セキュアトークンとは何ですか?

8

FileVaultを有効にできないFusionDriveを搭載したiMac 2017を使用しています。状況はこのreddit投稿で要約されています。問題は次のように要約されます。安全なトークンを持っている管理者ユーザーがいないため、トークンを取得できないようです。これは次を実行することで確認できます:

sysadminctl interactive -secureTokenStatus USER_NAME

すべてのユーザー。いつも戻ってくる

Secure token is DISABLED for user USER_NAME

工場出荷時の設定からの最初のセットアップでは、ユーザーはセキュアトークンを使用できませんでした。

  • 削除/var/db/.AppleSetupDoneして新しい管理者アカウントをセットアップします。結果:sloにトークンがない新しい管理者アカウント。
  • MacOS High Sierraを再インストールします。最初に作成された管理者ユーザーにはセキュアトークンがありません。

これは意図的なもの(Fusion Driveのせいですか?)またはHigh Sierraのバグのようです。Macbook Pro 2017でまったく同じ手順で、セキュアトークンを持つ管理者ユーザーを取得し、そのユーザーはFileVaultを管理し、他のユーザーにセキュアトークンを与えることができます。

FileVaultを使用したいので、暗号化されたファイルシステムでメインディスクを再フォーマットし、MacOSを再インストールして、タイムマシンのバックアップから復元しようとしました。これは機能し、FileVaultは有効になっていますが、コンピューターを起動するたびに(ログイン画面の前に)ディスクパスワードを入力する必要があります。これは必要ありません。ユーザーパスワードでディスクのロックを解除します。

安全なトークンで管理者ユーザーを取得するにはどうすればよいですか?

imac  security  filevault 
トーマス
ソース
Fusion Driveをどのようにフォーマットしましたか:APFSまたはCoreStorage(ハッキングがなければAPFSは動作しません)?iMacはAD環境にバインドされていますか?
クラノマス
@klanomath HFS +を搭載したFusionDriveです。ADはありません。これはApple Storeから購入し、開梱し、スイッチを入れ、ローカル管理者ユーザーが作成した通常のiMacです。
トーマス

回答:

7

新しい2018 MacBook Proに移行したところ、移行中に安全なトークンなしで元のアカウント(管理ユーザー)が作成されました。新しい管理者ユーザーを作成し、そのユーザーにログインして実行しようとしましたsysadminctl -secureTokenOn justin -password -が、

2018-07-30 14:17:56.552 sysadminctl [886:18232]安全なトークンロック解除なしでは操作は許可されません。

そこで、私は元のユーザーとして次の提供adminUseradminPasswordフラグを試しましたjustin

sysadminctl -secureTokenOn justin -password--adminUser justin -adminPassword-

ジャスティンのパスワードを入力してください:

Justin Kのパスワードを入力してください:

2018-07-30 14:31:05.262 sysadminctl [998:49031] setSecureTokenAuthorizationEnabledエラーエラーDomain = com.apple.OpenDirectory Code = 5101「現在の資格情報は要求された操作に対して許可されていないため、認証サーバーは操作を拒否しました。」UserInfo = {NSLocalizedDescription =現在の資格情報が要求された操作に対して許可されていないため、認証サーバーは操作を拒否しました。NSLocalizedFailureReason=現在の資格情報が要求された操作に対して許可されていないため、認証サーバーは操作を拒否しました。

基本的に、ユーザーのもがセキュアトークンを持っているため、セキュアトークンを付与する方法ないようです。唯一の欠点は次のとおりです。

  • マシンをコールドスタートするとき、ディスク復号化パスワードを入力する必要があります。その結果、パスワードを2回入力します(ディスク復号化に1回、ユーザーアカウントに1回)

  • ボタンをクリックしてFileVaultをオフにしようとしても何も起こりません。「一部のユーザーはディスクをロック解除できない[ユーザーを有効にする...]」という警告ボタンをクリックしても同じ動作になりません。

ここに画像の説明を入力してください

ジャスティン
ソース
1
まさに私の状況に似ています。暗号化されたボリュームにインストールし、更新を待ちます。(私の答えを参照)
トーマス
ここと同じ正確な状況
アレックスワインスタイン
1
-adminUser -adminPasswordが私を助けてくれました!
ウィルゴードン
adminUserとadminPassword(またはAPFSと同期していないもの)がない場合は、Recoveryを使用して; SecureToken;を削除することができます。すべてのユーザーのAuthenticationAuthorityから(もしあれば)をdscl使用してresetFileVaultpasswordから、使用して自分用の光沢のある新しいSecureTokenを取得します。
ssnobody
2

あなたはバグに遭遇したようです。

  1. セキュアトークンは、Appleのセットアップアシスタントによって作成されたユーザーアカウントに対して自動的に有効になります。
  2. 次に、セットアップアシスタントが作成したセキュアトークン付きのユーザーアカウントは、システム環境設定の「ユーザーとグループ」環境設定ペインから他のユーザーを作成します。これらのアカウントは、独自のセキュアトークンを自動的に取得します。

Appleファイルシステム上のセキュアトークンとFileVault-Der Flounder

安全なトークンを手動で付与するには、次を実行します

sysadminctl -secureTokenOn yourusername -password -

ここでyourusername、セキュアトークンを付与するユーザーのユーザー名です。最後にハイフンも忘れないでください!sudoを使用しないでください

まず、GUIダイアログに管理者の資格情報を入力して、ユーザーとグループの設定を「ロック解除」するように求められます。次に、CLIでトークンを与えるアカウントのパスワードを求められます。

grg
ソース
3
セキュアトークンを付与するにsysadminctl -secureTokenOn yourusername -password -は、セキュアトークンと管理者権限が必要なので、セキュアトークンを使用して最初のアカウントをブートストラップすることはできません。
トーマス
1
これは私がいるのと同じ状況です。メイン/オンリーユーザーにはセキュアトークンがなく、新しい管理者ユーザーを作成してもトークンはありません。安全なトークンを持つユーザーがいません。移行アシスタントを使用して新しいMacに移行しました(Time Capsuleの復元に失敗した後...)。問題の唯一の兆候は、移行の最後に「私の名前」を作成できなかったというエラーが表示されたことです。奇妙な。
ブレンダンムーア
1

この回答では、状況の解決策の概要を説明します。

  1. AppleCareに連絡し、一緒にMacOS High Sierraを再インストールしたり、ユーザーデータを移行する前にFileVaultを有効にしようとしたりなど、さまざまなことを試しました。これは成功しません。
  2. このMacのインターネットリカバリではMacOS Sierraがインストールされ、MacOS Sierra FileVaultを有効にできます。(これは明らかにソフトウェアの問題を示しています)その後、High Sierraに更新し、移行アシスタントを使用してユーザーデータを取得できます。問題は、この状況では、Sierraで作成されたユーザーのみがディスクのロックを解除でき、移行後に移行または作成されたユーザーはいないということです。
  3. AppleCareはFusion Driveを搭載した同様のiMacで問題を再現しようとしましたが、できませんでした。彼らは自分でそれを見るように申し出ましたが、次の店はかなり離れているので、私はこのオプションを選びませんでした。
  4. コンピューターの再起動はそれほど頻繁に行われないため、最初から暗号化されたボリューム内にHigh Sierraをインストールするという解決策を講じました。これは機能しますが、コンピューターを起動するたびに復号化パスワードを入力する必要がある状況につながります。
  5. 最新のSupplemental Updateをインストールした後、おそらくブートローダーが書き直されたか、何かになりました。最初のブート後に、両方のユーザーがログインできる画面が表示されるか、ディスクのロックを解除できます。それは次のようになります。 ここに画像の説明を入力してください この画面では、両方のユーザーがログインして、それによって、ディスクのロックを解除することができます。3番目のオプションは、2人のユーザーのみがいる別のログイン画面が表示されるディスクをロック解除することです。

これは、この奇妙なログイン項目があることを除いて、問題が基本的に解決されることを意味しますが、...

