Cos'è un token sicuro e come ottengo un utente amministratore che ne ha uno

Naviga le tue risposte
6

Ho un iMac 2017 con un FusionDrive su cui FileVault non può essere abilitato. La situazione è riassunta in questo reddit post . Il problema si riduce a: Non ho un utente amministratore che abbia un token sicuro e sembra che non riesca a ottenerne uno. Questo può essere confermato eseguendo:

sysadminctl interactive -secureTokenStatus USER_NAME

per ogni utente. Ritorna sempre con

Secure token is DISABLED for user USER_NAME

La prima configurazione dalle impostazioni di fabbrica non ha comportato un utente con un token di sicurezza, e ho provato a:

  • Elimina /var/db/.AppleSetupDone per impostare un nuovo account amministratore. Risultato: un nuovo account amministratore che slo non ha un token.
  • Reinstalla MacOS High Sierra: il primo utente amministratore creato non ha token sicuro.

Sembra che sia intenzionale (a causa del Fusion Drive?) o un bug in High Sierra. Con esattamente la stessa procedura su un Macbook Pro 2017 ottengo un utente amministratore con un token sicuro e quell'utente può gestire FileVault e fornire token sicuri ad altri utenti.

Poiché desidero utilizzare FileVault, ho anche provato a riformattare il disco principale con un file system crittografato, reinstallando MacOS e ripristinando il backup dal Time Machine. Funzionava, FileVault è abilitato, ma ora devo inserire la password del disco ogni volta che si avvia il computer (prima della schermata di accesso). Non voglio questo, voglio sbloccare il disco con una password utente.

Che cosa posso fare per ottenere un utente amministratore con un token sicuro?

    
posta Thomas 24.01.2018 - 22:20
fonte

5 risposte

5

Sono appena passati a un nuovo MacBook Pro 2018 e in qualche modo il mio account originale (un utente amministratore) è stato creato senza un token sicuro durante la migrazione. Ho persino provato a creare un nuovo utente amministratore, accedere a quell'utente e provare a eseguire sysadminctl -secureTokenOn justin -password - ma a ottenere:

2018-07-30 14:17:56.552 sysadminctl[886:18232] Operation is not permitted without secure token unlock.

Quindi ho provato quanto segue fornendo adminUser e adminPassword flags come mio utente originale justin :

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

Enter password for justin :

Enter password for Justin K :

2018-07-30 14:31:05.262 sysadminctl[998:49031] setSecureTokenAuthorizationEnabled error Error Domain=com.apple.OpenDirectory Code=5101 "Authentication server refused operation because the current credentials are not authorized for the requested operation." UserInfo={NSLocalizedDescription=Authentication server refused operation because the current credentials are not authorized for the requested operation., NSLocalizedFailureReason=Authentication server refused operation because the current credentials are not authorized for the requested operation.}

In sostanza sembra che dal momento che i miei utenti non dispongono di un token sicuro, non esiste un modo per concedere un token sicuro . L'unico inconveniente è il seguente:

  • Quando avvio a freddo la macchina devo inserire una password di decrittografia del disco, che comporta l'inserimento della mia password due volte (una volta per la decodifica del disco e una volta per l'account utente) .

  • Quando provo a disattivare FileVault facendo clic sul pulsante, non succede nulla. Lo stesso comportamento quando si fa clic sul pulsante di avviso "Alcuni utenti non sono in grado di sbloccare il disco [Abilita utenti ...]" non succede nulla.

    
risposta data 30.07.2018 - 21:28
fonte
2

Sembra che tu abbia trovato un bug, dal momento che dovresti ottenere un token sicuro quando ...

  1. Secure Token is automatically enabled for the user account created by Apple’s Setup Assistant.
  2. The Setup Assistant-created user account with Secure Token then creates other users via the Users & Groups preference pane in System Preferences. Those accounts get their own Secure Token automatically.

Secure Token e FileVault su Apple File System - Der Flounder

Per concedere manualmente un token sicuro, esegui 

sysadminctl -secureTokenOn yourusername -password -

dove yourusername è il nome utente dell'utente a cui desideri concedere un token sicuro. Non dimenticare il trattino alla fine! Non usa sudo.

