J'ai un scénario dans lequel j'ai connecté toutes nos machines Mac à Active Directory (qui est lui-même douloureux). Cependant, après avoir activé FileVault à partir d'un compte administrateur, j'ai constaté que les utilisateurs du réseau ne pouvaient pas se connecter, même après avoir activé l'option : Afficher la fenêtre de connexion comme Nom et mot de passe. Je dois d'abord me connecter avec un compte administrateur, puis me déconnecter pour permettre à un utilisateur réseau de se connecter, ce qui n'est pas une solution idéale. Il existe une solution, mais que se passe-t-il si je ne connais pas l'utilisateur et que je souhaite ouvrir une machine Mac où un utilisateur AD aléatoire peut se connecter à cette machine (FileVault activé). Toute suggestion ou solution sera très appréciée.
Réponse
Trop de publicités?
Je vais expliquer ce processus de manière très technique et détaillée.
Lorsque vous avez un disque crypté avec FileVault, le système doit demander à un utilisateur autorisé de se connecter juste après le démarrage de l'EFI.
Cette opération est nécessaire car le système doit monter le disque. Et il ne peut pas le monter sans la saisie d'un mot de passe administrateur.
Vous voyez alors un écran avec les avatars des utilisateurs locaux du niveau administrateur.
Cet écran affiche l'avatar d'un utilisateur parce que l'avatar de cet utilisateur a été inséré dans l'image/nvram de démarrage EFI. À ce stade de la séquence de démarrage, aucun système d'exploitation n'est encore chargé Il s'agit d'un simple écran de démarrage qui demande le mot de passe de l'utilisateur [ce qui n'est pas le cas pour le mot de passe de l'utilisateur]. simule l'apparence de l'écran de connexion de l'interface graphique Mais ce n'est qu'une image statique contenant les avatars des utilisateurs ! (presque comme une sorte d'image statique de bootloader, sauf qu'elle demande la combinaison utilisateur/pass)
Après avoir inséré le mot de passe, le disque est monté et le processus de démarrage commence.
Lorsque la barre de chargement atteint environ 80 %, l'écran se transforme en un autre écran presque identique, qui clignote parfois à ce moment-là. Il s'agit de l'interface graphique en cours de chargement, processus appelé WindowServer.
À ce stade, l'interface réseau est UP, d'autres sous-systèmes réseau viennent d'être lancés, notamment les services d'annuaire ouverts [dont vous avez besoin]. Si le disque n'était PAS crypté, c'est EXACTEMENT à ce moment-là que vous verriez le VRAI écran de connexion demandant le nom d'utilisateur et le mot de passe. Mais comme le disque est crypté et que vous avez fourni l'utilisateur/le mot de passe pour le décrypter plus tôt [avant de monter le disque], l'écran de connexion en mode multi-utilisateur qui devrait apparaître ici est ignoré et le nom d'utilisateur que vous avez inséré précédemment est enregistré automatiquement.
Donc en pratique, c'est juste une simulation théâtrale d'un vrai login depuis le démarrage, mais c'est faux, jusqu'à ce que l'interface graphique soit prête et que MacOS fasse un auto-login une fois en mode multi-utilisateur, pour vous faire croire que tout était un peu "magique". Mais il n'y a pas de magie du tout.
Il est donc impossible d'obtenir ce dont vous avez besoin ou ce que vous voulez sur cet écran initial, car aucun protocole d'authentification réseau n'est encore en place à ce moment-là. Même le disque n'est pas prêt, qui ne devient monté et lisible qu'après l'insertion de la combinaison utilisateur/passe.
Vous pouvez mieux comprendre ce que j'ai écrit et comment tout cela se produit en démarrant le système d'une manière un peu différente :
Utiliser le -v nvram boot argument, pour l'amorcer verbalement.
Si vous démarrez en utilisant l'argument nvram "-v", vous pouvez avoir une meilleure vue de ce qui se passe "derrière" la scène, et vous pouvez également voir le moment de chargement de l'interface graphique, et l'ouverture de session automatique.
Ce qu'il faut faire :
Pour obtenir ce dont vous avez besoin, nous devons empêcher la connexion automatique sur l'interface graphique réelle [windowServer]. se produire .
De cette façon, vous aurez un utilisateur local pour monter le disque système au démarrage, puis après l'installation de l'interface graphique, il devra rester sur l'icône déconnecté et afficher le véritable écran de connexion avec les vrais avatars ou les champs pour saisir l'utilisateur/le mot de passe (selon la manière dont vous préférez connecter les utilisateurs [par avatars ou par saisie textuelle du nom/passe]).
-
Cela obligera à ouvrir deux sessions :
- un pour Filevault [au démarrage] et
- un pour le système d'exploitation
-
Lors de la deuxième connexion, vous pouvez soit vous connecter de la même manière que pour la première fois, soit vous connecter de la même manière que pour la deuxième fois. utilisateur local utilisé au démarrage, ou vous pouvez vous connecter tout autre utilisateur .
-
Cela vous permettra également de vous connecter [ lors de la deuxième connexion Les utilisateurs de l'AD peuvent se connecter à n'importe quel utilisateur de l'AD comme ils le souhaitent.
( Rappelez-vous que le premier login n'est pas un vrai login, c'est juste une authentification pour monter le disque, donc personne n'est techniquement connecté sur la [partie du système] UNIX/BSD après avoir monté le disque. La vraie connexion n'a lieu que lors de la deuxième connexion [sur l'interface graphique]. )
Comment procéder :
Pour forcer 2 (deux) connexions, une clé secrète doit être ajoutée à la configuration de MacOS :
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YESAprès l'avoir exécuté, redémarrez, et le tour est joué !
Je viens de le tester sur El Capitan crypté et ça marche !, et ça devrait marcher jusqu'à Mojave (mais je n'ai pas de Mojave crypté ici). pour le tester maintenant. Je le testerai et le validerai également sur Catalina demain. Si vous Si vous le pouvez, merci de le valider pour votre version de MacOS, de poster les résultats, et nous pourrons construire un mini-tableau listant toutes les versions de MacOS. et nous pourrons créer un mini-tableau listant toutes les versions connues qui fonctionnent plus tard.
L'exécution de la commande ci-dessus est totalement sûre, il n'y a pas lieu de s'inquiéter.
