Sto testando una soluzione MDM (con un'istanza MDM Server.app interna), che applica FileVault. È configurato sia con una chiave di ripristino istituzionale (IRK) che con una chiave di ripristino personale (PRK). Anche l'ultimo viene salvato in MDM.
Fondamentalmente, abbiamo generato un portachiavi come questo, esportato il certificato dal portachiavi e aggiunto a un profilo MDM (stiamo usando l'MDM di Server.app).
Funziona alla grande. Quando faccio un diskutil apfs listCryptoUsers diskNxM
, ottengo tutti gli utenti che mi aspetto, incluso un utente di tipo Institutional Recovery User
e uno con tipo Institutional Recovery External Key
. Reimpostare la password tramite Open Directory funziona bene. Sbloccare l'unità con la PRK funziona correttamente.
E ora sto testando per sbloccare il volume con il suddetto IRK.
Ho avviato tramite Recovery (cmd + R), e quando eseguo diskutil apfs unlockVolume /dev/diskNsM -recoveryKeyChain /Volumes/RecoveryDrive/FileVaultMaster.keychain
(il portachiavi è sbloccato e l'unità è corretta), ho ricevuto questo errore:
Error unlocking APFS Volume: The external-to-APFS security system's credential-unwrap
operation failed (-69534)
Ho controllato lo sblocco del portachiavi usando una password diversa e questo non è riuscito direttamente. Qualcuno qui ha suggerito di rimuovere il certificato dal portachiavi. Questo non ha funzionato neanche. Ho controllato che il volume fosse APFS. Lo era.
Qualche idea (oltre a creare un nuovo portachiavi FileVault Master e fare l'intero processo ancora una volta)?