Сброс паролей keychain-файлов

Система изменит пароль файла login.keychain, только если пользователь знает свой текущий пароль учетной записи и решает изменить его. Для обеспечения максимальной безопасности пароли keychain-файлов нельзя изменить никаким внешним процессом сброса паролей. Apple создала си­стему keychain-файлов без «черного хода», иначе система стала бы значи­тельно менее безопасной.

Следовательно, всякий раз, когда администратор сбрасывает пароль учетной записи пользователя, пароль keychain-файла изменяться не будет, а сам файл login.keychain не будет автоматически открываться при входе пользователя в систему. Однако по умолчанию в Lion, когда пользователь с недавно сброшенным паролем входит в систему, ему выдается диалоговое окно с предложением обновить пароль файла login.keychain или создать новый keychain-файл.

Совет. Диалоговое окно синхронизации keychain-файла можно отключить на вкладке Первая помощь (First Aid) настроек приложения Связка клю­чей (Keychain Access).

Выбранный по умолчанию вариант Обновить пароль (Update Keychain Password будет работать, если только пользователь знает предыдущий пароль keychain-файла. Это отличается от ситуации, когда пользователь только что сбросил пароль. Здесь пользователь может щелкнуть на кноп­ке Новая связка ключей (Create New Keychain), чтобы создать новый файл login.keychain. Система переименует старый файл login.keychain и оставит его в папке ~/Библиотеки/Keychains (~/Library/Keychains) пользователя на случай, если пользователь вспомнит свой старый пароль. Наконец, поль­зователь может просто проигнорировать предупреждение, щелкнув на кнопке Продолжить вход (Continue log in).

Если диалоговое окно автоматической синхронизации keychain-файлов не появилось, вы все равно можете сбросить пароль файла login, keychain из приложения Keychain Access (если конечно, помните преды­дущий пароль keychain-файла). Если предыдущий пароль keychain-файла пользователя неизвестен, то содержимое этого keychain-файла будет по­теряно навсегда.

Изменение пароля основной учетной записи

Типична ситуация, когда выполняется автоматический вход под учетной записью основного пользователя и мастер-пароль для системы не задан. Все это с большой ве­роятностью приводит к тому, что владельцы компьютеров Мас в конечном счете забывают свой пароль основной учетной записи администратора и не имеют никакой возможности восстановить его, так как никогда не создава­ли мастер-пароль или другую учетную запись администратора. Компания Apple предусмотрела возможность такого сценария и включила утилиту Сброс пароля (Reset Password) в систему восстановления Lion Recovery.

Совет. Можно использовать утилиту Reset Password для восстановления прав доступа к домашней папке и списков контроля доступа (ACL) для выбранной учетной записи, щелкнув на кнопке Reset.

Утилита Reset Password является довольно опасным приложением, ко­торое может полностью уничтожить любой из параметров безопасности, которые вы настроили для защиты Маc. Поэтому она не станет работать, будучи скопированной с оригинальных носителей, однако любой пользо­ватель с доступом к Lion Recovery может воспользоваться этой утилитой. Apple предусмотрел эту ситуацию, предоставив еще одну утилиту по восста­новлению Lion - Утилиту пароля прошивки (Firmware Password Utility). Эта утилита предотвращает проникновение неавторизованных пользователей в обход нормального запуска системы.

Рекомендуемая литература:1[118-152],3[666-706]

Контрольные вопросы к теме: “Учетные записи пользователей»

1. Какие пять типов учетных записей пользователей имеются в Mac OS X? Чем они различаются?

2. Что такое атрибуты учетной записи?

3. Какие риски безопасности связаны с каждым типом учетной записи пользователя?

4. Какие папки по умолчанию присутствуют в домашней папке пользователя? Назовите опциональные папки в домашней папке пользователя.

5. Что делает связка ключей?

6. Как старая версия системы FiieVault защищает данные пользователя?

7. Как сброс мастер-пароля влияет на существующие учетные записи пользова­телей, защищаемые старой версией системы FiieVault?

8. Что происходит со связками ключей пользователя, когда администратор сбра­сывает пароль этого пользователя?

9. Как Утилита пароля прошивки (Firmware Password Utility) помогает предот­вратить неавторизованное изменение паролей пользователей?