¿Qué es un token seguro y cómo obtengo un usuario administrador que tiene uno?

Tengo un iMac 2017 con FusionDrive en el que no se puede habilitar FileVault. La situación se resume en esta publicación de reddit . El problema se reduce a: no tengo un usuario administrador que tenga un token seguro y parece que no puedo obtener uno. Esto se puede confirmar ejecutando:

sysadminctl interactive -secureTokenStatus USER_NAME

para cada usuario. Siempre vuelve con

Secure token is DISABLED for user USER_NAME

La primera configuración desde la configuración de fábrica no resultó en un usuario con un token seguro, e intenté:

  • Eliminar /var/db/.AppleSetupDonepara configurar una nueva cuenta de administrador. Resultado: una nueva cuenta de administrador que aún no tiene un token.
  • Vuelva a instalar MacOS High Sierra: el primer usuario administrador creado no tiene un token seguro.

Parece que esto es intencional (¿debido a Fusion Drive?) o un error en High Sierra. Con exactamente el mismo procedimiento en una Macbook Pro 2017, obtengo un usuario administrador con un token seguro y ese usuario puede administrar FileVault y dar tokens seguros a otros usuarios.

Como quiero usar FileVault, también intenté reformatear el disco principal con un sistema de archivos encriptado, reinstalando MacOS y restaurando desde la copia de seguridad de Time Machine. Esto funcionó, FileVault está habilitado, pero ahora tengo que ingresar la contraseña del disco cada vez que se inicia la computadora (antes de la pantalla de inicio de sesión). No quiero esto, quiero desbloquear el disco con una contraseña de usuario.

¿Qué puedo hacer para obtener un usuario administrador con un token seguro?

¿Cómo formateó Fusion Drive: APFS o CoreStorage (APFS no debería funcionar sin algún tipo de piratería)? ¿Tu iMac está vinculado a un entorno AD?
@klanomath Es un FusionDrive con HFS+. Sin AD, esto es solo un iMac normal, comprado en la tienda de Apple, desempaquetado, encendido, usuario administrador local creado y listo.

Respuestas (6)

Acabo de migrar a una nueva MacBook Pro 2018 y, de alguna manera, mi cuenta original (un usuario administrador) se creó sin un token seguro durante la migración. Incluso intenté crear un nuevo usuario administrador, iniciar sesión en ese usuario e intentar ejecutarlo, sysadminctl -secureTokenOn justin -password -pero obtuve:

2018-07-30 14:17:56.552 sysadminctl[886:18232] La operación no está permitida sin el desbloqueo de token seguro.

Entonces probé lo siguiente proporcionando adminUsery adminPasswordmarcando como mi usuario original justin:

sysadminctl -secureTokenOn justin -contraseña - -adminUser justin -adminContraseña -

Ingrese la contraseña para Justin:

Ingrese la contraseña para Justin K:

2018-07-30 14:31:05.262 sysadminctl[998:49031] setSecureTokenAuthorizationEnabled error Error Domain=com.apple.OpenDirectory Code=5101 "El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada". UserInfo={NSLocalizedDescription=El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada., NSLocalizedFailureReason=El servidor de autenticación rechazó la operación porque las credenciales actuales no están autorizadas para la operación solicitada.}

Esencialmente, parece que dado que ninguno de mis usuarios tiene un token seguro, no hay forma de otorgar un token seguro . La única pega es la siguiente:

  • Cuando enciendo la máquina en frío, tengo que ingresar una contraseña de descifrado de disco, lo que resulta en ingresar mi contraseña dos veces (una para descifrar disco y otra para la cuenta de usuario) .

  • Cuando trato de apagar FileVault haciendo clic en el botón, no sucede nada. El mismo comportamiento al hacer clic en el botón de advertencia "Algunos usuarios no pueden desbloquear el disco [Habilitar usuarios...]" no sucede nada.

ingrese la descripción de la imagen aquí

Exactamente como mi situación. Instale en un volumen cifrado y espere una actualización. (ver mi respuesta)
Misma situación exacta aquí
-adminUser -adminPassword hizo el truco para mí!
Si no tiene adminUser y adminPassword (o los que tiene no están sincronizados con APFS), una cosa que puede hacer es usar Recuperación para eliminar ;SecureToken; de AuthenticationAuthority de todos los usuarios (si lo tienen) usando dscl, y luego utilícelo resetFileVaultpasswordpara obtener un SecureToken nuevo y brillante para usted.

Me encontré en esta situación. Creo que esto se debió a que hice una instalación limpia del sistema operativo mientras FileVault estaba habilitado, por lo que los usuarios no migraron.

En consecuencia, Preferencias del sistema se quejó "Algunos usuarios no pueden desbloquear el disco", pero hacer clic en "Habilitar usuarios" no hizo nada, sysadminctl -secureTokenStatus jrc(mi usuario principal) dijo "DESHABILITADO" y sysadminctl -secureTokenOn ...fue inútil.

Una pista provino del hecho de que fdesetup list -extendedinformó una entrada de "Usuario desconocido". Así que resolví el problema creando un nuevo usuario, cambiando el UUID de ese usuario por el del usuario desconocido y usando ese nuevo usuario para arreglar mi usuario existente. Esto requería un viaje al modo de recuperación (o modo de usuario único) ya que el almacén de servicios de directorio está protegido por la protección de integridad del sistema (SIP).

  1. Anote el UUID de los usuarios desconocidos informados desde sudo fdesetup list -extended.
  2. En Preferencias del sistema > Usuarios y grupos, cree un nuevo usuario administrador (nombrado adminen este ejemplo) con la misma contraseña que su cuenta de usuario principal.
  3. Inicie el modo de recuperación y cambie el GeneratedUIDusuario recién creado para que coincida con el UUID anterior. Esto se puede hacer abriendo el menú Utilidades > Terminal en modo de recuperación y luego ejecutando dscl -f "/Volumes/Macintosh HD/var/db/dslocal/nodes/Default" localonly -changei /Local/Default/Users/admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065. Sustituya su nombre de volumen, nombre de usuario y UUID según corresponda. Todo es sensible a mayúsculas y minúsculas.
  4. Reinicie normalmente. sysadminctl -secureTokenStatus adminahora debe informar "HABILITADO". (¡Hurra!)
  5. sudo fdesetup add -usertoadd jrc. Cuando se le solicite, ingrese las credenciales del usuario administrador anterior.
  6. Finalmente, corre diskutil apfs updatePreboot /para arreglar los gráficos de arranque.

Algunos enlaces relacionados que encontré útiles:

Gracias. Pude seguir sus instrucciones, pero tuve que agregar un paso adicional. Después de reiniciar, abra la Utilidad de Directorio, busque el usuario admin, agregue AuthenticationAuthoritylo siguiente: ` ;SecureToken;` (tenga en cuenta el espacio antes del primero ;). Después de hacer esto, obtuve "El token seguro está HABILITADO para el administrador del usuario".
Esta es la única solución que funcionó para mí. Tuve una situación similar después de instalar Catalina a través de una copia de seguridad de arranque y me quedé con el mismo "Usuario desconocido". Seguí estas instrucciones y las cosas funcionaron a la perfección. ¡Gracias!
Gracias. Estos pasos me funcionaron con Big Sur. Una vez en el modo de recuperación, tuve que montar el volumen 'Macintosh HD - Datos' desde la Utilidad de Discos y ajustar las rutas en consecuencia.

Parece que te has encontrado con un error, ya que deberías recibir un token seguro cuando...

  1. Secure Token se habilita automáticamente para la cuenta de usuario creada por el Asistente de configuración de Apple.
  2. La cuenta de usuario creada por el Asistente de configuración con Secure Token luego crea otros usuarios a través del panel de preferencias Usuarios y grupos en Preferencias del sistema. Esas cuentas obtienen su propio token seguro automáticamente.

Secure Token y FileVault en el sistema de archivos de Apple - Der Flounder

Para otorgar manualmente un token seguro, ejecute

sysadminctl -secureTokenOn yourusername -password -

donde yourusernameestá el nombre de usuario del usuario al que desea otorgar un token seguro. ¡No olvides el guión al final también! No uses sudo.

Primero se le pedirá que "desbloquee" las preferencias de Usuarios y grupos proporcionando las credenciales de administrador en el cuadro de diálogo de la GUI, luego se le pedirá la contraseña de la cuenta a la que desea dar un token en la CLI.

Otorgar un token seguro sysadminctl -secureTokenOn yourusername -password -requiere un token seguro y derechos de administrador, por lo que no se puede usar para iniciar la primera cuenta con un token seguro.
Esta es la misma situación en la que me encuentro. Mi usuario principal/único no tenía un token seguro y al crear un nuevo usuario administrador tampoco tiene token. No tengo usuarios con tokens seguros. Migré a una nueva Mac usando el asistente de migración (después de una restauración fallida de Time Capsule...). La única señal de problemas fue que al final de la migración recibí un error que decía que no se podía crear "Mi nombre". Extraño.

Pude hacer que esto funcione. Primero, diagnostique que tiene el mismo problema. Correr:

sysadminctl -secureTokenStatus <username>

Si muestra "token seguro deshabilitado" y no tiene otros usuarios en el sistema que lo tengan habilitado, debe realizar este baile.

Obligue al asistente de instalación de Apple a ejecutarse en su próxima instalación ejecutando:

sudo rm /var/db/.AppleSetupDone

Y reinicie su computadora. Una vez que finalice el reinicio, inicie sesión como este nuevo administrador y cree un nuevo usuario administrador; con ese usuario, vaya a Configuración | Seguridad y Privacidad | File Vault y otorgue a su usuario real los privilegios para desbloquear el sistema de archivos. Ejecute esto nuevamente, ahora debería decir habilitado para su usuario real:

sysadminctl -secureTokenStatus <username>
¿Alguien probó esto? Me preocupa un poco quedarme fuera.
Hice esto y no funcionó, por lo que entiendo, solo las cuentas que tienen un token seguro pueden habilitar otras cuentas
Esto definitivamente se puede hacer funcionar (al menos en 10.13.6). Elimine el reinicio del archivo .AppleSetupDone y luego cree una nueva cuenta (que tendrá el token). Reinicie e inicie sesión como ese usuario. Entonces debería poder habilitar las cuentas antiguas en 'Seguridad y privacidad -> FileVault'. Reiniciar. Las cuentas antiguas no me surgieron de inmediato, por lo que no estoy seguro de cuál de las siguientes las desencadenó. Tal vez inicie sesión con la cuenta anterior o tal vez ejecute 'fdesetup add --usertoadd <acct>', etc. después. Pero funcionó. A continuación, debería poder eliminar la nueva cuenta.
No funcionó para mí en 10.14.5.

Tengo el mismo problema y al eliminar el archivo AppleSetupDone y reiniciar para forzar la creación de una nueva cuenta de administrador no se otorga un token a la nueva cuenta. Lo único que ha funcionado ha sido hacer una copia de seguridad del perfil de usuario, aplanar la máquina y hacer una nueva instalación de High Sierra desde un USB de arranque, lo que no es exactamente ideal cuando tengo muchas Mac para actualizar a la 10.13.

En esta respuesta, describiré mi resolución de la situación:

  1. Me comuniqué con AppleCare y juntos probamos varias cosas, como reinstalar MacOS High Sierra e intentar habilitar FileVault antes de la migración de cualquier dato de usuario. Esto no tiene éxito.
  2. Internet Recovery en esta Mac instala MacOS Sierra y en MacOS Sierra se puede habilitar FileVault. (Esto indica claramente un problema de software) Luego se puede actualizar a High Sierra y usar el Asistente de migración para recuperar los datos del usuario. El problema es que en esta situación solo los usuarios que se crearon en Sierra pueden desbloquear el disco, no los usuarios migrados o creados después de la migración.
  3. AppleCare intentó reproducir mi problema en un iMac similar con Fusion Drive y no pudieron. Se ofrecieron a verlo en persona, pero la próxima tienda está bastante lejos, así que no opté por esta opción.
  4. Dado que reiniciar la computadora no ocurre tan a menudo, me conformé con la solución para instalar High Sierra dentro de un volumen que está encriptado desde el principio. Esto funciona, pero conduce a la situación en la que debe ingresar la contraseña de descifrado cada vez que se inicia la computadora.
  5. Después de instalar la última actualización complementaria, el cargador de arranque probablemente se reescribió o algo así, ahora estoy en una situación en la que después del primer arranque aparece una pantalla en la que ambos usuarios pueden iniciar sesión o puedo desbloquear el disco. Tiene este aspecto: ingrese la descripción de la imagen aquíen esta pantalla, ambos usuarios pueden iniciar sesión y desbloquear el disco. La tercera opción es desbloquear el disco en el que se presenta otra pantalla de inicio de sesión con solo los dos usuarios.

Eso significa que el problema está básicamente resuelto, excepto que existe este extraño elemento de inicio de sesión, pero bueno...

También confirmé con Apple Support que la situación del token seguro descrita en la pregunta probablemente sea irrelevante porque los tokens seguros pertenecen a APFS y esta es una Mac con Fusion Drive.

¿Qué es un token seguro y cómo obtengo un usuario administrador que tiene uno?
RespuestasAquíPolítica de privacidad1y, 0v