こん○○は 情報システムグループ(以下情シス)のにょもこです。日々パソコンのセットアップをしたり伝票処理をしたりしています。
MacのセットアップでハマってしまったFileVault2について書きたいと思います。月に平均8台ほどのMacをセットアップしているのですが、ごく稀にインストール直後のMacにログインできないというお問い合わせを受ける事があったのです。
FileVault2とは
Macのディスクドライブ(以下HDD)を暗号化する仕組みです。
当初のFileVaultはファイルを暗号化する仕組みでした。Mac OS X Lionでバージョンアップされファイルだけでは無く、HDD全体を暗号化する仕組みになりFileVault2に名前が変更されました。
FileVault2が設定済みのMacではFileVault2を解除出来るユーザによるログイン操作が無い限りHDDの中のデータにアクセスすることは出来ません。万一Macが盗難に遭いHDDを取り出してデータを抜き取られるような操作を行われても、HDDの中のデータにアクセスすることは出来ないので、大事なデータを守ることが出来ます。
どんな問題が起こったか
IDとパスワードの組み合わせが正しくてもHDDの暗号化を解除出来ない(=OSにログイン出来ない)という事が稀に起こります。
問題の起こっているMacに登録されている他のユーザ(WindowsでのAdministratorの様なアカウントを情シスの作業用に作成しています)でFileVault2によるHDDの暗号化を解除は出来ます。その後に解除出来なかったユーザのIDとパスワードを入力すればOSにログインする事は出来ることから、ユーザアカウントに問題は無くFileVault2の解除が出来ないのが原因であると特定しました。
何故OSへログイン出来るのにFileVault2が解除出来ないのか
FileValut2ではOSの入っている領域全部を暗号化してしまいます。そのため、OSに入っている認証情報を利用することは出来ません。
MacにFileVault2がかかっているときのログインプロセスは通常とは異なります。FileVault2の解除ユーザの情報は、OSのユーザ情報とは別にEFIと呼ばれるMac内の暗号化されない領域に保存されています。そして、OSが起動する前にEFIからOSのログイン画面そっくりのFileVault2のロック解除画面を出し、ユーザにFileVault2のロックの解除を促すのです。
Macのログイン時の設定でユーザのリストではなく名前とパスワードに設定している筈なのに再起動直後はユーザのリストが表示されるのは、EFIに用意されているFileVault2用のロック解除画面がユーザのリストしか用意されていない為なのです。
ログイン画面の設定を行う事ができます。
ユーザのリストを選ぶとログイン出来るユーザを選んでからパスワードを入力することが出来ます。
ユーザ名とパスワードの両方を入力します。
FileVault2が原因でログイン出来なかった2つの原因と解決方法
FileVault2と英語キーボードレイアウト
弊社では業務で使うMacを発注する際に英語キーボードと日本語キーボードを自由に選ぶ事が出来ます。FileVault2のロック解除に失敗していたユーザは全員日本語キーボードでした。
EFIの出すロック解除画面ですが、先ほど書いた通りユーザのリスト表示しかありませんので、キーボードの設定が英語になっているのか日本語になっているのか入力して確認する方法はありません。ここ最近FileVault2のロック解除に失敗したユーザにロック解除出来なかったパスワードに含まれている記号を聞いたら二人とも_が入っていました。
英語キーボードと日本語キーボードの大きな違いは記号です。日本語キーボードでは_に割り当てられている場所にあるキーが英語キーボードには無いので入力がおかしくなっているのでは無いかと推測しました。英語キーボードでも日本語キーボードでも #$% の位置は変わらないのでこの3種の記号はパスワードに含まれていても問題ありません。
FileVault2とActiveDirectoryと私
さて、弊社ではパートナーの利用するパソコンはMac・Windowsを問わずユーザアカウントの管理にActiveDirectory(以下AD)を利用しています。Mac自体をADに参加させると、Macにユーザアカウントを追加するという操作を行わずとも、参加しているADのユーザ名とパスワードを入力するだけでそのMacを使えるという仕組みになっています。さらに、モバイルアカウントという仕組みを利用することによりADにアクセス出来ない状態でも認証を行う事が出来るようになります。
ADで新規ユーザを作成しMacで一通りセットアップを行った後、ADでパスワードを変更したことが原因でFileVault2が解除出来ないという事もありました。
通常のローカルユーザは作成するとすぐにFileVault2のロック解除ユーザに追加されますが、モバイルアカウントをFileVault2のロック解除ユーザに追加する為には、モバイルアカウントのパスワードが必要になります。私は、配布用の初期パスワードでは作業効率が落ちるので、入力しやすいパスワードに変更してからMacのセットアップを行い、配布用の初期パスワードに戻してからパートナーに引き渡すというような事を行っていました。
引き渡し時には配布用の初期パスワードに変更済みであるとユーザにお伝えしますが、EFIには作業時のパスワードしか記録されていないためFileVault2のロックが解除出来なかったのです(作業用のパスワードを設定するのをやめてからこのお問い合わせは無くなりました!)
まとめ
今回わかったFileVault2の解除ユーザに含まれて居るのに解除出来ない原因は以下の2つです
- OSにログイン可能なユーザが、FileVault2を解除出来ない場合は、パスワードに含まれる記号が原因の可能性がある。
- Macのログインに外部認証とモバイルアカウントを利用している場合、OSログインとFileVault2解除のパスワードが異なるという事も考えられる。