Je teste une solution MDM (avec une instance MDM Server.app interne), qui applique FileVault. Elle est configurée avec une clé de récupération institutionnelle (IRK) et une clé de récupération personnelle (PRK). Cette dernière est également enregistrée dans MDM.
En gros, nous avons généré un trousseau de clés comme ceci, exporté le certificat du trousseau de clés et l'avons ajouté à un profil MDM (nous utilisons le MDM de Server.app).
Ça marche très bien. Quand je fais un diskutil apfs listCryptoUsers diskNxM j'obtiens tous les utilisateurs que j'attends, y compris un utilisateur de type Institutional Recovery User et un autre de type Institutional Recovery External Key . La réinitialisation du mot de passe via Open Directory fonctionne bien. Le déverrouillage du lecteur avec le PRK fonctionne bien.
Et maintenant je teste pour déverrouiller le volume avec ledit IRK. J'ai démarré via Recovery (cmd+R), et quand j'exécute diskutil apfs unlockVolume /dev/diskNsM -recoveryKeyChain /Volumes/RecoveryDrive/FileVaultMaster.keychain (le trousseau est déverrouillé, et le lecteur est correct), j'obtiens cette erreur :
Error unlocking APFS Volume: The external-to-APFS security system's credential-unwrap
operation failed (-69534)J'ai essayé de déverrouiller le trousseau en utilisant un mot de passe différent, et cela a échoué directement. Quelqu'un ici suggéré pour supprimer le certificat du trousseau de clés. Cela n'a pas fonctionné non plus. J'ai vérifié deux fois que le volume était APFS. Il l'était.
Une idée (à part créer un nouveau trousseau de clés FileVault Master et refaire tout le processus une fois de plus) ?
