Tengo FileVault habilitado con dos usuarios:
Quiero que AdminGuy:
En otras palabras: ¿AdminGuy puede simplemente desbloquear la unidad, pero luego tener una ventana emergente de inicio de sesión para que OtherGuy pueda optar por iniciar sesión en su lugar?
10.8.
Según el enlace de @DeepanshuUtkarsh , este es el comportamiento que quiero cambiar:
La cuenta de usuario que desbloqueó la unidad se iniciará en su propia cuenta después de que se complete el inicio, sin necesidad de iniciar sesión nuevamente.
Si desea que la Mac esté disponible para un usuario que no tiene capacidades de desbloqueo, inicie sesión y luego, cuando vea su propio escritorio, elija "Cerrar sesión (nombre de usuario)" en el menú Apple (). Además, puede desbloquear el disco y luego elegir el nombre del otro usuario en el elemento de la barra de menú Cambio rápido de usuario (aparece como el nombre del usuario actualmente conectado) en la parte superior derecha de la pantalla.
Dos días después de que agregué esta respuesta, Apple publicó un documento técnico: Mejores prácticas para implementar FileVault 2 : implementar la tecnología de cifrado de disco completo de OS X (PDF). De un vistazo, algo de lo que describo a continuación parece ser descrito por Apple como:
En el paso 4 anterior, use un método que conserve el segmento Apple_Boot (a veces llamado Boot OS X, a veces llamado Recovery HD) mientras restaura el volumen de inicio de JHFS+.
Para validar esta respuesta, utilicé la Utilidad de disco para ese paso. (Estoy menos familiarizado con las capacidades de restauración de Time Machine).
El EfiLoginUI resultante:
Como Disk Password tiene un avatar/icono, está claro que Apple considera escenarios como este.
Los usuarios pueden cambiar sus contraseñas de inicio de sesión. La frase para la contraseña del disco permanecerá sin cambios.
No necesita usar las áreas de FileVault de Preferencias del sistema, pero si lo hace, la mayoría de las cosas funcionan como se espera.
La máquina que se muestra arriba está perfectamente limpia, restaurada a partir de una plantilla de Mountain Lion que creé después de la instalación del sistema operativo (en la pantalla de bienvenida, la apagué y luego usé la Utilidad de disco para crear una imagen de todas las particiones/porciones del disco). Procedí a crear un usuario, luego lo habilité para FileVault:
El EfiLoginUI resultante: un usuario con nombre junto con la opción Contraseña de disco:
Las preferencias del sistema en la compilación 12A269 de OS X 10.8 pueden indicar que FileVault está habilitado, con una clave de recuperación configurada , cuando la clave ya no es aplicable . (Suponga que un volumen borrado, con una frase de contraseña posiblemente diferente, no aceptará una clave de recuperación que se configuró antes del borrado. Se puede extraer una opinión más definida de Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption (2012). ) He informado de errores a Apple.
Las fotografías de arriba son de la unidad flash USB que utilicé para validar esta respuesta.
Las fotografías a continuación son del disco interno que uso todos los días.
EfiLoginUI: dos usuarios designados habilitados para FileVault, la opción de contraseña de disco y el usuario invitado:
ventana de inicio de sesión - todos los usuarios nombrados:
Cuando enciende FileVault, puede seleccionar qué cuentas tienen derecho a desbloquear la unidad. Desde allí, puede elegir la cuenta AdminGuy como la única cuenta autorizada. En cuanto al inicio de sesión automático, después de activar FileVault, el inicio de sesión automático se desactiva.
Entonces, solo tiene que habilitar FileVault normalmente y obtendrá sus respuestas durante el proceso.
Antes de volver a instalar el sistema operativo, use Diskutility para crear la partición en la que desea instalar el sistema operativo, asegúrese de crear la partición cifrada y que la frase de contraseña sea la deseada. Después:
Instale el sistema operativo en la partición cifrada.
Cree la primera cuenta "la cuenta del administrador".
Agregue usuarios normales o administradores.
Utilice la terminal para eliminar el usuario administrador y los demás usuarios habilitados con la cuenta. (Debe verse así):sudo fdesetup remove -user "username"
Reinicie para asegurarse de que solo el inicio de sesión de la contraseña del disco DEK esté disponible en el arranque.
Preferencias del sistema > Usuarios y grupos > Opciones de inicio de sesión > Inicio de sesión automático: Desactivado
Felipe
Felipe
graham perrin
Felipe
Felipe