22:Mac版DeviceLockをコマンドでインストールするには?

今回のテーマ ・・・ Mac版DeviceLockをコマンドでインストールするには

Question: やりたいこと

社内のMacintoshコンピューターにDeviceLockのクライアントプログラムをインストールする予定ですが、台数が多いのでなるべく手間のかからない方法を検討しています。

事前のトライアル検証で、Mac版のインストールはネットワークを利用して一括で、とはいかず、対象のMacintoshコンピューター一台一台で行なうこと、また、手順として「DeviceLock Service.dmg」をドライブとしてマウントさせてから、中の「DeviceLockService.pkg」を実行することでインストーラーを起動させる、と知りましたが、ユーザーインターフェースによる作業を最小限にするなど、もう少し簡単な手順でインストールすることはできないでしょうか。

Answer: こうすればできる

Windows版と同様に、Mac版DeviceLockにも、コマンドラインユーティリティにより半自動でインストールして、作業者の手間を最小限にできる方法が用意されています。これは、条件によりサイレントインストールにもなります。

コマンドラインユーティリティによるインストールには事前の準備が必要ですが、インストール自体は命令ひとつで実行され、操作は簡単です。
また、インストール中に、事前に設定済みのDeviceLock Service設定ファイルを読み込ませ、即時適用することができます。

Step: 準備

コマンドラインユーティリティによるインストールを行なうには、事前に、必要なファイルを用意し、「どのようなインストールを行なうか」を決めておく必要があります。

  1. DeviceLockプログラムセット(メディアキットまたはダウンロードにより提供)にある以下のファイルを外部メディア等に保存します。

     devicelock.ini(インストールパラメーター記述ファイル)

  2. DeviceLockプログラムセットにある以下のディスクイメージファイルを任意のMacintoshでダブルクリックしてデスクトップにマウントします。

     DeviceLock Service.dmg(Mac版DeviceLockインストーラーのディスクイメージ)

    マウントされたドライブにある以下のファイルを外部メディア等に保存します。

     DeviceLockService.pkg(Mac版DeviceLockインストーラーパッケージ)
     Utilities/install(Mac版DeviceLockインストーラープログラム)

  3. コマンドラインユーティリティによるインストールのためのコマンドパラメーターを決めるか、またはコマンドを記述ファイルとして作成します。

    Mac版のコマンドラインユーティリティによるインストールは、コマンドを「ターミナル」から実行します。
    具体的には、「ターミナル」を起動して下の例のようなコマンドを入力します。

    (コマンド例) 管理者権限のある「macuser」でログオンし、デスクトップ上の「DLMAC」フォルダーにファイル一式があるものとします

    sudo /Users/macuser/Desktop/DLMAC/install -delayed –silent -package/Users/macuser/Desktop/DLMAC/DeviceLockService.pkg –settings/Users/macuser/Desktop/DLMAC/devicelock.ini

    あらかじめ上記コマンドを記述したファイルを用意することで操作をより簡単にすることができます。
    ※ Unixの知識が必要になるため、よくわからない場合は行なわないでください。

    コマンド記述ファイルを作成する場合は、Unix環境で実行するため、改行コードが「LF」である必要があります。
    MacOS標準の「テキストエディット」ユーティリティを使うと「LF」になりませんのでご注意ください(MacOSの改行コードは「CR」です)。

    また、コマンド記述ファイルの拡張子を「.command」とし、さらに「ターミナル」にてファイルに実行権限を与えてください。
    ※ ファイルに実行権限を与えるには、以下のようなコマンドを実行します。

    (コマンド例)chmod u+x ファイル名.command

  4. 管理ツールがインストールされた任意のWindowsPCで制御ポリシーを編集します。DeviceLock Service設定エディタを起動し、Macintoshクライアントに設定したいDeviceLock制御ポリシーを作成して、DeviceLock Service設定ファイル(*.dls)として保存します。

    ポリシーの保存方法につきましては「DeviceLockテクニカルガイド 第8回 ポリシーをエクスポート/インポートするには」を参考にしてください。こちら資料ではDeviceLock管理コンソールを使った場合で説明していますが、DeviceLock Service設定エディタでも保存(エクスポート)作業は同様の操作になります。

