使用果酱启用系统和网络扩展 PRO
Symptom
背景
GlobalProtect 启动 5.1.4 的应用程序使用 macOS 卡塔利娜 10.15.4 或稍后端点上的系统扩展来启用功能,例如:
- 基于目标 域名和应用程序进程名称的拆分隧道
- 强制 GlobalProtect 连接进行网络访问(见 GlobalProtect 应用自定义),而无需 内核扩展
GlobalProtect 启动 5.2 的应用程序使用 macOS 卡塔利娜 10.15.4 或更晚的端点上的系统扩展来启用功能,例如:
当 GlobalProtect 应用程序首次安装在 macOS 卡塔利娜 10.15.4 或更晚的设备上或升级到 GlobalProtect 应用 5.1.4 时,他们现在必须启用 系统扩展。 如果您已在网关上配置了拆分隧道或 GlobalProtect 在门户上强制连接了网络访问, 则系统扩展受阻 的通知消息在安装过程中显示在应用上,提示用户启用并允许 macOS 中的系统扩展无法加载以使用这些 GlobalProtect 功能。
目标:
本文档的目标是使用 GlobalProtect 5.1.6 已签名的配置配置文件,并使用 jamf 部署它们 PRO 以抑制 macOS 10.15.4 或更晚的系统和网络扩展弹出窗口。 工作流可用于支持部署配置配置文件的任何其他移动设备管理 MDM 器 () 提供商。
注意:此文档假定 macOS 端点没有手动启用网络扩展。 如果网络扩展已经通过弹出窗口手动启用 GlobalProtect ,而不是使用配置配置文件,通过 jamf PRO 启用网络扩展将创建重复的网络扩展条目。
Environment
- GlobalProtect 5.1.6或更晚
- macos 卡塔利娜 10.15.4 或更晚 / macos Bigsur 11 .
前提:
- 仅 PRO 支持 GlobalProtect 5.1.6及以后的jamf配置配置文件。
- macos 卡塔利娜 10.15.4 或更晚 / macos Bigsur 11 .
- 在使用配置文件文件之前,请确保文件未损坏,通过验证下载文件的哈希值以及本文档中每个文件提供的哈希值,并确保它们都匹配。 否则,请重新下载文件。
Resolution
目录:
启用 GlobalProtect系统扩展
启用 GlobalProtect macOS 卡塔利娜 10.15.4 上的网络扩展,稍后端点
启用 GlobalProtect macOS BigSur 11 端点步骤上的网络扩展
,以便在 jamfPro v10.26.0 验证配置配置配置文件上为执行者添加配置配置配置文件
- 成功安装 GlobalProtect 客户端后,以下系统扩展弹出窗口将被视为 GlobalProtect 在应用指南中解释。
- 要启用系统扩展,请按照以下步骤操作:
- 在 jamf PRO 上,导航到计算机>配置配置文件>新。
- 在这里,创建一个配置配置文件,如下所示,以下信息如下:
- 选择系统扩展。
- 输入 GlobalProtect 应用程序(PXPZ95SK77)使用的团队标识符。
- 输入捆绑标识符 (com. 帕洛尔顿工厂 GlobalProtect . . .客户端。扩展)。
注意:要在应用程序安装后立即启用系统扩展 GlobalProtect ,请使用以下命令:
苏多安装程序 GlobalProtect -pkg.pkg-应用选择改变XML install_system_extensions.xml-目标/
其install_system_extensions.xml是
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPEplist PUBLIC DTD PLIST "-//Apple//1.0//""http://www.apple.com/DTDs/PropertyList-1.0.dtd"> EN
<plist version="1.0"></plist>
<array></array>
<dict></dict>
<key>属性设置</key>
<integer>1</integer>
<key>选择归因</key>
<string>选定</string>
<key>选项标识符</key>
<string>第三</string>
<dict></dict>
<key>属性设置</key>
<integer>1</integer>
<key>选择归因</key>
<string>选定选项</string>
<key>标识符</key>
<string>com.帕洛尔顿工厂 globalprotect .系统ext.pkg</string>
</array>
</plist>
启用 GlobalProtect macOS 卡塔利娜 10.15.4 和稍后端点上的网络扩展:
- 成功安装 GlobalProtect 客户端后,以下网络扩展弹出窗口将被视为 GlobalProtect 在应用程序用户指南中解释。
b. 强制 GlobalProtect 弹出窗口
- 有 4 个不同的网络扩展配置文件文件附加到本文档,其用法如下所述:
