesfalls deaktivieren!

root ist ein Administrator-Account, der auf allen Unix-Systemen, zu denen macOS ja nun auch gehört, vorhanden ist. root hat die weitreichendsten Systemrechte und darf (fast) alles. Standardmäßig ist dieser Benutzer auf macOS deaktiviert. Der hier entdeckte Bug zeichnet sich also dadurch aus, dass root von Apples Entwicklern aktiviert wurde und obendrein kein Passwort hinterlegt ist. Damit sind von der Lücke diejenigen User nicht betroffen, die ihren root-User schon mit Passwort aktiviert hatten.

root-Passwort ändern

Es gibt verschiedene Möglichkeiten, dies zu tun. Da wir Mac-User lieber mit „Klickibunti“ arbeiten, also ungern kryptische Befehle ins Terminal hacken, präsentiere ich hier eine relativ anwenderfreundliche Methode.

Programm „Verzeichnisdienste“ öffnen

Dieses Programm ist in den Tiefen von macOS versteckt. Entweder man kann es öffnen, indem man danach per Spotlight sucht,

oder man öffnet ein Finder-Fenster und navigiert in den Ordner System/Library/CoreServices/Applications.


Um hier Änderungen vornehmen zu können, muss man unten links auf das Schloss klicken, um sich als Administrator zu authentifizieren. Wir können uns ja mal den Spaß machen und als Benutzer root eintragen und das Passwortfeld leer lassen. Sollten Sie von der Lücke betroffen sein, müsste Ihnen diese Kombination jetzt Einlass gewähren.
Als Nächstes rufen Sie das Bearbeiten-Menü aus und wählen root-Passwort ändern.

Es öffnet sich ein Dialogfenster. Geben Sie ein sicheres Passwort ein (es muss zwei Mal eingetragen werden). Fertig, die Sicherheitslücke ist damit gestopft. Schließen Sie die Verzeichnisdienste wieder.

Wichtiger Hinweis

Kommen Sie nicht auf die Idee, den root-Benutzer zu deaktivieren (diese Option ist Ihnen vielleicht im Bearbeiten-Menü der Verzeichnisdienste aufgefallen)! Wenn Sie das tun, wird die Lücke wieder geöffnet, denn das root-Passwort wird damit zurückgesetzt und man kann sich wieder ohne Passwort Zugriff verschaffen!

Shame on you Apple!

Update

Mittlerweile hat Apple das dringend erforderliche Software-Update nachgeschoben. Es sollte dringend über die App-Store-App – Updates installiert werden. Für das Update ist kein Neustart erforderlich.

WordPress Cookie Hinweis von Real Cookie Banner