MDM API

Управление мобильными устройствами (Mobile device management, MDM) является важным требованием для многих сценариев использования, позволяя ограничивать или контролировать функциональность конкретного устройства или парка устройств различными способами или в ответ на определённые события (например, в случае утери или кражи устройства).

ОС Аврора предоставляет фреймворк MDM. Разработанные с его помощью приложения (далее — MDM-приложения) позволяют применять ограничительные политики, а также в ручном режиме включать, отключать или вызывать конкретные функциональные возможности устройства.

Использование фреймворка MDM

Программный интерфейс фреймворка MDM состоит из двух отдельных аспектов. Первый аспект предоставляется библиотекой libsailfishpolicy и состоит из политик, которые определяют, может ли пользователь изменять определённые настройки или получать доступ к определённым функциям. Второй аспект предоставляется библиотекой libsailfishmdm и состоит из конкретных функциональных возможностей системы, которые предлагаются приложениям MDM, но могут или не могут быть доступны через другие системные API.

Для использования данных библиотек приложения MDM должны использовать файлы pkgconfig sailfishpolicy.pc и sailfishmdm.pc, соответственно.

Например, в проекте, управляемом qmake:

 CONFIG += link_pkgconfig
 PKGCONFIG += sailfishpolicy sailfishmdm

Управляющие запросы к MDM API должны быть выполнены от имени пользователя sailfish-mdm. С другой стороны, получение политик MDM доступно любому пользователю.

Политика ОС Аврора

Политики ОС Аврора позволяет приложению MDM задавать текущие политики для конкретных параметров или функций. Например, приложение MDM может запретить пользователю изменять настройки GPS.

Дополнительную информацию можно получить в документации о политиках в ОС Аврора.

MDM API

MDM API позволяет приложению MDM выполнять определённые действия или запускать определённые функции на устройстве. Например, приложение MDM может включить функцию GPS для получения текущего местоположения устройства.

Пространство имён Sailfish::Mdm является устаревшим кодом из Sailfish OS, но оно всё ещё поддерживается, однако новое API добавляется в пространство имён Aurora::Mdm.

Все API можно разделить на следующие группы в соответствии с подсистемами ОС:

• Управление приложениями

• Сетевой стек

• Блокировка устройства

• Местоположение

• Логи

• Телефония

• Обновления

• Остальное MDM API

Разрешённый API и доступ

Запуск приложений MDM подразумевается из-под учётной записи пользователя sailfish-mdm, что даёт как дополнительные разрешения, так и накладывает некоторые ограничения на то, что можно сделать.

Во-первых, нет доступа ни к домашнему каталогу пользователя /home/<user>, ни к сессионной шине D-Bus. Это также относится к библиотекам, работающим поверх D-Bus, таким как notifications (библиотека уведомления) и dconf (библиотека конфигураций настроек). Из-за этого MDM предоставляет собственный API для поддержки уведомлений пользователей.

Во-вторых, приложение MDM запускается в виде фонового сервиса без видимого пользователю интерфейса. При необходимости, пользовательский интерфейс должен быть реализован отдельным приложением, которое взаимодействует с сервисом через системную или собственную шину D-Bus.

В некоторых окружениях для разрешения доступа к сети также требуется группа inet. В отличие от обычного пользователя, sailfish-mdm не принадлежит к этой группе, поэтому если приложению MDM требуется доступ, оно должно быть вручную добавлено в данную группу. Следует помнить, что в некоторых рабочих окружениях такой группы может и вовсе не быть.

Создание приложения MDM

Фреймворк MDM включает примеры демона MDM и клиентского приложения, который подключается к нему. Однако, для совместимости с собственными существующими службами и ИТ-инфраструктурой, поставщикам рекомендуется использовать собственные реализации MDM-сервиса.

В большинстве случаев приложение MDM будет полноценным, постоянным системным процессом, запущенным при загрузке с помощью Systemd, который связан с библиотеками фреймворка MDM и использует их напрямую. Данные библиотеки предоставляют интерфейсы для разрешения или запрета действий (через libsailfishpolicy) и другие интерфейсы для изменения состояния системы (через libsailfishmdm).

Запуск приложения MDM с помощью Systemd

Чтобы обеспечить запуск приложения-демона MDM с помощью Systemd, приложение MDM должно включать в пакет файл /usr/lib/systemd/system/mdm-application-name.service и создавать на него символическую ссылку в multi-user.target.wants, как показано в следующем примере:

 [Unit]
 Description=Приложение MDM
 Requires=basic.target network.target
 After=basic.target network.target

 [Service]
 SupplementaryGroups=inet
 User=sailfish-mdm
 ExecStart=/usr/bin/mdm-application-name
 Restart=always

 [Install]
 WantedBy=multi-user.target

Автоматизация запуска процесса сборки RPM-пакетов может быть выполнена в файле. .spec, например:

 [...]
 %install
 [...]
 mkdir -p %{buildroot}%{_unitdir}/multi-user.target.wants/
 ln -sf ../mdm-application-name.service %{buildroot}%{_unitdir}/multi-user.target.wants/

 %post
 if [ "$1" = "1" ]; then
   #install
   systemctl daemon-reload || :
   systemctl start mdm-application-name.service || :
 elif [ "$1" = "2" ]; then
   #upgrade
   systemctl daemon-reload || :
   systemctl restart mdm-application-name.service || :
 fi

 %preun
 if [ "$1" = "0" ]; then
   # remove
   systemctl daemon-reload || :
   systemctl stop mdm-application-name.service || :
 fi

 %files
 %{_unitdir}/mdm-application-name.service
 %{_unitdir}/multi-user.target.wants/mdm-application-name.service

Файлы приложения MDM

Любая конфигурация, файлы кэша или данных, требуемые приложением MDM, должны храниться в разделах /var или /run в соответствии со стандартом иерархии файловой системы, в подкаталогах, специфичных для приложений MDM.

В частности, данные кэша должны храниться в /var/cache/, конфигурации, данные о состоянии и базы данных — в /var/lib/, файлы блокировки — в /run/lock/, файлы журналов — в /var/log/, временные файлы — в /run/tmp/.