Um dos recursos mais interessantes de um OS X Server em redes corporativas é o gerenciamento centralizado de dispositivos iOS, por meio do componente Profile Manager, responsável pela função MDM (Mobile Device Management).

O desenvolvedor Felipe Kelermann, da Nyvra Software (e integrante da trupe da Hora do Mac) viu nosso artigo recente sobre o OS X Server e me procurou para compartilhar seu artigo que o complementa, tratando a respeito justamente do uso do Profile Manager.

O artigo do Felipe diz respeito ao OS X 10.7 Server (Lion), e se aplica também à versão atual (Mountain Lion). Ele já avisou que vai atualizar quando sair a versão Mavericks, em breve, e espero que ele compartilhe as atualizações conosco.

Obrigado por mais essa contribuição e compartilhamento de conhecimento, Felipe! Segue o artigo, na íntegra:

Gerenciamento de iOS com o OS X Server

por Felipe Kellermann

Introdução

O sistema operacional iOS 5 suporta MDM (Mobile Device Management) através de protocolos proprietários do fabricante, existindo documentação para integração com parceiros. O sistema opercional para servidores do mesmo fabricante, o Mac OS X Server, conta com suporte para configuração e comunicacão MDM introduzido na versão 10.7 (Lion), de Julho de 2011.

Este documento apresenta os passos para a criação de um ambiente MDM envolvendo o Mac OS X Server (Lion) e dispositivos móveis iOS (iPhone, iPod e iPad). É necessário tanto um ambiente de rede apropriado, quanto passos de configuração no servidor Mac OS X. Não é objetivo deste documento apresentar ou detalhar o funcionamento interno do Profile Manager, componente do Mac OS X Lion responsável pelo suporte ao MDM

Funcionamento Geral

Um ambiente MDM para iOS é formado por 3 principais entidades: o Servidor MDM, os Servidores Apple (fabricante), e os Devices (terminais gerenciados). Este documento está focado no primeiro, o Servidor MDM, onde as configurações de rede e ajustes no sistema precisam ser feitos. Os terminais gerenciados são apenas "associados" ao servidor MDM através do processo de Enrollment.

A seguinte figura mostra os 4 principais passos de uma comunicação MDM no ambiente de gerenciamento suportado pelo iOS.

1. Device gerenciado faz Enrollment com o servidor de gerenciamento (porta 443, HTTPS)
2. Com Enrollment já feito, servidor notifica via APNS (push) terminal para realizar acesso
3. APNS (Apple Push Notification Service) notifica o terminal que um acesso deve ser feito
4. Device comunica-se com servidor MDM para iniciar operações de gerenciamento

Figura 1: Ambiente MDM para dispositivos iOS

As seguintes operações de gerenciamento são permitidas:

• Alteração Configurações
  • Contas: Email, VPN, LDAP, calendário, etc.
  • Funcionalidades: Aplicativos, Siri, Camera, FaceTime, Screenshots, etc.
  • Segurança (senha): Tamanho mínimo, formato da senha, etc.
  • Aplicativos: Níveis de acesso para YouTube, iTunes, Safari.
  • Segurança: Permitir cetificados inseguros, criptografia de backup, etc.
  • iCloud: Backup, sincronização, Photo Stream.
  • Classificação de conteúdo: tipos de músicas/podcasts, etc.
  • Outros: Web clips (ícones), ajustes APN, etc.
• Acesso a Informações
  • Device: UDID, nome, IMEI, versão, etc.
  • Rede: ICCID, operadora, roaming, número, etc.
  • Compliance: Listagem de certificados, restrições de senha, etc.
  • Aplicativos: Aplicativos instalados, versão, ID.
• Gerenciamento
  • Alteração de configurações (settings) do aparelho
  • Instalação de aplicativos gerenciados
  • Segurança: Limpar aparelho, trancar acesso, limpar senha.

Termos Utilizados na Configuração

Alguns termos e conceitos são usados na configuração:

• APNS: Apple Push Notification Service, servidor Apple usado apenas para notificações;
• Profile: um conjunto de configurações e ajustes;
• PKI: Public Key Infrastructure, esquema de par de chave pública/privada;
• SCEP: Simple Certificate Enrollment Protocol
• MDM Server: Servidor Mac OS X Lion que cadastra e gerencia os dispositivos
• Enrollment: Processo de associação de um device ao MDM Server (cadastramento)
• Server: Suite de aplicativos/configurações do sistema Mac OS X Lion
• Profile Manager: Componente do Server para gerenciar Macs e iOS

Configuração do Ambiente (Rede)

Como é mostrado na Figura 1, existe um processo de configuração necessário para que todas as 3 partes envolvidas possam se comunicar. A comunicação entre APNS e devices (3) ocorre através de um processo proprietário e fechado do fabricante. Em resumo, o APNS consegue ter acesso aos devices para notificações "leves". Este processo ocorre internamente através de uma comunicação que parte do device para o APNS utilizando a porta 5223 TCP. Não existe nenhuma configuração necessária, portanto, para a comunicação entre device e APNS. Os usuários que estão em redes móveis devem conseguir ter acesso externo para esta porta.

A comunicação entre devices e MDM server (1 e 4) exige configuração. Os aparelhos precisam ter acesso direto nas portas 443 TCP, 1640 TCP e 5223 TCP, com origem externa liberada. No caso de existir um roteador/firewall na frente do servidor MDM, configurações/regras de (D)NAT precisam ser feitas.

