¿Qué es un token seguro y cómo obtengo un administrador que tiene uno?

6

Tengo un iMac 2017 con un FusionDrive en el que FileVault no se puede habilitar. La situación se resume en este reddit post . El problema se reduce a: no tengo un usuario administrador que tenga un token seguro y parece que no puedo obtener uno. Esto se puede confirmar ejecutando:

sysadminctl interactive -secureTokenStatus USER_NAME

para cada usuario. Siempre vuelve con

Secure token is DISABLED for user USER_NAME

La primera configuración de la configuración de fábrica no resultó en un usuario con un token seguro, y traté de:

  • Elimine /var/db/.AppleSetupDone para configurar una nueva cuenta de administrador. Resultado: una nueva cuenta de administrador que slo no tiene un token.
  • Reinstalar MacOS High Sierra: el primer usuario administrador creado no tiene un token seguro.

Parece que esto es intencional (¿debido a Fusion Drive?) o un error en High Sierra. Con exactamente el mismo procedimiento en un Macbook Pro 2017, obtengo un usuario administrador con un token seguro y ese usuario puede administrar FileVault y dar tokens seguros a otros usuarios.

Como quiero usar FileVault, también intenté volver a formatear el disco principal con un sistema de archivos cifrado, reinstalando MacOS y restaurando desde la copia de seguridad de la máquina. Esto funcionó, FileVault está habilitado, pero ahora tengo que ingresar la contraseña del disco cada vez que la computadora se inicia (antes de la pantalla de inicio de sesión). No quiero esto, quiero desbloquear el disco con una contraseña de usuario.

¿Qué puedo hacer para obtener un usuario administrador con un token seguro?

    
pregunta Thomas 24.01.2018 - 22:20

5 respuestas

4

Se acaba de migrar a un nuevo MacBook Pro 2018 y de alguna manera mi cuenta original (un usuario administrador) se creó sin un token seguro durante la migración. Incluso intenté crear un nuevo usuario administrador, iniciando sesión en ese usuario e intentando ejecutar sysadminctl -secureTokenOn justin -password - pero obteniendo:

  

2018-07-30 14: 17: 56.552 sysadminctl [886: 18232] La operación no está permitida sin el desbloqueo seguro del token.

Entonces intenté lo siguiente proporcionando indicadores adminUser y adminPassword como mi usuario original justin :

  

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

     

Introduzca la contraseña para justin:

     

Introduzca la contraseña para Justin K:

     

2018-07-30 14: 31: 05.262 sysadminctl [998: 49031] setSecureTokenAuthorizationEnabled error Error de dominio = com.apple.OpenDirectory Code = 5101 "El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada." UserInfo = {NSLocalizedDescription = El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada., NSLocalizedFailureReason = El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada.}

Esencialmente parece que, dado que ninguno de mis usuarios tiene un token seguro, no hay forma de otorgar un token seguro . El único inconveniente es el siguiente:

  • Cuando arranco en frío la máquina, debo ingresar una contraseña de descifrado de disco, lo que hace que se ingrese mi contraseña dos veces (una para descifrado de disco y otra para la cuenta de usuario) .

  • Cuando intento desactivar FileVault haciendo clic en el botón, no pasa nada. El mismo comportamiento al hacer clic en el botón de advertencia "Algunos usuarios no pueden desbloquear el disco [Habilitar usuarios ...]" no sucede nada.

    
respondido por el Justin 30.07.2018 - 21:28
2

Parece que has encontrado un error, ya que deberías tener un token seguro cuando ...

  
  1. El token seguro se habilita automáticamente para la cuenta de usuario creada por el Asistente de configuración de Apple.
  2.   
  3. La cuenta de usuario creada por Setup Assistant con Secure Token luego crea otros usuarios a través de Usuarios y amp; Panel de preferencias de grupos en Preferencias del sistema. Esas cuentas obtienen su propio Token seguro automáticamente.
  4.   

