我正在尝试在 OS X 10.10.1 Yosemite 上配置 TTLS 802.1x 登录窗口配置文件。
该配置文件已安装(通过 MDM),登录窗口现在显示(用户名/密码输入框上方)一个下拉菜单,可从中选择 802.1x 配置文件;此外,当用户尝试登录时,会尝试进行 802.1x 身份验证。
但是,该身份验证失败;启用请求者日志记录后,我在设置 TLS 隧道后看到以下错误:
EAP 请求:EAP 类型 21
身份验证:无法提示缺少的属性 <array> {
0:用户密码
}
设置_msk 0
请求者(主)状态:state=Held
......但我曾以为整个点登录窗口配置文件的特点是 802.1x 使用的用户名和密码是用户在登录窗口提供的!
这是怎么回事?
更新
看起来,网络有效负载中身份证书的选择导致 OS X 忽略登录窗口提供的用户凭据。
有没有办法在 TLS 握手期间使用(系统范围的)客户端证书,同时还使用登录窗口中的用户凭证进行内部/隧道身份验证?
答案1
我找不到任何相关文档,但我的理解是,可以结合系统和登录窗口身份验证。本质上,您需要在 MDM 配置文件中包含两个不同的 802.1x 有效负载,一个设置为带有客户端证书的系统模式,另一个设置为不带客户端证书的登录窗口模式。