Индуцируйте Mac графический вход из SSH

16

Как мне вызвать графический вход Mac из SSH? Есть ли способ заставить loginwindowпроцесс запустить сеанс пользователя, выполнив команду при удаленном входе через SSH как администратор в Mac OS X?

Когда машина находится в окне входа в систему (в данный момент ни один пользователь не вошел в систему), я хочу, чтобы он открыл сеанс пользователя, как если бы я нажал на имя пользователя и ввел пароль.

Решения, которые не включают создание сценариев с графическим интерфейсом, очень предпочтительны, но эта страница Apple KB может быть интересна для тех, кто идет по этому пути.

Софи Альперт
источник

Ответы:

4

Незнание пароля усложняет задачу , но, возможно, решение таково: возможно ли временно удалить пароль пользователя? (И впоследствии сбросьте его на то, что было раньше.)

Для начала:

Сначала получите окно входа для отображения. Просто выйдите из текущего пользователя, используйте быстрое переключение пользователей или используйте SSH:

cd "/ Система / Библиотека / CoreServices / Дополнения меню / User.menu / Содержание / Ресурсы /"
sudo ./CGSession -suspend

Или, чтобы сразу переключиться на конкретного пользователя, который, вероятно, покажет окно входа в систему (это внезапно больше не работает на моем 10.5 Leopard):

sudo ./CGSession -switchToUserID 501

То, что показано сейчас, немного зависит от системных настроек, но давайте предположим, что это значки пользователей и их имена. Чтобы активировать имя, мы должны ввести первые буквы. Затем после возврата отображается запрос пароля. В качестве альтернативы можно выбрать любое имя (например, нажав стрелку вниз), а затем нажать Option-Return, чтобы запросить любое имя пользователя и его пароль. Я не знаю, как можно определить, какой экран отображается, но давайте сохраним это на потом ...

Итак, чтобы выбрать первое (случайное) имя пользователя и нажать Option-Return, введите определенное имя пользователя, нажмите Return и введите пароль:

sudo osascript -e 'сказать приложение "Системные события"
  код ключа 125
  возврат нажатия клавиши, используя опцию вниз
  нажатие клавиши "имя пользователя"
  задержка 1,0
  возврат клавиши
  задержка 1,0
  нажатие клавиши "пароль"
  задержка 1,0
  возврат клавиши
конец сказать

Выше показана некоторая ошибка, которая, насколько я могу судить, не ограничивает использование:

osascript [285]: 3891612: (connectAndCheck) Ненадежные приложения не являются 
    разрешено подключаться или запускать Window Server перед входом в систему.
_RegisterApplication (), НЕ удалось установить соединение по умолчанию с
    WindowServer, _CGSDefaultConnection () имеет значение NULL.

В качестве альтернативы используйте скрипт для конкретного языка из « Сценарий окна входа через Apple Remote Desktop » (возможно, однажды комментарии на этом сайте покажут лучшее решение):

расскажите процесс "SecurityAgent"
  установить значение текстового поля 1 группы 1 окна 1 равным «имени пользователя»
  установить значение текстового поля 2 группы 1 окна 1 равным «паролю»
конец сказать
нажмите кнопку «Войти» в окне 1 процесса приложения «SecurityAgent»

Но главная проблема в том, что для этого еще нужен пароль . Однако: очевидно, что пароль не требуется, когда у пользователя есть пустой пароль. На самом деле, для пустых паролей достаточно просто щелкнуть значок пользователя. Итак, если отправка нажатий клавиш с помощью AppleScript является приемлемой, то, возможно, «все», что осталось выяснить:

  • Можно ли временно удалить пароль пользователя, чтобы разрешить запуск (или возобновление) сеанса, не зная этого пароля ...?

  • Можно ли сделать AppleScript защищенным от ошибок? Подобно:

    • Как сказать , если окно Логин виден? (возможно, stat -f%Su /dev/consoleможет помочь, так как это дает,root пока отображается окно входа в систему)
    • Как узнать, какое окно входа отображается? (Например: один показывает значки и имена для входа, или выпадающий список, или, может быть, только запрос пароля, если кто-то выбрал переключение на какого-то конкретного пользователя?)
    • Избавиться от задержек.
    • Как насчет этого сообщения об ошибке?

(Примечание для тестирования: при использовании общего доступа к экрану кажется, что установка предпочтения При управлении компьютерами: шифровать пароли и нажатия клавиш также сохраняет соединение только при отображении окна входа в систему или после успешного входа пользователя в систему. При использовании шифрования всей сети данные затем мой Mac необходимо повторно установить соединение совместного использования экрана каждый раз , когда Войти отображаются или пользователь коммутируемый.)

