Domanda:
Che cos'è un token di sicurezza e come ottengo un utente amministratore che ne abbia uno
Thomas
2018-01-25 03:20:18 UTC
view on stackexchange narkive permalink

Ho un iMac 2017 con FusionDrive su cui FileVault non può essere abilitato. La situazione è riassunta in questo post reddit. Il problema si riduce a: non ho un utente amministratore che abbia un token sicuro e sembra che non riesca a ottenerne uno. Ciò può essere confermato eseguendo:

sysadminctl interactive -secureTokenStatus USER_NAME

per ogni utente. Torna sempre con

Il token di sicurezza è DISABILITATO per l'utente USER_NAME

La prima configurazione dalle impostazioni di fabbrica non ha portato a un utente con un token di sicurezza e ho provato a:

  • Elimina /var/db/.AppleSetupDone per configurare un nuovo account amministratore. Risultato: un nuovo account amministratore che slo non dispone di un token.
  • Reinstalla MacOS High Sierra: il primo utente amministratore creato non dispone di token di sicurezza.

Sembra che questo sia intenzionale (a causa di Fusion Drive?) O un bug in High Sierra. Con esattamente la stessa procedura su un Macbook Pro 2017 ottengo un utente amministratore con un token di sicurezza e quell'utente può gestire FileVault e fornire token sicuri ad altri utenti.

Dato che voglio utilizzare FileVault, ho anche provato a riformattare il disco principale con un file system crittografato, reinstallando MacOS e ripristinando dal backup della macchina del tempo. Ha funzionato, FileVault è abilitato, ma ora devo inserire la password del disco ogni volta che il computer si avvia (prima della schermata di accesso). Non voglio questo, voglio sbloccare il disco con una password utente.

Cosa posso fare per ottenere un utente amministratore con un token sicuro?

Come hai formattato Fusion Drive: APFS o CoreStorage (APFS non dovrebbe funzionare anche se senza qualche hacking)?Il tuo iMac è associato a un ambiente AD?
@klanomath È un FusionDrive con HFS +.Nessun annuncio, questo è solo un normale iMac, acquistato da Apple Store, disimballato, acceso, utente amministratore locale creato ed eccoci qui.
Sei risposte:
Justin
2018-07-31 00:28:07 UTC
view on stackexchange narkive permalink

Sono appena migrato a un nuovo MacBook Pro 2018 e in qualche modo il mio account originale (un utente amministratore) è stato creato senza un token di sicurezza durante la migrazione. Ho anche provato a creare un nuovo utente amministratore, ad accedere a quell'utente e a provare a eseguire sysadminctl -secureTokenOn justin -password - ma ottenendo:

2018-07-30 14: 17: 56.552 sysadminctl [886: 18232] L'operazione non è consentita senza token di sblocco sicuro.

Quindi ho provato quanto segue fornendo i flag adminUser e adminPassword come mio utente originale justin :

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

Inserisci la password per justin:

Inserisci la password per Justin K:

2018-07-30 14: 31: 05.262 sysadminctl [998: 49031] setSecureTokenAuthorizationEnabled errore Domain = com.apple.OpenDirectory Code = 5101 "Il server di autenticazione ha rifiutato l'operazione perché le credenziali correnti non sono autorizzate per l'operazione richiesta." UserInfo = {NSLocalizedDescription = Il server di autenticazione ha rifiutato l'operazione perché le credenziali correnti non sono autorizzate per l'operazione richiesta., NSLocalizedFailureReason = Il server di autenticazione ha rifiutato l'operazione perché le credenziali correnti non sono autorizzate per l'operazione richiesta.}

Essenzialmente sembra che, poiché nessuno dei miei utenti dispone di un token sicuro, non esiste alcun modo per garantire un token sicuro . L'unico inconveniente è il seguente:

  • Quando avvio a freddo la macchina, devo inserire una password di decrittografia del disco, che si traduce nell'immissione della mia password due volte (una per la decrittografia del disco e una per l'account utente) .

  • Quando provo a disattivare FileVault facendo clic sul pulsante non succede nulla. Lo stesso comportamento quando si fa clic sul pulsante di avviso "Alcuni utenti non sono in grado di sbloccare il disco [Abilita utenti ...]" non accade nulla.

enter image description here

Esattamente come la mia situazione.Installa in volume crittografato e attendi un aggiornamento.(vedi la mia risposta)
Stessa situazione esatta qui
-adminUser -adminPassword ha fatto il trucco per me!
Se non hai adminUser e adminPassword (o quelli che hai non sono sincronizzati con APFS), una cosa che puoi fare è usare Recovery per rimuovere; SecureToken;da AuthenticationAuthority di tutti gli utenti (se ce l'hanno) usando `dscl`, quindi usa` resetFileVaultpassword` per ottenere un nuovo SecureToken per te stesso.
jrc
2019-04-02 22:13:29 UTC
view on stackexchange narkive permalink

Mi sono trovato in questa situazione. Penso che ciò sia dovuto al fatto che ho eseguito un'installazione pulita del sistema operativo mentre FileVault era abilitato, quindi gli utenti non sono stati migrati.

