Question:
Qu'est-ce qu'un jeton sécurisé et comment obtenir un utilisateur administrateur qui en possède un
Thomas
2018-01-25 03:20:18 UTC
view on stackexchange narkive permalink

J'ai un iMac 2017 avec un FusionDrive sur lequel FileVault ne peut pas être activé. La situation est résumée dans ce post reddit. Le problème se résume à: je n'ai aucun utilisateur administrateur qui possède un jeton sécurisé et il semble que je ne puisse pas en obtenir un. Cela peut être confirmé en exécutant:

sysadminctl interactive -secureTokenStatus USER_NAME

pour chaque utilisateur. Il revient toujours avec

Le jeton sécurisé est DÉSACTIVÉ pour l'utilisateur USER_NAME

La première configuration à partir des paramètres d'usine n'a pas abouti à un utilisateur avec un jeton sécurisé, et j'ai essayé de:

  • Supprimez /var/db/.AppleSetupDone pour configurer un nouveau compte administrateur. Résultat: un nouveau compte administrateur qui slo n'a pas de jeton.
  • Réinstaller MacOS High Sierra: le premier utilisateur administrateur créé ne possède pas de jeton sécurisé.

Il semble que ce soit intentionnel (à cause du Fusion Drive?) ou un bogue dans High Sierra. Avec exactement la même procédure sur un Macbook Pro 2017, j'obtiens un utilisateur administrateur avec un jeton sécurisé et cet utilisateur peut gérer FileVault et donner des jetons sécurisés à d'autres utilisateurs.

Puisque je souhaite utiliser FileVault, j'ai également essayé de reformater le disque principal avec un système de fichiers chiffré, en réinstallant MacOS et en restaurant à partir de la sauvegarde de Time Machine. Cela a fonctionné, FileVault est activé, mais maintenant je dois entrer le mot de passe du disque à chaque démarrage de l'ordinateur (avant l'écran de connexion). Je ne veux pas de ça, je veux déverrouiller le disque avec un mot de passe utilisateur.

Que puis-je faire pour obtenir un utilisateur administrateur avec un jeton sécurisé?

Comment avez-vous formaté le Fusion Drive: APFS ou CoreStorage (APFS ne devrait pas fonctionner sans un piratage)?Votre iMac est-il lié à un environnement AD?
@klanomath C'est un FusionDrive avec HFS +.Pas de publicité, c'est juste un iMac normal, acheté sur Apple Store, déballé, allumé, utilisateur administrateur local créé et nous y sommes.
Six réponses:
#1
+7
Justin
2018-07-31 00:28:07 UTC
view on stackexchange narkive permalink

Je viens de migrer vers un nouveau MacBook Pro 2018 et, d'une manière ou d'une autre, mon compte d'origine (un utilisateur administrateur) a été créé sans jeton sécurisé pendant la migration. J'ai même essayé de créer un nouvel utilisateur administrateur, de me connecter à cet utilisateur et d'essayer d'exécuter sysadminctl -secureTokenOn justin -password - mais en obtenant:

2018-07-30 14: 17: 56.552 sysadminctl [886: 18232] L'opération n'est pas autorisée sans le déverrouillage sécurisé des jetons.

J'ai donc essayé ce qui suit en fournissant les indicateurs adminUser et adminPassword comme mon utilisateur d'origine justin :

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

Saisissez le mot de passe de Justin:

Entrez le mot de passe de Justin K:

2018-07-30 14: 31: 05.262 sysadminctl [998: 49031] setSecureTokenAuthorizationEnabled error Error Domain = com.apple.OpenDirectory Code = 5101 "Le serveur d'authentification a refusé l'opération car les informations d'identification actuelles ne sont pas autorisées pour l'opération demandée." UserInfo = {NSLocalizedDescription = Le serveur d'authentification a refusé l'opération car les informations d'identification actuelles ne sont pas autorisées pour l'opération demandée., NSLocalizedFailureReason = Le serveur d'authentification a refusé l'opération car les informations d'identification actuelles ne sont pas autorisées pour l'opération demandée.}

Essentiellement, il semble qu'aucun de mes utilisateurs ne dispose d'un jeton sécurisé, il n'existe aucun moyen pour d'accorder un jeton sécurisé. Le seul inconvénient est le suivant:

  • Lors du démarrage à froid de la machine, je dois saisir un mot de passe de décryptage de disque, ce qui entraîne la saisie de mon mot de passe deux fois (une fois pour le décryptage du disque et une fois pour le compte utilisateur) .