Арьян
источник
Это хорошее начало, но у него есть две проблемы. Во-первых, он не работает, если вы находитесь в окне входа в систему, что я и хотел, и запрашивает пароль, но я бы предпочел, чтобы он этого не делал. Так как он root, он должен иметь возможность переключать пользователей без пароля.
Софи Альперт
Ага. Я даже не знаю, как войти в систему как другой пользователь, сидя за компьютером, так что сигары нет sudo osascript -e 'tell app "System Events" to keystroke "password" & return'. При заблокированном экране ввод имени пользователя и пароля администратора возобновляет сеанс другого пользователя. Но как начать сеанс для любого пользователя, не зная пароля? (Просто чтобы быть уверенным, если вы знаете пароль: другой обходной путь может быть Screen Sharing, который также работает для экрана входа в систему. Вам нужно будет повторно подключить Screen Sharing после запуска или возобновления определенного сеанса пользователя.)
Arjan
Это хорошо. Я бы предпочел решение без ручной симуляции нажатия клавиш.
Софи Альперт
2
Интересно, кто-нибудь знает, как начать сеанс для кого-то другого? Таким образом, без учета приведенного выше ответа, просто при ежедневном использовании Mac OS X: может ли администратор войти в систему как другой пользователь, не зная пароля этого пользователя? (Точно так же, как suв командной строке, но затем для сеанса с графическим интерфейсом. Или так же, как когда экран заблокирован, когда ввод имени пользователя и пароля администратора возобновляет сеанс другого пользователя.)
Arjan
Возможно, это невозможно сделать без нажатия клавиш AppleScript: docs.info.apple.com/article.html?path=RemoteDesktop/3.0/en/…
Софи Альперт,
1

Я расследовал это недавно.

Поместите это в стек PAM вашего приложения или протестируйте с помощью sshd:

session    required       pam_launchd.so launchd_session_type=Aqua

Это имеет большое значение для получения графического сеанса, который довольно близок к отключенному сеансу пользователя. В частности, он находится в правильном пространстве имен начальной загрузки и имеет правильные порты начальной загрузки (я думаю). Вы можете проверить источник, что делает pam_launchd; он использует некоторую разумную частную библиотеку (функции vproc_priv.h в libvprop) для вызова подпрограмм Маха для настройки портов и пространства имен. Он соответствует всем (ограниченным) документам, которые Apple предоставляет для системных вызовов, полученных из Маха.

Затем вам нужно установить для идентификатора пользователя аудита значение идентификатора пользователя с API-интерфейсом BSM, иначе окно входа в систему не будет общаться с вами в Lion.

Теперь сеанс выглядит очень близко к отключенному сеансу, если вы отметите «launchctl blist», и некоторые процессы и сервисы прекрасно работают (например, монтажная панель и т. Д.). На самом деле все, кроме Finder и loginwindow работает. До тех пор, пока не будет запущено loginwindow, вы не сможете запустить графическое приложение, и процесс loginwindow за сеанс всегда будет порождаться как прямой потомок глобального. Как можно проткнуть процесс loginwindow, чтобы запустить новое loginwindow в новом сеансе? Я не могу найти способ получить последний кусок на месте!

Любая помощь в завершении этого ответа с благодарностью получена.

Николас Уилсон
источник
0

Запуск команды с помощью sudo позволяет установить сценарий на нечитаемый для обычных пользователей. Это не идеально, но если ваш админ-пользователь уже скомпрометирован, игра окончена!

chmod ur имя скрипта

Мой скрипт выглядит так, он работает удаленно, когда один пользователь уже запущен, чтобы переключиться на другого пользователя через SSH (протестировано на Snow Leopard 10.6.3):

#!/bin/bash
#go to login window
/System/Library/CoreServices/Menu\ Extras/User.menu/Contents/Resources/CGSession -switchToUserID 503

osascript -e 'tell app "System Events"
keystroke "password"
  delay 1.0
  keystroke return
end tell'

exit
zeigerpuppy
источник
0

Мне нужно было зарегистрировать одного и того же пользователя на 25 разных рабочих станциях, чтобы выполнить обновление программного обеспечения. Я не смог выполнить команду «osascript -e ...» надежно из сеансов SSH, даже с привилегиями sudo. Однако я смог запустить его через Apple Remote Desktop. Если у вас есть ARD:

  1. выберите свои машины
  2. разбудить их и выйти из системы других пользователей, если это необходимо
  3. выберите «Отправить команду UNIX ...» из меню «Управление»
  4. вставьте скрипт Арджана (без слова «sudo») в командное диалоговое окно
  5. выберите и введите «Выполнить команду как: пользователь: root»

Я был рад обнаружить, что все 25 Mac Minis, использующих Finder как пользователя, менее чем за минуту. Еще раз повторю: с ARD вам не нужно вводить пароль sudo на каждой машине. Строки, которые нужно вставить в диалоговое окно команд, (с указанием правильного имени пользователя и пароля):

osascript -e 'tell app "System Events"
  key code 125
  keystroke return using option down
  keystroke "the username"
  delay 1.0
  keystroke return
  delay 1.0
  keystroke "the password"
  delay 1.0
  keystroke return
end tell'
Уильям Х. Хупер
источник