Tengo un escenario en el que he conectado todas nuestras máquinas Mac a Active Directory (que es un dolor en sí mismo). Sin embargo, después de habilitar FileVault desde una cuenta de administrador, vi que los usuarios de la red no pueden iniciar sesión incluso después de habilitar: Mostrar ventana de inicio de sesión como Nombre y contraseña. Primero tengo que iniciar la sesión con una cuenta de administrador y luego el cierre de la sesión permite que un usuario de la red inicie la sesión, lo cual no es una solución ideal. Hay alguna solución, pero lo que si no sé el usuario y me gustaría hacer la máquina Mac abierta donde el usuario AD al azar puede iniciar sesión en esa máquina (FileVault habilitado). Cualquier sugerencia o solución será muy apreciada.
Respuesta
¿Demasiados anuncios?
Voy a explicar este proceso de forma muy técnica y detallada.
Cuando tienes un disco encriptado con FileVault, el sistema necesita pedir un usuario autorizado para iniciar sesión justo después del arranque EFI.
Esto es necesario porque el sistema tiene que montar el disco. Y no puede montarlo sin la entrada de la contraseña de administrador.
A continuación, verá una pantalla con los avatares de los usuarios locales de nivel de administrador.
Esa pantalla muestra el avatar de algunos usuarios porque el avatar de ese usuario fue insertado en la imagen/nvram de arranque EFI. En este punto de la secuencia de arranque, no hay ningún sistema operativo cargado todavía es una simple pantalla de arranque para pedir la contraseña del usuario [que simula la apariencia de la pantalla de inicio de sesión de la GUI ], ¡pero sólo es una imagen estática que contiene los avatares de los usuarios! (casi como una especie de imagen estática del cargador de arranque, excepto que pide la combinación usuario/pass)
Después de insertar la contraseña, el disco se monta y comienza el proceso de arranque.
Después de que la barra de carga alcanza aproximadamente el 80% esa pantalla cambia a otra casi idéntica, a veces parpadea en este punto. Esta es la interfaz GUI que se está cargando, proceso llamado WindowServer.
En este punto la interfaz de red está ARRIBA, otros subsistemas de red acaban de iniciarse, incluyendo los servicios de directorio abierto [que usted necesita]. Si el disco NO estuviera encriptado, este es el punto EXACTO en el que verías la pantalla de inicio de sesión REAL pidiendo el nombre de usuario/contraseña. Pero como el disco está encriptado y usted ha proporcionado el usuario/contraseña para desencriptarlo antes [antes de montar el disco] se salta la pantalla real de inicio de sesión en modo multiusuario que debería aparecer aquí y auto-registra el nombre de usuario que usted insertó antes.
Así que en la práctica, es sólo una simulación teatral de un inicio de sesión real desde el arranque, pero es falso, hasta que la GUI está lista y entonces el MacOS hace un auto-inicio de sesión una vez en el modo multiusuario, para hacerte creer que todo fue algo "mágico". Pero no hay nada de magia.
Así que lo que necesitas/quieres es imposible en esa pantalla inicial, porque no hay ningún protocolo de autenticación de red en ese momento. Ni siquiera está listo el disco, que sólo se monta y es legible después de insertar la combinación usuario/pass.
Puedes entender mejor lo que he escrito y cómo sucede todo esto arrancando un poco diferente:
Utilice el -v nvram argumento de arranque, para arrancarlo verbosamente.
Si lo arrancas usando el argumento "-v" nvram puedes obtener una mejor visión de lo que está sucediendo "detrás" de la escena, y también puedes ver el momento de carga de la GUI, y el auto-login sucediendo.
Lo que hay que hacer:
Para conseguir lo que necesita, tenemos que evitar el inicio de sesión automático mecanismo en la GUI real [windowServer] para que ocurra .
De esta manera usted tendrá un usuario local sólo para montar el disco del sistema en tiempo de arranque, a continuación, después de GUI se pone en marcha debe permanecer en el deslogueado y mostrando la pantalla de inicio de sesión real con los avatares reales o los campos para introducir el usuario/contraseña (dependiendo de cómo prefiera iniciar la sesión de los usuarios [por avatares o por entrada de texto nombre/contraseña]).
-
Esto forzará 2 inicios de sesión:
- uno para Filevault [en el arranque] y
- uno para el sistema operativo
-
En el segundo inicio de sesión se puede iniciar la misma usuario local utilizado en el arranque, o puede entrar en cualquier otro usuario .
-
Esto también le permitirá iniciar sesión [ en la segunda entrada ] cualquier usuario de AD según sea necesario.
( Recuerde que el primer inicio de sesión no es un inicio de sesión real, es sólo una autenticación para montar el disco, por lo que nadie está técnicamente conectado en la [parte del sistema] UNIX/BSD después de montar el disco. El inicio de sesión real/verdadero sólo ocurre en la segunda [en la parte de la GUI]. )
Cómo hacerlo:
Para forzar 2 (dos) inicios de sesión hay que añadir una clave secreta a la configuración de MacOS:
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YESDespués de ejecutarlo, reinicie, ¡y ya está!
Por favor, publica tus resultados, acabo de probarlo ahora en El Capitán encriptado y funciona!, y debería funcionar hasta Mojave (pero no tengo ningún Mojave encriptado aquí ahora para probarlo. Mañana lo probaré y validaré también en Catalina. Si Si puedes, por favor valídalo para tu versión de MacOS, publica los resultados, y podemos construir una mini-tabla aquí listando todas las versiones conocidas que funcionan más tarde.
Ejecutar el comando anterior es completamente seguro, no hay que preocuparse por ello.
