Was ist ein sicheres Token und wie erhalte ich einen Admin-Benutzer, der eines hat?

Ich habe einen iMac 2017 mit einem FusionDrive, auf dem FileVault nicht aktiviert werden kann. Die Situation wird in diesem reddit-Beitrag zusammengefasst . Das Problem läuft auf Folgendes hinaus: Ich habe keinen Admin-Benutzer, der über ein sicheres Token verfügt, und es scheint, als könnte ich keins bekommen. Dies kann durch Ausführen bestätigt werden:

sysadminctl interactive -secureTokenStatus USER_NAME

für jeden Benutzer. Es kommt immer wieder mit

Secure token is DISABLED for user USER_NAME

Die erste Einrichtung der Werkseinstellungen führte nicht zu einem Benutzer mit einem sicheren Token, und ich versuchte Folgendes:

  • Löschen /var/db/.AppleSetupDone, um ein neues Administratorkonto einzurichten. Ergebnis: Ein neues Administratorkonto, das slo kein Token hat.
  • MacOS High Sierra neu installieren: Der zuerst erstellte Admin-Benutzer hat kein sicheres Token.

Es scheint, dass dies entweder beabsichtigt ist (wegen dem Fusion Drive?) oder ein Fehler in High Sierra ist. Mit genau dem gleichen Verfahren auf einem Macbook Pro 2017 erhalte ich einen Admin-Benutzer mit einem sicheren Token und dieser Benutzer kann FileVault verwalten und anderen Benutzern sichere Token geben.

Da ich FileVault verwenden möchte, habe ich auch versucht, die Hauptfestplatte mit einem verschlüsselten Dateisystem neu zu formatieren, MacOS neu zu installieren und aus dem Time-Machine-Backup wiederherzustellen. Das hat funktioniert, FileVault ist aktiviert, aber jetzt muss ich das Festplattenkennwort jedes Mal eingeben, wenn der Computer hochfährt (vor dem Anmeldebildschirm). Ich möchte das nicht, ich möchte die Festplatte mit einem Benutzerkennwort entsperren.

Was kann ich tun, um einen Admin-Benutzer mit einem sicheren Token zu erhalten?

Wie haben Sie das Fusion Drive formatiert: APFS oder CoreStorage (APFS sollte jedoch ohne Hacking nicht funktionieren)? Ist Ihr iMac an eine AD-Umgebung gebunden?
@klanomath Es ist ein FusionDrive mit HFS+. Kein AD, das ist nur ein normaler iMac, im Apple Store gekauft, ausgepackt, eingeschaltet, lokaler Admin-Benutzer angelegt und fertig.

Antworten (6)

Ich bin gerade auf ein neues MacBook Pro 2018 migriert, und irgendwie wurde mein ursprüngliches Konto (ein Admin-Benutzer) während der Migration ohne sicheres Token erstellt. Ich habe sogar versucht, einen neuen Admin-Benutzer zu erstellen, mich bei diesem Benutzer anzumelden und zu versuchen, ihn auszuführen sysadminctl -secureTokenOn justin -password -, aber immer:

2018-07-30 14:17:56.552 sysadminctl[886:18232] Der Betrieb ist ohne sichere Token-Entsperrung nicht zulässig.

Also habe ich die folgenden Bereitstellungen adminUserund adminPasswordFlags als meinen ursprünglichen Benutzer ausprobiert justin:

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

Geben Sie das Passwort für Justin ein:

Geben Sie das Passwort für Justin K ein:

2018-07-30 14:31:05.262 sysadminctl[998:49031] setSecureTokenAuthorizationEnabled error Fehler Domain=com.apple.OpenDirectory Code=5101 „Der Authentifizierungsserver hat den Vorgang abgelehnt, da die aktuellen Anmeldeinformationen für den angeforderten Vorgang nicht autorisiert sind.“ UserInfo={NSLocalizedDescription=Der Authentifizierungsserver hat den Vorgang abgelehnt, da die aktuellen Anmeldeinformationen für den angeforderten Vorgang nicht autorisiert sind., NSLocalizedFailureReason=Der Authentifizierungsserver hat den Vorgang abgelehnt, da die aktuellen Anmeldeinformationen für den angeforderten Vorgang nicht autorisiert sind.}

Da keiner meiner Benutzer über ein sicheres Token verfügt, scheint es im Wesentlichen keine Möglichkeit zu geben, ein sicheres Token zu gewähren . Einziger Wermutstropfen ist folgender:

  • Wenn ich die Maschine kalt starte, muss ich ein Festplattenentschlüsselungspasswort eingeben, was dazu führt, dass ich mein Passwort zweimal eingebe (einmal für die Festplattenentschlüsselung und einmal für das Benutzerkonto) .

  • Wenn ich versuche, FileVault durch Klicken auf die Schaltfläche auszuschalten, passiert nichts. Das gleiche Verhalten beim Klicken auf die Warnschaltfläche "Einige Benutzer können die Festplatte nicht entsperren [Benutzer aktivieren ...]", nichts passiert.

Geben Sie hier die Bildbeschreibung ein

Genau wie meine Situation. In verschlüsseltem Volume installieren und auf ein Update warten. (siehe meine Antwort)
Genau die gleiche Situation hier
-adminUser -adminPassword hat den Trick für mich getan!
Wenn Sie keinen adminUser und kein adminPassword haben (oder die, die Sie haben, nicht mit APFS synchron sind), können Sie Recovery verwenden, um ;SecureToken; von AuthenticationAuthority aller Benutzer (falls sie es haben) mit dsclund verwenden Sie dann resetFileVaultpassword, um ein glänzendes neues SecureToken für sich selbst zu erhalten.

Ich habe mich in dieser Situation wiedergefunden. Ich denke, das lag daran, dass ich eine Neuinstallation des Betriebssystems durchgeführt habe, während FileVault aktiviert war, sodass die Benutzer nicht migriert wurden.

Dementsprechend beschwerten sich die Systemeinstellungen "Einige Benutzer können die Festplatte nicht entsperren", aber das Klicken auf "Benutzer aktivieren" hat nichts bewirkt, sysadminctl -secureTokenStatus jrc(mein Hauptbenutzer) sagte "DEAKTIVIERT" und sysadminctl -secureTokenOn ...war nutzlos.

Ein Hinweis ergab sich daraus, dass fdesetup list -extendedein „Unknown User“-Eintrag gemeldet wurde. Also habe ich das Problem gelöst, indem ich einen neuen Benutzer erstellt, die UUID dieses Benutzers in die des unbekannten Benutzers geändert und diesen neuen Benutzer verwendet habe, um meinen vorhandenen Benutzer zu reparieren. Dies erforderte einen Wechsel in den Wiederherstellungsmodus (oder Einzelbenutzermodus), da der Directory Services-Speicher durch System Integrity Protection (SIP) geschützt ist.

  1. Notieren Sie sich die UUID der unbekannten Benutzer, die von gemeldet wurden sudo fdesetup list -extended.
  2. Erstellen Sie in Systemeinstellungen > Benutzer & Gruppen einen neuen Administratorbenutzer ( adminin diesem Beispiel benannt) mit demselben Passwort wie Ihr Hauptbenutzerkonto.
  3. Booten Sie in den Wiederherstellungsmodus und ändern Sie die GeneratedUIDdes neu erstellten Benutzers, damit sie mit der obigen UUID übereinstimmt. Öffnen Sie dazu das Menü Dienstprogramme > Terminal im Wiederherstellungsmodus und führen Sie dann dscl -f "/Volumes/Macintosh HD/var/db/dslocal/nodes/Default" localonly -changei /Local/Default/Users/admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065. Ersetzen Sie Ihren Volume-Namen, Benutzernamen und UUID nach Bedarf. Alles ist Groß- und Kleinschreibung.
  4. Normal neustarten. sysadminctl -secureTokenStatus adminsollte jetzt "ENABLED" melden. (Yay!)
  5. sudo fdesetup add -usertoadd jrc. Geben Sie bei Aufforderung die Anmeldeinformationen des oben genannten Administratorbenutzers ein.
  6. Führen Sie schließlich aus, diskutil apfs updatePreboot /um die Startgrafiken zu reparieren.

Einige verwandte Links, die ich hilfreich fand:

Danke. Ich konnte Ihren Anweisungen folgen, musste aber einen zusätzlichen Schritt hinzufügen. Öffnen Sie nach dem Neustart das Verzeichnisdienstprogramm, suchen Sie den Benutzer adminund AuthenticationAuthorityhängen Sie Folgendes an: ` ;SecureToken;` (beachten Sie das Leerzeichen vor dem ersten ;). Danach bekam ich "Secure Token is ENABLED for user admin".
Dies ist die einzige Lösung, die für mich funktioniert hat. Ich hatte eine ähnliche Situation, nachdem ich Catalina über ein bootfähiges Backup installiert hatte, und blieb bei demselben "unbekannten Benutzer". Befolgte diese Anweisungen und die Dinge funktionierten wie ein Zauber. Danke!
Danke. Diese Schritte haben bei Big Sur für mich funktioniert. Sobald ich mich im Wiederherstellungsmodus befand, musste ich das Volume „Macintosh HD – Data“ aus dem Festplatten-Dienstprogramm mounten und die Pfade entsprechend anpassen.

Es scheint, dass Sie auf einen Fehler gestoßen sind, da Ihnen ein sicheres Token gewährt werden sollte, wenn…

  1. Secure Token wird automatisch für das vom Apple Setup Assistant erstellte Benutzerkonto aktiviert.
  2. Das vom Setup-Assistenten erstellte Benutzerkonto mit Secure Token erstellt dann andere Benutzer über das Einstellungsfenster „Benutzer & Gruppen“ in den Systemeinstellungen. Diese Konten erhalten automatisch ihr eigenes sicheres Token.

Secure Token und FileVault auf Apple File System - Der Flunder

Um ein sicheres Token manuell zu erteilen, führen Sie

sysadminctl -secureTokenOn yourusername -password -

Dabei yourusernameist der Benutzername des Benutzers, dem Sie ein sicheres Token gewähren möchten. Vergessen Sie auch nicht den Bindestrich am Ende! Verwenden Sie nicht sudo.

Sie werden zuerst aufgefordert, die Benutzer- und Gruppeneinstellungen zu „entsperren“, indem Sie Administratoranmeldeinformationen für das GUI-Dialogfeld eingeben, dann werden Sie aufgefordert, das Kennwort für das Konto einzugeben, dem Sie auf der CLI ein Token geben möchten.

Das Gewähren eines sicheren Tokens mit sysadminctl -secureTokenOn yourusername -password -erfordert ein sicheres Token und Administratorrechte, sodass es nicht zum Bootstrapping des ersten Kontos mit einem sicheren Token verwendet werden kann.
Dies ist die gleiche Situation, in der ich mich befinde. Mein Haupt-/einziger Benutzer hatte kein sicheres Token und beim Erstellen eines neuen Administratorbenutzers hat er auch kein Token. Ich habe keine Benutzer mit sicheren Token. Ich bin mit dem Migrationsassistenten auf einen neuen Mac migriert (nach einer fehlgeschlagenen Time Capsule-Wiederherstellung ...). Das einzige Anzeichen für Probleme war, dass ich am Ende der Migration eine Fehlermeldung erhielt, dass „Mein Name“ nicht erstellt werden konnte. Seltsam.

Ich konnte diese Arbeit machen. Stellen Sie zunächst fest, dass Sie das gleiche Problem haben. Laufen:

sysadminctl -secureTokenStatus <username>

Wenn es „sicheres Token deaktiviert“ anzeigt und Sie keine anderen Benutzer im System haben, die es aktiviert haben, müssen Sie diesen Tanz durchlaufen.

Erzwingen Sie die Ausführung des Apple Setup-Assistenten bei Ihrer nächsten Installation, indem Sie Folgendes ausführen:

sudo rm /var/db/.AppleSetupDone

Und starten Sie Ihren Computer neu. Melden Sie sich nach Abschluss des Neustarts als dieser neue Administrator an und erstellen Sie einen neuen Administratorbenutzer. Gehen Sie mit diesem Benutzer zu Einstellungen | Sicherheit & Datenschutz | File Vault und gewähren Sie Ihrem tatsächlichen Benutzer die Berechtigungen zum Entsperren des Dateisystems. Führen Sie dies erneut aus, es sollte jetzt für Ihren tatsächlichen Benutzer aktiviert lauten:

sysadminctl -secureTokenStatus <username>
Hat das jemand versucht? Ich habe wenig Angst davor, mich auszusperren.
Ich habe dies getan und es hat nicht funktioniert. Soweit ich weiß, können nur Konten mit einem sicheren Token andere Konten aktivieren
Dies kann definitiv zum Laufen gebracht werden (zumindest am 13.10.6). Entfernen Sie die .AppleSetupDone-Datei, starten Sie neu und erstellen Sie dann ein neues Konto (das das Token haben wird). Starten Sie neu und melden Sie sich als dieser Benutzer an. Sie sollten dann in der Lage sein, die alten Konten in „Sicherheit und Datenschutz -> FileVault“ zu aktivieren. Neustart. Die alten Konten wurden nicht sofort angezeigt, daher bin ich mir nicht sicher, welche der folgenden Ursachen sie ausgelöst hat. Melden Sie sich möglicherweise mit dem alten Konto an oder führen Sie anschließend „fdesetup add --usertoadd <acct>“ usw. aus. Aber es hat funktioniert. Anschließend sollten Sie das neue Konto löschen können.
Hat bei mir in 10.14.5 nicht funktioniert.

Ich habe das gleiche Problem und das Entfernen der AppleSetupDone-Datei und das Neustarten, um die Erstellung eines neuen Administratorkontos zu erzwingen, gibt dem neuen Konto kein Token. Das einzige, was funktioniert hat, war das Sichern des Benutzerprofils, das Abflachen der Maschine und das Durchführen einer neuen High Sierra-Installation von einem bootfähigen USB-Stick, nicht gerade ideal, wenn ich viele Macs habe, die auf 10.13 aktualisiert werden müssen.

In dieser Antwort werde ich meine Lösung der Situation skizzieren:

  1. Ich habe AppleCare kontaktiert und zusammen haben wir verschiedene Dinge ausprobiert, wie die Neuinstallation von MacOS High Sierra und den Versuch, FileVault vor der Migration von Benutzerdaten zu aktivieren. Dies ist nicht erfolgreich.
  2. Die Internetwiederherstellung auf diesem Mac installiert MacOS Sierra und in MacOS Sierra kann FileVault aktiviert werden. (Dies weist eindeutig auf ein Softwareproblem hin) Man kann dann auf High Sierra aktualisieren und den Migrationsassistenten verwenden, um die Benutzerdaten zurückzubekommen. Das Problem ist, dass in dieser Situation nur die Benutzer, die in Sierra erstellt wurden, die Festplatte entsperren können, keine Benutzer, die nach der Migration migriert oder erstellt wurden.
  3. AppleCare hat versucht, mein Problem auf einem ähnlichen iMac mit Fusion Drive zu reproduzieren, aber sie konnten es nicht. Sie boten an, es sich persönlich anzusehen, aber der nächste Laden ist ziemlich weit entfernt, also habe ich mich nicht für diese Option entschieden.
  4. Da ein Neustart des Rechners nicht so häufig vorkommt, habe ich mich mit der Lösung begnügt, High Sierra in einem von Anfang an verschlüsselten Volume zu installieren. Das funktioniert, führt aber dazu, dass man bei jedem Hochfahren des Rechners das Entschlüsselungspasswort eingeben muss.
  5. Nachdem ich das neuste Supplemental Update installiert habe, der Bootloader wahrscheinlich umgeschrieben wurde oder so, bin ich jetzt in einer Situation, wo nach dem ersten Booten ein Bildschirm erscheint, in dem sich beide Benutzer anmelden können, oder ich die Platte entsperren kann. Das sieht so aus: Geben Sie hier die Bildbeschreibung einAuf diesem Bildschirm können sich beide Benutzer anmelden und damit die Festplatte entsperren. Die dritte Option besteht darin, die Festplatte zu entsperren, auf der ein weiterer Anmeldebildschirm mit nur den beiden Benutzern angezeigt wird.

Das heißt, das Problem ist im Grunde genommen gelöst, außer dass es dieses seltsame Login-Element gibt, aber naja ...

Ich habe auch mit Apple Support bestätigt, dass die in der Frage beschriebene Situation mit sicheren Token höchstwahrscheinlich irrelevant ist, da sichere Token sich auf APFS beziehen und dies ein Mac mit einem Fusion Drive ist.

Was ist ein sicheres Token und wie erhalte ich einen Admin-Benutzer, der eines hat?
AntwortenHierDatenschutz-Bestimmungen1y, 0v