Pytanie:
Co to jest bezpieczny token i jak uzyskać administratora, który go ma
Thomas
2018-01-25 03:20:18 UTC
view on stackexchange narkive permalink

Mam iMaca 2017 z FusionDrive, na którym nie można włączyć FileVault. Sytuację podsumowuje ten post na reddicie. Problem sprowadza się do tego: nie mam administratora, który ma bezpieczny token i wygląda na to, że nie mogę go zdobyć. Można to potwierdzić uruchamiając:

sysadminctl interactive -secureTokenStatus USER_NAME

dla każdego użytkownika. Zawsze wraca z

Bezpieczny token jest WYŁĄCZONY dla użytkownika USER_NAME

Pierwsza konfiguracja z ustawień fabrycznych nie spowodowała, że ​​użytkownik miał bezpieczny token i próbowałem:

  • Usuń /var/db/.AppleSetupDone , aby skonfigurować nowe konto administratora. Wynik: nowe konto administratora, które nie ma tokena.
  • Zainstaluj ponownie MacOS High Sierra: pierwszy utworzony administrator nie ma bezpiecznego tokena.

Wygląda na to, że jest to celowe (z powodu Fusion Drive?) lub błąd w High Sierra. Z dokładnie tą samą procedurą na Macbooku Pro 2017 otrzymuję administratora z Bezpiecznym tokenem i ten użytkownik może zarządzać FileVault i przekazywać bezpieczne tokeny innym użytkownikom.

Ponieważ chcę używać FileVault, próbowałem również sformatować dysk główny za pomocą zaszyfrowanego systemu plików, przeinstalować MacOS i przywrócić z kopii zapasowej Time Machine. To zadziałało, funkcja FileVault jest włączona, ale teraz muszę wprowadzać hasło dysku za każdym razem, gdy komputer się uruchamia (przed ekranem logowania). Nie chcę tego, chcę odblokować dysk hasłem użytkownika.

Co mogę zrobić, aby uzyskać administratora z bezpiecznym tokenem?

Jak sformatowałeś Fusion Drive: APFS lub CoreStorage (APFS nie powinien działać bez hakowania)?Czy Twój iMac jest powiązany ze środowiskiem AD?
@klanomath Jest to FusionDrive z HFS +.Brak reklamy, to zwykły iMac, kupiony w sklepie Apple, rozpakowany, włączony, utworzony lokalny administrator i gotowe.
Sześć odpowiedzi:
Justin
2018-07-31 00:28:07 UTC
view on stackexchange narkive permalink

Właśnie przeprowadziłem migrację na nowego MacBooka Pro 2018 i w jakiś sposób moje oryginalne konto (użytkownik będący administratorem) zostało utworzone bez bezpiecznego tokena podczas migracji. Próbowałem nawet utworzyć nowego administratora, logując się do tego użytkownika i próbując uruchomić sysadminctl -secureTokenOn justin -password - , ale otrzymałem:

2018-07-30 14: 17: 56.552 sysadminctl [886: 18232] Operacja nie jest dozwolona bez bezpiecznego odblokowania tokenem.

Następnie wypróbowałem następujące, podając flagi adminUser i adminPassword jako mojego oryginalnego użytkownika justin :

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

Wprowadź hasło dla justina:

Wprowadź hasło dla Justina K:

2018-07-30 14: 31: 05.262 sysadminctl [998: 49031] setSecureTokenAuthorizationEnabled error Error Domain = com.apple.OpenDirectory Code = 5101 „Serwer uwierzytelniania odmówił operacji, ponieważ bieżące poświadczenia nie są autoryzowane dla żądanej operacji.” UserInfo = {NSLocalizedDescription = Serwer uwierzytelniania odrzucił operację, ponieważ bieżące poświadczenia nie są autoryzowane dla żądanej operacji., NSLocalizedFailureReason = Serwer uwierzytelniania odrzucił operację, ponieważ bieżące poświadczenia nie są autoryzowane dla żądanej operacji.}

Zasadniczo wydaje się, że ponieważ żaden z moich użytkowników nie ma bezpiecznego tokena, istnieje dpowiedni sposób przyznania bezpiecznego tokena. Jedyny minus jest następujący:

  • Kiedy uruchamiam komputer na zimno, muszę wprowadzić hasło odszyfrowywania dysku, co powoduje dwukrotne wprowadzenie hasła (raz do odszyfrowania dysku i raz do konta użytkownika) .

