153 votes

Trejkaz avatar

"L'interaction de l'utilisateur n'est pas autorisée" lors de la signature d'une application OSX à l'aide du codesign.

Demandé el 25 de Novembre, 2013
Quand la question a-t-elle été
9324 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Notre construction automatisée est exécutée sur Jenkins. La construction elle-même est exécutée sur des esclaves, les esclaves étant exécutés via SSH.

Je reçois une erreur :

00:03:25.113 [codesign-app] build/App.app: User interaction is not allowed.

J'ai essayé toutes les suggestions que j'ai vues jusqu'à présent dans d'autres messages ici :

  • En utilisant la sécurité déverrouiller-keychain immédiatement avant de signer pour déverrouiller le trousseau.
  • Déplacer la clé de signature dans son propre trousseau.
  • Déplacer la clé de signature dans le trousseau de connexion.
  • Déplacer la clé de signature dans le trousseau du système.
  • Paramétrage manuel de list-keychains à seulement le trousseau qui contient la clé.

Dans tous les cas, j'obtiens la même erreur.

Pour tenter de diagnostiquer le problème, j'ai essayé d'exécuter la commande "security unlock-keychain" sur mon terminal local et j'ai constaté qu'elle ne déverrouille pas réellement le trousseau - si je regarde dans Keychain Access, le symbole du verrou est toujours présent. C'est le cas que je transmette le mot de passe sur la ligne de commande ou que je laisse le système me le demander. Le déverrouillage du même trousseau à l'aide de l'interface graphique me demandera le mot de passe, puis le déverrouillera. De plus, si j'exécute "security lock-keychain", j'obtiens les résultats suivants faire voir la clé se verrouiller immédiatement après avoir exécuté la commande. Cela me fait penser qu'unlock-keychain ne fonctionne pas réellement. Je constate le même comportement sur Lion (que nous utilisons pour les esclaves de construction) et Mavericks (sur lequel je développe).

Ensuite, j'ai essayé d'ajouter -v à toutes les commandes de sécurité :

list-keychains "-d" "system" "-s" "/Users/tester/.secret/App.keychain"
Listing keychains to see if it was added: ((
        "/Library/Keychains/System.keychain"
))
unlock-keychain "-p" "**PASSWORD**" "/Users/tester/.secret/App.keychain"
build/App.app: User interaction is not allowed.

A partir de là, il semblerait que list-keychains soit ce qui ne fonctionne pas. Peut-être qu'aucun des deux ne fonctionne. :/

Hay un question similaire ici . La solution est intéressante - mettre "SessionCreate" à true dans launchctl. Mais je ne construis pas sur le maître - mon processus de construction est lancé par SSH sur une machine de construction esclave. Peut-être existe-t-il un moyen en ligne de commande pour faire ce que launchctl fait lorsque vous exécutez "SessionCreate" ?

Demandé el 25 de Novembre, 2013 par Trejkaz

0 votes

Avatar de Sachin Kumaram

Comment définir le mot de passe du trousseau sur le circleci ?

Commenté el 8 de Octobre, 2019 par Sachin Kumaram

0 votes

Avatar de Trejkaz

@SachinKumaram semble être une nouvelle question viable ?

Commenté el 17 de Octobre, 2019 par Trejkaz

Réponses

Trop de publicités?

210voto

bmauter avatar
bmauter Points 523

Moi aussi, je me suis battu contre cela. Rien n'a aidé jusqu'à ce que j'essaie la suggestion sur http://devnet.jetbrains.com/thread/311971 . Merci ashish agrawal !

Connectez-vous à votre utilisateur de construction via l'interface graphique et ouvrez Keychain Access. Sélectionnez votre clé privée de signature, faites un clic droit, choisissez Obtenir des informations, passez à l'onglet Contrôle d'accès et sélectionnez l'option "Autoriser toutes les applications à accéder à cet élément".

access control tab

Répondu el 25 de Mars, 2014 par bmauter (523 Points )

1 votes

Avatar de Seth

Merci de partager cela ! C'est exactement le problème que j'avais avec un post archive script sur mon robot XCode.

