В контуре управления мобильными устройствами MDM-сервера могут находиться как корпоративные планшеты и телефоны, так и устройства, являющиеся собственностью сотрудников организации, так называемые BYOD-устройства (Bring Your Own Device).
Иногда при выполнении привязки (Enrollment) к MDM-серверу Apple (Apple Configurator + Profile Manager) BYOD-устройств во время попытки установить профиль привязки (Enrollment Profile) может возникнуть ошибка:
Ошибка: сертификат сервера /device management/api/device/auto_join_ota_service недействителен
и привязка не произойдет. Что примечательно: все другие профили: доверия (Trusted Profile), настроек почты, Wi-Fi, ограничений устанавливаются вообще без проблем - только требуют ввести пароль снятия блокировки устройства, если он активирован и используется владельцем устройства.
Данная ошибка всегда возникает (началось с iOS10 и продолжается в iOS11, в более ранних версиях ОС такого не было):
Также ошибка может возникнуть при попытке установить профиль напрямую через сайт MDM-сервера со страницы .../mydevices/ (вкладка Profiles).
За все время ошибку "server-certificate auto_join_ota_service is invalid" приходилось встречать и бороться с ней более 10 раз, в итоге был выработан алгоритм по решению этой проблемы.
I. Самая банальная причина этой ошибки и способ решения раскрыты в статье Сбой установки профиля. iPad не активирован (не смотря на то, что текст ошибки несколько отличается от приведенного выше). Но суть та же - планшет не может установить профиль управления.
II. Иногда может возникнуть такая ситуация: профиль устанавливается, но мобильное устройство не становится управляемым, и в Profile Manager в разделе "Active Tasks" висит и никак не может выполниться задание "Enroll Device". В этом случае нужно перезагрузить планшет/телефон (выключить полностью и заново включить). Если это не помогло, значит нужно перезагрузить MDM-сервер (по опыту рекомендую выполнять перезагрузку MDM-сервера не реже, чем 1 раз в месяц).
III. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине специфических настроек сети, в которой находится MDM-сервер (закрыты какие-нибудь нужные порты и пр.). Соответственно, нужно открыть все порты и выключить брандмауэр.
Проще всего - разрешить всё-всё. В противном случае нужно слушать траффик в момент установки профиля и выявлять все IP и порты, затем методом научного тыка поочередно их открывать и проверять результат.
IV. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине использования самоподписанного SSL/TLS-сертификата сервера. Возможно, при замене его на платный, выданный авторизованным центром сертификации проблема установки профиля управления исчезнет (пока не проверял).
Указывают на это формулировки ошибок, отображаемые в консоли мобильного устройства. Можно посмотреть логи планшета или телефона в момент установки профиля Enrollment Profile – устройство ругается на недействительный сертификат сервера:
....
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 12, Pending(0)
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 14, Pending(0)
Mar 12 22:06:12 iPad trustd[187] <Notice>: cert[2]: AnchorTrusted =(leaf)[force]> 0
Mar 12 22:06:12 iPad profiled(Security)[246] <Notice>: [root AnchorTrusted]
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TCP Conn Cancel [1:0x137f5e360]
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: Connection to https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service failed with error: NSError:Desc : \M-P\M-!\M-5\M-Q\M^@\M-Q\M^B\M-P\M-8\M-Q\M^D\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M-Q\M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-4\M-P\M-5\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-P\M-5\M-P\M-;\M-P\M-5\M-P\M-=.
US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.
Domain : MCHTTPTransactionErrorDomain
Code : 23002
Type : MCFatalError
Params : (
"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"
)
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> HTTP load failed (error code: -999 [1:89])
Mar 12 22:06:12 iPad profiled[246] <Notice>: Failure occurred while retrieving profile during OTA Profile Enrollment: NSError:Desc : \M-P\M-!\M-P\M-5\M-Q\M^@\M-Q\M^B\M-8\M-Q\M^D\M-P\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-P\M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-P\M-4\M-P\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-5\M-P\M-;\M-P\M-5\M-P\M-=.
US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.
Domain : MCHTTPTransactionErrorDomain
Code : 23002
Type : MCFatalError
Params : (
"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"
)
Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> finished with error - code: -999
....
Неудачная попытка установки Enrollment Profile на BYOD-устройство:
Управляемые устройства (supervised devices) таких проблем не имеют - они изначально всегда и во всем доверяют своему MDM-серверу и, соответственно, всем его профилям. А BYOD-устройства не такие доверчивые, и с ними нужно дополнительно понянчиться.
