Tengo un iMac 2017 con FusionDrive en el que no se puede habilitar FileVault. La situación se resume en esta publicación de reddit . El problema se reduce a: no tengo un usuario administrador que tenga un token seguro y parece que no puedo obtener uno. Esto se puede confirmar ejecutando:
sysadminctl interactive -secureTokenStatus USER_NAME
para cada usuario. Siempre vuelve con
Secure token is DISABLED for user USER_NAME
La primera configuración desde la configuración de fábrica no resultó en un usuario con un token seguro, e intenté:
/var/db/.AppleSetupDone
para configurar una nueva cuenta de administrador. Resultado: una nueva cuenta de administrador que aún no tiene un token.Parece que esto es intencional (¿debido a Fusion Drive?) o un error en High Sierra. Con exactamente el mismo procedimiento en una Macbook Pro 2017, obtengo un usuario administrador con un token seguro y ese usuario puede administrar FileVault y dar tokens seguros a otros usuarios.
Como quiero usar FileVault, también intenté reformatear el disco principal con un sistema de archivos encriptado, reinstalando MacOS y restaurando desde la copia de seguridad de Time Machine. Esto funcionó, FileVault está habilitado, pero ahora tengo que ingresar la contraseña del disco cada vez que se inicia la computadora (antes de la pantalla de inicio de sesión). No quiero esto, quiero desbloquear el disco con una contraseña de usuario.
¿Qué puedo hacer para obtener un usuario administrador con un token seguro?
Acabo de migrar a una nueva MacBook Pro 2018 y, de alguna manera, mi cuenta original (un usuario administrador) se creó sin un token seguro durante la migración. Incluso intenté crear un nuevo usuario administrador, iniciar sesión en ese usuario e intentar ejecutarlo, sysadminctl -secureTokenOn justin -password -
pero obtuve:
2018-07-30 14:17:56.552 sysadminctl[886:18232] La operación no está permitida sin el desbloqueo de token seguro.
Entonces probé lo siguiente proporcionando adminUser
y adminPassword
marcando como mi usuario original justin
:
sysadminctl -secureTokenOn justin -contraseña - -adminUser justin -adminContraseña -
Ingrese la contraseña para Justin:
Ingrese la contraseña para Justin K:
2018-07-30 14:31:05.262 sysadminctl[998:49031] setSecureTokenAuthorizationEnabled error Error Domain=com.apple.OpenDirectory Code=5101 "El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada". UserInfo={NSLocalizedDescription=El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada., NSLocalizedFailureReason=El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada.}
Esencialmente, parece que dado que ninguno de mis usuarios tiene un token seguro, no hay forma de otorgar un token seguro . La única pega es la siguiente:
Cuando enciendo la máquina en frío, tengo que ingresar una contraseña de descifrado de disco, lo que resulta en ingresar mi contraseña dos veces (una para descifrar disco y otra para la cuenta de usuario) .
Cuando trato de apagar FileVault haciendo clic en el botón, no sucede nada. El mismo comportamiento al hacer clic en el botón de advertencia "Algunos usuarios no pueden desbloquear el disco [Habilitar usuarios...]" no sucede nada.
dscl
, y luego utilícelo resetFileVaultpassword
para obtener un SecureToken nuevo y brillante para usted.Me encontré en esta situación. Creo que esto se debió a que hice una instalación limpia del sistema operativo mientras FileVault estaba habilitado, por lo que los usuarios no migraron.
En consecuencia, Preferencias del sistema se quejó "Algunos usuarios no pueden desbloquear el disco", pero hacer clic en "Habilitar usuarios" no hizo nada, sysadminctl -secureTokenStatus jrc
(mi usuario principal) dijo "DESHABILITADO" y sysadminctl -secureTokenOn ...
fue inútil.
