В контуре управления мобильными устройствами MDM-сервера могут находиться как корпоративные планшеты и телефоны, так и устройства, являющиеся собственностью сотрудников организации, так называемые BYOD-устройства (Bring Your Own Device).
Иногда при выполнении привязки (Enrollment) к MDM-серверу Apple (Apple Configurator + Profile Manager) BYOD-устройств во время попытки установить профиль привязки (Enrollment Profile) может возникнуть ошибка:
Ошибка: сертификат сервера /device management/api/device/auto_join_ota_service недействителен
и привязка не произойдет. Что примечательно: все другие профили: доверия (Trusted Profile), настроек почты, Wi-Fi, ограничений устанавливаются вообще без проблем - только требуют ввести пароль снятия блокировки устройства, если он активирован и используется владельцем устройства.
Данная ошибка всегда возникает (началось с iOS10 и продолжается в iOS11, в более ранних версиях ОС такого не было):
Также ошибка может возникнуть при попытке установить профиль напрямую через сайт MDM-сервера со страницы .../mydevices/ (вкладка Profiles).
За все время ошибку "server-certificate auto_join_ota_service is invalid" приходилось встречать и бороться с ней более 10 раз, в итоге был выработан алгоритм по решению этой проблемы.
I. Самая банальная причина этой ошибки и способ решения раскрыты в статье Сбой установки профиля. iPad не активирован (не смотря на то, что текст ошибки несколько отличается от приведенного выше). Но суть та же - планшет не может установить профиль управления.
II. Иногда может возникнуть такая ситуация: профиль устанавливается, но мобильное устройство не становится управляемым, и в Profile Manager в разделе "Active Tasks" висит и никак не может выполниться задание "Enroll Device". В этом случае нужно перезагрузить планшет/телефон (выключить полностью и заново включить). Если это не помогло, значит нужно перезагрузить MDM-сервер (по опыту рекомендую выполнять перезагрузку MDM-сервера не реже, чем 1 раз в месяц).
III. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине специфических настроек сети, в которой находится MDM-сервер (закрыты какие-нибудь нужные порты и пр.). Соответственно, нужно открыть все порты и выключить брандмауэр.
Проще всего - разрешить всё-всё. В противном случае нужно слушать траффик в момент установки профиля и выявлять все IP и порты, затем методом научного тыка поочередно их открывать и проверять результат.
IV. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине использования самоподписанного SSL/TLS-сертификата сервера. Возможно, при замене его на платный, выданный авторизованным центром сертификации проблема установки профиля управления исчезнет (пока не проверял).
Указывают на это формулировки ошибок, отображаемые в консоли мобильного устройства. Можно посмотреть логи планшета или телефона в момент установки профиля Enrollment Profile – устройство ругается на недействительный сертификат сервера:
....
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 12, Pending(0)
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 14, Pending(0)
Mar 12 22:06:12 iPad trustd[187] <Notice>: cert[2]: AnchorTrusted =(leaf)[force]> 0
Mar 12 22:06:12 iPad profiled(Security)[246] <Notice>: [root AnchorTrusted]
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TCP Conn Cancel [1:0x137f5e360]
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: Connection to https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service failed with error: NSError:Desc : \M-P\M-!\M-5\M-Q\M^@\M-Q\M^B\M-P\M-8\M-Q\M^D\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M-Q\M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-4\M-P\M-5\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-P\M-5\M-P\M-;\M-P\M-5\M-P\M-=.
US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.
Domain : MCHTTPTransactionErrorDomain
Code : 23002
Type : MCFatalError
Params : (
"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"
)
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> HTTP load failed (error code: -999 [1:89])
Mar 12 22:06:12 iPad profiled[246] <Notice>: Failure occurred while retrieving profile during OTA Profile Enrollment: NSError:Desc : \M-P\M-!\M-P\M-5\M-Q\M^@\M-Q\M^B\M-8\M-Q\M^D\M-P\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-P\M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-P\M-4\M-P\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-5\M-P\M-;\M-P\M-5\M-P\M-=.
US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.
Domain : MCHTTPTransactionErrorDomain
Code : 23002
Type : MCFatalError
Params : (
"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"
)
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> finished with error - code: -999
....
Неудачная попытка установки Enrollment Profile на BYOD-устройство:
Управляемые устройства (supervised devices) таких проблем не имеют - они изначально всегда и во всем доверяют своему MDM-серверу и, соответственно, всем его профилям. А BYOD-устройства не такие доверчивые, и с ними нужно дополнительно понянчиться.
