OS X Lion

Многие компьютеры Мае, предназначенные только для персонального использования, имеют единственную основную учетную запись администратора, которая была создана при начальной настройке Мае с помощью утилиты Ассистент настройки (Setup Assistant). Даже если компьютер используют несколько человек, зачастую его владелец не слишком озабочен безопасностью. К счастью, ОС Lion по умолчанию требует, чтобы для входа в систему пользователи указывали свои пароли.

Система изменит пароль файла login.keychain, только если пользователь знает свой текущий пароль учетной записи и решает изменить его. Для обеспечения максимальной безопасности пароли keychain-файлов нельзя изменить никаким внешним процессом сброса паролей.

Для сброса пароля в окне входа в систему используются два метода - мастер-пароль или идентификатор Apple ID пользователя. Первый метод требует знания текущего мастер-пароля компьютера Мае и позволяет сбрасывать пароли как для обычных учетных записей пользователей, так и для учетных записей, которые защищены системой Традиционный FileVault (Legacy FileVault). Второй метод предполагает, что учетная запись пользователя была связана с идентификатором Apple ID, как рассматривалось ранее в этой главе.

Чрезвычайно важно, чтобы мастер-пароль был правильно настроен и известен администратору. Если он по какой-то причине утрачен, администратору нужно немедленно его сбросить, чтобы можно было сбрасывать пароли обычных пользователей. Однако возможность задать новый ма- стер-пароль для Мае не означает, что можно будет восстановить учетные записи, защищенные системой Традиционный FileVault (Legacy FileVault), которые были созданы с использованием старого мастер-пароля.

В двух случаях мастер-пароль уже может быть задан на системе Lion. Первый - когда вы обновили предыдущую версию Mac OS X, в которой мастер- пароль уже задан, до ОС Lion. Второй - если вы использовали Ассистент миграции (Migration Assistant) для переноса учетной записи, защищенной старой версией системы FileVault, в систему Lion.

Как упоминалось ранее, мастер-пароль может использоваться для восстановления паролей обычных учетных записей и необходим для сброса паролей учетных записей, защищенных системой FileVault. Мастер-пароль никак не связан ни с одной из локальных учетных записей пользователей, поэтому представляет собой эффективный метод сброса пароля, который не требует создания дополнительной учетной записи администратора. Если вы обслуживаете большой парк компьютеров Мае, использующих локальные учетные записи, то установка единого мастер-пароля - это самая доступная гарантия того, что у вас всегда будет «черный ход» в систему без необходимости создавать на каждом компьютере свою локальную учетную запись.

Ошибка пользователя при вводе или забытый пароль являются основными причинами большинства проблем входа в систему в любой ОС. Второй наиболее распространенной проблемой, специфичной для Lion, является рассогласование паролей keychain-файлов пользователя с его паролем входа в систему. К счастью, за редкими исключениями, Lion предоставляет средства для легкого решения этих проблем с паролями.

Чтобы проверить или восстановить keychain-файл, нужно сделать следующее.

Основным инструментом для управления keychain-файлами является приложение Связка ключей (Keychain Access), находящееся в папке Программы/Утилиты (/Applications/Utilities). С помощью этого приложения можно просматривать и модифицировать любой объект keychain-файла, включая сохраненные пароли ресурсов, сертификаты, ключи, формы сайтов и защищенные заметки. Можно также создавать и удалять keychain- файлы, изменять их настройки и пароли, а также исправлять поврежденные keychain-файлы.

В системе хранятся различные файлы keychain для разных пользователей и ресурсов.

Lion автоматически защищает все данные, необходимые для аутентификации, в зашифрованных keychain-файлах. Подобно тому, как работники сферы обслуживания носят связку со всеми ключами, которые нужны им во время работы, Мае хранит все пароли ресурсов, сертификаты, ключи, формы сайтов и даже защищенные заметки в одном безопасном месте. Всякий раз, когда вы позволяете компьютеру запомнить пароль или любой другой потенциально секретный объект, он сохраняет его в keychain- файле (файле цепочки ключей).

Как упоминалось ранее, задание пароля прошивки не позволит несанкционированным пользователям использовать какие-либо клавиатурные комбинации для перехвата загрузки. Это защитит вашу систему от попыток обойти систему защиты Lion. Пароль прошивки никак не связан с учетной записью пользователя.

Lion использует пароли в качестве основного метода проверки подлинности пользователя. Существуют более развитые системы проверки подлинности, такие как биометрические датчики и двухфакторная аутентификация со случайным ключом, но они требуют специального оборудования. Поскольку каждый Мае соединен с алфавитно-цифровым устройством ввода (клавиатурой), пароли все еще являются оптимальным методом идентификации системы безопасности.

Как обсуждалось ранее в этом уроке, система Lion использует разные типы учетных записей пользователей: стандартные пользователи, администраторы, пользователь guest, пользователи только для общего доступа и пользователь root. Для большей гибкости в управлении доступом пользователей компания Apple сделала эти различные типы учетных записей доступными. Так как каждый тип учетной записи предназначен для обеспечения различных уровней доступа, необходимо знать о потенциальных рисках безопасности каждого типа учетной записи.

К сожалению, каждый ресурс и приложение могут действовать по-разному, поэтому проблемы быстрого переключения пользователей не всегда согласованно описываются или сразу заметны. В системе Lion не существует диалогового окна «данная проблема вызвана быстрым переключением пользователей». Тем не менее, если вы сталкиваетесь с ошибками доступа к файлам или периферийным устройствам, то первым делом проверьте, нет ли в системе других пользователей.