Estou tentando configurar um perfil de janela de login TTLS 802.1x no OS X 10.10.1 Yosemite.
O perfil foi instalado (via MDM) e a janela de login agora mostra (acima das caixas de entrada de nome de usuário / senha) um menu suspenso a partir do qual o perfil 802.1x pode ser selecionado; Além disso, quando um usuário tenta efetuar login, a autenticação 802.1x é tentada.
No entanto, essa autenticação falha; tendo ativado o log do suplicante, vejo o seguinte erro após o túnel TLS ser configurado:
EAP Request: EAP type 21
Authenticating: can't prompt for missing properties <array> {
0 : UserPassword
}
set_msk 0
Supplicant (main) status: state=Held
... mas eu pensei que o ponto inteiro dos perfis da Janela de Login era que o nome de usuário e senha usados para 802.1x eram aqueles fornecidos pelo usuário na janela de login!
O que está acontecendo?
Parece que a seleção de um certificado de identidade na carga útil da rede estava fazendo com que o OS X ignorasse as credenciais do usuário fornecidas na janela de login.
Existe alguma maneira de usar um certificado de cliente (em todo o sistema) durante o handshake de TLS, mas também usar as credenciais de usuário da janela de login para a autenticação interna / encapsulada?
Não consigo encontrar nenhuma documentação sobre isso, mas, no meu entender, é possível combinar a autenticação do sistema e da janela de login. Essencialmente, você incluiria duas cargas úteis 802.1x diferentes em seu perfil MDM, uma definida como modo Sistema com o certificado cliente e a outra definida como modo Janela de Login sem o certificado cliente.