วิธีเปิดแอปพลิเคชัน GUI ในเซสชันกราฟิกของผู้ใช้รายอื่น

ฉันกำลังพยายามหาวิธีเปิดแอปพลิเคชัน GUI ในฐานะผู้ใช้อื่นที่เข้าสู่ระบบแบบโต้ตอบในเซสชันกราฟิกของผู้ใช้รายนั้น

ตัวอย่างเช่นสมมติว่าฉันมีผู้ใช้สองคนคือ foo และ bar ทั้งสองเข้าสู่ระบบ แต่ผู้ใช้แบบโต้ตอบปัจจุบันคือ foo ฉันต้องการเปิดใช้งาน Calculator.app ในฐานะผู้ใช้ "บาร์" ดังนั้นเมื่อฉันเปลี่ยนผู้ใช้อย่างรวดเร็วเป็นแถบฉันพบว่าหน้าต่างเครื่องคิดเลขเปิดอยู่ในเซสชันของแถบ

นี่คือสิ่งที่ฉันพยายามที่ไม่ทำงาน:

sudo -u bar /Applications/Calculator.app/Contents/MacOS/Calculator

นี่เป็นการเปิดตัว Calculator.app เป็นแถบ แต่หน้าต่างจะเปิดในเซสชันกราฟิกของ foo

sudo -u bar osascript -e "tell application \"Calculator\" to activate"

ผลเหมือนกัน

sudo -u bar open "/Applications/Calculator.app"

เปิดตัวเครื่องคิดเลขในฐานะ foo ไม่ใช่แถบ

launchctl asuser [uid of bar] [any of the above commands]

ผลเหมือนกัน

มีวิธีใดบ้างที่จะทำให้สิ่งนี้สำเร็จ? ฉันยินดีที่จะให้ความบันเทิงทุกรูปแบบของการแก้ปัญหาที่เป็นไปได้รวมถึง bash scripting, AppleScript, การเขียนโปรแกรม Core Foundation หรือ Cocoa เป็นต้น ในสถานการณ์ของฉันโปรแกรมหรือสคริปต์ใด ๆ สามารถดำเนินการในฐานะผู้ใช้ใด ๆ รวมถึงรูท

หมายเหตุ: ฉันทราบว่าเป็นไปได้ที่จะใช้เหตุการณ์ Apple ระยะไกล แต่ฉันไม่สามารถใช้งานได้เนื่องจากในสถานการณ์ที่ฉันพยายามทำสิ่งนี้ฉันไม่รับประกันว่าจะมีการเปิดใช้งาน "กิจกรรม Apple ระยะไกล" ในการตั้งค่าการแชร์

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก!

สิ่งที่คุณต้องการบรรลุเป็นไปได้ แต่ยาก คุณต้องเปิดแอปพลิเคชันภายในเซสชันผู้ใช้ที่เหมาะสม เพื่อเหตุผลด้านความปลอดภัยการข้ามการแบ่งเซสชันผู้ใช้เป็นเรื่องยาก

คุณต้องมีกระบวนการที่ทำงานอยู่ในเซสชันของผู้ใช้รายอื่นเพื่อรับฟังคำขอของคุณและเปิดใช้แอปพลิเคชันแทนคุณ

bsexec ของ launchd

โชคดีที่เวอร์ชันล่าสุดlaunchdมีความสามารถนี้ แม้ว่าวิศวกรของ Apple จะไม่แนะนำให้ใช้งานทั่วไป ใช้bsexecตัวเลือกในlaunchctlเพื่อกำหนดเป้าหมายเซสชันผู้ใช้ที่เหมาะสม:

 bslist [PID | ..] [-j]
          This prints out Mach bootstrap services and their respective states. While the namespace
          appears flat, it is in fact hierarchical, thus allowing for certain services to be only avail-
          able to a subset of processes. The three states a service can be in are active ("A"), inactive
          ("I") and on-demand ("D").

          If [PID] is specified, print the Mach bootstrap services available to that PID. If [..] is
          specified, print the Mach bootstrap services available in the parent of the current bootstrap.
          Note that in Mac OS X v10.6, the per-user Mach bootstrap namespace is flat, so you will only
          see a different set of services in a per-user bootstrap if you are in an explicitly-created
          bootstrap subset.

          If [-j] is specified, each service name will be followed by the name of the job which regis-
          tered it.

 bsexec PID command [args]
          This executes the given command in the same Mach bootstrap namespace hierachy as the given
          PID.

 bstree [-j]
          This prints a hierarchical view of the entire Mach bootstrap tree. If [-j] is specified, each
          service name will be followed by the name of the job which registered it.  Requires root priv-
          ileges.