Ti verrà prima chiesto di "sbloccare" gli utenti e amp; Raggruppa le preferenze fornendo credenziali di amministratore alla finestra di dialogo della GUI, quindi ti verrà richiesta la password per l'account a cui desideri assegnare un token sulla CLI.

    
risposta data 28.01.2018 - 17:19
fonte
1

In questa risposta illustrerò la mia risoluzione della situazione:

  1. Ho contattato AppleCare e insieme abbiamo provato varie cose come reinstallare MacOS High Sierra e provare ad abilitare FileVault prima della migrazione di qualsiasi dato utente. Questo non ha avuto successo.
  2. Internet Recovery su questo Mac installa MacOS Sierra e in MacOS Sierra FileVault può essere abilitato. (Questo indica chiaramente un problema di software) È quindi possibile aggiornare ad High Sierra e utilizzare l'Assistente di migrazione per recuperare i dati dell'utente. Il problema è che in questa situazione solo gli utenti che sono stati creati in Sierra possono sbloccare il disco, non tutti gli utenti migrati o creati dopo la migrazione.
  3. AppleCare ha provato a riprodurre il mio problema su un iMac simile con Fusion Drive e non è stato possibile. Si sono offerti di guardarlo di persona, ma il negozio successivo è abbastanza lontano, quindi non ho optato per questa opzione.
  4. Dal momento che il riavvio del computer non avviene così spesso, mi sono deciso con la soluzione per installare High Sierra all'interno di un volume che è stato crittografato dall'inizio. Funziona, ma porta alla situazione in cui devi inserire la password di decodifica ogni volta che il computer si avvia.
  5. Dopo aver installato l'ultimo aggiornamento supplementare, il caricatore di avvio è stato probabilmente riscritto o qualcosa del genere, ora sono in una situazione in cui dopo il primo avvio viene visualizzata una schermata in cui entrambi gli utenti possono accedere o posso sbloccare il disco. Sembra questo: Su questo schermo entrambi gli utenti possono accedere e quindi sbloccare il disco. La terza opzione è quella di sbloccare il disco su cui viene presentata un'altra schermata di accesso con solo i due utenti.

Questo significa che il problema è fondamentalmente risolto, tranne che c'è questo strano oggetto di login, ma bene ...

Ho anche confermato con Apple Support che la situazione dei token di sicurezza descritta nella domanda è probabilmente irrilevante perché i token di sicurezza appartengono a APFS e questo è un Mac con un'unità Fusion.

    
risposta data 05.03.2018 - 06:29
fonte
1

Sono riuscito a farlo funzionare. Innanzitutto, diagnoze che hai lo stesso problema. Esegui: 

sysadminctl -secureTokenStatus <username>

Se mostra "token sicuro disabilitato" e non hai altri utenti sul sistema che lo hanno abilitato, devi passare attraverso questo ballo.

Forzare l'installazione guidata di Apple per eseguire la prossima installazione eseguendo: 

sudo rm /var/db/.AppleSetupDone

E riavvia il tuo computer. Al termine del riavvio, accedi come questo nuovo amministratore e crea un nuovo utente amministratore; con quell'utente, vai su Impostazioni | Sicurezza e amp; Privacy | File Vault e concede al tuo utente effettivo i privilegi per sbloccare il file system. Esegui di nuovo, ora dovrebbe dire abilitato per il tuo utente attuale: 

sysadminctl -secureTokenStatus <username>
    
risposta data 03.09.2018 - 16:04
fonte
0

Ho lo stesso problema e la rimozione del file AppleSetupDone e il riavvio per forzare la creazione di un nuovo account amministratore non danno al nuovo account un token. L'unica cosa che ha funzionato è stata il backup del profilo utente, l'appiattimento della macchina e l'esecuzione di una nuova installazione High Sierra da un USB avviabile, non esattamente l'ideale quando ho un sacco di Mac per l'aggiornamento alla 10.13.

    
risposta data 16.10.2018 - 13:30
fonte

Leggi altre domande sui tag

Un modo per "chiudere" un gruppo di promemoria tutti in una volta su OSX? L'app Messaggi sul mio Macbook Pro ha smesso di inviare ad Android