Viene visualizzato un messaggio di errore quando si sblocca un volume FileVault APFS con una chiave di ripristino istituzionale

1

Sto testando una soluzione MDM (con un'istanza MDM Server.app interna), che applica FileVault. È configurato sia con una chiave di ripristino istituzionale (IRK) che con una chiave di ripristino personale (PRK). Anche l'ultimo viene salvato in MDM.

Fondamentalmente, abbiamo generato un portachiavi come questo, esportato il certificato dal portachiavi e aggiunto a un profilo MDM (stiamo usando l'MDM di Server.app).

Funziona alla grande. Quando faccio un diskutil apfs listCryptoUsers diskNxM , ottengo tutti gli utenti che mi aspetto, incluso un utente di tipo Institutional Recovery User e uno con tipo Institutional Recovery External Key . Reimpostare la password tramite Open Directory funziona bene. Sbloccare l'unità con la PRK funziona correttamente.

E ora sto testando per sbloccare il volume con il suddetto IRK. Ho avviato tramite Recovery (cmd + R), e quando eseguo diskutil apfs unlockVolume /dev/diskNsM -recoveryKeyChain /Volumes/RecoveryDrive/FileVaultMaster.keychain (il portachiavi è sbloccato e l'unità è corretta), ho ricevuto questo errore:

Error unlocking APFS Volume: The external-to-APFS security system's credential-unwrap
operation failed (-69534)

Ho controllato lo sblocco del portachiavi usando una password diversa e questo non è riuscito direttamente. Qualcuno qui ha suggerito di rimuovere il certificato dal portachiavi. Questo non ha funzionato neanche. Ho controllato che il volume fosse APFS. Lo era.

Qualche idea (oltre a creare un nuovo portachiavi FileVault Master e fare l'intero processo ancora una volta)?

    
posta doekman 18.12.2018 - 16:23
fonte

1 risposta

0

La cosa che ho dimenticato di menzionare è che non ho generato il Keychain da solo. Ho iniziato con un portachiavi con un certificato e una chiave privata che potevo sbloccare e un profilo MDM con il certificato esportato.

Poiché non sono riuscito a trovare un'altra soluzione, ho creato un nuovo portachiavi. Ho usato questo documento di supporto Apple . Non ho rimosso la chiave privata, perché la distribuisco esportando il certificato e distribuendolo tramite MDM.

Tuttavia, ho usato la "Usa la chiave privata per sbloccare la procedura" del disco di avvio di un utente da questo documento per sbloccare il volume e ha funzionato!

risposta data 19.12.2018 - 11:26
fonte

Leggi altre domande sui tag