Di conseguenza, le Preferenze di Sistema si sono lamentate del fatto che "Alcuni utenti non sono in grado di sbloccare il disco" ma facendo clic su "Abilita utenti" non ha fatto nulla, sysadminctl -secureTokenStatus jrc (il mio utente principale) ha detto "DISABILITATO" e sysadminctl -secureTokenOn ... era inutile.

Un indizio è venuto dal fatto che fdesetup list -extended riportava una voce "Utente sconosciuto". Quindi ho risolto il problema creando un nuovo utente, cambiando l'UUID di quell'utente in quello dell'utente sconosciuto e usando quel nuovo utente per aggiustare il mio utente esistente. Ciò ha richiesto un passaggio alla modalità di ripristino (o modalità utente singolo) poiché l'archivio dei servizi di directory è protetto da System Integrity Protection (SIP).

  1. Prendi nota dell'UUID degli utenti sconosciuti riportati da sudo fdesetup list -extended .
  2. In Preferenze di Sistema> Utenti & Gruppi, crea un nuovo utente amministratore (denominato admin in questo esempio) utilizzando la stessa password del tuo account utente principale.
  3. Avvia in modalità di ripristino e modifica l ' GeneratedUID dell'utente appena creato in modo che corrisponda all'UUID precedente. Questo può essere fatto aprendo il menu Utilità> Terminale in modalità di ripristino, quindi eseguendo dscl -f "/ Volumes / Macintosh HD / var / db / dslocal / nodes / Default" localonly -changei / Local / Default / Users / admin UID generato 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065 . Sostituisci il nome del volume, il nome utente e l'UUID come appropriato. Tutto fa distinzione tra maiuscole e minuscole.
  4. Riavvia normalmente. sysadminctl -secureTokenStatus admin dovrebbe ora riportare "ENABLED". (Yay!)
  5. sudo fdesetup add -usertoadd jrc . Quando richiesto, inserisci le credenziali dell'utente amministratore di cui sopra.
  6. Infine, esegui diskutil apfs updatePreboot / per correggere la grafica di avvio.

Alcuni link correlati che ho trovato utili:

Grazie.Sono riuscito a seguire le tue indicazioni, ma ho dovuto aggiungere un passaggio in più.Dopo il riavvio, apri Directory Utility, trova l'utente `admin`, aggiungi in` AuthenticationAuthority` seguendo: `; SecureToken;` (nota lo spazio prima del primo `;`).Dopo aver fatto questo, ho ottenuto "Il token di sicurezza è ABILITATO per l'utente admin".
Questa è l'unica soluzione che ha funzionato per me.Ho avuto una situazione simile dopo aver installato Catalina tramite un backup avviabile e sono rimasto con lo stesso "Utente sconosciuto".Ho seguito queste istruzioni e le cose hanno funzionato a meraviglia.Grazie!
grg
2018-01-28 22:19:37 UTC
view on stackexchange narkive permalink

Sembra che tu abbia riscontrato un bug, dal momento che dovresti ricevere un token sicuro quando ...

  1. Il token di sicurezza viene attivato automaticamente per l'account utente creato dall'assistente di configurazione di Apple.
  2. L'account utente creato da Setup Assistant con Secure Token crea quindi altri utenti tramite il pannello delle preferenze Users & Groups nelle Preferenze di Sistema. Questi account ottengono automaticamente il proprio token di sicurezza.

Token protetto e FileVault su file system Apple - Der Flounder

Per concedere manualmente un token sicuro, esegui 

  sysadminctl -secureTokenOn yourusername -password -

dove yourusername è il nome utente dell'utente a cui desideri concedere un token sicuro. Non dimenticare anche il trattino alla fine! Don't usa sudo.

Per prima cosa ti verrà chiesto di "sbloccare" le preferenze degli utenti & Gruppi fornendo le credenziali di amministratore alla finestra di dialogo della GUI, quindi ti verrà richiesta la password per l'account a cui desideri dare un token sulla CLI.

La concessione di un token sicuro con `sysadminctl -secureTokenOn yourusername -password -` richiede un token sicuro e diritti di amministratore, quindi non può essere utilizzato per avviare il primo account con un token sicuro.
Questa è la stessa situazione in cui mi trovo io. Il mio utente principale / unico non aveva un token sicuro e creando un nuovo utente amministratore non ha nemmeno token.Non ho utenti con token sicuri. Sono passato a un nuovo Mac utilizzando l'assistente di migrazione (dopo un ripristino di Time Capsule non riuscito ...).L'unico segno di problemi è stato alla fine della migrazione che ho ricevuto un errore che diceva che "Il mio nome" non poteva essere creato.Strano.
Alex Weinstein
2018-09-03 19:04:57 UTC
view on stackexchange narkive permalink

Sono riuscito a farlo funzionare.In primo luogo, diagnoze che hai lo stesso problema.Esegui: 

  sysadminctl -secureTokenStatus <username>

Se mostra "token sicuro disabilitato" e non ci sono altri utenti sul sistema che lo hanno abilitato, è necessario eseguire questo ballo.