Una pista provino del hecho de que fdesetup list -extended
informó una entrada de "Usuario desconocido". Así que resolví el problema creando un nuevo usuario, cambiando el UUID de ese usuario por el del usuario desconocido y usando ese nuevo usuario para arreglar mi usuario existente. Esto requería un viaje al modo de recuperación (o modo de usuario único) ya que el almacén de servicios de directorio está protegido por la protección de integridad del sistema (SIP).
sudo fdesetup list -extended
.admin
en este ejemplo) con la misma contraseña que su cuenta de usuario principal.GeneratedUID
usuario recién creado para que coincida con el UUID anterior. Esto se puede hacer abriendo el menú Utilidades > Terminal en modo de recuperación y luego ejecutando dscl -f "/Volumes/Macintosh HD/var/db/dslocal/nodes/Default" localonly -changei /Local/Default/Users/admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065
. Sustituya su nombre de volumen, nombre de usuario y UUID según corresponda. Todo es sensible a mayúsculas y minúsculas.sysadminctl -secureTokenStatus admin
ahora debe informar "HABILITADO". (¡Hurra!)sudo fdesetup add -usertoadd jrc
. Cuando se le solicite, ingrese las credenciales del usuario administrador anterior.diskutil apfs updatePreboot /
para arreglar los gráficos de arranque.Algunos enlaces relacionados que encontré útiles:
admin
, agregue AuthenticationAuthority
lo siguiente: ` ;SecureToken;` (tenga en cuenta el espacio antes del primero ;
). Después de hacer esto, obtuve "El token seguro está HABILITADO para el administrador del usuario".Parece que te has encontrado con un error, ya que deberías recibir un token seguro cuando...
- Secure Token se habilita automáticamente para la cuenta de usuario creada por el Asistente de configuración de Apple.
- La cuenta de usuario creada por el Asistente de configuración con Secure Token luego crea otros usuarios a través del panel de preferencias Usuarios y grupos en Preferencias del sistema. Esas cuentas obtienen su propio token seguro automáticamente.
Secure Token y FileVault en el sistema de archivos de Apple - Der Flounder
Para otorgar manualmente un token seguro, ejecute
sysadminctl -secureTokenOn yourusername -password -
donde yourusername
está el nombre de usuario del usuario al que desea otorgar un token seguro. ¡No olvides el guión al final también! No uses sudo.
Primero se le pedirá que "desbloquee" las preferencias de Usuarios y grupos proporcionando las credenciales de administrador en el cuadro de diálogo de la GUI, luego se le pedirá la contraseña de la cuenta a la que desea dar un token en la CLI.
sysadminctl -secureTokenOn yourusername -password -
requiere un token seguro y derechos de administrador, por lo que no se puede usar para iniciar la primera cuenta con un token seguro.Pude hacer que esto funcione. Primero, diagnostique que tiene el mismo problema. Correr:
sysadminctl -secureTokenStatus <username>
Si muestra "token seguro deshabilitado" y no tiene otros usuarios en el sistema que lo tengan habilitado, debe realizar este baile.
Obligue al asistente de instalación de Apple a ejecutarse en su próxima instalación ejecutando:
sudo rm /var/db/.AppleSetupDone
Y reinicie su computadora. Una vez que finalice el reinicio, inicie sesión como este nuevo administrador y cree un nuevo usuario administrador; con ese usuario, vaya a Configuración | Seguridad y Privacidad | File Vault y otorgue a su usuario real los privilegios para desbloquear el sistema de archivos. Ejecute esto nuevamente, ahora debería decir habilitado para su usuario real:
sysadminctl -secureTokenStatus <username>
Tengo el mismo problema y al eliminar el archivo AppleSetupDone y reiniciar para forzar la creación de una nueva cuenta de administrador no se otorga un token a la nueva cuenta. Lo único que ha funcionado ha sido hacer una copia de seguridad del perfil de usuario, aplanar la máquina y hacer una nueva instalación de High Sierra desde un USB de arranque, lo que no es exactamente ideal cuando tengo muchas Mac para actualizar a la 10.13.
En esta respuesta, describiré mi resolución de la situación:
Eso significa que el problema está básicamente resuelto, excepto que existe este extraño elemento de inicio de sesión, pero bueno...
También confirmé con Apple Support que la situación del token seguro descrita en la pregunta probablemente sea irrelevante porque los tokens seguros pertenecen a APFS y esta es una Mac con Fusion Drive.
klanomath
Tomás