1. Сначала обязательно установить профиль доверия к MDM-серверу (Trust Profile), перед этим проверить и убедиться, что он срок его годности еще не истек. Установку выполнить любым способом (через Apple Configurator, через почту или через сайт MDM-сервера).
2. Зайти через браузер SAFARI (обязательно использовать только Safari!!!) на сайт MDM-сервера на страницу .../mydevices/ и авторизоваться пользователем, имеющим права администратора.
Если это делает Админ, он может авторизоваться под собой, если привязка планшета выполняется дистанционно с координированием администратора EFB по телефону или через чат, то перед этим Админ должен в приложении OSxServer временно создать любую учетную запись с правами админа и сообщить владельцу планшета логин и пароль для авторизации (позже можно сменить пароль или вообще удалить данного пользователя).
3. На планшете в браузере перейти на вкладку "Profiles" и установить (если еще не установили) профиль доверия - Trust Profile (подчеркнут одной чертой):
В качестве эксперимента можно попробовать установить профиль управления - любой из имеющихся на странице Enrollment Profiles (подчеркнуты двумя чертами), иногда это срабатывало, и профиль устанавливался без каких-либо ошибок. Но, скорее всего, как показывала практика, в iOS10 и в iOS11 это не сработает.
4. Для гарантированной установки Enrollment Profile перейти на вкладку "Devices" и нажать на кнопку "Enroll" в блоке "This iPad":
После этого профиль Enrollment Profile должен установиться, и между MDM-сервером и мобильным устройством возникнет связь. В этом случае устройство будет назначено пользователю, от имени которого авторизовались и заэнроллили планшет.
Рекомендую удалить эту привязку. Для этого в Profile Manager перейти в раздел "Users", найти нужного пользователя и открыть вкладку "Devices". Найти то самое устройство и удалить его, нажав на крестик с правой стороны экрана.
Удаление устройства у пользователя никак не повлияет на связь планшета с сервером.
Спустя 2-3 недели на MDM-сервер был установлен и активирован SSL-сертификат (не самоподписанный, а полученный от авторизованного центра сертификации). После этого проблемы и ошибки с формулировкой "Сертификат сервера auto_join_ota_service недействителен" прекратились!
При приготовлении торта практически всегда кондитеры используют специальную рамку, которая определяет форму торта и ограничивает его размеры. Чаще всего эта рамка имеет форму круга, чуть реже - квадрата и прямоугольника. Остальные варианты - овал, сердце, ромб и различные эксклюзивные нестандартные формы - слишком редкие, чтобы принимать их во внимание. Это не важно - откуда был взят рецепт...
17 октября программа Jeppesen FD PRO получила одобрение от EASA (European Aviation Safety Agency) как програмный продукт для EFB. Одновременно с программой Jeppesen FD PRO была одобрена (сертифицирована) программа Jeppesen TC PRO.
В некоторых авиационных справочниках (онлайн или установленных отдельных приложений) по аэродромам есть такой параметр - "Признак принадлежности аэродрома" ("aerodrom usage attribute"), который и определяет эту принадлежность.Помимо общеизвестных признаков принадлежности аэродрома - военные, гражданские и совместного базирования, существует еще несколько. Они малораспространены, но иногда...
Иногда в панели управления сервером ISP Manager Lite в интерфейсе могут быть "глюки", например, отсутствие некоторых элементов управления или всплывающие окна с указанием на ошибку.
Если iOS-приложение было скомпилировано с использованием сертификата и профиля Enterprise-разработчика (учетная запись за 299$ в год), то при установке на не корпоративное (личное) устройство может возникнуть ошибка - при первом запуске операционная система не даст приложению работать и отобразит сообщение: Если такое приложение устанавливать на корпоративные устройства, которые являются...
Взлетает самолет с аэродрома Москва Внуково (UUWW/VKO) с ВПП 06. (Практически по курсу взлета с ВПП 06 на удалении приблизительно 11 км от торца находится магазин ИКЕА). В наборе высоты вдруг отказывают все двигатели. Второй пилот: - У нас отказ всех двигателей!
Отображение номера версии iOS-приложения в интерфейсе программы считается хорошим тоном, ибо пользователь должен иметь возможность легко, быстро и просто узнать его для каждого установленного приложения. Если у приложения также указывается номера билда (номер сборки), то его тоже нужно отображать для полной картины. Соответственно, номера приложения и сборки (при необходимости) нужно показывать в каком-то месте...