Hallo,

habe ein sehr spezielles Anliegen:

Ist es möglich, nach Eingabe des FileVault-Passwortes nicht direkt in dem Benutzer-Account zu landen, der sich identifiziert hat, sondern erst einmal nur am Anmelde-Bildschirm von Mac OS X?

Leider wird nämlich sofort der Benutzer angemeldet …

Dank dieses Beitrags habe ich schon folgendes hinbekommen:

1. Zusätzlich zum normalen Admin-Account einen zweiten Standard-Account anlegen, der für FileVault benutzt wird (Name "CryptX"), dessen Home-Folder in /private/var/cryptx liegt.

2. Verschlüsselung (FileVault 2) gestartet und für den normalen Admin-Account sowie den Standard-Benutzer "CryptX" freigeschaltet.

3. Nach dem nötigen Neustart die UserID des Standard-Benutzer "CryptX" auf 101 gesetzt und Benutzer mit einer ID kleiner 500 "versteckt".

So weit so gut: CryptX erscheint wirklich nicht mehr in Systemeinstellungen/Benutzer und kann sich dennoch nach Einschalten des Rechners weiter für die Entschlüsselung der Festplatte identifizieren.

Ich möchte nun aber wie gesagt erreichen, dass dieser Benutzer sich nicht mehr automatisch anmeldet! Eventuell reicht es ja schon aus, den Benutzer aus der Gruppe staff zu entfernen? (Dann sollte er sich nicht mehr anmelden können, zumindest ist das bei FreeBSD so.)

Aber eventuell ginge mir dadurch auch die Möglichkeit verloren, den Benutzer "CryptX" für die Entschlüsselung der HD zu nutzen (also direkt nach dem Einschalten des Rechners)?

Anmerkung: Das sind nur "Experimente" in einer "Nicht-Produktiv-Umgebung", wenn was schief läuft, ist das nicht dramatisch. Sozusagen zum "Erfahrungen sammeln".

Hintergrund der ganzen Sache ist, dass Netzwerk-Accounts leider nicht für "FileVault 2" zur Verfügung stehen und die Benutzer natürlich keinen lokalen Admin-Account bekommen sollen …

Mir ist bewusst, dass Symantec PGP WDE eine Lösung wäre, aber ich hätte es gern erst einmal "mit Bordmitteln" zumindest versucht.

Danke für Erfahrungsaustausch,
beste Grüße,
Marcel

Update: Hier hat es scheinbar jemand hinbekommen, sogar AD-accounts für FileVault zu nutzen:

Fragt sich nur, wie gut dann Passwort-Änderungen etc. "durchgereicht" werden, so dass auch FileVault etwas davon mitbekommt …

Aber zumindest kann man per MCX-policy lokale Standard-Accounts aussperren, was sicher schon mal sauberer ist, als die Gruppe staff zu entziehen …

Außerdem interessant ist, dass man bisher wohl den EFI-Login-Screen mit keinem Tool anpassen kann, ich zitiere:

This isn't a bug. This is the way FileVault-2's EFI boot authentication UI is built. When your Mac first starts up, EFI-boot takes over to decide what to do. It either continues to bring up the system to the typical OSX login screen, which is managed by OSX's system preferences, or it starts a special EFI pre-boot where it displays the FV2 unlock screen with the icons of designated OSX accounts approved to unlock the disk. Once you log on, the EFI unlock sequence carries forth your credentials, performing a single signon.

I have submitted a UI request (not as a bug) to be able to either edit the EFI boot screen (look at /usr/standalone/i386/EfiLoginUI directory, none are editable using normal applications) or ask that a feature is included, probably in the FV system preference pane, to add a custom banner.

Quelle:

Eigentlich sollte der Verzeichnisdienst samt seinem AD-Plugin eine Kennwort-Änderung, komme sie aus der AD oder vom User, an die weiteren Dienste verteilen, bei der Keychain klappt es ja. Ob es auch an FileVault 2 durchgereicht wird - testen.
Die Macht von MCX wird regelmäßig unterschätzt, oder ist nicht mal bekannt...

Werde ich tun und dann hier berichten. Bin heute leider nicht mehr dazu gekommen und wird wahrscheinlich auch nichts mehr in dieser Woche. Aber ich bleibe an dem Thema dran.