Что такое безопасный токен и как я могу получить администраторов, у которых есть один

У меня есть iMac 2017 с FusionDrive, на котором FileVault нельзя включить. Ситуация суммируется в этом сообщении reddit . Проблема сводится к: у меня нет администратора, у которого есть безопасный токен, и похоже, что я не могу его получить. Это можно подтвердить, выполнив:

sysadminctl interactive -secureTokenStatus USER_NAME

для каждого пользователя. Он всегда возвращается с

Secure token is DISABLED for user USER_NAME

Первая настройка с заводских настроек не привела к пользователю с помощью Secure Token, и я попытался:

  • Удалить /var/db/.AppleSetupDone, чтобы настроить новую учетную запись администратора. Результат: новая учетная запись администратора, в которой slo не имеет токена.
  • Переустановка MacOS High Sierra: первый созданный пользователь admin не имеет безопасного токена.

Кажется, что это либо намеренно (из-за Fusion Drive?), либо ошибка в High Sierra. С такой же процедурой на Macbook Pro 2017 я получаю пользователя-администратора с помощью Secure Token, и этот пользователь может управлять FileVault и предоставлять безопасные токены другим пользователям.

Поскольку я хочу использовать FileVault, я также попытался переформатировать основной диск с зашифрованной файловой системой, переустановить MacOS и восстановить из резервной копии машины времени. Это сработало, FileVault включен, но теперь я должен вводить пароль на диск каждый раз, когда компьютер загружается (перед экраном входа). Я не хочу этого, я хочу разблокировать диск с помощью пароля пользователя.

Что я могу сделать, чтобы получить администратора с безопасным токеном?

6 голосов | спросил Thomas 25 Jam1000000amThu, 25 Jan 2018 00:20:17 +030018 2018, 00:20:17

5 ответов


2

Кажется, вы столкнулись с ошибкой, так как вам должен быть предоставлен защищенный токен, когда ...

  
  1. Защищенный токен автоматически активируется для учетной записи пользователя, созданной помощником по настройке Apple.
  2.   
  3. Созданная учетной записью пользователя Setup Assistant с помощью Secure Token затем создает других пользователей через Users & Панель предпочтений групп в системных настройках. Эти учетные записи автоматически получают свой собственный Secure Token.
  4.   

Безопасный токен и FileVault в файловой системе Apple - Der Flounder

Чтобы вручную предоставить защищенный токен, запустите

sysadminctl -secureTokenOn yourusername -password -

где yourusername - это имя пользователя, которому вы хотите предоставить безопасный токен. Не забывайте и дефис в конце! Не использовать sudo.

Сначала вам будет предложено «разблокировать» пользователей и amp; Предпочтения групп, предоставив учетные данные администратора в графическом интерфейсе, затем вам будет предложено ввести пароль для учетной записи, которую вы хотите предоставить токен в CLI.

ответил grg 28 Jpm1000000pmSun, 28 Jan 2018 19:19:37 +030018 2018, 19:19:37
1

В этом ответе я изложу свое решение ситуации:

  1. Я связался с AppleCare, и вместе мы пробовали разные вещи, такие как переустановка MacOS High Sierra и попытка включить FileVault перед переносом любых пользовательских данных. Это не удается.
  2. Восстановление Интернета на этом Mac устанавливает MacOS Sierra и в MacOS Sierra FileVault можно включить. (Это явно указывает на проблему с программным обеспечением). Затем можно обновить до High Sierra и использовать помощника миграции, чтобы вернуть данные пользователя. Проблема в том, что в этой ситуации только пользователи, созданные в Сьерра, могут разблокировать диск, а не какие-либо пользователи, перенесенные или созданные после миграции.
  3. AppleCare попыталась воспроизвести мою проблему на аналогичном iMac с помощью Fusion Drive, и они не смогли. Они предложили посмотреть на нее лично, но следующий магазин находится в достаточном количестве, поэтому я не пошел на этот вариант.
  4. Так как перезагрузка компьютера происходит не так часто, я решил решить проблему установки High Sierra внутри тома, который зашифрован с самого начала. Это работает, но приводит к ситуации, когда вы должны вводить пароль дешифрования каждый раз, когда компьютер загружается.
  5. После установки последнего дополнительного обновления загрузчик, вероятно, был перезаписан или что-то еще, теперь я в ситуации, когда после первой загрузки появляется экран, в котором оба пользователя могут войти в систему, или я могу разблокировать диск. Это выглядит так: введите описание изображения здесь На этом экране пользователи могут войти в систему и тем самым разблокировать диск. Третий вариант - разблокировать диск, на котором будет показан другой экран входа в систему только с двумя пользователями.