  • Gdy próbuję wyłączyć FileVault, klikając przycisk, nic się nie dzieje. To samo zachowanie po kliknięciu przycisku ostrzegawczego „Niektórzy użytkownicy nie mogą odblokować dysku [Włącz użytkowników ...]” nic się nie dzieje.

enter image description here

Dokładnie tak, jak moja sytuacja.Zainstaluj w zaszyfrowanym woluminie i poczekaj na aktualizację.(zobacz moją odpowiedź)
Ta sama dokładna sytuacja tutaj
-adminUser -adminPassword załatwiło mi sprawę!
Jeśli nie masz żadnego adminUser i adminPassword (lub te, które masz nie są zsynchronizowane z APFS), jedną rzeczą, którą możesz zrobić, jest użycie Recovery, aby usunąć; SecureToken;z AuthenticationAuthority wszystkich użytkowników (jeśli je posiadają) przy użyciu `dscl`, a następnie użyj` resetFileVaultpassword`, aby uzyskać nowy, błyszczący SecureToken dla siebie.
jrc
2019-04-02 22:13:29 UTC
view on stackexchange narkive permalink

Znalazłem się w takiej sytuacji. Myślę, że było tak, ponieważ wykonałem czystą instalację systemu operacyjnego, gdy włączona była funkcja FileVault, więc użytkownicy nie zostali poddani migracji.

W związku z tym w Preferencjach systemowych pojawił się komunikat „Niektórzy użytkownicy nie mogą odblokować dysku”, ale kliknięcie przycisku „Włącz użytkowników” nic nie zrobiło, sysadminctl -secureTokenStatus jrc (mój główny użytkownik) powiedział „WYŁĄCZONE”, a sysadminctl -secureTokenOn ... był bezużyteczny.

Wskazówka pochodzi z faktu, że fdesetup list -extended zgłosił wpis „Nieznany użytkownik”. Dlatego rozwiązałem problem, tworząc nowego użytkownika, zmieniając identyfikator UUID tego użytkownika na nieznanego użytkownika i używając tego nowego użytkownika do naprawy istniejącego użytkownika. Wymagało to przejścia do trybu odzyskiwania (lub trybu pojedynczego użytkownika), ponieważ magazyn usług katalogowych jest chroniony przez ochronę integralności systemu (SIP).

  1. Zanotuj UUID nieznanych użytkowników zgłoszonych z sudo fdesetup list -extended .
  2. W Preferencjach systemowych> Użytkownicy & Grupy utwórz nowego użytkownika administratora (w tym przykładzie o nazwie admin ), używając tego samego hasła, co w przypadku głównego konta użytkownika.
  3. Uruchom komputer w trybie odzyskiwania i zmień GeneratedUID nowo utworzonego użytkownika, aby odpowiadał powyższemu identyfikatorowi UUID. Można to zrobić, otwierając menu Narzędzia> Terminal w trybie odzyskiwania, a następnie uruchamiając dscl -f "/ Volumes / Macintosh HD / var / db / dslocal / nodes / Default" localonly -changei / Local / Default / Users / admin Wygenerowany UID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065 . Zastąp odpowiednio nazwę woluminu, nazwę użytkownika i UUID. We wszystkich rozróżniana jest wielkość liter.
  4. Uruchom ponownie normalnie. sysadminctl -secureTokenStatus admin powinien teraz zgłaszać „ENABLED”. (Yay!)
  5. sudo fdesetup add -usertoadd jrc . Po wyświetleniu monitu wprowadź dane uwierzytelniające powyższego użytkownika będącego administratorem.
  6. Na koniec uruchom diskutil apfs updatePreboot / , aby naprawić grafikę rozruchową.

