Mac Mini, VileVault mit 2 Festplatten und Trennung von System und Benutzerdaten

[Gee3]

Hallo zusammen,

ich kämpfe gerade mit meinem Mac Mini und Mac OS X um Folgendes hinzubekommen:

Ziel:
Zwei Festplatten, beide mit FileVault2 komplettverschlüsselt und die Systemdateien auf der SSD sowie die Nutzerdaten auf der normalen Festplatte.

Grund:
SSD für ein schnelles und performantes System und eine normale Festplatte, weil die Nutzerdaten nicht mal für einen Nutzer auf die SSD passen.
FileVault, weil

• sowohl eine gewisse Grundparanoia vorhanden ist sowie
• Geschäfts- und Kundendaten auf dem Rechner liegen werden

Im Detail:

Hardware:

der Mac Mini (2,5 GHz, AMD Radeon HD 6630M, 16GB RAM) hat zwei interne Laufwerke:

• eine schnelle Crucial RealSSD C300 und
• eine große Samsung HN-M 101 MBB

Software:

• Mac OS X Lion 10.7.2

Bisheriger Versuch:

• Normale Installation auf SSD
• Backupbenutzer anlegen, der auf Systempartition verbleibt
• Normale Festplatte als Datenfestplatte (HFS, journaled, verschlüsselt) formatieren
• Passwort bei Einbindung Datenfestplatte speichern
• Passwort vom Benutzerschlüsselbund in Systemschlüsselbund verschieben
• Neuen Benutzer <Gee> anlegen
• Benutzerordner <Gee> per 'cp -pR' auf die Datenfestplatte kopieren
• Bei den Benutzereigenschaften in der Systemsteuerung unter erweitert den neuen Pfad eingeben
• Login für <Gee> bei bereits gestartetem System testen --> klappt

• Neustart

• Festplattenentschlüsselung ganz am Anfang des Bootvorgangs klappt mit Benutzer <Gee>
• ABER: Fehlermeldung und der Rechner bootet nicht bis zum Schreibtisch durch.

Weiß vielleicht irgendjemand, wie ich meine Vorstellung noch umsetzen könnte? Lässt sich evtl. etwas mit fstab oder anderen Tricks machen?

Ich bin gerade etwas am Verzweifeln/Zweifeln, ob das überhaupt geht und wäre für jede Hilfe sehr dankbar!

Viele Grüße


Gee

 

[BoeserDrache]

Ganz unabhängig davon, es wäre praktisch die User Library auf der SSD zu lassen - ebenfalls aus Performancegründen.

 

[StarSirius]

Wie wäre es, wenn du die Benutzerverzeichnisse aller Benutzer auf der SSD lässt? Ohne dort gespeicherte Daten nehmen die nämlich nicht viel Platz ein. Die Daten speicherst du dann alle auf der Datenfestplatte, die du nach dem Systemstart direkt entschlüsseln kannst. Bei Bedarf könntest du die Daten außerdem über Links in die Benutzerverzeichnisse der Benutzer eingliedern.

 

[Gee3]

@BoeserDrache:
Da ist was dran - habe ich auch schon drüber nachgedacht. Aber dadurch wird alles etwas komplexer - dann muss ich jeden einzelnen Unterordner des Benutzerordners über Symbolische Links einfügen (so wie StarSirius es vorschlägt). Ein paarmal 'ln -s ...' wäre ja durchaus möglich, aber an den Links statt richtigen Verzeichnissen stören sich einige Programme (hab ich zumindest bei meiner Recherche an einigen Stellen gelesen) und bei insgesamt 4 bis 5 Nutzern wird das auch etwas Aufwand.

--> D.h. die Lösung würde ich als allerletzte Notlösung in Betracht ziehen...

 

[StarSirius]

Das Problem bei deiner Lösung ist aber, dass die Festplatte erst nach dem Booten und Anmelden eines Benutzers zur Verfügung steht. Das wird aber zum Problem, weil Lion beim Start genau den Benutzer versucht automatisch anzumelden, mit dem auch die SSD entschlüsselt wurde. Weil aber zu dem Zeitpunkt die Datenfestplatte, auf der Lion nach dem Benutzerverzeichnis sucht, verschlüsselt ist, funktioniert das nicht.
Du könntest mal versuchen mit dem "Backup-User" auf der SSD die Entschlüsselung vorzunehmen, dann müsste er diesen auch gleichzeitig anmelden. Dieser Benutzer könnte dann die Festplatte entschlüsseln, sodass du dann per Benutzerwechsel zu einem der anderen Benutzer wechseln könntest. Das ist aber nicht getestet, d.h. es könnte auch nicht funktionieren. Ist zwar auch alles andere als toll, aber zumindest eine Lösung (wenn sie denn funktioniert), die möglichst nahe an deiner Idee bleibt.

Da würde ich eher meine Lösung ausprobieren (erstmal nur mit einem Benutzer) und dann testen, ob die verwendeten Programme Probleme machen. Wenn ja, kannst du die Sache mit den symbolischen Links auch lassen und die entsprechenden Ordner der externen Festplatte in die Finder-Seitenleiste tun (und die dann nicht mehr benötigten Ordner des Benutzers aus der Leiste entfernen). Zwar wird ein Programm, in dessen Öffnen- oder Speicherdialog du eine Datei oder einen Speicherort auswählen sollst, wahrscheinlich den entsprechenden Ordner im Benutzerordner als Ausgangspunkt nehmen, aber so kannst du wenigstens mit einem Klick in die Seitenleiste direkt in den richtigen Ordner auf der anderen Festplatte wechseln. Viel besser wird es wohl nicht zu machen sein.

 

[Gee3]

Hallo StarSirius,

der Weg, sich mit dem Backupnutzer anzumelden, dann abzumelden und auf den eigentlichen User umzusteigen, funktioniert. Den Weg hatte ich auch schon getestet. Also insofern auf jeden Fall eine funktionierende Idee

Aber: An dem Rechner arbeitet an vier von sieben Tagen meine Freundin und der möchte ich den Workaround nicht zumuten - sonst bleibt sie bei Ihrer jetzigen IT-Lösung (was ich nicht möchte *g*).

Daher hatte ich ja gehofft, dass es mit irgendeiner Kommandozeilen/fstab-Aktion die Möglichkeit gibt, die verschlüsselte Festplatte früher im Bootprozess einzubinden, so dass der Zugriff auf die Benutzerdaten funktioniert.

Testen kann ich das Ganze sowieso erst wieder am Wochenende, weil ich vorher nicht mehr zu Hause sein werde.

Aber vielleicht hast Du recht und es geht nicht anders, als mit der Lösung mit den symbolischen Links... Aber vorher würde ich gerne noch ein bisschen nach einer eleganteren und saubereren Lösung suchen.

Auf jeden Fall schon mal vielen Dank für Deine Vorschläge!

 

[Gee3]

Problem gelöst

Hallo alle zusammen!

Nach etwas mehr Internetrecherche habe ich dann doch noch eine recht elegante und praktikable Lösung gefunden:

• jridgewell's Unlock

Das werde ich dann am Wochenende mal eben testen

VG

Gee