OS X auf verschl. Volume installiert - neuer Benutzer umgeht Festplattenkennwort?

[Steppenwolfli]

Hallo,
ich experimentiere gerade mit mit 10.9.5 und dessen Clean Setup auf einem vollständig verschlüsselten Volume. Das geht ja recht einfach, man startet ein "Host-OS X", nimmt das Festplattendienstprogramm und löscht eine Festplatte mit der Auswahl, dass sie das Journaled-Dateisystem und Verschlüsselung erhalten soll. Nach der Kennwortvergabe ist es gemountet, das OS X-Setup kann man ja unter einem bestehenden OS X starten, nun gibt man dort das verschlüsselte Volume als Ziel an und alles läuft wunderbar.

Nach erfolgter Installlation erscheint nach dem Einschalten oder Neustarten beim grauen Startbildschirm die generische Aufforderung "Festplattenkennwort", bevor das System bootet und man zur Benutzeranmeldung kommt - das finde ich gut so.

Nun wollte ich einen zweiten Benutzer für die alltägliche Arbeit mit eingeschränkten Rechten anlegen, beim Einschalten wird dieser aber nun explizit direkt neben dem "Festplattenkennwort"-Symbol als Boot-Möglichkeit beim Startbildschirm angezeigt, es genügt auch sein eigenes Kennwort (dieses ist nicht das allgemeine Festplattenkennwort), um das System zu starten und die Festplatte (gibt eigentlich nur ein Volume) ist vollständig entschlüsselt sichtbar.

Ich stehe gerade auf der Leitung - wie kann man das verhindern? Also Boot-Reihenfolge: Einschalten -> Festplattenkennwort -> Benutzerauswahl/-anmeldung

Sind gerade meine ersten Erfahrungen mit OS X und der Nutzung mehrerer Benutzer, ich hoffe, ich habe keinen offensichtlichen Fehler gemacht.
Danke für die Hilfe!

 

[Andi]

Hallo Steppenwolfli,

man kann einstellen welche User die Festplatte entschlüsseln dürfen. Das dürfen sie dann mit ihrem Kennwort.

Gruß Andi

 

[schlagi1979]

Wenn Du Gründe hast, ein selbst verschlüsseltes Volume zu nutzen, ist das Folgende für Dich nicht zielführend, aber wenn Du die Verschlüsselung per FileVault durchführst, kannst Du dort bestimmen, welche User den Mac bei Anmeldung entschlüsseln dürfen, und nur diese werden beim Start vor grauem Hintergrund angezeigt. Im Laufenden Betrieb hingegen kann in jeden Benutzer gewechselt werden, da ja entschlüsselt wurde.

 

[Steppenwolfli]

Danke für eure Antworten.

Allerdings habe ich noch ein Verständnisproblem: FileVault ist bei der beschriebenen Methodik aktiv. Wenn ich in den Systemeinstellungen - Sicherheit - FileVault beim Punkt "Benutzer aktivieren" vorbeischaue, ist dort nur der richtige Admin- und nicht der Standard-Nutzer eingetragen. Wobei dann doch eigentlich der Admin-Nutzer am Startbildschirm auftauchen müsste?

Oder ist die genannte Einstellung noch wo anders zu ändern? Bei Benutzern sehe ich nicht wirkllich etwas, was zu FV passt.

 

[schlagi1979]

Halt, ich glaube, Du bist da Apple's Formulierungskünsten auf den Leim gegangen. Die Systemeinstellungen -> Sicherheit -> FileVault sind der richtige Ort. Neben dem Knopf "Benutzer aktivieren" müsste der Hinweis stehen "Einige Benutzer können den Computer nicht entsperren" oder so ähnlich. In der Liste, die erscheint, wenn Du dann auf den Button klickst, erscheinen alle die Nutzer, die momentan FileVault nicht entsperren dürfen. Steht der Admin in der Liste, kann der Admin FileVault nicht entschlüsseln, und erscheint darum beim Startbildschirm nicht.

Würdest Du Deinen zweiten Benutzer anlegen, müsste dieser auch erst einmal in dieser Liste erscheinen, und nur, wenn Du ihm dort explizit die Berechtigung gibst, den Rechner zu entschlüsseln, erscheint er beim Start.

Was ich nicht weiß, ist, wie diese Berechtigung im Nachhinein wieder entzogen werden kann.

 

[Steppenwolfli]

Alles klar, jetzt habe ich die Logik des "Aktivieren des nicht entsperren Können" verstanden.

Allerdings tauchen neu angelegte Benutzer in dieser Liste leider nicht auf. Auch verstehe ich nicht ganz, weshalb es den Button "Benutzer aktivieren" gibt, wenn man hier keinerlei Änderungen vornehmen kann...? (Bin mit dem Admin-Nutzer angemeldet und die entsprechende Systemeinstellungsseite ist entsperrt).

 

[Andi]

Hallo Steppenwolfli,

ich denke es macht einen Unterschied ob mehrere User vorhanden und FileVault aktiviert wird oder FileVault wird aktiviert und dann werden User angelegt.

Gruß Andi

 

[Steppenwolfli]

Das wäre ärgerlich. Wobei ich die technische Limitation hier nicht verstehe: Der Admin-Nutzer, der sich so verhält wie ich es gerne hätte, also in der Liste der Nutzer aufgeführt wird, die die Festplatte NICHT entsperren können, wurde ja auch erst nachträglich nach dem Setup von OS X auf ein verschlüsseltes Volume beim allerersten vollständigen Systemstart erstellt.

Kann man Benutzer über das Terminal anlegen oder deren Zugehörigkeit zu der Entsperren-Liste bestimmen? Vielleicht fehlt da nur das zugehörige GUI-Element (oder ein Bug?).

 

[Andi]

Hallo Steppenwolfli,

möglich die GUI lässt nur ein Aktivieren zu. Versuche mal:

sudo fdesetup remove -user username

username anpassen…

Gruß Andi

 

[Steppenwolfli]

Danke, das ist die Lösung!

Nun taucht der Standard-Benutzer auch in der FileVault-"Benutzer-die-Festplatte-nicht-entsperren-können"-Liste auf und die direkte Anwahl des Kontos am Startbildschirm ist verschwunden.