보안 토큰이란 무엇이며 관리자가있는 사용자를 얻으려면 어떻게해야합니까?

6

FileVault를 사용할 수없는 FusionDrive가있는 iMac 2017을 가지고 있습니다. 상황이 요약되어있다. reddit post . 문제는 다음과 같이 요약됩니다. 보안 토큰을 가지고있는 관리자 사용자가 없으며이를 얻을 수없는 것 같습니다. 다음을 실행하여 확인할 수 있습니다.

sysadminctl interactive -secureTokenStatus USER_NAME

모든 사용자에 대해 항상 돌아온다.

Secure token is DISABLED for user USER_NAME

공장 설정의 첫 번째 설정으로 사용자가 보안 토큰을 얻지 못했고 다음을 시도했습니다.

지우다 /var/db/.AppleSetupDone 새 관리자 계정을 설정합니다. 결과 : slo에 토큰이없는 새 관리자 계정.
MacOS High Sierra 다시 설치 : 처음 생성 된 관리자에게는 보안 토큰이 없습니다.

이것이 고의적 인 이유 (퓨전 드라이브 때문에?) 또는 High Sierra의 버그 인 것 같습니다. Macbook Pro 2017에서 똑같은 절차를 통해 보안 토큰을 가진 관리자 사용자를 얻었습니다.이 사용자는 FileVault를 관리하고 다른 사용자에게 보안 토큰을 제공 할 수 있습니다.

FileVault를 사용하고 싶기 때문에 암호화 된 파일 시스템으로 기본 디스크를 다시 포맷하고 MacOS를 다시 설치하고 타임머신 백업에서 복원하려고했습니다. 이 작업은 FileVault를 사용할 수있게되었지만 지금은 컴퓨터가 부팅 될 때마다 (로그인 화면 이전에) 디스크 암호를 입력해야합니다. 나는 이것을 원하지 않으며, 사용자 암호로 디스크의 잠금을 해제하려고합니다.

보안 토큰을 사용하여 관리자를 얻으려면 어떻게해야합니까?

imac security filevault

— Thomas
소스

Fusion Drive 포맷 : APFS 또는 CoreStorage (APFS는 해킹없이 작동하지 않아야합니다)? iMac이 AD 환경에 연결되어 있습니까?

— klanomath

@klanomath 그것은 HFS +가있는 FusionDrive입니다. 광고가 없습니다. 이것은 Apple의 상점에서 구입하고, 포장을 풀고, 스위치를 켜고, 로컬 관리자가 만든 일반 아이맥입니다.

— Thomas

5

새로운 2018 MacBook Pro로 마이그레이션하고 어떻게 든 원래 계정 (관리자) 마이그레이션 중에 보안 토큰없이 작성되었습니다. 나는 심지어 새로운 관리자를 만들고 그 사용자에게 로그인하여 실행하려고 시도했다. sysadminctl -secureTokenOn justin -password - 하지만 점점 :

2018-07-30 14 : 17 : 56.552 sysadminctl [886 : 18232] 보안 토큰을 잠금 해제하지 않으면 작업을 수행 할 수 없습니다.

그래서 나는 다음을 제공했다. adminUser 과 adminPassword 내 원래 사용자로 플래그 justin:

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

저스틴의 비밀번호 입력 :

Justin K의 암호 입력 :

2018-07-30 14 : 31 : 05.262 sysadminctl [998 : 49031] setSecureTokenAuthorizationEnabled 오류 Error Domain = com.apple.OpenDirectory Code = 5101 "요청한 작업에 대해 현재 자격 증명에 대한 권한이 없기 때문에 인증 서버가 작업을 거부했습니다." UserInfo = {NSLocalizedDescription = 현재 자격 증명이 요청 된 작업에 대해 인증되지 않았기 때문에 인증 서버가 작업을 거부했습니다. NSLocalizedFailureReason = 요청 된 작업에 대해 현재 자격 증명이 승인되지 않았기 때문에 인증 서버가 작업을 거부했습니다.}

본질적으로 내 사용자 중 누구도 안전한 토큰을 갖고 있지 않기 때문에 보인다. 보안 토큰을 부여 할 방법이 없습니다. . 유일한 몰락은 다음과 같습니다.

컴퓨터를 콜드 시동 할 때 디스크 암호 해독 암호를 입력해야 암호가 두 번 입력됩니다 (디스크 암호 해독을 위해 한 번, 사용자 계정을 위해 한 번) .
버튼을 클릭하여 FileVault를 끄려고해도 아무 일도 일어나지 않습니다. "일부 사용자가 디스크 잠금 해제 [사용자 활성화 ...]"경고 단추를 클릭 할 때와 동일한 동작이 발생하지 않습니다.

— Justin
소스

1

내 상황과 똑같아. 암호화 된 볼륨에 설치하고 업데이트를 기다립니다. (내 대답 참조)

— Thomas

똑같은 상황이 여기에 있습니다.

— Alex Weinstein

1

-admin_User -admin_Password가 나를 위해 트릭을했습니다!

— Will Gordon

2

다음과 같은 경우에 보안 토큰을 부여해야하므로 버그를 발견했습니다.

Apple의 설정 지원에서 생성 한 사용자 계정에 대해 보안 토큰이 자동으로 활성화됩니다.

보안 토큰을 사용하여 설정 도우미가 만든 사용자 계정은 사용자 & amp; 시스템 환경 설정의 그룹 환경 설정 패널. 이러한 계정은 자체적으로 보안 토큰을 자동으로받습니다.

Apple 파일 시스템의 보안 토큰 및 FileVault - Der Flounder

보안 토큰을 수동으로 부여하려면 다음을 실행하십시오.

sysadminctl -secureTokenOn yourusername -password -

어디에 yourusername 보안 토큰을 부여하려는 사용자의 사용자 이름입니다. 마지막에 하이픈도 잊지 마세요! 하지마. sudo를 사용하십시오.

먼저 사용자 & amp;를 잠금 해제하라는 메시지가 표시됩니다. GUI 대화 상자에 관리자 자격 증명을 제공하여 환경 설정을 그룹화하면 CLI에서 토큰을 부여 할 계정의 비밀번호를 묻는 메시지가 표시됩니다.

— grg
소스

2

안전한 토큰 부여 sysadminctl -secureTokenOn yourusername -password - 보안 토큰 및 관리자 권한이 필요하므로 보안 토큰을 사용하여 첫 번째 계정을 부트 스트랩하는 데 사용할 수 없습니다.

— Thomas

내 주 / 유일한 사용자는 보안 토큰을 갖고 있지 않으며 토큰이없는 새 관리자 사용자를 만들었습니다. 보안 토큰을 가진 사용자가 없습니다. 마이그레이션 보조자 (Time Capsule 복원이 실패한 후 ...)를 사용하여 새 Mac으로 마이그레이션했습니다. 유일한 문제는 마이 그 레이션이 끝날 때 "내 이름"을 만들 수 없다는 오류가 발생했습니다. 기묘한.

— Brendan Moore

1

이 대답에서 나는 상황에 대한 나의 결심을 요약 할 것이다 :

AppleCare에 연락하여 MacOS High Sierra를 다시 설치하고 사용자 데이터를 마이그레이션하기 전에 FileVault를 활성화하는 등의 다양한 작업을 시도했습니다. 이것은 성공적이지 못합니다.
이 Mac의 인터넷 복구는 MacOS Sierra를 설치하고 MacOS에서는 Sierra FileVault를 활성화 할 수 있습니다. (이것은 소프트웨어 문제를 분명히 나타냄) High Sierra로 업데이트하고 마이그레이션 도우미를 사용하여 사용자 데이터를 다시 가져올 수 있습니다. 문제는이 상황에서 Sierra에서 생성 된 사용자 만이 디스크를 잠금 해제 할 수 있으며 마이그레이션 후 마이그레이션되거나 생성 된 사용자는 잠금 해제 할 수 없다는 것입니다.
AppleCare는 Fusion Drive를 사용하여 유사한 문제의 iMac에서 문제를 재현하려고 시도했지만 해결할 수 없었습니다. 그들은 직접 찾아 보겠다는 제안을했으나 다음 상점은 꽤 차로 달려서이 옵션을 선택하지 않았습니다.
컴퓨터를 재부팅하는 일이 자주 발생하지 않기 때문에 처음부터 암호화 된 볼륨에 High Sierra를 설치하는 솔루션으로 해결할 수있었습니다. 이 작동하지만 컴퓨터가 부팅 할 때마다 암호 해독 암호를 입력해야하는 상황이 발생합니다.
최신 보충 업데이트를 설치 한 후 부트 로더가 다시 작성되었거나 처음으로 부팅 한 후 두 사용자가 모두 로그인 할 수있는 화면이 나타나거나 디스크를 잠금 해제 할 수있는 상황이되었습니다. 다음과 같이 보입니다. 이 화면에서 두 사용자는 모두 로그인하여 디스크를 잠금 해제 할 수 있습니다. 세 번째 옵션은 두 사용자 만있는 다른 로그인 화면이 표시되는 디스크의 잠금을 해제하는 것입니다.

그것은 이상한 로그인 항목이 있다는 것을 제외하면 문제가 기본적으로 해결된다는 것을 의미하지만, 잘 ...

또한 Apple Support에서 보안 토큰이 APFS에 속하며 퓨전 드라이브가있는 Mac이므로 질문에 설명 된 보안 토큰 상황이 무의미하다고 확인했습니다.

— Thomas
소스

1

나는이 일을 할 수 있었다. 먼저 같은 문제가 있다고 진단하십시오. 운영:

sysadminctl -secureTokenStatus <username>

"보안 토큰을 사용할 수 없음"으로 표시되고 시스템에 다른 사용자가 활성화되어 있지 않으면이 댄스를 진행해야합니다.

다음을 실행하여 Apple 설치 마법사를 강제 실행하십시오.

sudo rm /var/db/.AppleSetupDone

컴퓨터를 다시 시작하십시오. 다시 시작한 후이 새 관리자로 로그인하고 새 관리자를 만듭니다. 그 사용자와 함께, 설정 | 보안 & amp; 개인 정보 | 파일 볼트 (File Vault)를 열고 실제 사용자에게 파일 시스템의 잠금을 해제 할 수있는 권한을 부여하십시오. 다시 실행하면 실제 사용자에 대해 사용 가능으로 설정됩니다.

sysadminctl -secureTokenStatus <username>

— Alex Weinstein
소스

아무도 이걸 시도해 봤어? 나는 너 자신을 밖으로 잠그는 것에 대해 거의 걱정하지 않는다.

— Justin

나는 이것을했고 작동하지 않았다. 안전한 토큰을 가진 계정 만이 다른 계정을 사용할 수 있다는 것을 이해했다.

— amohr

이것은 확실히 작동하도록 만들어 질 수 있습니다 (최소한 10.13.6 이상). .AppleSetupDone 파일을 제거하고 다시 부팅 한 다음 새로운 계정 (토큰이 있음). 해당 사용자로 재부트하고 로그인하십시오. 그런 다음 '보안 및 개인 정보'- & gt;에서 이전 계정을 활성화 할 수 있어야합니다. FileVault '를 선택하십시오. 재부팅하십시오. 이전 계정이 나에게 즉시 나타나지 않았으므로 다음 중 어떤 계정이 실행되었는지는 확실하지 않습니다. 어쩌면 이전 계정으로 로그인했거나 'fdesetup add --usertoadd & lt; acct & gt;' 이후 등. 그러나 그것은 효과가있었습니다. 그러면 새 계정을 삭제할 수 있습니다.

— Andrew

0

동일한 문제가 있고 AppleSetupDone 파일을 제거하고 새 관리자 계정을 만들도록 강제로 재부팅해도 새 계정에 토큰이 제공되지 않습니다. 작동하는 유일한 방법은 사용자 프로필을 백업하고 컴퓨터를 평평하게하고 부팅 가능한 USB에서 새로운 High Sierra 설치를 수행하는 것입니다. Mac을 많이 사용하는 경우에는 10.13으로 업그레이드해야합니다.

— Chains
소스