Я пытаюсь настроить TTLS 802.1x профиль Окна Входа в систему на OS X 10.10.1 Йосемити.
Профиль был установлен (через MDM), и окно входа в систему теперь показывает (выше полей имени пользователя/ввода пароля) выпадающее, из которого 802.1x может быть выбран профиль; кроме того, когда пользователь пытается войти в систему, 802.1x, аутентификация предпринята.
Однако та аутентификация сбои; включив вход суппликанта, я вижу следующую ошибку после того, как туннель TLS будет создан:
EAP Request: EAP type 21 Authenticating: can't prompt for missing properties <array> { 0 : UserPassword } set_msk 0 Supplicant (main) status: state=Held
... но я думал, что смысл профилей Окна Входа в систему был то, что имя пользователя и пароль, используемый для 802.1x, были обеспеченными пользователем в окне входа в систему!
Что продолжается?
Кажется, что выбор удостоверения личности в полезной нагрузке сети заставлял OS X игнорировать удостоверения пользователя, предоставленные в окне входа в систему.
Там какой-либо путь состоит в том, чтобы использовать клиентский сертификат (в масштабе всей системы) во время квитирования TLS, но также и использовать пользователя creds из окна входа в систему для внутренней/туннелированной аутентификации?
Я не могу найти никакой документации по этому поводу, но я понимаю, что можно комбинировать аутентификацию системы и окна входа в систему. По сути, вы должны включить две разные полезные нагрузки 802.1x в свой профиль MDM, одну из которых установить в системный режим с сертификатом клиента, а другую - в режим окна входа в систему без сертификата клиента.