Acabei de migrar para um novo MacBook Pro 2018 e, de alguma forma, minha conta original (um usuário administrador) foi criada sem um token seguro durante a migração. Eu até tentei criar um novo usuário administrador, fazendo login nesse usuário e tentando executar sysadminctl -secureTokenOn justin -password - mas obtendo:

2018-07-30 14: 17: 56.552 sysadminctl [886: 18232] A operação não é permitida sem o desbloqueio de token seguro.

Então, tentei o seguinte fornecendo os sinalizadores adminUser e adminPassword como meu usuário original justin :

sysadminctl -secureTokenOn justin -password - -adminUser justin -adminPassword -

Digite a senha para justin:

Digite a senha de Justin K:

2018-07-30 14: 31: 05.262 sysadminctl [998: 49031] setSecureTokenAuthorizationEnabled error Error Domain = com.apple.OpenDirectory Code = 5101 "O servidor de autenticação recusou a operação porque as credenciais atuais não estão autorizadas para a operação solicitada." UserInfo = {NSLocalizedDescription = O servidor de autenticação recusou a operação porque as credenciais atuais não estão autorizadas para a operação solicitada., NSLocalizedFailureReason = O servidor de autenticação recusou a operação porque as credenciais atuais não são autorizadas para a operação solicitada.}

Basicamente, parece que, como nenhum dos meus usuários tem um token seguro, não existe uma maneira nenhum modo de conceder um token seguro. A única queda é a seguinte:

• Quando eu inicializo a máquina a frio, tenho que inserir uma senha de descriptografia de disco, o que resulta em inserir minha senha duas vezes (uma para descriptografia de disco e uma vez para a conta de usuário) .

• Quando tento desligar o FileVault clicando no botão, nada acontece. O mesmo comportamento ao clicar no botão de aviso "Alguns usuários não conseguem desbloquear o disco [Habilitar usuários ...]" nada acontece.

Eu me encontrei nesta situação. Acho que isso aconteceu porque fiz uma instalação limpa do sistema operacional enquanto o FileVault estava habilitado, para que os usuários não fossem migrados.

Assim, as Preferências do Sistema reclamaram "Alguns usuários não conseguem desbloquear o disco", mas clicar em "Habilitar Usuários" não adiantou, sysadminctl -secureTokenStatus jrc (meu usuário principal) disse "DESATIVADO" e sysadminctl -secureTokenOn ... era inútil.

Uma pista veio do fato de que fdesetup list -extended relatou uma entrada de "Usuário desconhecido". Resolvi o problema criando um novo usuário, alterando o UUID desse usuário para o de um usuário desconhecido e usando esse novo usuário para corrigir meu usuário existente. Isso exigiu uma viagem para o modo de recuperação (ou modo de usuário único), já que o armazenamento dos Serviços de diretório é protegido pela Proteção de integridade do sistema (SIP).

1. Observe o UUID do (s) usuário (s) desconhecido (s) relatado (s) em sudo fdesetup list -extended .
2. Em Preferências do sistema> Grupos & de usuários, crie um novo usuário administrador (denominado admin neste exemplo) usando a mesma senha de sua conta de usuário principal.
3. Inicialize no modo de recuperação e altere o GeneratedUID do usuário recém-criado para corresponder ao UUID acima. Isso pode ser feito abrindo o menu Utilitários> Terminal no Modo de recuperação e executando dscl -f "/ Volumes / Macintosh HD / var / db / dslocal / nodes / Default" localonly -changei / Local / Default / Users / admin GeneratedUID 1 5BBB4CE0-FEC9-4922-A456-5FE00534C065 . Substitua seu nome de volume, nome de usuário e UUID conforme apropriado. Tudo diferencia maiúsculas de minúsculas.
4. Reinicie normalmente. sysadminctl -secureTokenStatus admin agora deve relatar "ENABLED". (Oba!)
5. sudo fdesetup add -usertoadd jrc . Quando solicitado, insira as credenciais do usuário administrador acima.
6. Por fim, execute diskutil apfs updatePreboot / para corrigir os gráficos de inicialização.

Alguns links relacionados que achei úteis:

• https://carpeaqua.com/2017/11/30/updating-your-apfs-encrypted-volume-filevault-password/
• https://derflounder.wordpress.com/2019/02/10/re-syncing-local-account-passwords-and-secure-token-on-filevault-encrypted-macs-running-macos-mojave /

Parece que você encontrou um bug, já que deve receber um token seguro quando ...

1. O token seguro é ativado automaticamente para a conta de usuário criada pelo Assistente de configuração da Apple.
2. A conta de usuário criada pelo Assistente de configuração com Token seguro cria outros usuários por meio do painel de preferências Grupos de usuários & em Preferências do sistema. Essas contas obtêm seu próprio token seguro automaticamente.

Secure Token e FileVault no Apple File System - Der Flounder

Para conceder manualmente um token seguro, execute

  sysadminctl -secureTokenOn seu nome de usuário -password -
 

onde seunomedeusuario é o nome de usuário do usuário ao qual deseja conceder um token seguro. Não se esqueça do hífen também no final! Donon use sudo.

Primeiro, você será solicitado a 'desbloquear' as preferências de Grupos de usuários & fornecendo credenciais de administrador para a caixa de diálogo da GUI, em seguida, será solicitada a senha da conta à qual deseja dar um token na CLI. / p>

Eu consegui fazer isso funcionar.Primeiro, diagnostique que você tem o mesmo problema.Executar:

  sysadminctl -secureTokenStatus <username>
 

Se mostrar "token seguro desativado" e você não tiver nenhum outro usuário no sistema que o tenha ativado, você precisa fazer esta dança.

Force o assistente de configuração da Apple a ser executado em sua próxima instalação executando:

  sudo rm /var/db/.AppleSetupDone
 

E reinicie o seu computador.Depois que a reinicialização terminar, faça login como esse novo administrador e crie um novo usuário administrador;com esse usuário, vá para Configurações |Segurança & Privacidade |Cofre de arquivos e conceda ao usuário real os privilégios para desbloquear o sistema de arquivos.Execute novamente, agora deve mostrar habilitado para o seu usuário real:

  sysadminctl -secureTokenStatus <username>
 

Nesta resposta, delinearei minha resolução da situação:

1. Entre em contato com a AppleCare e juntos tentamos várias coisas, como reinstalar o MacOS High Sierra e tentar habilitar o FileVault antes da migração de quaisquer dados do usuário. Isso não foi bem-sucedido.
2. A recuperação da Internet neste Mac instala o MacOS Sierra e no MacOS Sierra o FileVault pode ser ativado. (Isso indica claramente um problema de software) Pode-se então atualizar para o High Sierra e usar o assistente de migração para obter os dados do usuário de volta. O problema é que nesta situação apenas os usuários que foram criados no Sierra podem desbloquear o disco, não quaisquer usuários migrados ou criados após a migração.
3. A AppleCare tentou reproduzir meu problema em um iMac semelhante com Fusion Drive e não conseguiu. Eles se ofereceram para dar uma olhada pessoalmente, mas a próxima loja fica bem longe, então não optei por essa opção.
4. Como a reinicialização do computador não acontece com tanta frequência, me conformei com a solução para instalar o High Sierra dentro de um volume que é criptografado desde o início. Isso funciona, mas leva à situação em que você precisa inserir a senha de descriptografia toda vez que o computador inicializa.
5. Depois de instalar a atualização suplementar mais recente, o carregador de boot provavelmente foi reescrito ou algo assim, agora estou em uma situação em que, após a primeira inicialização, aparece uma tela na qual ambos os usuários podem fazer login ou posso desbloquear o disco. Se parece com isso: Nessa tela, os dois usuários podem fazer login e, assim, desbloquear o disco. A terceira opção é desbloquear o disco no qual outra tela de login com apenas os dois usuários é apresentada.

Isso significa que o problema está basicamente resolvido, exceto que há um item de login estranho, mas bem ...

Também confirmei com o suporte da Apple que a situação do Secure Token descrita na pergunta é provavelmente irrelevante porque os Secure Tokens pertencem ao APFS e este é um Mac com um Fusion Drive.

Tenho o mesmo problema e remover o arquivo AppleSetupDone e reiniciar para forçar a criação de uma nova conta de administrador não fornece um token para a nova conta.A única coisa que funcionou foi fazer backup do perfil do usuário, nivelar a máquina e fazer uma nova instalação do High Sierra de um USB inicializável, o que não é exatamente ideal quando tenho muitos Macs para atualizar para o 10.13.