    ※ インストール時のDeviceLock制御ポリシーの適用は必須ではありません。

    編集したDeviceLock制御ポリシーは、devicelock.iniに記述します。
    devicelock.iniはテキストエディタで編集できます。

    devicelock.iniに含まれるパラメーターは、以下の通りです(Windows版とは異なります)。テキストエディタでdevicelock.iniを開いて、パラメーターの値を編集してください。
    ※ devicelock.iniの記述につきましては「DeviceLockテクニカルガイド 第10回 DeviceLockをサイレントインストールするには」を参考にしてください。

    先頭が「;」の行は、コメント行になります。パラメーターを有効にするには、「;」を削除してください。

    SettingsFile (初期値=なし)
    あらかじめ用意されたDeviceLock Service設定ファイル(*.dls)の配置場所をフルパスで指定します。
    指定がない場合、DeviceLock Service設定ファイルの適用はしません。
    インストール中にDeviceLock Service設定ファイルを読み込み、アクセス許可、監査や、シャドウイングのルール等の設定をインストール後直ちにDeviceLock Serviceに適用することができます。

本件では、devicelock.iniを以下のように編集しました。


[Install]
;Service=1
;OnlyUpgradeService=0
;Manager=1
;Documents=1
;InstallDir=
;RegFileDir=
;FixedPort=0
;CreateGroups=1
SettingsFile=/Users/macuser/Desktop/DLMAC/DLsettings.dls
;WebConsole=0
;Port=80
;ServerName=
;SSLPort=443
;SSLKeyFile=
;SSLCertFile=

[Misc]
;Run=
;DisableRestart=1

  • [Install]の9行目
    「/Users/macuser/Desktop/DLMAC/DLsettings.dls」というDeviceLock Service設定ファイルを適用します
  • 「;」で始まる行はコメント行です。

Step: 操作方法

ここでは、操作方法の例を示します。運用される際には、実際の環境に合わせて、ファイル配置場所などを調整してください。

  1. 以下のファイルを同一のフォルダー(ここでは説明上、「DLMAC」とします)に格納し、インストール対象のMacintoshコンピューターのデスクトップにフォルダーごと配置します。

    DeviceLockService.pkg
    install
    devicelock.ini
    DeviceLock Service設定ファイル(*.dls) ここでは説明上、「DLsettings.dls」とします

    実際にファイルを配置する場所、フォルダー名、サービス設定ファイル名は任意です。

  2. コマンドラインユーティリティによるインストールはコマンドスクリプトファイルからも実行できますが、ここではターミナルから手入力で実行します。
    Macintoshに管理者権限を持つユーザーでMacOSにログオンし、ターミナルを起動するとコマンド入力待ち(コマンドプロンプト)になりますので、用意したインストールコマンドを入力します。
    ここでは、以下のように入力します。

    sudo /Users/macuser/Desktop/DLMAC/install -delayed –silent -package/Users/macuser/Desktop/DLMAC/DeviceLockService.pkg –settings/Users/macuser/Desktop/DLMAC/devicelock.ini

  3. 管理者パスワードを入力するよう求められますので、ログオンした管理者ユーザーのパスワードを入力すると、Mac版DeviceLockのサイレントインストールが開始されます。

    インストール開始後、右のようなダイアログが表示されたら、[OK]をクリックして進めてください。

  4. インストールが終了したらターミナルを閉じます。

以上で、Mac版DeviceLockのコマンドラインユーティリティによるインストールは終了です。

Reference: 参考

  1. インストール対象のMacOSに「root」ユーザーでログオンしている場合は、「操作方法」の手順3にあるようなパスワード入力手続きはありません。

  2. Mac版のDeviceLockエージェントは他のDeviceLockコンポーネントとのネットワーク通信にNTLM認証と暗号化を使用しています。MacOSのローカルユーザーのNTLM認証は標準では無効になっているため、DeviceLock管理コンソールでMac版のDeviceLockエージェントを管理するには、ローカルユーザーのNTLM認証が有効になっている必要があります。
    MacOS X 10.7以降でローカルユーザーのNTLM認証を有効にするには、以下のようにします。

    1. [システム環境設定]の[共有]を起動し、[ファイル共有] を選択します。
    2. [オプション]をクリックします。
    3. [SMBを使用してファイルやフォルダを共有]をチェックして下のリスト中のローカルアカウントでのWindowsファイル共有を有効化します。

    ※ NTLM認証のサポートはユーザー毎に設定します。

  3. インストール済みのDeviceLockをサイレントでアンインストールする方法はありません。通常の方法にてアンインストールしてください。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム