Ich habe einen iMac 2017 mit einem FusionDrive, auf dem FileVault nicht aktiviert werden kann. Die Situation wird in diesem reddit-Beitrag zusammengefasst . Das Problem läuft auf Folgendes hinaus: Ich habe keinen Admin-Benutzer, der über ein sicheres Token verfügt, und es scheint, als könnte ich keins bekommen. Dies kann durch Ausführen bestätigt werden:
sysadminctl interactive -secureTokenStatus USER_NAME
für jeden Benutzer. Es kommt immer wieder mit
Secure token is DISABLED for user USER_NAME
Die erste Einrichtung der Werkseinstellungen führte nicht zu einem Benutzer mit einem sicheren Token, und ich versuchte Folgendes:
/var/db/.AppleSetupDone
, um ein neues Administratorkonto einzurichten. Ergebnis: Ein neues Administratorkonto, das slo kein Token hat.Es scheint, dass dies entweder beabsichtigt ist (wegen dem Fusion Drive?) oder ein Fehler in High Sierra ist. Mit genau dem gleichen Verfahren auf einem Macbook Pro 2017 erhalte ich einen Admin-Benutzer mit einem sicheren Token und dieser Benutzer kann FileVault verwalten und anderen Benutzern sichere Token geben.
Da ich FileVault verwenden möchte, habe ich auch versucht, die Hauptfestplatte mit einem verschlüsselten Dateisystem neu zu formatieren, MacOS neu zu installieren und aus dem Time-Machine-Backup wiederherzustellen. Das hat funktioniert, FileVault ist aktiviert, aber jetzt muss ich das Festplattenkennwort jedes Mal eingeben, wenn der Computer hochfährt (vor dem Anmeldebildschirm). Ich möchte das nicht, ich möchte die Festplatte mit einem Benutzerkennwort entsperren.
Was kann ich tun, um einen Admin-Benutzer mit einem sicheren Token zu erhalten?
Ich bin gerade auf ein neues MacBook Pro 2018 migriert, und irgendwie wurde mein ursprüngliches Konto (ein Admin-Benutzer) während der Migration ohne sicheres Token erstellt. Ich habe sogar versucht, einen neuen Admin-Benutzer zu erstellen, mich bei diesem Benutzer anzumelden und zu versuchen, ihn auszuführen sysadminctl -secureTokenOn justin -password -
, aber immer:
2018-07-30 14:17:56.552 sysadminctl[886:18232] Der Betrieb ist ohne sichere Token-Entsperrung nicht zulässig.
Also habe ich die folgenden Bereitstellungen adminUser
und adminPassword
Flags als meinen ursprünglichen Benutzer ausprobiert justin
:
sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -
Geben Sie das Passwort für Justin ein:
Geben Sie das Passwort für Justin K ein:
2018-07-30 14:31:05.262 sysadminctl[998:49031] setSecureTokenAuthorizationEnabled error Fehler Domain=com.apple.OpenDirectory Code=5101 „Der Authentifizierungsserver hat den Vorgang abgelehnt, da die aktuellen Anmeldeinformationen für den angeforderten Vorgang nicht autorisiert sind.“ UserInfo={NSLocalizedDescription=Der Authentifizierungsserver hat den Vorgang abgelehnt, da die aktuellen Anmeldeinformationen für den angeforderten Vorgang nicht autorisiert sind., NSLocalizedFailureReason=Der Authentifizierungsserver hat den Vorgang abgelehnt, da die aktuellen Anmeldeinformationen für den angeforderten Vorgang nicht autorisiert sind.}
Da keiner meiner Benutzer über ein sicheres Token verfügt, scheint es im Wesentlichen keine Möglichkeit zu geben, ein sicheres Token zu gewähren . Einziger Wermutstropfen ist folgender:
Wenn ich die Maschine kalt starte, muss ich ein Festplattenentschlüsselungspasswort eingeben, was dazu führt, dass ich mein Passwort zweimal eingebe (einmal für die Festplattenentschlüsselung und einmal für das Benutzerkonto) .
Wenn ich versuche, FileVault durch Klicken auf die Schaltfläche auszuschalten, passiert nichts. Das gleiche Verhalten beim Klicken auf die Warnschaltfläche "Einige Benutzer können die Festplatte nicht entsperren [Benutzer aktivieren ...]", nichts passiert.
dscl
und verwenden Sie dann resetFileVaultpassword
, um ein glänzendes neues SecureToken für sich selbst zu erhalten.Ich habe mich in dieser Situation wiedergefunden. Ich denke, das lag daran, dass ich eine Neuinstallation des Betriebssystems durchgeführt habe, während FileVault aktiviert war, sodass die Benutzer nicht migriert wurden.
Dementsprechend beschwerten sich die Systemeinstellungen "Einige Benutzer können die Festplatte nicht entsperren", aber das Klicken auf "Benutzer aktivieren" hat nichts bewirkt, sysadminctl -secureTokenStatus jrc
(mein Hauptbenutzer) sagte "DEAKTIVIERT" und sysadminctl -secureTokenOn ...
war nutzlos.