Commenté el 14 de Avril, 2014 par Seth

2 votes

Avatar de bmauter

Vous êtes les bienvenus. Vous pourriez également envisager d'ajouter le codesign à la liste des applications en bas de page au lieu d'autoriser toutes les applications comme je l'ai fait. C'est déjà là dans ma capture d'écran, mais je pense qu'à l'origine ça ne l'était pas.

Commenté el 14 de Avril, 2014 par bmauter

3 votes

Avatar de Heath Borders

J'ai dû démasquer le répertoire /usr avec apple.stackexchange.com/a/34872/6052 pour pouvoir ajouter codesign à la liste "Toujours autoriser".

Commenté el 30 de Mai, 2014 par Heath Borders
Afficher 11 autres commentaires

82voto

Trejkaz avatar
Trejkaz Points 1928

Eh bien, je suppose que je dois répondre à ma propre question aujourd'hui, parce qu'après deux jours et demi de travail acharné, une des choses que j'ai essayées semble avoir fonctionné. Je vais juste m'en éloigner maintenant et espérer que ça continue à marcher.

Essentiellement, il semble que cela se résume à -d system ne fonctionne pas réellement. Donc beaucoup de réponses à d'autres questions ici devraient probablement être mises à jour pour refléter cela.

security -v list-keychains -s "$KEYCHAIN" "$HOME/Library/Keychains/login.keychain"
security list-keychains # so we can verify that it was added if it fails again
security -v unlock-keychain -p "$KEYCHAIN_PASSWORD" "$KEYCHAIN"
codesign --sign "$SIGNER_IDENTITY" --force --signature-size 9600 \
         --resource-rules src/AppResourceRules.plist --timestamp --verbose \
         "$APP"
Répondu el 26 de Novembre, 2013 par Trejkaz (1928 Points )

17 votes

Avatar de pir800

Merci. J'ai réussi à réduire le problème. Il suffit d'exécuter la commande suivante juste avant de tenter de construire : security -v unlock-keychain -p "$KEYCHAIN_PASSWORD" "$HOME/Library/Keychains/login.keychain"

Commenté el 17 de Juin, 2014 par pir800

3 votes

Avatar de chakrit

Il n'y a donc aucun moyen d'accéder codesign par ssh sans stocker le mot de passe de connexion dans un script ?

Commenté el 31 de Août, 2014 par chakrit

2 votes

Avatar de Trejkaz

@chakrit dans l'exemple ci-dessus, je ne passe que le mot de passe du trousseau, pas le mot de passe de connexion. Je réalise que pour beaucoup d'utilisateurs, le trousseau de connexion est le seul trousseau, mais dans notre cas, nous conservons les clés de signature dans un keystore séparé pour faciliter leur synchronisation avec les machines de construction. Mais oui, beaucoup de ces choses semblent plutôt gênantes pour les constructions automatisées, ce qui m'amène à me demander si Apple fait même des constructions automatisées.

Commenté el 1 de Septembre, 2014 par Trejkaz
Afficher 2 autres commentaires

19voto

yonix avatar
yonix Points 1850

Aucune des autres réponses n'a fonctionné pour moi.

Ce qui m'a finalement sauvé, c'est ce post

En résumé, cela peut être provoqué par un délai d’attente par défaut de 5 minutes, ce qui déclenchera cette erreur après une longue construction.

Pour réparer: 

 security set-keychain-settings -t 3600 -l ~/Library/Keychains/login.keychain
Répondu el 1 de Juin, 2014 par yonix (1850 Points )

18voto

orionll avatar
orionll Points 1045

Essayez d'appeler security unlock-keychain et codesign tant que commande sur une ligne. Cela m'a aidé. Quelque chose comme: 

 security unlock-keychain -p <password> /Users/<user>/Library/Keychains/login.keychain && codesign --force --verify --verbose --sign "<certificate id>" <app name>
Répondu el 24 de Janvier, 2014 par orionll (1045 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X