Secure Token and FileVault en Apple File System - Der Flounder

Para otorgar manualmente un token seguro, ejecute

sysadminctl -secureTokenOn yourusername -password -

donde yourusername es el nombre de usuario del usuario al que desea otorgarle un token seguro. ¡No olvides el guión al final también! No use sudo.

Primero se le pedirá que "desbloquee" Usuarios & Agrupe las preferencias al proporcionar credenciales de administrador al cuadro de diálogo de la GUI, luego se le pedirá la contraseña de la cuenta a la que desea darle un token en la CLI.

    
respondido por el grg 28.01.2018 - 17:19
1

En esta respuesta, describiré mi resolución de la situación:

  1. Me puse en contacto con AppleCare y juntos probamos varias cosas, como reinstalar MacOS High Sierra e intentar habilitar FileVault antes de la migración de los datos de cualquier usuario. Esto no tiene éxito.
  2. La recuperación de Internet en esta Mac instala MacOS Sierra y en MacOS Sierra FileVault se puede habilitar. (Esto indica claramente un problema de software). Uno puede actualizar a High Sierra y usar el Asistente de migración para recuperar los datos del usuario. El problema es que en esta situación solo los usuarios que se crearon en Sierra pueden desbloquear el disco, no los usuarios migrados o creados después de la migración.
  3. AppleCare intentó reproducir mi problema en un iMac similar con Fusion Drive y no pudieron. Se ofrecieron a verlo en persona, pero la siguiente tienda está bastante lejos, así que no opté por esta opción.
  4. Como el reinicio de la computadora no ocurre tan a menudo, me decidí por mí mismo con la solución para instalar High Sierra dentro de un volumen que está cifrado desde el principio. Esto funciona, pero conduce a la situación en la que tiene que introducir la contraseña de descifrado cada vez que se inicia la computadora.
  5. Después de instalar la última actualización suplementaria, el cargador de arranque probablemente fue reescrito o algo así, ahora estoy en una situación en la que después del primer arranque aparece una pantalla en la que ambos usuarios pueden iniciar sesión o puedo desbloquear el disco. Se parece a esto: En esta pantalla, ambos usuarios pueden iniciar sesión y desbloquear el disco. La tercera opción es desbloquear el disco en el que se presenta otra pantalla de inicio de sesión con solo los dos usuarios.

Eso significa que el problema está básicamente resuelto, excepto que hay un elemento de inicio de sesión extraño, pero bueno ...

También confirmé con Apple Support que la situación del token seguro que se describe en la pregunta es probablemente irrelevante porque los tokens seguros pertenecen al APFS y esta es una Mac con una unidad Fusion.

    
respondido por el Thomas 05.03.2018 - 06:29
1

Pude hacer este trabajo. En primer lugar, diagnostica que tienes el mismo problema. Ejecutar:

sysadminctl -secureTokenStatus <username>

Si muestra "token seguro deshabilitado" y no tiene otros usuarios en el sistema que lo tengan habilitado, debe pasar por este baile.

Ejecute el asistente de instalación de Apple para que se ejecute en su próxima instalación ejecutando:

sudo rm /var/db/.AppleSetupDone

Y reinicia tu computadora. Una vez que finalice el reinicio, inicie sesión como este nuevo administrador y cree un nuevo usuario administrador; Con ese usuario, ve a Configuración | Seguridad y amp; Privacidad | Almacene el archivo y otorgue a su usuario real los privilegios para desbloquear el sistema de archivos. Ejecute esto nuevamente, ahora debería decir habilitado para su usuario real:

sysadminctl -secureTokenStatus <username>
    
respondido por el Alex Weinstein 03.09.2018 - 16:04
0

Tengo el mismo problema y al eliminar el archivo AppleSetupDone y al reiniciar para forzar la creación de una nueva cuenta de administrador no se le da un token a la nueva cuenta. Lo único que ha funcionado ha sido hacer una copia de seguridad del perfil de usuario, aplanando la máquina y haciendo una nueva instalación de High Sierra desde un USB de arranque, no es lo ideal cuando tengo muchos Mac para actualizar a la 10.13.     

respondido por el Chains 16.10.2018 - 13:30

Lea otras preguntas en las etiquetas