1. Сначала обязательно установить профиль доверия к MDM-серверу (Trust Profile), перед этим проверить и убедиться, что он срок его годности еще не истек. Установку выполнить любым способом (через Apple Configurator, через почту или через сайт MDM-сервера).
2. Зайти через браузер SAFARI (обязательно использовать только Safari!!!) на сайт MDM-сервера на страницу .../mydevices/ и авторизоваться пользователем, имеющим права администратора.
Если это делает Админ, он может авторизоваться под собой, если привязка планшета выполняется дистанционно с координированием администратора EFB по телефону или через чат, то перед этим Админ должен в приложении OSxServer временно создать любую учетную запись с правами админа и сообщить владельцу планшета логин и пароль для авторизации (позже можно сменить пароль или вообще удалить данного пользователя).
3. На планшете в браузере перейти на вкладку "Profiles" и установить (если еще не установили) профиль доверия - Trust Profile (подчеркнут одной чертой):
В качестве эксперимента можно попробовать установить профиль управления - любой из имеющихся на странице Enrollment Profiles (подчеркнуты двумя чертами), иногда это срабатывало, и профиль устанавливался без каких-либо ошибок. Но, скорее всего, как показывала практика, в iOS10 и в iOS11 это не сработает.
4. Для гарантированной установки Enrollment Profile перейти на вкладку "Devices" и нажать на кнопку "Enroll" в блоке "This iPad":
После этого профиль Enrollment Profile должен установиться, и между MDM-сервером и мобильным устройством возникнет связь. В этом случае устройство будет назначено пользователю, от имени которого авторизовались и заэнроллили планшет.
Рекомендую удалить эту привязку. Для этого в Profile Manager перейти в раздел "Users", найти нужного пользователя и открыть вкладку "Devices". Найти то самое устройство и удалить его, нажав на крестик с правой стороны экрана.
Удаление устройства у пользователя никак не повлияет на связь планшета с сервером.
Спустя 2-3 недели на MDM-сервер был установлен и активирован SSL-сертификат (не самоподписанный, а полученный от авторизованного центра сертификации). После этого проблемы и ошибки с формулировкой "Сертификат сервера auto_join_ota_service недействителен" прекратились!
Ведущий: Ежедневно тысячи людей попадают в кpитические ситуации, безвыходные положения, ломают pуки и ноги. Помочь им в этом пpизвана наша пpогpамма и служба "Спасение 911". Приободрить людей, попавших в беду, свести все к шутке - в этом состоит наша главная задача. И об одном таком случае, случившемся в Рождество, я не имею пpава молчать. Да, собственно, не очень-то и хочется.
Когда-то пилотов гражданской авиации воспринимали как героев. Сегодня постоянное стремление обеспечить все более высокий уровень безопасности привело к созданию самолетов, которые по большому счету могут летать без непосредственного участия человека. Именно поэтому катастрофа самолёта Airbus A330-203 (рейс AF447 авиакомпании Air France) в 2009 году, унесшая жизни 228 человек и ставшая знаковым...
Ситуация: xCode v.10.xx, после импорта свежего сертификата и ключа iphone distribution в Keychain, в нем отображается красным цветом надпись: Сертификат iphone distribution ненадежен
Пилоты современных воздушных судов (ВС) обычно имеют дело с огромным количеством разнообразных документов. Традиционно все эти документы существали в бумажном виде - экипаж возил с собой чемодан (или чемоданы!) со сборниками и другими бумагами. Конечно, имеются различия в количестве документации, а именно - аэронавигационной информации у экипажа регулярных рейсов и их коллег, выполняющих только...
Flightradar24© является следящей системой за полетами воздушных судов, отображающей в режиме реального времени воздушное движение всего мира. Для отображения воздушных поток Flightradar24 использует несколько источников информации: ADS-B, MLAT и FAA. Данные от ADS-B, MLAT и FAA объединяются с расписанием рейсов и информацией о статусах воздушных судов, получаемых от авиакомпаний и аэропортов, - все это выполняется в целях...
При написании технической документации (технические задания, описания системы, инструкции и др.) иногда нужно добавить программный код в эту документацию. Для достижения более высокого уровня читабельности этого кода желательно, чтобы он отображался с подсветкой синтаксиса - в соответствии с его стандартом. Подобная практика значительно облечает работу с документом в будущем не только другим...
Как известно, по умолчанию корзина Windows создается только на жестких дисках (HDD), на флэшках ее нет. Поэтому, случайно удалив что-нибудь на флешке, для восстановления приходится прибегать к помощи специальных реанимационных программ. Иногда, правда в результате воздействия вирусов на флэшках может появиться визуально похожий на Корзину объект, но это - не настоящая корзина, и в ней кроме вирусов...