Estoy probando una solución de MDM (con una instancia de MDM de Server.app), que aplica FileVault. Está configurada con una clave de recuperación institucional (IRK) y una clave de recuperación personal (PRK). Esta última también se guarda en MDM.
Básicamente, generamos un llavero como este, exportamos el certificado del llavero y lo añadimos a un perfil MDM (estamos usando el MDM de Server.app).
Funciona muy bien. Cuando hago una diskutil apfs listCryptoUsers diskNxM obtengo todos los usuarios que espero, incluyendo un usuario de tipo Institutional Recovery User y uno con el tipo Institutional Recovery External Key . El restablecimiento de la contraseña a través de Open Directory funciona bien. Desbloquear la unidad con el PRK funciona bien.
Y ahora estoy probando a desbloquear el volumen con el citado IRK. He arrancado vía Recovery (cmd+R), y cuando ejecuto diskutil apfs unlockVolume /dev/diskNsM -recoveryKeyChain /Volumes/RecoveryDrive/FileVaultMaster.keychain (el llavero está desbloqueado, y la unidad de disco es correcta), me sale este error:
Error unlocking APFS Volume: The external-to-APFS security system's credential-unwrap
operation failed (-69534)He comprobado el desbloqueo del llavero usando una contraseña diferente, y eso ha fallado directamente. Alguien aquí sugerido para eliminar el certificado del llavero. Esto tampoco funcionó. Volví a comprobar que el volumen era APFS. Lo era.
¿Alguna idea (además de crear un nuevo llavero de FileVault Master y hacer todo el proceso una vez más)?
