Для пользователя FileVault Mountain Lion: могу ли я избежать автоматического входа в систему, который обычно следует за разблокировкой зашифрованного загрузочного тома?

У меня включен FileVault для двух пользователей:

  • АдминГай
  • ДругойПарень.

Я хочу, чтобы AdminGuy:

  • есть возможность разблокировать HD, и поэтому только он может ввести au/n + p/w при загрузке, чтобы начать загрузку
  • иметь возможность авторизоваться
  • не входить в систему автоматически.

Другими словами: может ли AdminGuy просто разблокировать диск, но затем появится всплывающее окно входа в систему, чтобы OtherGuy мог вместо этого войти в систему?

10.8.

По ссылке @DeepanshuUtkarsh это поведение, которое я хочу изменить:

Учетная запись пользователя, которая разблокировала диск, войдет в свою учетную запись после завершения запуска без необходимости повторного входа в систему.

Если вы хотите сделать Mac доступным для пользователя, у которого нет возможности разблокировки, войдите в систему, затем, когда вы увидите свой собственный рабочий стол, выберите «Выйти (имя пользователя)» в меню Apple (). Кроме того, вы можете разблокировать диск, а затем выбрать имя другого пользователя в пункте меню Быстрое переключение пользователей (отображается как имя пользователя, вошедшего в систему) в верхней правой части экрана.

Ответы (4)

Зашифруйте загрузочный том с помощью Core Storage без FileVault

Через два дня после того, как я добавил этот ответ, Apple опубликовала технический технический документ: «Рекомендации по развертыванию FileVault 2 — развертывание технологии полного шифрования диска OS X» (PDF). На первый взгляд, кое-что из того, что я описываю ниже, похоже, описывается Apple как:

  • Пароль диска на основе DEK .

Подготовка

  1. Резервное копирование
  2. запустить восстановление ОС
  3. используйте Дисковую утилиту, чтобы стереть загрузочный том — Mac OS Extended (в журнале, с шифрованием)
  4. восстановить
  5. дайте парольную фразу для тома AdminGuy.

Намекать

На шаге 4 выше используйте метод, который сохраняет слайс Apple_Boot (иногда называемый Boot OS X, иногда называемый Recovery HD) при восстановлении загрузочного тома JHFS+.

Чтобы подтвердить этот ответ, я использовал Disk Utility для этого шага. (Я менее знаком с возможностями восстановления Time Machine.)

Получившийся EfiLoginUI:

Параметр «Пароль диска» в EfiLoginUI

Поскольку у Disk Password есть аватар/значок, ясно, что Apple рассматривает такие сценарии.

Обычное использование после этого

  1. Наряду с именованными пользователями EfiLoginUI представляет Disk Password
  2. AdminGuy может выбрать пароль к диску
  3. AdminGuy может ввести парольную фразу, чтобы разблокировать загрузочный том, защищенный CoreStorage.
  4. когда появится окно входа в систему, выберите нужного пользователя.

Пользователи могут изменить свои пароли для входа. Фраза для Disk Password останется неизменной.

Вам не нужно использовать области FileVault в Системных настройках, но если вы это сделаете, большинство вещей будет работать так, как ожидалось.

Машина, изображенная выше, совершенно чистая, восстановленная из шаблона Mountain Lion , который я создал после установки ОС (на экране приветствия я выключился, а затем использовал Дисковую утилиту для создания образа всех разделов/фрагментов диска). Я приступил к созданию пользователя, а затем включил этого пользователя для FileVault:

Скриншот: некоторые пользователи не могут разблокировать диск. Скриншот: ОС ставит галочку против единственного пользователя Скриншот: после нажатия «Готово» все пользователи могут разблокировать диск

Получившийся EfiLoginUI — один именованный пользователь вместе с опцией Disk Password:

Именованный пользователь и опция «Пароль диска» в EfiLoginUI

Ошибка внешнего вида

Системные настройки в сборке 12A269 OS X 10.8 могут указывать, что FileVault включен с установленным ключом восстановления  , когда ключ больше не применим . (Предположим, что стертый том с, возможно, другой кодовой фразой не примет ключ восстановления, который был установлен до стирания. Более определенное мнение можно сделать из Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption  (2012). ) Я сообщил об ошибках в Apple.

На фотографиях выше изображен USB-накопитель, который я использовал для подтверждения этого ответа.

На фотографиях ниже внутренний диск, который я использую каждый день.

EfiLoginUI — два именованных пользователя, включенных для FileVault, параметр Disk Password и гостевой пользователь:

мой повседневный EfiLoginUI

loginwindow — все названные пользователи:

мое ежедневное окно входа

Я не хочу препятствовать входу AdminGuy в систему. Я хочу предотвратить его автоматический вход в систему после разблокировки машины.
Это кажется умным, но кажется, что это может быть нестабильным / неустойчивым к обновлениям. Знаете ли вы более стандартное, распространенное решение с более высокой гарантией совместимости?
Он стабилен — нормальный результат шифрования тома перед установкой (или восстановлением) ОС на этот том. Я делаю это некоторое время. ОС и другие обновления не проблема.
Это кажется разумным. Я попробую в следующий раз, когда у меня будет внешний HD.
У меня еще не было возможности попробовать это, и теперь мои потребности изменились, но меня убедили детали решения.

Когда вы включаете FileVault, вы можете выбрать, какие учетные записи имеют право разблокировать диск. Оттуда вы можете выбрать учетную запись AdminGuy в качестве единственной авторизованной учетной записи. Что касается автоматического входа, то после включения FileVault автоматический вход отключается.

Так что вам просто нужно включить FileVault в обычном режиме, и вы получите ответы в процессе.

Я уже выбрал только AdminGuy в качестве авторизованного, но после того, как он аутентифицируется при загрузке, он также входит в систему.
Вы пытались явно отключить автоматический вход в систему?
Автоматический вход отключен (и был отключен).
Это работает для меня, я не знаю, почему это не работает для вас. Дополнительные сведения см. в этой статье: support.apple.com/kb/HT4790?viewlocale=en_US&locale=en_US .
Это хорошая ссылка, но она конкретно описывает поведение, которое я пытаюсь изменить (см. редактирование в Q).
Автоматический вход — на панели «Пользователи и группы» Системных настроек — предназначен для случаев, когда компьютер должен запускаться и входить в систему без пароля. Этот тип автоматизации ограничен окном входа в систему и не применим к EfiLoginUI. С FileVault 2, который всегда требует фразы для разблокировки загрузочного тома OS X: другой тип автоматизации применяется ко всем пользователям, чьи имена появляются в EfiLoginUI. Таким образом, ответ заключается в том, чтобы ввести в EfiLoginUI фразу для тома (а не фразу для пользователя ).
@DeepanshuUtkarsh, если с FileVault 2 вы должны аутентифицироваться как именованный пользователь сначала в EfiLoginUI (через несколько секунд после звукового сигнала запуска), а затем снова в окне входа в систему, это ошибка. Для именованного пользователя нормой является проверка подлинности только один раз.

Прежде чем переустанавливать ОС, используйте Diskutility, чтобы создать раздел, на который вы хотите установить ОС, убедитесь, что вы создаете зашифрованный раздел и что парольная фраза является желаемой. После этого:

  1. Установите ОС на зашифрованный раздел.

  2. Создайте первую учетную запись «учетная запись администратора».

  3. Добавьте обычных пользователей или пользователей с правами администратора.

  4. Используйте терминал, чтобы удалить пользователя-администратора и других пользователей, включенных с учетной записью. (должно выглядеть так):sudo fdesetup remove -user "username"

  5. Перезапустите, чтобы убедиться, что при загрузке доступен только логин DEK Disk Password.

Системные настройки > Пользователи и группы > Параметры входа > Автоматический вход: Выкл.

Для пользователя FileVault Mountain Lion: могу ли я избежать автоматического входа в систему, который обычно следует за разблокировкой зашифрованного загрузочного тома?
СпросиСетьПолитика конфиденциальности1y, 0v