Профиль входа в систему 802.1x не работает, потому что он "не может запрашивать отсутствующие свойства"

Я пытаюсь настроить профиль окна входа TTLS 802.1x в OS X 10.10.1 Yosemite.

Профиль был установлен (через MDM), и в окне входа в систему теперь отображается (над полями ввода имени пользователя / пароля) раскрывающийся список, из которого можно выбрать профиль 802.1x; более того, когда пользователь пытается войти в систему, предпринимается попытка аутентификации 802.1x.

Однако, эта аутентификация не проходит; включив ведение журнала соискателя, я вижу следующую ошибку после настройки туннеля TLS:

Запрос EAP: EAP тип 21
Аутентификация: не может запрашивать отсутствующие свойства <массив> {
  0: пароль пользователя
}
set_msk 0
Статус соискателя (основной): состояние = удержание

... но я думал, что весь смысл профилей окна входа в систему заключается в том, что имя пользователя и пароль, используемые для 802.1x, были предоставлены пользователем в окне входа в систему!

В чем дело?

ОБНОВИТЬ

Кажется, что выбор сертификата идентификации в сетевой полезной нагрузке заставлял OS X игнорировать учетные данные пользователя, предоставленные в окне входа в систему.

Есть ли способ использовать (общесистемный) клиентский сертификат во время рукопожатия TLS, но также использовать кредиты пользователя из окна входа в систему для внутренней / туннельной аутентификации?