.
Je m'immisce dans ton fil pour clarifier (si je le peux) la différence de statut de l'
- a) Volume Chiffré par «FileVault». Au démarrage du Mac, le système de fichiers complet de l'OS est contenu dans un
Volume Logique (partie prenante d'une architecture
CoreStorage) qui est
verrouillé a priori, ce qui implique qu'il est
démonté. Le Mac ne peut donc absolument pas commencer de démarrer sur le Système de ce volume inaccessible. En conséquence : il démarre obligatoirement sur un Système auxiliaire, qui est celui de la partition de récupération «
Recovery HD», contenu dans un volume
non chiffré, donc
monté automatiquement au démarrage et par suite
adressable.
Ce démarrage initial sur le Système de la «
Recovery HD» permet l'affichage inaugural d'un écran de
login des utilisateurs, dans lequel sont affichées : d'une part, les icônes des
utilisateurs habilités, par la saisie de leur mot-de-passe, à
déverrouiller le
Volume Logique de l'OS, de manière à ce qu'il puisse être
remonté et que le Système de fichiers de l'OS soit accessible ; d'autre part, l'icône de l'
utilisateur invité (
Guest), lequel par définition n'a aucune habilitation à
déverrouiller par un mot-de-passe le
Volume Logique Chiffré de l'OS. C'est logique, car si tel était le cas, n'importe qui pourrait faire acte de
login en tant que
Guest à l'écran d'un Mac dont le Volume de l'OS est
chiffré par «
FileVault-2» et...
déverrouiller ce volume simplement en cliquant l'icône de l'Invité. Ce qui contredirait la sécurité a priori introduite par le
chiffrement.
Il y a donc 2 poids et 2 mesures entre les
Utilisateurs habilités et l'
Invité (
Guest) :
- a1) lorsqu'un Utilisateur habilité renseigne son mot-de-passe à l'écran de login inaugural quand «FileVault» est activé, ce mot-de-passe déverrouille le Volume Logique de l'OS et permet son re-montage => par suite, c'est le système de fichiers de l'OS recelé dans ce Volume Logique remonté qui se trouve chargé et, in fine, l'utilisateur qui a renseigné son mot-de-passe ouvre sa session sans avoir besoin de le redonner pour ce faire. C'est donc une session dans l'OS (OS X).
- a2) lorsque c'est l'Utilisateur invité qui fait acte de login (en cliquant l'icône disponible), il est bien évident que le Volume Logique de l'OS n'est aucunement par là déverrouillé => le Guest ne pourra donc jamais ouvrir une session d'Invité dans OS X de ce fait. Non : ce qui se passe alors, c'est que c'est le Système auxiliaire de la «Recovery HD», qui a commencé d'être démarré, qui va continuer de l'être, car c'est un Système démarrable complet, en gros une version réduite d'OS X. Le kernel (noyau) et les kexts (extensions du noyau pilotant le hardware) se trouvent activés, et, à la fin, s'ouvre une "session" d'invité qui consiste en une version absolument restreinte du démarrage classique sur la «Recovery HD».
Au lieu d'accéder au Bureau simplifié mettant à disposition une fenêtre de 4 Utilitaires OS X («Utilitaire de Disque», «TimeMachine», «Ré-installation d'OS X» & «Safari» - sous l'intitulé : "Obtenir de l'aide sur internet") + une poignée d'autres applications dans la barre de menus supérieure de l'écran (genre un «Terminal») ; l'utilisateur invité (Guest) n'a en tout et pour tout que la possibilité d'utiliser «Safari». Rien d'autre. Si ce n'était pas le cas, il pourrait opter pour un effacement de la partition de l'OS (via le «Terminal»), par exemple, puis la ré-installation d'OS X lui permettant de paramétrer un compte admin : bonjour la sécurité de l'OS, qui se verrait effacé. Et sinon, il ne pourrait rien faire sur le volume préservé de l'OS, car ce dernier, toujours verrouillé, serait in-montable sans mot-de-passe ad-hoc.
☞ en résumé : la situation de l'
Utilisateur invité (
Guest) lorsque «
FileVault» est activé n'a rien d'enviable. Il ne peut que naviguer sur le net avec «
Safari»...
♧
- b) Volume Non-Chiffré par «FileVault». Au démarrage du Mac, le volume de l'OS,
non verrouillé, est donc
monté automatiquement, rendant son système de fichiers entièrement adressable. Donc il y a directement activation du
kernel et des extensions du noyau, puis chargement du Système Logique, et, tout à la fin de ce déploiement seulement, affichage d'un écran de
login (dit d'ouverture de session), dans lequel se trouvent affichées les icônes des
utilisateurs qui ont un compte dans l'OS et celle de l'
Utilisateur invité (
Guest) si la possibilité de son
login a été activée dans les
Préférences Système/Utilisateurs et groupes.
Il y a toujours 2 poids et 2 mesures encore entre les
Utilisateurs ayant-comptes et l'
Invité (
Guest), mais avec moins de radicalité que dans le cas de figure précédent (où «
FileVault-2» est activé) :
- b1) dans le cas d'Utilisateurs qui ont un dossier de compte permanent dans l'OS, chacun ouvre sa session avec son mot-de-passe et y retrouve ses réglages préservés et ses données sauvegardées. Chacun peut utiliser les outils résidant dans l'OS (applications), avec une discrimination entre les utilisateurs membres du groupe admin qui peuvent administrer le Mac, graphiquement (Finder) ou en ligne de commande (Terminal) et ceux qui relèvent du simple groupe staff (ayant-comptes standards), lequels ne peuvent pas administrer le Mac.
- b2) dans le cas de l' Utilisateur Invité (Guest), il peut lui aussi ouvrir une session, avec un Bureau, et un dossier de compte comportant les sous-dossiers réguliers (Documents, Images etc.) ; il peut accéder aux applications du répertoire des Applications et les lancer ; il peut également stocker des données. Mais 2 restrictions fatales pèsent sur lui : il ne peut absolument pas administrer le Mac (à moins de s'identifier en tant qu'un utilisateur admin, ce qui impliquerait de connaître ses identifiants) et, à la fermeture de cette session d'Invité, absolument rien ne subsiste de l'activité de session (en termes de réglages ou de données) => le compte est purgé de ses contenus.
☞
en résumé : la situation de l'
Utilisateur invité (
Guest) lorsque le volume de l'OS n'est
pas chiffré par «
FileVault» est plus confortable que celle du
Guest lorsque «
FileVault» est activé, mais elle est
sans pouvoir administratif et purement
transitoire. En gros, le
Guest est comme un membre du
staff basique dont le dossier de compte se trouverait entièrement
purgé à chaque fermeture de session... Un personnage comdamné à l'
éphémère.