Para un usuario de FileVault de Mountain Lion: ¿puedo evitar el inicio de sesión automático, que normalmente sigue al desbloqueo del volumen de inicio cifrado?

Tengo FileVault habilitado con dos usuarios:

  • AdminGuy
  • Otro chico.

Quiero que AdminGuy:

  • tiene la capacidad de desbloquear el HD y, por lo tanto, solo él puede ingresar au/n + p/w en el arranque para iniciar el arranque
  • tener la capacidad de iniciar sesión
  • no iniciar sesión automáticamente.

En otras palabras: ¿AdminGuy puede simplemente desbloquear la unidad, pero luego tener una ventana emergente de inicio de sesión para que OtherGuy pueda optar por iniciar sesión en su lugar?

10.8.

Según el enlace de @DeepanshuUtkarsh , este es el comportamiento que quiero cambiar:

La cuenta de usuario que desbloqueó la unidad se iniciará en su propia cuenta después de que se complete el inicio, sin necesidad de iniciar sesión nuevamente.

Si desea que la Mac esté disponible para un usuario que no tiene capacidades de desbloqueo, inicie sesión y luego, cuando vea su propio escritorio, elija "Cerrar sesión (nombre de usuario)" en el menú Apple (). Además, puede desbloquear el disco y luego elegir el nombre del otro usuario en el elemento de la barra de menú Cambio rápido de usuario (aparece como el nombre del usuario actualmente conectado) en la parte superior derecha de la pantalla.

Respuestas (4)

Cifre el volumen de inicio con Core Storage sin FileVault

Dos días después de que agregué esta respuesta, Apple publicó un documento técnico: Mejores prácticas para implementar FileVault 2 : implementar la tecnología de cifrado de disco completo de OS X (PDF). De un vistazo, algo de lo que describo a continuación parece ser descrito por Apple como:

  • DEK basado en contraseña de disco .

Preparación

  1. Respaldo
  2. iniciar el sistema operativo de recuperación
  3. use la Utilidad de disco para borrar el volumen de inicio: Mac OS Extended (registrado, cifrado)
  4. restaurar
  5. proporcione la frase de contraseña para el volumen a AdminGuy.

Pista

En el paso 4 anterior, use un método que conserve el segmento Apple_Boot (a veces llamado Boot OS X, a veces llamado Recovery HD) mientras restaura el volumen de inicio de JHFS+.

Para validar esta respuesta, utilicé la Utilidad de disco para ese paso. (Estoy menos familiarizado con las capacidades de restauración de Time Machine).

El EfiLoginUI resultante:

Opción de contraseña de disco en EfiLoginUI

Como Disk Password tiene un avatar/icono, está claro que Apple considera escenarios como este.

Uso normal a partir de entonces

  1. Junto a los usuarios designados, EfiLoginUI presenta Disk Password
  2. AdminGuy puede seleccionar la contraseña del disco
  3. AdminGuy puede ingresar la frase de contraseña para desbloquear el volumen de inicio protegido por CoreStorage
  4. cuando aparezca la ventana de inicio de sesión, seleccione el usuario requerido.

Los usuarios pueden cambiar sus contraseñas de inicio de sesión. La frase para la contraseña del disco permanecerá sin cambios.

No necesita usar las áreas de FileVault de Preferencias del sistema, pero si lo hace, la mayoría de las cosas funcionan como se espera.

La máquina que se muestra arriba está perfectamente limpia, restaurada a partir de una plantilla de Mountain Lion que creé después de la instalación del sistema operativo (en la pantalla de bienvenida, la apagué y luego usé la Utilidad de disco para crear una imagen de todas las particiones/porciones del disco). Procedí a crear un usuario, luego lo habilité para FileVault:

Captura de pantalla: algunos usuarios no pueden desbloquear el disco. Captura de pantalla: el sistema operativo presenta una marca contra el único usuario Captura de pantalla: después de hacer clic en 'Listo', todos los usuarios pueden desbloquear el disco

El EfiLoginUI resultante: un usuario con nombre junto con la opción Contraseña de disco:

Un usuario designado y la opción Contraseña de disco en EfiLoginUI

error de apariencia

Las preferencias del sistema en la compilación 12A269 de OS X 10.8 pueden indicar que FileVault está habilitado, con una clave de recuperación  configurada , cuando la clave ya no es aplicable . (Suponga que un volumen borrado, con una frase de contraseña posiblemente diferente, no aceptará una clave de recuperación que se configuró antes del borrado. Se puede extraer una opinión más definida de Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption  (2012). ) He informado de errores a Apple.