Kilka powiązanych linków, które okazały się pomocne:

Dzięki.Mogłem postępować zgodnie z twoimi wskazówkami, ale musiałem dodać jeden dodatkowy krok.Po ponownym uruchomieniu otwórz Narzędzie katalogowe, znajdź użytkownika `admin` i dodaj do` AuthenticationAuthority` następujący tekst: `; SecureToken;` (miejsce na notatki przed pierwszym `;`).Po wykonaniu tej czynności otrzymałem komunikat „Bezpieczny token jest WŁĄCZONY dla administratora użytkownika”.
To jedyne rozwiązanie, które u mnie zadziałało.Miałem podobną sytuację po zainstalowaniu Cataliny przez bootowalną kopię zapasową i zostałem z tym samym „Nieznanym użytkownikiem”.Wykonałem te instrukcje i wszystko działało jak urok.Dzięki!
grg
2018-01-28 22:19:37 UTC
view on stackexchange narkive permalink

Wygląda na to, że natrafiłeś na błąd, ponieważ powinieneś otrzymać bezpieczny token, gdy…

  1. Bezpieczny token jest automatycznie włączany dla konta użytkownika utworzonego przez Asystenta ustawień Apple.
  2. Konto użytkownika utworzone przez Asystenta ustawień z bezpiecznym tokenem tworzy następnie innych użytkowników za pośrednictwem panelu preferencji Grupy użytkowników & w Preferencjach systemowych. Te konta automatycznie otrzymują własny Bezpieczny token.

Bezpieczny token i FileVault w systemie plików Apple - Der Flounder

Aby ręcznie przyznać bezpieczny token, uruchom 

  sysadminctl -secureTokenOn yourusername -password -

gdzie twoja nazwa użytkownika to nazwa użytkownika, któremu chcesz przyznać bezpieczny token. Nie zapomnij też o łączniku na końcu! Don't użyj sudo.

Najpierw zostaniesz poproszony o „odblokowanie” preferencji użytkowników & grup, podając poświadczenia administratora w oknie dialogowym GUI, a następnie zostaniesz poproszony o podanie hasła do konta, któremu chcesz podać token w interfejsie CLI.

Przyznanie bezpiecznego tokena za pomocą `sysadminctl -secureTokenOn yourusername -password -` wymaga bezpiecznego tokena i praw administratora, więc nie można go użyć do załadowania pierwszego konta za pomocą bezpiecznego tokenu.
To ta sama sytuacja, w której się znajduję. Mój główny / jedyny użytkownik nie miał bezpiecznego tokena i tworząc nowego administratora, również nie ma tokena.Nie mam użytkowników z bezpiecznymi tokenami. Migrowałem do nowego Maca za pomocą asystenta migracji (po nieudanym przywracaniu Time Capsule ...).Jedyną oznaką problemu było to, że pod koniec migracji pojawił się błąd z informacją, że nie można utworzyć „Mojego imienia”.Dziwne.
Alex Weinstein
2018-09-03 19:04:57 UTC
view on stackexchange narkive permalink

Udało mi się to zrobić.Najpierw zdiagnozuj, że masz ten sam problem.Uruchom: 

  sysadminctl -secureTokenStatus <username>

Jeśli wyświetla się komunikat „bezpieczny token wyłączony”, a nie masz innych użytkowników w systemie, dla których jest on włączony, musisz przejść przez ten taniec.

Wymuś uruchomienie kreatora konfiguracji Apple podczas następnej instalacji, uruchamiając: 

  sudo rm /var/db/.AppleSetupDone

I ponownie uruchom komputer.Po ponownym uruchomieniu zaloguj się jako nowy administrator i utwórz nowego administratora;z tym użytkownikiem przejdź do Ustawienia |Bezpieczeństwo & Prywatność |File Vault i nadaj swojemu aktualnemu użytkownikowi uprawnienia do odblokowania systemu plików.Uruchom to ponownie, powinno teraz powiedzieć włączone dla twojego rzeczywistego użytkownika: 

