Назад | Перейти на главную страницу

Профиль окна входа в систему 802.1x не работает, потому что он «не может запрашивать отсутствующие свойства»

Я пытаюсь настроить профиль окна входа в систему TTLS 802.1x в OS X 10.10.1 Yosemite.

Профиль был установлен (через MDM), и теперь в окне входа в систему отображается (над полями для ввода имени пользователя / пароля) раскрывающийся список, из которого можно выбрать профиль 802.1x; кроме того, когда пользователь пытается войти в систему, выполняется попытка аутентификации 802.1x.

Однако эта аутентификация не выполняется; включив ведение журнала соискателя, я вижу следующую ошибку после настройки туннеля TLS:

EAP Request: EAP type 21
Authenticating: can't prompt for missing properties <array> {
  0 : UserPassword
}
set_msk 0
Supplicant (main) status: state=Held

... но я думал, что весь смысл профилей окна входа в систему заключалась в том, что имя пользователя и пароль, используемые для 802.1x, были предоставлены пользователем в окне входа в систему!

В чем дело?


ОБНОВИТЬ

Похоже, что выбор сертификата идентификации в сетевой полезной нагрузке заставлял OS X игнорировать учетные данные пользователя, предоставленные в окне входа в систему.

Есть ли способ использовать (общесистемный) сертификат клиента во время рукопожатия TLS, но также использовать кредиты пользователя из окна входа в систему для внутренней / туннельной аутентификации?

Я не могу найти никакой документации по этому поводу, но я понимаю, что можно комбинировать аутентификацию системы и окна входа в систему. По сути, вы должны включить две разные полезные нагрузки 802.1x в свой профиль MDM, одну из которых установить в системный режим с сертификатом клиента, а другую - в режим окна входа в систему без сертификата клиента.