Я пытаюсь настроить профиль окна входа в систему TTLS 802.1x в OS X 10.10.1 Yosemite.
Профиль был установлен (через MDM), и теперь в окне входа в систему отображается (над полями для ввода имени пользователя / пароля) раскрывающийся список, из которого можно выбрать профиль 802.1x; кроме того, когда пользователь пытается войти в систему, выполняется попытка аутентификации 802.1x.
Однако эта аутентификация не выполняется; включив ведение журнала соискателя, я вижу следующую ошибку после настройки туннеля TLS:
EAP Request: EAP type 21 Authenticating: can't prompt for missing properties <array> { 0 : UserPassword } set_msk 0 Supplicant (main) status: state=Held
... но я думал, что весь смысл профилей окна входа в систему заключалась в том, что имя пользователя и пароль, используемые для 802.1x, были предоставлены пользователем в окне входа в систему!
В чем дело?
Похоже, что выбор сертификата идентификации в сетевой полезной нагрузке заставлял OS X игнорировать учетные данные пользователя, предоставленные в окне входа в систему.
Есть ли способ использовать (общесистемный) сертификат клиента во время рукопожатия TLS, но также использовать кредиты пользователя из окна входа в систему для внутренней / туннельной аутентификации?
Я не могу найти никакой документации по этому поводу, но я понимаю, что можно комбинировать аутентификацию системы и окна входа в систему. По сути, вы должны включить две разные полезные нагрузки 802.1x в свой профиль MDM, одну из которых установить в системный режим с сертификатом клиента, а другую - в режим окна входа в систему без сертификата клиента.