  sysadminctl -secureTokenStatus <username>
Czy ktoś tego próbował?Nie martwię się o to, żeby się zamknąć.
Zrobiłem to i nie zadziałało, z tego co rozumiem tylko konta posiadające bezpieczny token mogą włączać inne konta
To zdecydowanie może działać (przynajmniej na 10.13.6).Usuń restart pliku .AppleSetupDone, a następnie utwórz * nowe * konto (które będzie miało token).Uruchom ponownie i zaloguj się jako ten użytkownik.Powinieneś wtedy móc włączyć stare konta w „Bezpieczeństwo i prywatność -> FileVault”.Restart.Stare konta nie pojawiły się dla mnie od razu, więc nie jestem pewien, które z poniższych spowodowało to.Może logujesz się na stare konto lub uruchamiasz później 'fdesetup add --usertoadd ' itp.Ale zadziałało.Powinieneś wtedy móc usunąć nowe konto.
Nie działało dla mnie w 10.14.5.
Thomas
2018-03-05 11:29:02 UTC
view on stackexchange narkive permalink

W tej odpowiedzi przedstawię moje rozwiązanie problemu:

  1. Skontaktowałem się z AppleCare i razem próbowaliśmy różnych rzeczy, takich jak ponowna instalacja systemu MacOS High Sierra i próba włączenia FileVault przed migracją jakichkolwiek danych użytkownika. To się nie udało.
  2. Program Internet Recovery na tym komputerze Mac instaluje system MacOS Sierra, aw systemie MacOS Sierra można włączyć funkcję FileVault. (To wyraźnie wskazuje na problem z oprogramowaniem) Następnie można zaktualizować oprogramowanie do wersji High Sierra i użyć asystenta migracji, aby odzyskać dane użytkownika. Problem polega na tym, że w tej sytuacji tylko użytkownicy, którzy zostali utworzeni w Sierra mogą odblokować dysk, a nie żaden użytkownik migrowany lub utworzony po migracji.
  3. AppleCare próbowało odtworzyć mój problem na podobnym komputerze iMac z Fusion Drive, ale nie mogli. Zaproponowali, że obejrzą to osobiście, ale następny sklep jest dość daleko, więc nie wybrałem tej opcji.
  4. Ponieważ ponowne uruchamianie komputera nie zdarza się tak często, zdecydowałem się na rozwiązanie polegające na zainstalowaniu High Sierra w woluminie, który jest szyfrowany od początku. To działa, ale prowadzi do sytuacji, w której musisz wprowadzić hasło odszyfrowywania przy każdym uruchomieniu komputera.
  5. Po zainstalowaniu najnowszej aktualizacji uzupełniającej, program ładujący został prawdopodobnie przepisany lub coś w tym stylu, jestem teraz w sytuacji, w której po pierwszym uruchomieniu pojawia się ekran, w którym obaj użytkownicy mogą się zalogować lub mogę odblokować dysk. To wygląda tak: enter image description here Na tym ekranie obaj użytkownicy mogą się zalogować i tym samym odblokować dysk. Trzecią opcją jest odblokowanie dysku, na którym wyświetlany jest kolejny ekran logowania z tylko dwoma użytkownikami.

Oznacza to, że problem został w zasadzie rozwiązany, z wyjątkiem tego, że istnieje ten dziwny element logowania, ale cóż ...

Potwierdziłem również ze Wsparciem Apple, że sytuacja dotycząca bezpiecznego tokena opisana w pytaniu jest najprawdopodobniej nieistotna, ponieważ bezpieczne tokeny dotyczą APFS, a to jest komputer Mac z dyskiem Fusion.

Chains
2018-10-16 16:30:12 UTC
view on stackexchange narkive permalink

Mam ten sam problem i usunięcie pliku AppleSetupDone i ponowne uruchomienie w celu wymuszenia utworzenia nowego konta administratora nie daje nowemu kontu tokena.Jedyne, co zadziałało, to utworzenie kopii zapasowej profilu użytkownika, spłaszczenie maszyny i wykonanie nowej instalacji High Sierra z bootowalnego USB, co nie jest do końca idealne, gdy mam mnóstwo komputerów Mac do aktualizacji do 10.13.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...