Forza l'esecuzione della procedura guidata di configurazione di Apple alla tua prossima installazione eseguendo: 

  sudo rm /var/db/.AppleSetupDone

E riavvia il computer.Al termine del riavvio, accedi come nuovo amministratore e crea un nuovo utente amministratore;con quell'utente, vai su Impostazioni |Sicurezza & Privacy |File Vault e concedi all'utente effettivo i privilegi per sbloccare il file system.Eseguilo di nuovo, ora dovrebbe indicare abilitato per il tuo utente effettivo: 

  sysadminctl -secureTokenStatus <username>
Qualcuno l'ha provato?Sono poco preoccupato di chiudermi fuori.
L'ho fatto e non ha funzionato, da quello che ho capito solo gli account che hanno un token sicuro possono abilitare altri account
Questo sicuramente può essere fatto funzionare (almeno su 10.13.6).Rimuovere il file .AppleSetupDone riavviare e quindi creare un * nuovo * account (che avrà il token).Riavvia e accedi come quell'utente.Dovresti quindi essere in grado di abilitare i vecchi account in "Sicurezza e privacy -> FileVault".Riavvia.I vecchi account non mi sono venuti fuori immediatamente, quindi non sono sicuro di quale delle seguenti opzioni lo abbia attivato.Forse accedendo come il vecchio account o forse eseguendo "fdesetup add --usertoadd " ecc. In seguito.Ma ha funzionato.Dovresti quindi essere in grado di eliminare il nuovo account.
Non ha funzionato per me in 10.14.5.
Thomas
2018-03-05 11:29:02 UTC
view on stackexchange narkive permalink

In questa risposta descriverò la mia risoluzione della situazione:

  1. Ho contattato AppleCare e insieme abbiamo provato varie cose come reinstallare MacOS High Sierra e provare ad abilitare FileVault prima della migrazione di qualsiasi dato utente. Questa operazione non è riuscita.
  2. Internet Recovery su questo Mac installa MacOS Sierra e su MacOS Sierra FileVault può essere abilitato. (Questo indica chiaramente un problema software) È quindi possibile eseguire l'aggiornamento a High Sierra e utilizzare l'Assistente migrazione per recuperare i dati dell'utente. Il problema è che in questa situazione solo gli utenti che sono stati creati in Sierra possono sbloccare il disco, non gli utenti migrati o creati dopo la migrazione.
  3. AppleCare ha cercato di riprodurre il mio problema su un iMac simile con Fusion Drive e non ci è riuscito. Si sono offerti di guardarlo di persona, ma il prossimo negozio è abbastanza lontano, quindi non ho scelto questa opzione.
  4. Dato che il riavvio del computer non avviene così spesso, mi sono accontentato della soluzione per installare High Sierra all'interno di un volume crittografato sin dall'inizio. Funziona, ma porta alla situazione in cui devi inserire la password di decrittazione ogni volta che il computer si avvia.
  5. Dopo aver installato l'ultimo aggiornamento supplementare, il boot loader è stato probabilmente riscritto o qualcosa del genere, ora mi trovo in una situazione in cui dopo il primo avvio viene visualizzata una schermata in cui entrambi gli utenti possono accedere o posso sbloccare il disco. Assomiglia a questo: enter image description here In questa schermata entrambi gli utenti possono accedere e quindi sbloccare il disco. La terza opzione è sbloccare il disco su cui viene presentata un'altra schermata di accesso con solo i due utenti.

Ciò significa che il problema è sostanzialmente risolto, tranne per il fatto che c'è questo strano elemento di login, ma beh ...

Ho anche confermato con il supporto Apple che la situazione del token di sicurezza descritta nella domanda è molto probabilmente irrilevante perché i token di sicurezza riguardano APFS e questo è un Mac con Fusion Drive.

Chains
2018-10-16 16:30:12 UTC
view on stackexchange narkive permalink

Ho lo stesso problema e la rimozione del file AppleSetupDone e il riavvio per forzare la creazione di un nuovo account amministratore non danno un token al nuovo account.L'unica cosa che ha funzionato è stato il backup del profilo utente, l'appiattimento della macchina e l'esecuzione di una nuova installazione di High Sierra da una USB avviabile, non esattamente l'ideale quando ho un sacco di Mac da aggiornare alla 10.13.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...