Estoy probando una solución MDM (con una instancia MDM Server.app interna), que aplica FileVault. Se configura con una clave de recuperación institucional (IRK) y una clave de recuperación personal (PRK). El último también se guarda en MDM.
Básicamente, generamos un llavero como este, exportamos el certificado del llavero y lo agregamos a un perfil de MDM (estamos usando el MDM de Server.app).
Está funcionando muy bien. Cuando hago un diskutil apfs listCryptoUsers diskNxM , obtengo todos los usuarios que espero, incluido un usuario de tipo Institutional Recovery User y uno con el tipo Institutional Recovery External Key . Restablecer la contraseña a través de Open Directory funciona bien. Desbloquear la unidad con el PRK funciona bien.
Y ahora estoy probando para desbloquear el volumen con dicho IRK.
Arranqué a través de la recuperación (cmd + R), y cuando ejecuto diskutil apfs unlockVolume /dev/diskNsM -recoveryKeyChain /Volumes/RecoveryDrive/FileVaultMaster.keychain (el llavero está desbloqueado y la unidad es correcta), recibo este error:
Error unlocking APFS Volume: The external-to-APFS security system's credential-unwrap
operation failed (-69534)
Verifiqué el desbloqueo del llavero con una contraseña diferente, y eso falló directamente. Alguien aquí sugirió eliminar el certificado del llavero. Esto tampoco funcionó. Revisé dos veces que el volumen era APFS. Fue.
¿Alguna idea (además de crear un nuevo llavero de FileVault Master y hacer todo el proceso una vez más)?