Headless Mac mini: Bildschirm freigeben + FileVault

11

Im Büro haben wir einen Mac mini, mit dem ein Teamcity-Agent ausgeführt wird. Unsere Sicherheitsabteilung verlangt, dass wir FileVault auf diesem Computer aktivieren.

Ich muss diesen Mac mini auch von meinem Laptop aus (über die Bildschirmfreigabe) remote verwalten. Ich möchte keinen Monitor + Maus + Tastatur anschließen müssen, um den Build Agent zu verwalten.

Auf diesem Mac mini haben wir 2 Konten: 1 Administratorkonto und 1 Teamcity-Konto (Standardbenutzer). Da sich die plist-Datei befindet, in der der Agent ausgeführt wird /Users/teamcity/Library/LauchAgents, muss ich mich derzeit (über den Anmeldebildschirm) als Teamcity anmelden, damit der Agent gestartet werden kann.

Mein Problem ist, dass ich nach dem Neustart des Mac mini den Bildschirm nicht mehr mit dem Mac mini teilen kann.

Die einzige Lösung, die ich gefunden habe, besteht darin, sich manuell (über den Anmeldebildschirm) beim Teamcity-Konto anzumelden. Natürlich möchte ich keine Tastatur und keinen Monitor anschließen müssen, um den Agenten zu starten.

Meine Frage lautet: Wie kann ich den Bildschirm remote für einen FileVault-fähigen Mac freigeben, wenn der Zielbenutzer (teamcity) nicht angemeldet ist?

spg
quelle
1
Könnten Sie das TeamCity-Konto so einstellen, dass es sich beim Booten automatisch anmeldet, da es sich um ein Standardkonto handelt? Die Bildschirmfreigabe über das Anmeldefenster erfordert meiner Erfahrung nach zusätzliche Software.
Agentroadkill
Leider ist eine automatische Anmeldung nicht möglich, wenn FileVault aktiviert ist: support.apple.com/en-ca/HT201476
spg
Du hast Recht. Typischer Montag.
Agentroadkill
Verwenden Sie Apple-Hardware oder benötigen Sie eine plattformübergreifende Lösung für den Mac?
Agentroadkill
Auf jeden Fall: support.apple.com/kb/PH18686?locale=de_DE
agentroadkill

Antworten:

15

Andere Antworten hier sind richtig - es ist nicht möglich, per Fernzugriff auf einen frisch gebooteten Mac mit aktiviertem FileVault ohne physischen Zugriff zuzugreifen (FileVault arbeitet 1 Schicht näher an der tatsächlichen Software als ein "traditionelles" BIOS oder Firmware-Passwort).

Es ist jedoch möglich, einen Mac remote neu zu starten und ihn zu zwingen, den Remotezugriff auch bei aktiviertem FileVault zuzulassen, vorausgesetzt, Sie geben den richtigen Befehl aus:

sudo fdesetup authrestart

Apple nennt diese offizielle Semidokumentation "Authenticated Restart" hier . Eine detailliertere Ansicht von C | Net bietet eine allgemeine Beschreibung seiner Funktionsweise.

Beachten Sie, dass für den Zugriff auf den Mac ein physischer Zugriff erforderlich ist, wenn ein Mac mit diesem Befehl nicht neu gestartet wird (regulärer Neustart, Stromausfall oder auf andere Weise). Der Befehl erfordert (offensichtlich) auch Administratorrechte, um ausgeführt zu werden.

Agentroadkill
quelle
1

Sie müssen die tatsächliche Hardware anschließen, um sich auf einem Mac mit aktivierter FileVault-Verschlüsselung anzumelden. Sie können das Gerät nicht so einstellen, dass es sich automatisch anmeldet (siehe Apple Support ).

Der Computer erfordert, dass Sie das Kennwort sehr früh im Startvorgang eingeben. Ich glaube, bevor die Festplatte bereitgestellt wird, können Sie sich nicht mit Remotedesktop oder Bildschirmfreigabe anmelden.

Ɱark Ƭ
quelle
0

Es ist möglich, aber nicht nur mit OS X.
Ich hatte das gleiche Problem. Ich wollte Fernzugriff (oder eigentlich nur Fernzugriff), aber ich wollte auch die Sicherheit einer verschlüsselten Festplatte.

Solange Sie Mac OS nie lokal verwenden müssen, gibt es eine relativ einfache Lösung, die ich verwendet habe: 1. Löschen Sie OS X und installieren Sie VMWare ESXi Server. 2. Installieren Sie OS X darin.

Jetzt können Sie sich über die VMWare-Weboberfläche bei der virtuellen "physischen" Konsole anmelden und dort das Startkennwort eingeben. Danach können Sie die VMWare-Konsole oder das normale Apple VNC-Tool usw. verwenden.

Die Verwendung von ESXi bietet tatsächlich viele Vorteile, wenn Sie nur über Fernzugriff verfügen (z. B. die Möglichkeit, den Computer einfach neu zu starten, ohne sich Gedanken darüber zu machen, ob die Verbindung wiederhergestellt wird oder nicht, die Möglichkeit, Schnappschüsse zu erstellen usw.) - dies bedeutet jedoch auch, dass die lokale Konsole wird auf ein sehr einfaches Terminal beschränkt sein, daher ist es im Grunde genommen nutzlos, etwas anderes zu tun, als die IP-Adresse der virtuellen Maschine zu finden oder Wartungsarbeiten durchzuführen.

Noah
quelle