Comment puis-je réinitialiser le mot de passe de mon instance Mac Amazon EC2 ?

Brève description

Important : Pour réinitialiser le mot de passe oublié d'un utilisateur ayant un jeton sécurisé, vous devez également disposer d'un jeton sécurisé.

Pour réinitialiser le mot de passe de votre instance Mac EC2, créez une instance de secours en tant qu'utilisateur de jeton non sécurisé. Puis, associez le volume racine de l'instance d'origine en tant que volume secondaire sur l'instance de secours et migrez vos données.

Lorsque vous définissez le mot de passe du premier utilisateur dans une instance Mac, un jeton sécurisé est délivré à l'utilisateur par défaut. Pour émettre un jeton sécurisé pour l'utilisateur ec2-user, vous devez d'abord définir le mot de passe pour ec2-user. Pour plus d'informations, consultez la page Utiliser un jeton sécurisé, un jeton d'amorçage et une propriété de volume dans les déploiements sur le site Web d'Apple. En raison de sa complexité, il est déconseillé d'utiliser un autre utilisateur de jeton sécurisé pour mettre à jour le mot de passe de ec2-user.

Résolution

Pour migrer les données de votre utilisateur vers une instance de secours, procédez comme suit :

1. Créez un instantané du volume Amazon Elastic Block Store (Amazon EBS) racine de votre instance Mac EC2.

2. Lancez une nouvelle instance Mac EC2.

3. Créez un volume Amazon EBS à partir de l'instantané du volume racine dans la même zone de disponibilité que la nouvelle instance.

4. Utilisez SSH pour vous connecter à la nouvelle instance, puis attachez le volume EBS en tant que volume secondaire à l'instance.

5. Pour répertorier tous les disques physiques, les partitions, les conteneurs du système de fichiers Apple (APFS) et les volumes de la nouvelle instance, exécutez la commande suivante :

   diskutil list

   Exemple de sortie :

   diskutil list
   /dev/disk0 (internal, physical):
   #: TYPE NAME SIZE IDENTIFIER
   0: GUID_partition_scheme *251.0 GB disk0
   1: Apple_APFS_ISC Container disk1 524.3 MB disk0s1
   2: Apple_APFS Container disk3 245.1 GB disk0s2
   3: Apple_APFS_Recovery Container disk2 5.4 GB disk0s3
   
   /dev/disk3 (synthesized):
   #: TYPE NAME SIZE IDENTIFIER
   0: APFS Container Scheme - +245.1 GB disk3
   Physical Store disk0s2
   1: APFS Volume InternalDisk 10.3 GB disk3s1
   2: APFS Volume Preboot 5.3 GB disk3s2
   3: APFS Volume Recovery 919.3 MB disk3s3
   4: APFS Volume Data 779.2 MB disk3s5
   5: APFS Volume VM 20.5 KB disk3s6
   
   /dev/disk4 (external, physical):
   #: TYPE NAME SIZE IDENTIFIER
   0: GUID_partition_scheme *107.4 GB disk4
   1: EFI EFI 209.7 MB disk4s1
   2: Apple_APFS Container disk5 107.2 GB disk4s2
   
   /dev/disk5 (synthesized):
   #: TYPE NAME SIZE IDENTIFIER
   0: APFS Container Scheme - +107.2 GB disk5
   Physical Store disk4s2
   1: APFS Volume Macintosh HD - Data 4.8 GB disk5s1
   2: APFS Volume Macintosh HD 9.3 GB disk5s2
   3: APFS Snapshot com.apple.os.update-... 9.3 GB disk5s2s1
   4: APFS Volume Preboot 5.4 GB disk5s3
   5: APFS Volume Recovery 754.6 MB disk5s4
   6: APFS Volume VM 20.5 KB disk5s5
   
   /dev/disk6 (external, physical):
   #: TYPE NAME SIZE IDENTIFIER
   0: GUID_partition_scheme *107.4 GB disk6
   1: EFI EFI 209.7 MB disk6s1
   2: Apple_APFS Container disk7 107.2 GB disk6s2
   
   /dev/disk7 (synthesized):
   #: TYPE NAME SIZE IDENTIFIER
   0: APFS Container Scheme - +107.2 GB disk7
   Physical Store disk6s2
   1: APFS Volume Macintosh HD - Data 9.4 GB disk7s1
   2: APFS Volume Macintosh HD 9.3 GB disk7s2
   3: APFS Volume Preboot 5.4 GB disk7s3
   4: APFS Volume Recovery 754.6 MB disk7s4
   5: APFS Volume VM 20.5 KB disk7s5

   Dans l'exemple précédent, dev/disk7 est le nom du volume secondaire.

