Амигос, вы не одмины, листайте дальше, это я себе на память
Всю жизнь как-то так складывалось, что я не пересекался с продукцией яблочной компании. Не то чтобы сознательно избегал, а просто самому было неинтересно, а работа того не требовала. Жил себе с мыслью о том, что есть неподалеку мир ябловодов, работающий на проприетарных системах MacOS и IOS, где, по слухам, все чотка, плавно, безглючно и быстро, и хрен с ним.
И вот таки довелось соприкоснуться. Задача - выдать макосному юзеру доступ к VPN с двухступенчатой аутентификацией по сертификатам. Сертификаты ынтерпрайзные, от собственного CA.
То есть, из всего многообразия макоси нужно зацепить ровно два системных компонента: менеджер сетевых подключений и менеджер сертификатов.
И тут сходу выясняется что они оба неработоспособны.
Менеджер ключей AKA Keychain Access то просто ругается на CA, невзирая на выставленные настройки доверия. То вдруг сам решает, что все хорошо и начинает считать его доверенным безо всяких дополнительных действий, но при этом продолжая ругаться на подписанный им сертификат юзера. Потом точно так же - сам - решает, что юзерский сертификат тоже сойдет, но отказывается сменить права доступа к приватному ключу. Спрашивает пароли подтверждения, кивает головой и оставляет настройки в неизмененном состоянии. Потом внезапно (или после перелогина. например) снова решает, что CA ему все-таки не нравится и все начинается сначала (и так в каждой "связке" - login глючит отдельно, system - отдельно). Ругаться на самоподписанный сертификат CA словами "не найден корневой сертификат" - это прекрасно, практически как "мама, а где море?"
Менеджер подключений бодро предлагает на выбор четыре сертификата, при том, что на самом деле их два - один в login, один в system. А если вы перед этим их удаляли-добавляли, сражаясь с глюками keychain'а, то может предложить и шесть, и это, подозреваю, не предел. Ладно, указываем сертификаты, применяем изменения, открываем свойства подключения заново - в одном из полей назначение сертификата куда-то потерялось. И продолжает теряться при дальнейших попытках. Это, как потом выяснилось, матерый седой баг, который тянется как минимум с 2010го года и обходится созданием отдельного сетевого профиля.
Ну и стоит ли говорить, что в итоге, после долгих плясок, у меня на виртуалке с хакинтошем подключение работает, а точно такое же подключение у юзера на реальной макоси - нет?
Про скудость и убожество документации и говорить не хочется.
В общем, венда и только венда. Увы.
И вот таки довелось соприкоснуться. Задача - выдать макосному юзеру доступ к VPN с двухступенчатой аутентификацией по сертификатам. Сертификаты ынтерпрайзные, от собственного CA.
То есть, из всего многообразия макоси нужно зацепить ровно два системных компонента: менеджер сетевых подключений и менеджер сертификатов.
И тут сходу выясняется что они оба неработоспособны.
Менеджер ключей AKA Keychain Access то просто ругается на CA, невзирая на выставленные настройки доверия. То вдруг сам решает, что все хорошо и начинает считать его доверенным безо всяких дополнительных действий, но при этом продолжая ругаться на подписанный им сертификат юзера. Потом точно так же - сам - решает, что юзерский сертификат тоже сойдет, но отказывается сменить права доступа к приватному ключу. Спрашивает пароли подтверждения, кивает головой и оставляет настройки в неизмененном состоянии. Потом внезапно (или после перелогина. например) снова решает, что CA ему все-таки не нравится и все начинается сначала (и так в каждой "связке" - login глючит отдельно, system - отдельно). Ругаться на самоподписанный сертификат CA словами "не найден корневой сертификат" - это прекрасно, практически как "мама, а где море?"
Менеджер подключений бодро предлагает на выбор четыре сертификата, при том, что на самом деле их два - один в login, один в system. А если вы перед этим их удаляли-добавляли, сражаясь с глюками keychain'а, то может предложить и шесть, и это, подозреваю, не предел. Ладно, указываем сертификаты, применяем изменения, открываем свойства подключения заново - в одном из полей назначение сертификата куда-то потерялось. И продолжает теряться при дальнейших попытках. Это, как потом выяснилось, матерый седой баг, который тянется как минимум с 2010го года и обходится созданием отдельного сетевого профиля.
Ну и стоит ли говорить, что в итоге, после долгих плясок, у меня на виртуалке с хакинтошем подключение работает, а точно такое же подключение у юзера на реальной макоси - нет?
Про скудость и убожество документации и говорить не хочется.
В общем, венда и только венда. Увы.