Configuração do MDM Server

O primeiro passo para configuração do ambiente é ter um servidor Mac com o sistema 10.7 instalado, o Lion. Com o sistema Lion instalado, é necessário fazer instalação do Server, um pacote de utilitarios e serviços para gerenciamento de redes Mac e iOS. A instalação é feita através da App Store.

Depois da instalação, o sistema Mac OS X passa a ser um Mac OS X Lion Server, contendo diversos serviços de rede e gerenciamento, tais como servidor de banco de dados SQL (PostgreSQL), servidor LDAP (OpenLDAP), servidor Web (Apache), entre outros. O Profile Manager é um desses componentes, utilizado para gerenciar Macs e iOS. O Profile Manager é uma aplicação acessada por HTTP/HTTPS através do Apache e configurada através do Server.

As Figuras 2 e 3 mostram o painel geral do Server e os ajustes do Profile Manager.

Figura 2: Painel do Server com o menu Profile Manager

Figura 3: Painel para ligar/desligar e configurar Profile Manager

Assim como todos os outros serviços, o Profile Manager está por padrão desligado no Server, podendo ser ligado (ON). Apenas ligar o Profile Manager não é o suficiente para que o processo todo de gerenciamento possa ser feito. Antes é necessário um processo de geração de par de chave pública/privada para a comunicação SSL existente no SCEP. Em resumo, o processo visto nos passos seguintes consiste em 1) Ligar o Profile Manager, 2) Configurar certificados para realização do Enrollment/SCEP, 3) Associação dos devices ao MDM Server.

Ligando o MDM

Para ligar o serviço de MDM, basta ligar (ON) o Profile Manager, que é responsável por gerenciar os aparelhos Mac e iOS. O processo de ligar ocorrre uma única vez através do Server, depois o serviço inicia automaticamente com o sistema.

É importante que o MDM seja ligado já com o Host Name configurado corretamente para um nome acessível de dentro da rede (LAN) e externamente (WAN). A configuração de Host Name pode ser feita através de: Menu lateral Hardware / nome do computador (no exemplo da Figura 2, Orchid), aba Network, Host Name. Geralmente o nome vai resolver para um endereço IP internamente e outro endereço IP externamente.

Configurando chaves SSL

Antes de configurar o Profile Manager, é necessário que exista um par de chaves para ser usado no Enrollment e comunicação entre dispositivos e MDM server. A criação do certificado pode ser feita através mesmo menu do servidor (Hardware / nome do computador) na aba Settings, onde existe o SSL Certificate.

Figura 4: Painel de ajustes gerais com opção de SSL Certificate

Em Edit, um novo menu é exibido. Para gerenciar certificados, o menu de ações (engrenagem) oferece a opção Manage Certificates. Depois, uma série de passos devem ser feitos para a criação do certificado.

• Manage Certificates
  • Create a Certificate Identity
    • Name: host name completo
    • Identity Type: Self Signed Root
    • Certificate Type: SSL Server
    • Let me override defaults (marcado)

Deixar o padrão para todas as opções, preencher os dados de Certificate Information com dados como email, organização, endereco, etc. Com isto, o certificado é criado e pode ser selecionado no Sign configuration profiles no painel Profile Manager, como é mostrado na Figura 5 do exemplo.

Figura 5: Painel de Profile Manager com edição do Sign Configuration Profiles

Com esses passos concluídos e o serviço de Profile Manager ligado, a configuração do servidor (MDM server) está concluída. Antes de associar um dispositivo, é importante criar usuários (gerenciados) no menu lateral Users. Um servidor inicia sem nenhum usuário normal, apenas um usuário de administração. Cada usuário gerenciado (dispositivo) deve ter o seu próprio usuário no servidor (MDM server). Um usuário pode ser criado com o + na tela Users, entrando em uma edição/criação como exemplifica a Figura 6.

Figura 6: Criação de um usuário usado no gerenciamento (devices)

Configurando os dispositivos gerenciados (devices)

Depois de concluída a configuração do servidor (MDM server), os dispositivos gerenciados precisam ser associados (Enrollment) ao servidor para serem gerenciados. Esse processo consiste no acesso a um site com o Safari, no endereço http://host/mydevices

Figura 7: Associação de um dispositivo ao server (Enrollment)

Ao acessar o endereço (mydevices), depois de usar o usuário e senha criados anteriormente no servidor (MDM server), o usuário deve ir na aba Profiles e instalar o Trust Profile for <Empresa> (ícone Install). Este processo leva o usuário a alguns passos executados no Settings do aparelho, e depois o usuário volta ao endereço de Enrollment (mydevices).

Depois de instalado o Trust Profile for <Empresa> o Enrollment pode ser feito através do botão de Enroll, exemplificado na Figura 7. O processo de Enrollment também executa alguns passos no Settings, solicitando confirmações do usuário para instalação, como exemplifica a Figura 8.

Depois de instalado, ambos Trust Profile for <Empresa> e Remote Management (Enroll) são instalados como Profiles no sistema, e mais nenhuma interação é necessária.

Figura 8: Instalação de um profile de gerenciamento - Device Enrollment

Com tudo instalado, o dispositivo está associado ao servidor (MDM server) como um dispositivo que pode ser gerenciado. A administração pode ser feita através do browser no endereço http://host/profilemanager, que contém a lista de dispositivos no painel central através do acesso ao menu Devices no menu da esquerda. Os detalhes do aparelho selecionado são exibidos no painel da direita, como exemplifica a Figura 9.

Figura 9: Gerenciamento dos dispositivos através do Profile Manager (Web)