- GlobalProectSplitApp. mobileconfig (Md5 哈希 = d3d9940daadd91cb8b727db28026910c)
- GlobalProtect基于应用程序的分隧道专用配置配置配置文件
- 抑制与配置相关的网络扩展弹出窗口 (a) VPN
- GlobalProectSplitDomain. mobileconfig (Md5 哈希 = 235bda0a10eed7ca2b1efe7892439389)
- GlobalProtect基于域的拆分隧道专用配置配置文件
- 抑制与配置相关的网络扩展弹出窗口 (a) VPN
- GlobalProectSplitDNS.mobileconfig(MD5 哈希 = 020c721f6fed19cac436e0205eb0bedb)
- GlobalProtect特定于拆分 dns 功能的配置配置文件文件
- 抑制与添加配置相关的网络扩展弹出窗口 (a) VPN
- GlobalProectEnforcer. mobileconfig (Md5 哈希 = f1e1a501fc70b3a69e29fb5e722983ff)
- 针对强制执行功能的配置配置配置文件文件 GlobalProtect
- 禁止与筛选器网络内容相关的网络扩展弹出窗口 (b)
- 以下是关于如何上传和部署配置配置文件以将其 PRO 部署到 macOS 卡塔利娜端点的分步说明。
- 登录到 jamf PRO 后,导航到计算机>配置配置文件。 选择"上传"选择移动配置文件。选择要上传的移动配置文件。
- 选择要上载的配置文件文件。
- 上传配置文件文件后保存它
- 查看并验证配置文件文件是否成功上载
- 重复步骤 1 到 4 以上载所需的任何其他配置配置文件
- 将一个或多个配置配置文件部署到 macOS 终结点
在 GlobalProtect macOS 大苏尔 11 端点上启用网络扩展:
- 在 macOS 大苏尔端点,成功安装 GlobalProtect 客户端后,以下网络扩展弹出窗口将被视为 GlobalProtect 在应用程序用户指南中解释。
- 在 macOS BigSur 端点上,单个配置配置文件足以抑制与 macOS Catalina 不同的网络扩展弹出窗口。 为 macOS Big Sur 终结点添加配置配置文件的步骤与在 jamfPro v10.26.0上为强制程序添加配置配置文件的步骤相同。
在 jamfPro v10.26.0 上为强制程序添加配置配置文件的步骤。
Jamf Pro v10.26.0 引入了 macOS 设备的内容筛选有效负载。 看来,这项工作还引入了一个问题 JAMF (Bug#), PI-009162 它防止了上传包括此有效载荷的个人资料的能力(例如, GlobalProtect 执行者移动通信),无论是通过 GUI 和 API . 此时,唯一可用的解决方法是使用 GUI Jamf Pro v10.26 及以后可用的配置文件构建配置文件。 以下是 GlobalProtect 使用 GUI .。。
1. 登录到 jamf PRO 后,导航到计算机>配置配置文件。 选择"新"以添加执行器的配置配置文件 GlobalProtect 。
- 从选项中选择内容筛选器并配置以下值并保存配置配置文件。
- 筛选器名称 = 全局保护
- 标识符 = 公司帕洛尔顿特工厂 GlobalProtect . . .客户
- 插座过滤器捆绑标识符 = com. 帕洛尔顿工厂 GlobalProtect . . .客户端。
- 插座过滤器指定要求 = 锚定苹果通用和标识符 "com. 帕洛尔顿工厂 GlobalProtect . .客户端.扩展"和(证书叶[字段.1.2.840.113635.100.6.1.9]/*存在*/或证书1[字段.1.2.840.113635 .100.6.2.6] [*存在*/和证书叶[字段.1.2.840.113635.100.6.1.13][存在]/和证书叶[主题。 OU | • PXPZ95SK77)
- 网络过滤器捆绑标识符= com. 帕洛尔顿工厂 GlobalProtect . . .客户端。
- 网络过滤器指定要求 – 锚定苹果通用和标识符"com.帕洛尔顿工厂 GlobalProtect . .客户端.扩展"和(证书叶[字段.1.2.840.113635.100.6.1.9]/*存在*/或证书1[字段.1.2.840.113635 .100.6.2.6] [*存在*/和证书叶[字段.1.2.840.113635.100.6.1.13][存在]/和证书叶[主题。 OU | • PXPZ95SK77)
- 在 GlobalProtect macOS 上成功部署配置配置文件将在系统首选项>>网络下创建一个或多个以下网络接口,如下所示:
- 格洛布拉保护道:域网接口 GlobalProtect
- 格洛布拉保护计划:用于应用程序的网络接口 GlobalProtect
- 格洛布拉保护:执行器的网络界面 GlobalProtect
- 格洛布拉保护点:网络界面 GlobalProtect DNS
- 建立 GlobalProtect VPN 隧道后,网络接口将变得活跃、连接或运行,如下所示:
注意:即使配置文件用于启用系统和网络扩展,系统仍将弹出对话框,询问 Admin 密码 ,以便在GP卸载期间删除系统扩展。