¶ Ринго FAQ
В этом разделе собраны ответы на часто задаваемые вопросы от клиентов Ringo.
¶ Агент и взаимодействие с устройствами
Почему после удаления MDM-профиля с устройства терминал агента продолжает работать в инвентаре Ринго?
Удаляется ли агент Ринго при удалении MDM профиля?
Нужно ли устанавливать агент Ринго вручную?
Можно ли принудительно переустановить агент с помощью команды "Обновить профиль MDM?"
Что делать, если после переноса macOS на новое устройство или восстановления из Time Machine агент Ringo не работает (не применяются политики, не собирается инвентаризация, не работает терминал, но профили устанавливаются)?
При миграции на другое устройство macOS автоматически удаляет регистрацию в MDM — простой повторный энрол недостаточен.
Необходимо вручную удалить из системной связки ключей:
- Сертификат MDM-агента Ringo
- Цифро-буквенный сертификат MicroMDM
После этого выполните стандартный процесс регистрации устройства в Ringo MDM.
Если же вы восстанавливаете систему из Time Machine на том же устройстве, дополнительные действия не требуются — агент будет работать штатно.
Копирование старых сертификатов проблему не решает.
¶ Установка ПО
В каком порядке агент опрашивает точки распространения пакетов?
Можно ли вручную инициировать check-in агента с самого устройства и обновить инвенатризацию?
Как Ринго устанавливает неподписанные .pkg без ошибок Gatekeeper?
Все пакеты устанавливаются от root с помощью команды:
installer -allowUntrusted -pkg “/patch/to.pkg” -target /
Также при регистрации устройства ему отправляется профиль PPPC, предоставляющий агенту права SystemPolicyAllFiles. Это позволяет устанавливать неподписанные .pkg без срабатывания Gatekeeper.
Как установить шрифты на управляемые Mac, если размер профиля Payload ограничен 1 МБ, а размер файла шрифта превышает это ограничение?
Этот метод предполагает создание стандартного установочного пакета macOS.
Создайте папку (например, FontsPkg) и поместите в нее все файлы шрифтов, которые хотите установить. Поддерживаемые форматы включают TrueType (.ttf), OpenType (.otf) и другие.
Откройте Терминал и выполните команду, используя утилиту pkgbuild. Эта команда упакует содержимое вашей папки в файл .pkg.
sudo pkgbuild --identifier "com.example.pkg.fonts" --root "/path/to/your/FontsPkg" --install-location "/Library/Fonts" "/path/to/generated/FontPackage.pkg"
После этого загрузите созданный пакет на точку распространения в Ринго и создайте стандартную политику для его установки.
¶ Шифрование диска
Как быстро собирается ключ восстановления FileVault?
Важно учитывать, что время отправки команды зависит от часового пояса, настроенного на сервере. Команды выполняются, когда на сервере наступает 00:00 и 12:00.
Таким образом, если FileVault был включён после добавления устройства в MDM, код разблокировки будет получен при ближайшем запуске команды — либо в 00:00, либо в 12:00, в зависимости от времени активации FileVault.
¶ Self Service (SS)
Как заполняется SS и что в него можно добавить?
В приложении SS отображаются все профили и политики, у которых выбран способ распространения "Сделать доступным в Self Service", и только на устройствах, входящих в область их применения.
В качестве содержимого можно добавлять любой пэйлоад, доступный для стандартной политики: скрипты, пакеты, обновления информации об устройстве и т.д. То же касается и профилей. Отличий от обычных способов распространения нет.
Eсть ли возможность стилизовать SS — например, изменить название приложения, цветовую тему или изменить иконку?
Можно создать скрипт, который после установки изменит название и иконку приложения. Альтернативный вариант — внести изменения напрямую в содержимое пакета и распространять уже модифицированную версию. Однако в этом случае слетит цифровая подпись, и система будет расценивать приложение как от неизвестного разработчика. Тем не менее, при установке через MDM политику предупреждений не возникает, так что проблем с распространением быть не должно.
Приложение поддерживает светлую и тёмную тему, при этом цветовая тема приложения зависит от системной темы, выбранной на устройстве.
Какую учётную запись использует SS для авторизации?
SelfService не использует традиционные учётные записи для входа.
Авторизация осуществляется с использованием сертификата, установленного на устройстве.
Чтобы получить доступ к API SelfService, необходимо:
- Иметь клиентский сертификат, выданный для конкретного устройства.
- Знать UDID этого устройства.
- Сгенерировать токен авторизации с использованием публичного ключа сертификата по специальному алгоритму.
Таким образом, доступ строго привязан к конкретному устройству и его сертификату.
¶ Безопасность
Уязвимость - CVE-2025-55182
Почему для некоторых макбуков при регистрации ключ обхода Activation Lock собирается и отображается в интерфейсе, а для некоторых – нет.
Попробуйте выполнить следующую последовательность действий:
Отключите функцию Find My на проблемном Mac.
Выйдите из учетной записи Apple ID.
Удалите устройство из Ринго.
Выполните вход в Apple ID.
Включите функцию Find My.
Повторно выполните enrollment устройства.
¶ Другое
Как собрать логи установки профилей?
Пока что для анализа неудачной установки профиля вы можете просмотреть логи, выгрузив их из контейнера Backend и MicroMDM.
Далее их нужно отфильтровать по UDID устройства и временной метке, соответствующей моменту ошибки установки профиля.
Как обновить домен в профиле регистрации (enroll), если адрес Ringo изменился?
Перейдите в директорию
cd /etc/ringo
После чего поменяйте параметры HOST_DOMAIN и PUBLIC_URL в файле .env на актуальные данные и выполните команду для пересоздания контейнеров с новыми переменными окружения:
docker compose up -d --force-recreate
Пояснения:
- Docker Compose считывает файл
.envтолько при создании контейнеров. - Если контейнеры уже запущены, изменения в
.envне применятся автоматически. - Опция
--force-recreateзаставляет Docker пересоздать контейнеры, учитывая обновлённые переменные окружения.
Обычный перезапуск сервера или контейнеров docker restart не обновляет переменные окружения, потому что контейнеры не пересоздаются, а только запускаются повторно.
Как освободить лицензию Ринго?
Если количество устройств, необходимых для регистрации, превышает допустимое по лицензии, можно освободить лицензию, удалив ненужные устройства из MDM.
Если подходящих устройств нет, обратитесь в поддержку Ринго для увеличения лимита устройств в вашей лицензии.
Как удалить устройство из Ринго:
- Перейдите в раздел Устройства.
- Выберите нужное устройство.
- Перейдите на вкладку Управление → Команды → Удалить профиль MDM:
Вы также можете удалить устройство из Ринго, нажав кнопку «Удалить» в правом верхнем углу.
После выполнения этих действий устройство выйдет из-под управления MDM, все установленные профили и применённые политики будут удалены, а лицензия Ринго освободится для добавления нового устройства.