Las fotografías de arriba son de la unidad flash USB que utilicé para validar esta respuesta.

Las fotografías a continuación son del disco interno que uso todos los días.

EfiLoginUI: dos usuarios designados habilitados para FileVault, la opción de contraseña de disco y el usuario invitado:

mi EfiLoginUI de todos los días

ventana de inicio de sesión - todos los usuarios nombrados:

mi ventana de inicio de sesión diaria

No quiero evitar que AdminGuy inicie sesión. Quiero evitar que inicie sesión automáticamente después de desbloquear la máquina.
Esto parece inteligente, pero parece que podría ser inestable/no resistente a las actualizaciones. ¿Conoce una solución más estándar, convencional y con mayor garantía de compatibilidad?
Es estable: un resultado normal de cifrar un volumen antes de instalar (o restaurar) el sistema operativo en ese volumen. He estado haciendo esto por un tiempo. El sistema operativo y otras actualizaciones no son un problema.
Esto parece razonable. Lo intentaré la próxima vez que tenga un HD externo.
Todavía no he tenido la oportunidad de probar esto y ahora mis necesidades han cambiado, pero los detalles de la solución me convencen.

Cuando enciende FileVault, puede seleccionar qué cuentas tienen derecho a desbloquear la unidad. Desde allí, puede elegir la cuenta AdminGuy como la única cuenta autorizada. En cuanto al inicio de sesión automático, después de activar FileVault, el inicio de sesión automático se desactiva.

Entonces, solo tiene que habilitar FileVault normalmente y obtendrá sus respuestas durante el proceso.

Ya elegí solo a AdminGuy como autorizado, pero después de que se autentica en el arranque, también lo inicia sesión.
¿Has intentado deshabilitar explícitamente el inicio de sesión automático?
El inicio de sesión automático está (y ha estado) desactivado.
Esto funciona para mí, no sé por qué no funciona para usted. Consulte este artículo para obtener más ayuda: support.apple.com/kb/HT4790?viewlocale=en_US&locale=en_US
Este es un buen enlace, pero describe específicamente según lo previsto el comportamiento que estoy tratando de modificar (ver editar en Q)
El inicio de sesión automático, en el panel Usuarios y grupos de Preferencias del sistema, es para casos de uso en los que la computadora debe iniciarse e iniciar sesión sin una contraseña. Ese tipo de automatización se limita a la ventana de inicio de sesión, no aplicable a EfiLoginUI. Con FileVault 2, que siempre requiere una frase para desbloquear el volumen de inicio de OS X: se aplica un tipo diferente de automatización a todos los usuarios cuyos nombres aparecen en EfiLoginUI. Entonces, una respuesta es ingresar, en EfiLoginUI, la frase para el volumen (no una frase para un usuario ).
@DeepanshuUtkarsh si con FileVault 2 debe autenticarse como usuario designado primero en EfiLoginUI (segundos después del timbre de inicio) y luego nuevamente en la ventana de inicio de sesión, eso es un error. Para un usuario con nombre, la norma es autenticarse solo una vez.

Antes de volver a instalar el sistema operativo, use Diskutility para crear la partición en la que desea instalar el sistema operativo, asegúrese de crear la partición cifrada y que la frase de contraseña sea la deseada. Después:

  1. Instale el sistema operativo en la partición cifrada.

  2. Cree la primera cuenta "la cuenta del administrador".

  3. Agregue usuarios normales o administradores.

  4. Utilice la terminal para eliminar el usuario administrador y los demás usuarios habilitados con la cuenta. (Debe verse así):sudo fdesetup remove -user "username"

  5. Reinicie para asegurarse de que solo el inicio de sesión de la contraseña del disco DEK esté disponible en el arranque.

Preferencias del sistema > Usuarios y grupos > Opciones de inicio de sesión > Inicio de sesión automático: Desactivado

Para un usuario de FileVault de Mountain Lion: ¿puedo evitar el inicio de sesión automático, que normalmente sigue al desbloqueo del volumen de inicio cifrado?
RespuestasAquíPolítica de privacidad1y, 0v