  • Lorsque j'essaie de désactiver FileVault en cliquant sur le bouton, rien ne se passe. Le même comportement en cliquant sur le bouton d'avertissement "Certains utilisateurs ne peuvent pas déverrouiller le disque [Activer les utilisateurs ...]" rien ne se passe.

enter image description here

Exactement comme ma situation.Installez dans un volume chiffré et attendez une mise à jour.(voir ma réponse)
Même situation exacte ici
-adminUser -adminPassword a fait l'affaire pour moi!
Si vous n'avez aucun adminUser et adminPassword (ou ceux que vous avez sont désynchronisés avec APFS), une chose que vous pouvez faire est d'utiliser Recovery pour supprimer; SecureToken;de AuthenticationAuthority de tous les utilisateurs (s'ils l'ont) en utilisant `dscl`, puis utilisez` resetFileVaultpassword` pour obtenir un nouveau SecureToken brillant pour vous-même.
#2
+3
jrc
2019-04-02 22:13:29 UTC
view on stackexchange narkive permalink

Je me suis retrouvé dans cette situation. Je pense que c'est parce que j'ai fait une installation propre du système d'exploitation alors que FileVault était activé, donc les utilisateurs n'ont pas été migrés.

En conséquence, les Préférences Système se sont plaints "Certains utilisateurs ne sont pas en mesure de déverrouiller le disque" mais le fait de cliquer sur "Activer les utilisateurs" n'a rien fait, sysadminctl -secureTokenStatus jrc (mon utilisateur principal) a dit "DISABLED", et sysadminctl -secureTokenOn ... était inutile.

Un indice est venu du fait que fdesetup list -extended a signalé une entrée "Utilisateur inconnu". J'ai donc résolu le problème en créant un nouvel utilisateur, en changeant l'UUID de cet utilisateur en celui de l'utilisateur inconnu et en utilisant ce nouvel utilisateur pour réparer mon utilisateur existant. Cela nécessitait un passage en mode de récupération (ou en mode mono-utilisateur) car le magasin des services d'annuaire est protégé par la protection de l'intégrité du système (SIP).

  1. Notez l'UUID du ou des utilisateurs inconnus signalés dans sudo fdesetup list -extended .
  2. Dans Préférences Système> Groupes Utilisateurs &, créez un nouvel utilisateur administrateur (nommé admin dans cet exemple) en utilisant le même mot de passe que votre compte d'utilisateur principal.
  3. Démarrez en mode de récupération et changez le GeneratedUID de l'utilisateur nouvellement créé pour qu'il corresponde à l'UUID ci-dessus. Cela peut être fait en ouvrant le menu Utilitaires> Terminal en mode de récupération, puis en exécutant dscl -f "/ Volumes / Macintosh HD / var / db / dslocal / nodes / Default" localonly -changei / Local / Default / Users / admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065 . Remplacez votre nom de volume, nom d'utilisateur et UUID selon le cas. Tout est sensible à la casse.
  4. Redémarrez normalement. sysadminctl -secureTokenStatus admin devrait maintenant signaler "ENABLED". (Ouais!)
  5. sudo fdesetup ajouter -usertoadd jrc . Lorsque vous y êtes invité, entrez les informations d'identification de l'utilisateur administrateur ci-dessus.
  6. Enfin, exécutez diskutil apfs updatePreboot / pour corriger les graphiques de démarrage.