Ein Hinweis ergab sich daraus, dass fdesetup list -extended
ein „Unknown User“-Eintrag gemeldet wurde. Also habe ich das Problem gelöst, indem ich einen neuen Benutzer erstellt, die UUID dieses Benutzers in die des unbekannten Benutzers geändert und diesen neuen Benutzer verwendet habe, um meinen vorhandenen Benutzer zu reparieren. Dies erforderte einen Wechsel in den Wiederherstellungsmodus (oder Einzelbenutzermodus), da der Directory Services-Speicher durch System Integrity Protection (SIP) geschützt ist.
sudo fdesetup list -extended
.admin
in diesem Beispiel benannt) mit demselben Passwort wie Ihr Hauptbenutzerkonto.GeneratedUID
des neu erstellten Benutzers, damit sie mit der obigen UUID übereinstimmt. Öffnen Sie dazu das Menü Dienstprogramme > Terminal im Wiederherstellungsmodus und führen Sie dann dscl -f "/Volumes/Macintosh HD/var/db/dslocal/nodes/Default" localonly -changei /Local/Default/Users/admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065
. Ersetzen Sie Ihren Volume-Namen, Benutzernamen und UUID nach Bedarf. Alles ist Groß- und Kleinschreibung.sysadminctl -secureTokenStatus admin
sollte jetzt "ENABLED" melden. (Yay!)sudo fdesetup add -usertoadd jrc
. Geben Sie bei Aufforderung die Anmeldeinformationen des oben genannten Administratorbenutzers ein.diskutil apfs updatePreboot /
um die Startgrafiken zu reparieren.Einige verwandte Links, die ich hilfreich fand:
admin
und AuthenticationAuthority
hängen Sie Folgendes an: ` ;SecureToken;` (beachten Sie das Leerzeichen vor dem ersten ;
). Danach bekam ich "Secure Token is ENABLED for user admin".Es scheint, dass Sie auf einen Fehler gestoßen sind, da Ihnen ein sicheres Token gewährt werden sollte, wenn…
- Secure Token wird automatisch für das vom Apple Setup Assistant erstellte Benutzerkonto aktiviert.
- Das vom Setup-Assistenten erstellte Benutzerkonto mit Secure Token erstellt dann andere Benutzer über das Einstellungsfenster „Benutzer & Gruppen“ in den Systemeinstellungen. Diese Konten erhalten automatisch ihr eigenes sicheres Token.
Secure Token und FileVault auf Apple File System - Der Flunder
Um ein sicheres Token manuell zu erteilen, führen Sie
sysadminctl -secureTokenOn yourusername -password -
Dabei yourusername
ist der Benutzername des Benutzers, dem Sie ein sicheres Token gewähren möchten. Vergessen Sie auch nicht den Bindestrich am Ende! Verwenden Sie nicht sudo.
Sie werden zuerst aufgefordert, die Benutzer- und Gruppeneinstellungen zu „entsperren“, indem Sie Administratoranmeldeinformationen für das GUI-Dialogfeld eingeben, dann werden Sie aufgefordert, das Kennwort für das Konto einzugeben, dem Sie auf der CLI ein Token geben möchten.
sysadminctl -secureTokenOn yourusername -password -
erfordert ein sicheres Token und Administratorrechte, sodass es nicht zum Bootstrapping des ersten Kontos mit einem sicheren Token verwendet werden kann.Ich konnte diese Arbeit machen. Stellen Sie zunächst fest, dass Sie das gleiche Problem haben. Laufen:
sysadminctl -secureTokenStatus <username>
Wenn es „sicheres Token deaktiviert“ anzeigt und Sie keine anderen Benutzer im System haben, die es aktiviert haben, müssen Sie diesen Tanz durchlaufen.
Erzwingen Sie die Ausführung des Apple Setup-Assistenten bei Ihrer nächsten Installation, indem Sie Folgendes ausführen:
sudo rm /var/db/.AppleSetupDone
Und starten Sie Ihren Computer neu. Melden Sie sich nach Abschluss des Neustarts als dieser neue Administrator an und erstellen Sie einen neuen Administratorbenutzer. Gehen Sie mit diesem Benutzer zu Einstellungen | Sicherheit & Datenschutz | File Vault und gewähren Sie Ihrem tatsächlichen Benutzer die Berechtigungen zum Entsperren des Dateisystems. Führen Sie dies erneut aus, es sollte jetzt für Ihren tatsächlichen Benutzer aktiviert lauten:
sysadminctl -secureTokenStatus <username>
Ich habe das gleiche Problem und das Entfernen der AppleSetupDone-Datei und das Neustarten, um die Erstellung eines neuen Administratorkontos zu erzwingen, gibt dem neuen Konto kein Token. Das einzige, was funktioniert hat, war das Sichern des Benutzerprofils, das Abflachen der Maschine und das Durchführen einer neuen High Sierra-Installation von einem bootfähigen USB-Stick, nicht gerade ideal, wenn ich viele Macs habe, die auf 10.13 aktualisiert werden müssen.
In dieser Antwort werde ich meine Lösung der Situation skizzieren:
Das heißt, das Problem ist im Grunde genommen gelöst, außer dass es dieses seltsame Login-Element gibt, aber naja ...
Ich habe auch mit Apple Support bestätigt, dass die in der Frage beschriebene Situation mit sicheren Token höchstwahrscheinlich irrelevant ist, da sichere Token sich auf APFS beziehen und dies ein Mac mit einem Fusion Drive ist.
klanomath
Thomas