3 votos

Haravikk avatar

Cómo evitar el aviso de desbloqueo del volumen

Preguntado el 16 de Enero, 2020
Cuando se hizo la pregunta
322 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Tengo un volumen APFS encriptado que no deseo que se desbloquee automáticamente, sin embargo, cada vez que un usuario inicia sesión en mi sistema se le pide que introduzca una frase de contraseña para el volumen, cada vez.

Lo que quiero saber es si hay una forma de evitar que MacOS intente desbloquear volúmenes APFS específicos cuando un usuario se conecta, o incluso mejor, que sólo lo haga si se encuentra una contraseña en el llavero de ese usuario (para que pueda hacer un montaje automático para algunos usuarios pero ser ignorado por otros)?

Ya he probado a añadir el volumen a /etc/fstab con el noauto pero mientras todas las demás configuraciones se respetan cuando se monta el volumen, ésta se ignora, presumiblemente porque el desbloqueo de los volúmenes APFS se produce antes de montar el volumen.

Preguntado el 16 de Enero, 2020 por Haravikk

Respuestas

¿Demasiados anuncios?

1voto

Q_Mlilo avatar
Q_Mlilo Puntos 716

Si pide varias contraseñas cuando un usuario se conecta, probablemente no hayas habilitado ese usuario en FileVault.

Puedes hacerlo desde las Preferencias del Sistema:

  • En el ordenador Mac, abra Preferencias del Sistema > Seguridad y Privacidad.
  • Haz clic en la pestaña FileVault y, si es necesario, desbloquea el candado.
  • Haga clic en el botón Habilitar usuarios y aparecerá una lista de cuentas.
  • Haga clic en Habilitar usuarios para añadir e introducir la contraseña de ese usuario.

o desde la línea de comandos:

  • en el ordenador Mac, abra la aplicación Terminal.
  • Ejecute el siguiente comando: sudo fdesetup add -usertoadd user1 y si se le pide, introduzca el sudo contraseña.
  • Cuando se le solicite, introduzca el nombre del usuario primario autorizado por FileVault - este es el usuario que especificó para administrar FileVault 2 (en Asignar un usuario de Active Directory que esté autorizado a administrar un disco encriptado).
  • Cuando se le solicite, introduzca la contraseña del usuario primario FileVault-autorizado.
  • Cuando se le solicite, introduzca la contraseña del nuevo usuario que especificó en la línea de comandos (usuario1 en este ejemplo).

En cuanto a su otra pregunta, para evitar el desbloqueo de volumen Prompt Creo que puedes combinar algunas cosas ya que en MacOS no hay una utilidad nativa para hacer lo que pides (como libpam-mount para los sistemas deb). Más concretamente:

  1. Puedes desactivar un volumen APFS para que se monte automáticamente. Puede seguir la segunda respuesta a esta pregunta .
  2. Puede escribir un script para montar un volumen, en lugar de escribir el comando de la línea de comandos cada vez que lo necesite. Puedes leer más sobre esto aquí .
  3. Puedes lanzar el script al inicio. Puede utilizar launchd . Puede consultar algunos enfoques en este hilo .
  4. Obviamente, querrás lanzar el script en función del usuario. Aquí puede leer la documentación oficial de la misma. Además, en el hilo enlazado en punto 3 hay algunas menciones sobre el lanzamiento de un script</strkeep><strkeep> de inicio en base al usuario.

Espero que ahora sea útil de alguna manera, y perdón por haber malinterpretado la pregunta.

Respondido el 3 de Marzo, 2020 por Q_Mlilo (716 Puntos )

0voto

klanomath avatar
klanomath Puntos 19587

¡Es posible evitar el aviso de desbloqueo cambiando el rol del volumen encriptado!

  1. Obtiene el identificador del dispositivo (y el UUID que se requiere más tarde) del volumen encriptado:

    diskutil ap list

  2. Cambia el papel del volumen:

    diskutil ap changeVolumeRole diskXsY D

    APFS puede utilizar banderas para determinar un rol especial de un volumen: S=Volumen de sistema/B=Prearranque, etc. Un volumen encriptado simple (sin grupo de volúmenes de arranque/sistema) normalmente no tiene un rol específico. Por una razón desconocida, el rol D (=Datos) impide la solicitud de desbloqueo y el volumen no se montará automáticamente .

Para montar y desbloquear el volumen para un usuario (en este caso: el usuario actualmente conectado) cree un agente de lanzamiento:

  1. Crear un agente de lanzamiento:

    nano ~/Library/LaunchAgents/usr.automount.plist

    y añade el siguiente contenido:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Disabled</key>
    <false/>
    <key>Label</key>
    <string>usr.automount</string>
    <key>ProgramArguments</key>
    <array>
        <string>/usr/sbin/diskutil</string>
        <string>ap</string>
        <string>unlock</string>
        <string><UUID_of_encrypted_APFS_volume></string>
        <string>-passphrase</string>
        <string><password></string>
    </array>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>

    Ejemplo con el UUID 4E253DC9-5B87-49CB-96F3-DE4737C16464 y la contraseña prueba :

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Disabled</key>
    <false/>
    <key>Label</key>
    <string>usr.automount</string>
    <key>ProgramArguments</key>
    <array>
        <string>/usr/sbin/diskutil</string>
        <string>ap</string>
        <string>unlock</string>
        <string>4E253DC9-5B87-49CB-96F3-DE4737C16464</string>
        <string>-passphrase</string>
        <string>test</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>

    Guardar el archivo en nano

  2. Cargar el agente de lanzamiento:

    launchctl load ~/Library/LaunchAgents/usr.automount.plist

Esto no descargará y bloqueará el volumen encriptado si se cierra la sesión como usuario1 (desbloqueo activado) y se entra como usuario2 (desbloqueo desactivado) sin reiniciar.

Revisando tus otras preguntas, me di cuenta de que podrías tener puntos de montaje específicos para volúmenes encriptados (por ejemplo, montados en carpetas/subcarpetas de usuario). El enfoque simple en el agente de lanzamiento no funcionará entonces.

Respondido el 3 de Marzo, 2020 por klanomath (19587 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X