¿Qué es un token seguro y cómo obtengo un administrador que tiene uno?

Se acaba de migrar a un nuevo MacBook Pro 2018 y de alguna manera mi cuenta original (un usuario administrador) se creó sin un token seguro durante la migración. Incluso intenté crear un nuevo usuario administrador, iniciando sesión en ese usuario e intentando ejecutar sysadminctl -secureTokenOn justin -password - pero obteniendo:

  

2018-07-30 14: 17: 56.552 sysadminctl [886: 18232] La operación no está permitida sin el desbloqueo seguro del token.

Entonces intenté lo siguiente proporcionando indicadores adminUser y adminPassword como mi usuario original justin :

  

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

     

Introduzca la contraseña para justin:

     

Introduzca la contraseña para Justin K:

     

2018-07-30 14: 31: 05.262 sysadminctl [998: 49031] setSecureTokenAuthorizationEnabled error Error de dominio = com.apple.OpenDirectory Code = 5101 "El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada." UserInfo = {NSLocalizedDescription = El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada., NSLocalizedFailureReason = El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada.}

Esencialmente parece que, dado que ninguno de mis usuarios tiene un token seguro, no hay forma de otorgar un token seguro . El único inconveniente es el siguiente:

• Cuando arranco en frío la máquina, debo ingresar una contraseña de descifrado de disco, lo que hace que se ingrese mi contraseña dos veces (una para descifrado de disco y otra para la cuenta de usuario) .

• Cuando intento desactivar FileVault haciendo clic en el botón, no pasa nada. El mismo comportamiento al hacer clic en el botón de advertencia "Algunos usuarios no pueden desbloquear el disco [Habilitar usuarios ...]" no sucede nada.

Parece que has encontrado un error, ya que deberías tener un token seguro cuando ...

  

1. El token seguro se habilita automáticamente para la cuenta de usuario creada por el Asistente de configuración de Apple.
  
2. La cuenta de usuario creada por Setup Assistant con Secure Token luego crea otros usuarios a través de Usuarios y amp; Panel de preferencias de grupos en Preferencias del sistema. Esas cuentas obtienen su propio Token seguro automáticamente.
  

Secure Token and FileVault en Apple File System - Der Flounder

Para otorgar manualmente un token seguro, ejecute

sysadminctl -secureTokenOn yourusername -password -

donde yourusername es el nombre de usuario del usuario al que desea otorgarle un token seguro. ¡No olvides el guión al final también! No use sudo.

Primero se le pedirá que "desbloquee" Usuarios & Agrupe las preferencias al proporcionar credenciales de administrador al cuadro de diálogo de la GUI, luego se le pedirá la contraseña de la cuenta a la que desea darle un token en la CLI.

En esta respuesta, describiré mi resolución de la situación:

1. Me puse en contacto con AppleCare y juntos probamos varias cosas, como reinstalar MacOS High Sierra e intentar habilitar FileVault antes de la migración de los datos de cualquier usuario. Esto no tiene éxito.
2. La recuperación de Internet en esta Mac instala MacOS Sierra y en MacOS Sierra FileVault se puede habilitar. (Esto indica claramente un problema de software). Uno puede actualizar a High Sierra y usar el Asistente de migración para recuperar los datos del usuario. El problema es que en esta situación solo los usuarios que se crearon en Sierra pueden desbloquear el disco, no los usuarios migrados o creados después de la migración.
3. AppleCare intentó reproducir mi problema en un iMac similar con Fusion Drive y no pudieron. Se ofrecieron a verlo en persona, pero la siguiente tienda está bastante lejos, así que no opté por esta opción.
4. Como el reinicio de la computadora no ocurre tan a menudo, me decidí por mí mismo con la solución para instalar High Sierra dentro de un volumen que está cifrado desde el principio. Esto funciona, pero conduce a la situación en la que tiene que introducir la contraseña de descifrado cada vez que se inicia la computadora.
5. Después de instalar la última actualización suplementaria, el cargador de arranque probablemente fue reescrito o algo así, ahora estoy en una situación en la que después del primer arranque aparece una pantalla en la que ambos usuarios pueden iniciar sesión o puedo desbloquear el disco. Se parece a esto: En esta pantalla, ambos usuarios pueden iniciar sesión y desbloquear el disco. La tercera opción es desbloquear el disco en el que se presenta otra pantalla de inicio de sesión con solo los dos usuarios.

Eso significa que el problema está básicamente resuelto, excepto que hay un elemento de inicio de sesión extraño, pero bueno ...

También confirmé con Apple Support que la situación del token seguro que se describe en la pregunta es probablemente irrelevante porque los tokens seguros pertenecen al APFS y esta es una Mac con una unidad Fusion.

Pude hacer este trabajo. En primer lugar, diagnostica que tienes el mismo problema. Ejecutar:

sysadminctl -secureTokenStatus <username>

Si muestra "token seguro deshabilitado" y no tiene otros usuarios en el sistema que lo tengan habilitado, debe pasar por este baile.

Ejecute el asistente de instalación de Apple para que se ejecute en su próxima instalación ejecutando:

sudo rm /var/db/.AppleSetupDone

Y reinicia tu computadora. Una vez que finalice el reinicio, inicie sesión como este nuevo administrador y cree un nuevo usuario administrador; Con ese usuario, ve a Configuración | Seguridad y amp; Privacidad | Almacene el archivo y otorgue a su usuario real los privilegios para desbloquear el sistema de archivos. Ejecute esto nuevamente, ahora debería decir habilitado para su usuario real:

sysadminctl -secureTokenStatus <username>

Tengo el mismo problema y al eliminar el archivo AppleSetupDone y al reiniciar para forzar la creación de una nueva cuenta de administrador no se le da un token a la nueva cuenta. Lo único que ha funcionado ha sido hacer una copia de seguridad del perfil de usuario, aplanando la máquina y haciendo una nueva instalación de High Sierra desde un USB de arranque, no es lo ideal cuando tengo muchos Mac para actualizar a la 10.13.