<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hi Will,<div><br><div><div>Le 17 mai 2013 ŗ 17:43, "Jorgensen, Will A" &lt;<a href="mailto:Will@pnnl.gov">Will@pnnl.gov</a>&gt; a ťcrit :</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">I'm trying to get a PIV card working for login on mountain lion. &nbsp;I installed the tokend and driver for the reader. &nbsp;When I'm already logged in, the PIV card shows up in the keychain and the certificates show up as valid (I had to install some root certificates to get that). &nbsp;I've used sc_auth to enable the certificate for a local account. &nbsp;I've tried enabling and disabling the cacloginconfig.plist (my understanding is it should be disabled when logging in to a local account). &nbsp;However, under no circumstances have I been able to get a prompt to appear at the login window. &nbsp;I've tried switching back and forth between username/password and list of users views to no affect as well.</div></blockquote></div><br></div><div>A lot of clue have been give in the feed. The most important was from Shawn: before trying to do anything on the login window, your system must be able to check your certificate authenticity. Thatís mean your root and intermediate public keys need to be add to the system keychain (note the system root who is in read only, not the login who is local for the user, the system one).</div><div><br></div><div>When itís done, youíve to configure /etc/authorization.</div><div><br></div><div>Like Iíve said in the past, Iíve write a documentation about that on my blog [1], itís in french and a bit old (itís write for 10.7 and my sc_auth fix has been commited to the trunk) but the workflow is still good and the command line to edit your authorization file without any syntax error are still good. If you donít read french, a lot of people already use it successfully with the help of Google Translation.</div><div><br></div><div>When youíre OK with you trust chain and when youíve check with my article if youíve done all the steps, if itís still donít work, please, send us some logs.</div><div><br></div><div>The best way to do that is with two Mac, your system with the smartcard configured and an other one for monitoring. From your monitor, connect to your test computer by ssh (whoís waiting on the login screen, smartcard out of the reader), run a ę&nbsp;sudo syslog -w&nbsp;Ľ and then do a cmd-K to clean your screen. Put the smartcard in and see what happen. Send the log created at this time.</div><div><br></div><div>Best regards,</div><div>Yoann</div><div><br></div><div>[1]&nbsp;<a href="http://blog.inig-services.com/archives/1068">http://blog.inig-services.com/archives/1068</a></div></body></html>