11 votes

Brian Campbell avatar

Qu'est-ce qu'un jeton sécurisé et comment puis-je obtenir un utilisateur admin qui en possède un ?

Demandé el 24 de Janvier, 2018
Quand la question a-t-elle été
41336 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un iMac 2017 avec un FusionDrive sur lequel FileVault ne peut pas être activé. La situation se résume à ceci post reddit . Le problème se résume à : Aucun utilisateur de l'administration ne dispose d'un jeton sécurisé et il semble que je ne puisse pas en obtenir un. Ceci peut être confirmé en exécutant :

sysadminctl interactive -secureTokenStatus USER_NAME

pour chaque utilisateur. Il revient toujours avec

Secure token is DISABLED for user USER_NAME

La première configuration à partir des paramètres d'usine n'a pas donné lieu à un utilisateur avec un jeton sécurisé, et j'ai essayé :

  • Supprimer /var/db/.AppleSetupDone pour configurer un nouveau compte administrateur. Résultat : Un nouveau compte administrateur qui n'a pas encore de jeton.
  • Réinstaller MacOS High Sierra : L'utilisateur admin créé en premier n'a pas de jeton sécurisé.

Il semble que ce soit soit intentionnel (à cause du Fusion Drive ?) ou un bug dans High Sierra. Avec exactement la même procédure sur un Macbook Pro 2017, j'obtiens un utilisateur admin avec un jeton sécurisé et cet utilisateur peut gérer FileVault et donner des jetons sécurisés à d'autres utilisateurs.

Comme je veux utiliser FileVault, j'ai également essayé de reformater le disque principal avec un système de fichiers crypté, de réinstaller MacOS et de restaurer à partir de la sauvegarde de Time Machine. Cela a fonctionné, FileVault est activé, mais maintenant je dois entrer le mot de passe du disque à chaque fois que l'ordinateur démarre (avant l'écran de connexion). Je ne veux pas de cela, je veux pouvoir déverrouiller le disque avec un mot de passe utilisateur.

Que puis-je faire pour obtenir un utilisateur admin avec un jeton sécurisé ?

Demandé el 24 de Janvier, 2018 par Brian Campbell

Réponses

Trop de publicités?

9voto

Tom avatar
Tom Points 343

Je viens de migrer vers un nouveau MacBook Pro 2018, et d'une manière ou d'une autre, mon compte original (un utilisateur admin) a été créé sans jeton sécurisé lors de la migration. J'ai même essayé de créer un nouvel utilisateur administrateur, de me connecter à cet utilisateur et d'essayer d'exécuter le programme de gestion de la sécurité. sysadminctl -secureTokenOn justin -password - mais en obtenant :

2018-07-30 14:17:56.552 sysadminctl[886:18232] L'opération n'est pas autorisée sans le déverrouillage du jeton sécurisé.

J'ai donc essayé de fournir les éléments suivants adminUser y adminPassword drapeaux comme mon utilisateur d'origine justin :

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

Entrez le mot de passe pour justin :

Entrez le mot de passe pour Justin K :

2018-07-30 14:31:05.262 sysadminctl[998:49031] setSecureTokenAuthorizationEnabled error Error Domain=com.apple.OpenDirectory Code=5101 "Le serveur d'authentification a refusé l'opération car les informations d'identification actuelles ne sont pas autorisées pour l'opération demandée." UserInfo={NSLocalizedDescription=Le serveur d'authentification a refusé l'opération parce que les informations d'identification actuelles ne sont pas autorisées pour l'opération demandée, NSLocalizedFailureReason=Le serveur d'authentification a refusé l'opération parce que les informations d'identification actuelles ne sont pas autorisées pour l'opération demandée.}

En fait, il semble qu'étant donné qu'aucun de mes utilisateurs n'a de jeton sécurisé, il n'y a pas de jeton sécurisé. aucun moyen d'accorder un jeton sécurisé . Le seul inconvénient est le suivant :

  • Lorsque je démarre la machine à froid, je dois entrer un mot de passe de décryptage du disque, ce qui m'oblige à entrer mon mot de passe deux fois. (une fois pour le décryptage du disque et une fois pour le compte utilisateur) .

  • Lorsque j'essaie de désactiver FileVault en cliquant sur le bouton, rien ne se passe. Même comportement lorsque je clique sur le bouton d'avertissement "Certains utilisateurs ne sont pas en mesure de déverrouiller le disque [Enable Users...]", rien ne se passe.

enter image description here

Répondu el 30 de Juillet, 2018 par Tom (343 Points )

7voto

Buzz avatar
Buzz Points 1088

Je me suis retrouvé dans cette situation. Je pense que c'est parce que j'ai fait une installation propre du système d'exploitation alors que FileVault était activé, et que les utilisateurs n'ont donc pas été transférés.

En conséquence, les Préférences Système se sont plaintes de "Certains utilisateurs ne sont pas en mesure de déverrouiller le disque" mais le fait de cliquer sur "Activer les utilisateurs" n'a rien fait, sysadminctl -secureTokenStatus jrc (mon utilisateur principal) a dit "DISABLED", et sysadminctl -secureTokenOn ... était inutile.

Un indice est venu du fait que fdesetup list -extended a signalé une entrée "Utilisateur inconnu". J'ai donc résolu le problème en créant un nouvel utilisateur, en remplaçant l'UUID de cet utilisateur par celui de l'utilisateur inconnu, et en utilisant ce nouvel utilisateur pour réparer mon utilisateur existant. Cela a nécessité un passage en mode de récupération (ou en mode utilisateur unique) car le magasin des services d'annuaire est protégé par la protection de l'intégrité du système (SIP).

  1. Notez l'UUID du ou des utilisateurs inconnus signalés à partir de sudo fdesetup list -extended .
  2. Dans Préférences système > Utilisateurs et groupes, créez un nouvel utilisateur administrateur (nommé admin dans cet exemple) en utilisant le même mot de passe que votre compte utilisateur principal.
  3. Démarrez en mode de récupération et changez le GeneratedUID de l'utilisateur nouvellement créé pour correspondre à l'UUID ci-dessus. Cela peut être fait en ouvrant le menu Utilitaires > Terminal en mode récupération, puis en exécutant dscl -f "/Volumes/Macintosh HD/var/db/dslocal/nodes/Default" localonly -changei /Local/Default/Users/admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065 . Remplacez le nom de votre volume, le nom d'utilisateur et l'UUID comme il convient. Tout est sensible à la casse.
  4. Redémarrez normalement. sysadminctl -secureTokenStatus admin devrait maintenant rapporter "ENABLED". (Hourra !)
  5. sudo fdesetup add -usertoadd jrc . Lorsque vous y êtes invité, entrez les informations d'identification de l'utilisateur administrateur ci-dessus.
  6. Enfin, exécutez diskutil apfs updatePreboot / pour réparer les graphiques de démarrage.

Quelques liens connexes que j'ai trouvés utiles :

Répondu el 2 de Avril, 2019 par Buzz (1088 Points )

5voto

grg avatar
grg Points 181593

Il semble que vous ayez rencontré un bug, puisque vous devriez recevoir un jeton sécurisé lorsque

  1. Secure Token est automatiquement activé pour le compte utilisateur créé par l'assistant de configuration d'Apple.
  2. Le compte utilisateur créé par l'assistant de configuration avec Secure Token crée ensuite d'autres utilisateurs via le panneau de préférences Utilisateurs et groupes dans les Préférences système. Ces comptes obtiennent automatiquement leur propre Secure Token.

Secure Token et FileVault sur le système de fichiers d'Apple - Der Flounder

Pour accorder manuellement un jeton sécurisé, exécutez

sysadminctl -secureTokenOn yourusername -password -

yourusername est le nom d'utilisateur de l'utilisateur auquel vous souhaitez accorder un jeton sécurisé. N'oubliez pas non plus le trait d'union à la fin ! Ne fais pas ça. utiliser sudo.

Vous serez d'abord invité à "déverrouiller" les préférences Utilisateurs et Groupes en fournissant des informations d'identification d'administrateur dans la boîte de dialogue GUI, puis vous serez invité à saisir le mot de passe du compte auquel vous souhaitez donner un jeton dans l'interface CLI.

Répondu el 28 de Janvier, 2018 par grg (181593 Points )

4voto

android developer avatar
android developer Points 520

J'ai pu faire en sorte que ça marche. D'abord, diagnostiquez que vous avez le même problème. Exécutez :

sysadminctl -secureTokenStatus <username>

S'il affiche "jeton sécurisé désactivé" et qu'aucun autre utilisateur du système ne l'a activé, vous devez procéder de la manière suivante.

Forcez l'assistant d'installation d'Apple à s'exécuter lors de votre prochaine installation en exécutant :

sudo rm /var/db/.AppleSetupDone

Et redémarrez votre ordinateur. Une fois le redémarrage terminé, connectez-vous en tant que nouvel administrateur et créez un nouvel utilisateur administrateur ; avec cet utilisateur, allez dans Paramètres | Sécurité et confidentialité | File Vault, et accordez à votre utilisateur actuel les privilèges pour déverrouiller le système de fichiers. Exécutez à nouveau cette opération, il devrait maintenant être indiqué que le système est activé pour votre utilisateur actuel :

sysadminctl -secureTokenStatus <username>
Répondu el 3 de Septembre, 2018 par android developer (520 Points )

2voto

Chains avatar
Chains Points 142

J'ai le même problème et la suppression du fichier AppleSetupDone et le redémarrage pour forcer la création d'un nouveau compte administrateur ne donne pas de jeton au nouveau compte. La seule chose qui a fonctionné a été de sauvegarder le profil utilisateur, d'aplatir la machine et de faire une nouvelle installation de High Sierra à partir d'une USB amorçable, ce qui n'est pas vraiment idéal lorsque j'ai beaucoup de Macs à mettre à niveau vers la 10.13.

Répondu el 16 de Octobre, 2018 par Chains (142 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X