Quelques liens connexes que j'ai trouvés utiles:

Merci.J'ai pu suivre vos instructions, mais j'ai dû ajouter une étape supplémentaire.Après le redémarrage, ouvrez l'utilitaire de répertoire, recherchez l'utilisateur `admin`, ajoutez dans` AuthenticationAuthority` suivant: `; SecureToken;` (notez l'espace avant le premier `;`).Après avoir fait cela, j'ai obtenu "Le jeton sécurisé est ACTIVÉ pour l'administrateur utilisateur".
C'est la seule solution qui a fonctionné pour moi.J'ai eu une situation similaire après avoir installé Catalina via une sauvegarde amorçable et je me suis retrouvé avec le même «utilisateur inconnu».J'ai suivi ces instructions et les choses ont fonctionné comme un charme.Merci!
#3
+2
grg
2018-01-28 22:19:37 UTC
view on stackexchange narkive permalink

Il semble que vous ayez rencontré un bogue, car vous devriez recevoir un jeton sécurisé lorsque…

  1. Secure Token est automatiquement activé pour le compte utilisateur créé par l'assistant de configuration d'Apple.
  2. Le compte utilisateur créé par l'Assistant de configuration avec Secure Token crée ensuite d'autres utilisateurs via le volet de préférences Users & Groups dans les Préférences Système. Ces comptes reçoivent automatiquement leur propre jeton sécurisé.

Secure Token et FileVault sur Apple File System - Der Flounder

Pour accorder manuellement un jeton sécurisé, exécutez

  sysadminctl -secureTokenSur votre nom d'utilisateur -password -
 

yourusername est le nom d'utilisateur de l'utilisateur auquel vous souhaitez accorder un jeton sécurisé. N'oubliez pas non plus le trait d'union à la fin! Don't utilise sudo.

Vous serez d'abord invité à «déverrouiller» les préférences des utilisateurs & Groups en fournissant les informations d'identification d'administrateur dans la boîte de dialogue GUI, puis vous serez invité à entrer le mot de passe du compte auquel vous souhaitez donner un jeton sur la CLI.

L'octroi d'un jeton sécurisé avec `sysadminctl -secureTokenOn yourusername -password -` nécessite un jeton sécurisé et des droits d'administrateur, il ne peut donc pas être utilisé pour amorcer le premier compte avec un jeton sécurisé.
C'est la même situation dans laquelle je suis. Mon utilisateur principal / unique n'avait pas de jeton sécurisé et en créant un nouvel utilisateur administrateur, il n'a pas non plus de jeton.Je n'ai aucun utilisateur avec des jetons sécurisés. J'ai migré vers un nouveau mac à l'aide de l'assistant de migration (après l'échec de la restauration de Time Capsule ...).Le seul signe de problème était qu'à la fin de la migration, j'ai eu une erreur indiquant que "Mon nom" ne pouvait pas être créé.Bizarre.
#4
+2
Alex Weinstein
2018-09-03 19:04:57 UTC
view on stackexchange narkive permalink

J'ai pu faire ce travail.Tout d'abord, diagnostiquez que vous avez le même problème.Exécuter:

  sysadminctl -secureTokenStatus <username>
 

S'il indique «jeton sécurisé désactivé» et qu'aucun autre utilisateur du système ne l'a activé, vous devez effectuer cette danse.

Forcer l'assistant de configuration Apple à s'exécuter lors de votre prochaine installation en exécutant:

  sudo rm /var/db/.AppleSetupDone
 

Et redémarrez votre ordinateur.Une fois le redémarrage terminé, connectez-vous en tant que nouvel administrateur et créez un nouvel utilisateur administrateur;avec cet utilisateur, allez dans Paramètres |Sécurité & Confidentialité |File Vault et accordez à votre utilisateur réel les privilèges nécessaires pour déverrouiller le système de fichiers.Exécutez à nouveau, il devrait maintenant être activé pour votre utilisateur réel:

  sysadminctl -secureTokenStatus <username>
 
Quelqu'un a essayé ça?Je ne crains guère de m'enfermer.
J'ai fait cela et cela n'a pas fonctionné, d'après ce que je comprends, seuls les comptes qui ont un jeton sécurisé peuvent activer d'autres comptes
Cela peut certainement être fait pour fonctionner (au moins sur 10.13.6).Supprimez le redémarrage du fichier .AppleSetupDone, puis créez un * nouveau * compte (qui aura le jeton).Redémarrez et connectez-vous en tant que cet utilisateur.Vous devriez alors pouvoir activer les anciens comptes dans «Sécurité et confidentialité -> FileVault».Redémarrez.Les anciens comptes ne sont pas apparus pour moi immédiatement, donc je ne sais pas lequel des éléments suivants l'a déclenché.Peut-être que vous vous connectez avec l'ancien compte ou que vous exécutez 'fdesetup add --usertoadd ', etc.Mais cela a fonctionné.Vous devriez alors pouvoir supprimer le nouveau compte.
Cela n'a pas fonctionné pour moi dans 10.14.5.
#5
+1
Thomas
2018-03-05 11:29:02 UTC
view on stackexchange narkive permalink

Dans cette réponse, je vais décrire ma résolution de la situation:

  1. J'ai contacté AppleCare et ensemble nous avons essayé diverses choses comme la réinstallation de MacOS High Sierra et l'activation de FileVault avant la migration de toute donnée utilisateur. Cela n'a pas réussi.
  2. La récupération Internet sur ce Mac installe MacOS Sierra et dans MacOS Sierra FileVault peut être activée. (Cela indique clairement un problème logiciel) On peut ensuite mettre à jour vers High Sierra et utiliser l'assistant de migration pour récupérer les données utilisateur. Le problème est que dans cette situation, seuls les utilisateurs créés dans Sierra peuvent déverrouiller le disque, et non les utilisateurs migrés ou créés après la migration.
  3. AppleCare a essayé de reproduire mon problème sur un iMac similaire avec Fusion Drive et ils ne l'ont pas pu. Ils ont proposé de le regarder en personne, mais le magasin suivant est assez loin en voiture, je n'ai donc pas opté pour cette option.
  4. Comme le redémarrage de l'ordinateur ne se produit pas si souvent, je me suis contenté de la solution pour installer High Sierra dans un volume chiffré dès le début. Cela fonctionne, mais conduit à la situation où vous devez entrer le mot de passe de déchiffrement à chaque démarrage de l'ordinateur.
  5. Après avoir installé la dernière mise à jour supplémentaire, le chargeur de démarrage a probablement été réécrit ou quelque chose du genre, je suis maintenant dans une situation où, après le premier démarrage, un écran apparaît dans lequel les deux utilisateurs peuvent se connecter, ou je peux déverrouiller le disque. Cela ressemble à ceci: enter image description here Sur cet écran, les deux utilisateurs peuvent se connecter et ainsi déverrouiller le disque. La troisième option consiste à déverrouiller le disque sur lequel un autre écran de connexion avec uniquement les deux utilisateurs est présenté.

Cela signifie que le problème est fondamentalement résolu, sauf qu'il y a cet étrange élément de connexion, mais bon ...

J'ai également confirmé avec l'assistance Apple que la situation des jetons sécurisés décrite dans la question n'est probablement pas pertinente car les jetons sécurisés appartiennent à APFS et qu'il s'agit d'un Mac avec un Fusion Drive.

#6
  0
Chains
2018-10-16 16:30:12 UTC
view on stackexchange narkive permalink

J'ai le même problème et la suppression du fichier AppleSetupDone et le redémarrage pour forcer la création d'un nouveau compte administrateur ne donnent pas de jeton au nouveau compte.La seule chose qui a fonctionné a été de sauvegarder le profil utilisateur, d'aplatir la machine et de faire une nouvelle installation de High Sierra à partir d'une clé USB amorçable, ce qui n'est pas vraiment idéal lorsque j'ai beaucoup de Mac à mettre à niveau vers la 10.13.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...