วิธีที่แนะนำคือการเขียนตั๋วงาน launchd และรีสตาร์ท Mac - หรือขอให้ผู้ใช้ออกจากระบบและกลับมาอีกครั้ง

สาเหตุของปัญหา

ปัญหาเกิดจากแอปพลิเคชันที่เชื่อมต่อกับWindowServerกระบวนการที่ไม่ถูกต้อง แต่ละเซสชั่นผู้ใช้มี WindowServer แยกต่างหาก กระบวนการนี้จัดการกับส่วนต่อประสานผู้ใช้ วิธีการก่อนหน้านี้ของคุณเป็นเจ้าของกระบวนการด้วยผู้ใช้ที่ถูกต้อง แต่เชื่อมต่อกับกระบวนการ WindowServer ของคุณเอง

ปัญหานี้ถูกกล่าวถึงในบันทึกย่อทางเทคนิคของDaemons และ Agentจาก Apple

ประสบการณ์

ฉันรู้สิ่งนี้จากประสบการณ์ส่วนตัว สำหรับ Power Manager ฉันเขียนpmuserให้อยู่ภายในเซสชันผู้ใช้แต่ละครั้ง pmuserฟัง daemon ของเราและจัดการการเรียกใช้และคำสั่งต่อผู้ใช้ แม้ daemon ของเราจะมีสิทธิ์ใช้งานรูทเรายังต้องการกระบวนการต่อผู้ใช้ในการทำงานได้อย่างน่าเชื่อถือภายในเซสชันผู้ใช้

ไม่มีคำตอบ bsexec ข้างต้นทำงานกับ El Capitan (10.11) เนื่องจาก System Integration Protection (SIP) ปิดพอร์ต "launchctl asuser" ใช้งานได้ แต่ต้องการให้ทำงานเป็นรูท คำสั่งด้านล่างใช้ได้กับ El Capitan (และระบบปฏิบัติการล่าสุด):

sudo launchctl asuser 501 open /Applications/Calculator.app

โปรดทราบว่า 501 เป็นหมายเลขผู้ใช้สำหรับผู้ใช้อื่นของฉัน

ในที่สุด 10.10 จะให้การปรับใช้ "launchctl bsexec" ที่ถูกต้องซึ่งคุณสามารถใช้:

sudo /bin/launchctl bsexec PID chroot -u UID -g GID / open /Applications/TextWrangler.app

ผู้ชายพูดว่า

สิ่งนี้จะดำเนินการคำสั่งที่กำหนดในบริบทการดำเนินการที่คล้ายกันให้มากที่สุดกับ PID เป้าหมาย

ดังนั้นเมื่อ PID param คุณสามารถใช้ pid ของกระบวนการloginwindowที่เหมาะสม UID เป็นรหัสผู้ใช้ของผู้ใช้ที่เป็นเจ้าของ loginwindow และ GID เป็นกลุ่มหลัก

มันใช้งานได้ดีสำหรับคำสั่งใด ๆ และแน่นอนสำหรับงาน launchd (fe launchagents) เช่นกันในที่สุด:

/bin/launchctl bsexec 104 chroot -u 501 -g 20 / /bin/launchctl load -S Aqua /Library/LaunchAgents/com.youragent.plist 2>&1

คุณสามารถใช้ Finder osascript -e "tell application \"Finder\" to open (\"${app}\" as POSIX file as alias)"เป็นเจ้าภาพสำหรับสิทธิ์ที่เหมาะสม ด้วยวิธีนี้มันจะเปิดใช้งานผ่านบริบทของ GUI ที่เปิดตัว Finder

สิ่งนี้ทำงานผ่าน ssh:

#!/bin/bash

PID=$(ps auxwww | egrep "^bar" |\
fgrep /System/Library/CoreServices/loginwindow.app/Contents/MacOS/loginwindow |\
awk '{print $2}')

sudo launchctl bsexec "$PID" open -a TextEdit

แต่ถ้าลองผ่าน Terminal.app มันจะเปิด TextEdit ใน GUI ของผู้ใช้ปัจจุบัน

หากคุณไม่แน่ใจว่าsshเปิดใช้งานอยู่หรือไม่คุณสามารถเปิดใช้งานได้ชั่วคราว

sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist

และปิดใช้งานอีกครั้งหลังจากนั้นถ้าจำเป็น?

มิฉะนั้นฉันก็นิ่งงัน

ทดสอบใน 10.9

ง่าย

sudo su name_of_user

จากนั้นเรียกใช้คำสั่งตามปกติ