Это означает, что проблема в основном решена, за исключением того, что есть этот странный элемент входа, но хорошо ...

Я также подтвердил с поддержкой Apple, что ситуация Secure Token, описанная в вопросе, скорее всего, не имеет значения, поскольку Secure Tokens относится к APFS, и это Mac с Fusion Drive.

ответил Thomas 5 MaramMon, 05 Mar 2018 08:29:01 +03002018-03-05T08:29:01+03:0008 2018, 08:29:01
1

Просто перенесен на новый MacBook Pro 2018, и как-то моя исходная учетная запись (пользователь admin) была создана без безопасного маркера во время миграции. Я даже попытался создать нового пользователя admin, войти в этот пользователь и попытаться запустить sysadminctl -secureTokenOn justin -password -, но получаю:

  

2018-07-30 14: 17: 56.552 sysadminctl [886: 18232] Операция не разрешена без надежной разблокировки токена.

Итак, я попробовал следующее: adminUser и adminPassword как мой оригинальный пользователь justin:

  

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

     

Введите пароль для justin:

     

Введите пароль для Justin K:

     

2018-07-30 14: 31: 05.262 sysadminctl [998: 49031] setSecureTokenAuthorizationEnabled error Error Domain = com.apple.OpenDirectory Code = 5101 «Сервер аутентификации отказался от операции, поскольку текущие учетные данные не авторизованы для запрошенной операции». UserInfo = {NSLocalizedDescription = сервер аутентификации отказался от операции, поскольку текущие учетные данные не авторизованы для запрошенной операции. NSLocalizedFailureReason = сервер аутентификации отказался от операции, поскольку текущие учетные данные не авторизованы для запрошенной операции.}

По сути, похоже, что, поскольку у моих пользователей нет защищенного токена, не предоставляется безопасный токен . Единственное падение состоит в следующем:

  • При холодном запуске машины я должен ввести пароль для дешифрования диска, в результате чего дважды вводится мой пароль (один раз для дешифрования диска и один раз для учетной записи пользователя) .

  • Когда я пытаюсь отключить FileVault, нажав кнопку, ничего не произойдет. Такое же поведение при нажатии кнопки предупреждения «Некоторые пользователи не могут разблокировать диск [Включить пользователей ...]» ничего не происходит.

 введите описание изображения здесь>> </a> </p></body></html>

ответил Justin 30 J000000Monday18 2018, 22:28:06
1

Я смог выполнить эту работу. Во-первых, поставите диагноз, что у вас такая же проблема. Выполнить:

sysadminctl -secureTokenStatus <username>

Если в нем отображается «защищенный токен», и у вас нет других пользователей в системе, в которых он включен, вам нужно пройти этот танец.

Запустите мастер установки Apple для запуска следующей установки, запустив:

sudo rm /var/db/.AppleSetupDone

И перезагрузите компьютер. После завершения перезапуска войдите в систему как новый администратор и создайте нового пользователя admin; с этим пользователем перейдите в Настройки | Безопасность & Конфиденциальность | File Vault и предоставить реальному пользователю привилегии для разблокировки файловой системы. Запустите это снова, теперь он должен быть включен для вашего фактического пользователя:

sysadminctl -secureTokenStatus <username>
ответил Alex Weinstein 3 rdEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 03 Sep 2018 17:04:57 +0300 2018, 17:04:57
0

У меня такая же проблема, и удаление файла AppleSetupDone и перезагрузка для создания новой учетной записи администратора не дают новой учетной записи токен. Единственное, что сработало, - это резервное копирование профиля пользователя, выравнивание машины и выполнение новой установки High Sierra с загрузочного USB-накопителя, что не совсем идеально, когда у меня загружено множество Mac для обновления до 10.13.

ответил Chains 16 +03002018-10-16T14:30:12+03:00312018bEurope/MoscowTue, 16 Oct 2018 14:30:12 +0300 2018, 14:30:12

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132