また、セキュアトークンはAPFSに関連しており、これはFusion Driveを搭載したMacであるため、質問で説明されているセキュアトークンの状況はほとんど関係がないことをAppleサポートに確認しました。

トーマス
ソース
1

この作品を作ることができました。まず、同じ問題があることを診断します。実行:

sysadminctl -secureTokenStatus <username>

「セキュアトークンが無効」と表示され、それを有効にしているシステムに他のユーザーがいない場合は、このダンスを実行する必要があります。

次を実行して、次のインストールでAppleセットアップウィザードを強制的に実行します。

sudo rm /var/db/.AppleSetupDone

コンピューターを再起動します。再起動が完了したら、この新しい管理者としてログインし、新しい管理ユーザーを作成します。そのユーザーで、[設定] | [ セキュリティとプライバシー| File Vault。実際のユーザーにファイルシステムのロックを解除する権限を付与します。これを再度実行すると、実際のユーザーに対して有効になっているはずです。

sysadminctl -secureTokenStatus <username>
アレックス・ワインスタイン
ソース
誰もこれを試しましたか?私は自分を締め出すことを少し心配しています。
ジャスティン
安全なトークンを持っているアカウントのみが他のアカウントを有効にできることを理解しているため、私はこれを行いましたがうまくいきませんでした
-amohr
これは間違いなく機能します(少なくとも10.13.6で)。.AppleSetupDoneファイルの再起動を削除してから、新しいアカウント(トークンを持つ)を作成します。再起動して、そのユーザーとしてログインします。その後、「セキュリティとプライバシー-> FileVault」で古いアカウントを有効にできるはずです。リブート。古いアカウントはすぐには表示されなかったため、次のどれがトリガーになったのかわかりません。古いアカウントとしてログインするか、後で「fdesetup add --usertoadd <acct>」などを実行する可能性があります。しかし、うまくいきました。その後、新しいアカウントを削除できるはずです。
アンドリュー
10.14.5で動作しませんでした。
サッシュ
1

私はこの状況にいることに気づきました。これは、FileVaultを有効にしてOSをクリーンインストールしたため、ユーザーが移行されなかったためだと思います。

したがって、システム環境設定の「一部のユーザーは、ディスクのロックを解除することができません」を訴えたが「ユーザーを有効にする」をクリックすると、何もしなかったsysadminctl -secureTokenStatus jrc(私のメインユーザー)「DISABLED」と述べ、及びsysadminctl -secureTokenOn ...無用でした。

fdesetup list -extended「不明なユーザー」エントリを報告したという事実からヒントが得られました。そこで、新しいユーザーを作成し、そのユーザーのUUIDを不明なユーザーのUUIDに変更し、その新しいユーザーを使用して既存のユーザーを修正することで問題を解決しました。これには、ディレクトリサービスストアがシステム整合性保護(SIP)によって保護されているため、回復モード(またはシングルユーザーモード)に移行する必要がありました。

  1. から報告された不明なユーザーのUUIDに注意してくださいsudo fdesetup list -extended
  2. [システム環境設定]> [ユーザーとグループ]でadmin、メインユーザーアカウントと同じパスワードを使用して(この例では名前が付けられた)新しい管理者ユーザーを作成します。
  3. 回復モードで起動しGeneratedUID、上記のUUIDと一致するように新しく作成されたユーザーを変更します。これは、ユーティリティメニュー>ターミナルをリカバリモードで開いてから実行することで実行できdscl -f "/Volumes/Macintosh HD/var/db/dslocal/nodes/Default" localonly -changei /Local/Default/Users/admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065ます。必要に応じて、ボリューム名、ユーザー名、およびUUIDを置き換えます。すべて大文字と小文字が区別されます。
  4. 通常どおり再起動します。sysadminctl -secureTokenStatus adminこれで「ENABLED」と報告されるはずです。(わーい!)
  5. sudo fdesetup add -usertoadd jrc。プロンプトが表示されたら、上記の管理者ユーザーの資格情報を入力します。
  6. 最後に、実行diskutil apfs updatePreboot /してブートグラフィックを修正します。

役立つと思われるいくつかの関連リンク:

jrc
ソース
ありがとう。私はあなたの指示に従うことができましたが、もう1ステップ追加する必要がありました。再起動後、Directory Utilityを開き、ユーザーを見つけて、次にadmin追加しAuthenticationAuthorityます: `; SecureToken;`(最初の前のスペースに注意してください;)。これを実行した後、「ユーザー管理者に対してセキュアトークンが有効になっています」というメッセージが表示されました。
サッシュ
0

同じ問題があり、AppleSetupDoneファイルを削除し、再起動して新しい管理者アカウントを強制的に作成しても、新しいアカウントにトークンが与えられません。唯一機能したのは、ユーザープロファイルのバックアップ、マシンのフラット化、ブート可能なUSBからのHigh Sierraの新規インストールです。これは、10.13にアップグレードするMacが大量にある場合には理想的ではありません。

チェーン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.