6. Pour vérifier que vous avez correctement identifié le volume secondaire, exécutez la commande suivante :

   diskutil info disk7

   Remarque : Remplacez dev/disk7 par le nom de votre volume secondaire.
   Dans la sortie, assurez-vous que le nom de l'appareil/du support est défini sur Amazon Elastic Block Store.
   Exemple de sortie :

   $ diskutil info disk7 | Grep DeviceDevice Identifier: disk7
   Device Node: /dev/disk7
   Device / Media Name: Amazon Elastic Block Store
   Device Block Size: 4096 Bytes
   Device Location: External

7. Pour monter le volume secondaire sur le système d'exploitation (OS), exécutez la commande suivante :

   sudo diskutil mount /dev/disk7s1

   Remarque : Remplacez dev/disk7 par le nom de votre volume secondaire.

8. Pour vérifier que le disque est monté, exécutez la commande suivante :

   df -h

   Exemple de sortie :

   df -h
   Filesystem Size Used Avail Capacity iused ifree %iused Mounted on
   /dev/disk5s2s1 100Gi 8.7Gi 81Gi 10% 356840 846823560 0% /
   devfs 228Ki 228Ki 0Bi 100% 788 0 100% /dev
   /dev/disk5s5 100Gi 20Ki 81Gi 1% 0 846823560 0% /System/Volumes/VM
   /dev/disk5s3 100Gi 5.0Gi 81Gi 6% 941 846823560 0% /System/Volumes/Preboot
   /dev/disk1s2 500Mi 6.0Mi 392Mi 2% 1 4010720 0% /System/Volumes/xarts
   /dev/disk1s1 500Mi 52Mi 392Mi 12% 53 4010720 0% /System/Volumes/iSCPreboot
   /dev/disk1s3 500Mi 636Ki 392Mi 1% 51 4010720 0% /System/Volumes/Hardware
   /dev/disk5s1 100Gi 4.5Gi 81Gi 6% 160213 846823560 0% /System/Volumes/Data
   /dev/disk3s4 228Gi 108Ki 212Gi 1% 17 2223298800 0% /private/tmp/tmp-mount-K1ov0m
   map auto_home 0Bi 0Bi 0Bi 100% 0 0 100% /System/Volumes/Data/home
   /dev/disk7s1 100Gi 8.8Gi 77Gi 11% 204661 802361480 0% /Volumes/Macintosh HD - Data

   Remarque : Le volume secondaire porte l'étiquette Macintosh HD - Données et apparaît après le montage. Dans l'exemple précédent, dev/disk7 est le volume secondaire.

9. Exécutez la commande suivante pour ouvrir le répertoire du point de montage afin d'accéder aux données du volume :

   cd /Volumes/Macintosh/HD - Data

   Remarque : Remplacez /Volumes/Macintosh/HD - Données par le chemin du fichier du répertoire de votre point de montage.

10. Pour copier les données du volume secondaire vers le volume racine de votre nouvelle instance, exécutez la commande rsync suivante :

brew install rsync

11. Exécutez les commandes suivantes pour désactiver le jeton sécurisé pour l'ec2-user à l'avenir :

sudo dscl . -append /Users/ec2-user AuthenticationAuthority ";DisabledTags;SecureToken"

sudo /usr/bin/dscl . -passwd /Users/ec2-user

Si vous recevez des erreurs lorsque vous exécutez la commande passwd précédente, exécutez la commande suivante pour définir le mot de passe de l'utilisateur :

sudo passwd ec2-user

Remarque : Remplacez ec2-user par votre nom d'utilisateur Amazon EC2. Pour vérifier que l'utilisateur ne dispose pas d'un jeton sécurisé, exécutez la commande suivante :

sysadminctl -secureTokenStatus ec2-user

Remarque : Remplacez ec2-user par votre nom d'utilisateur Amazon EC2. Si l'utilisateur ne possède pas de jeton sécurisé, il peut réinitialiser son mot de passe sans l'aide d'un autre utilisateur disposant d'un jeton sécurisé.
Pour afficher tous les utilisateurs, exécutez la commande suivante :

for user in $(ls /Users); do echo $user; sysadminctl -secureTokenStatus $user; doneUse secure token, bootstrap token, and volume ownership in deployments