<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">
<div>
<div>
<div>Okay, so I finally got a chance to make some progress on this. &nbsp;Once I got the&nbsp;Entrust Managed Services SSP CA&nbsp;certs trusted then I could get the Public Key Hash method to work. &nbsp;However, I ran into trouble trying to get the attribute lookup to work. &nbsp;The
 contents of the cacloginconfig.plist is provided &nbsp;at the end of my reply. &nbsp;Is &nbsp;the correct file name cacloginconfig.plist or caclogingconfig.plist, I saw both names referenced on the net. &nbsp;I tried both, neither worked.</div>
<div><br>
</div>
<div>My computer is bound to AD and can do lookups and get kerberos tickets &nbsp;in general. &nbsp;My user object in AD has the userPrincipalName attribute set and it matches the value in the NT Principal Name field in my certificate. &nbsp;I didn't change the /etc/authorization
 file from what was working with the Public Key Hash method.</div>
<div><br>
</div>
<div>What else should I be looking at?</div>
<div><br>
</div>
<div>Caclogingconfig.plist:</div>
<div>
<div>&lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&gt;</div>
<div>&lt;!DOCTYPE plist PUBLIC &quot;-//Apple//DTD PLIST 1.0//EN&quot; &quot;<a href="http://www.apple.com/DTDs/PropertyList-1.0.dtd&quot;">http://www.apple.com/DTDs/PropertyList-1.0.dtd&quot;</a>&gt;</div>
<div>&lt;plist version=&quot;1.0&quot;&gt;</div>
<div>&lt;dict&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;key&gt;dsAttributeString&lt;/key&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;string&gt;dsAttrTypeNative:userPrincipalName&lt;/string&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;key&gt;fields&lt;/key&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;array&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;string&gt;NT Principal Name&lt;/string&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;/array&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;key&gt;formatString&lt;/key&gt;</div>
<div><span class="Apple-tab-span" style="white-space: pre; "></span>&lt;string&gt;$1&lt;/string&gt;</div>
<div>&lt;/dict&gt;</div>
<div>&lt;/plist&gt;</div>
</div>
</div>
<div><br>
</div>
<div><span class="Apple-style-span" style="font-size: medium; font-family: Helvetica; "><font color="#D37400"><font size="1"><font face="Arial"><span style="font-size: 9pt; ">__________________________________________________</span></font></font></font></span><span class="Apple-style-span" style="font-size: medium; font-family: Helvetica; "><font size="1"><span style="font-size: 9pt; "><font face="Verdana,Helvetica,Arial">&nbsp;<br>
<b>Will Jorgensen</b>&nbsp;<br>
Desktop and Mobile Services&nbsp;<br>
Pacific Northwest National Laboratory</font></span></font></span></div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Shawn Geddis &lt;<a href="mailto:geddis@apple.com">geddis@apple.com</a>&gt;<br>
<span style="font-weight:bold">Date: </span>Tuesday, May 28, 2013 10:22 PM<br>
<span style="font-weight:bold">To: </span>Will &lt;<a href="mailto:will@pnnl.gov">will@pnnl.gov</a>&gt;<br>
<span style="font-weight:bold">Cc: </span>&quot;<a href="mailto:SmartcardServices-Users@lists.macosforge.org">SmartcardServices-Users@lists.macosforge.org</a>&quot; &lt;<a href="mailto:SmartcardServices-Users@lists.macosforge.org">SmartcardServices-Users@lists.macosforge.org</a>&gt;<br>
<span style="font-weight:bold">Subject: </span>Re: [SmartcardServices-Users] Mountain Lion Login window<br>
</div>
<div><br>
</div>
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div>
<div>On May 29, 2013, at 1:44 AM, &quot;Jorgensen, Will A&quot; &lt;<a href="mailto:Will@pnnl.gov">Will@pnnl.gov</a>&gt; wrote:</div>
<blockquote type="cite">
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif; ">
<span id="OLK_SRC_BODY_SECTION">
<blockquote type="cite" style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif; ">
When I'm already logged in, the PIV card shows up in the keychain and the certificates show up as valid (I had to install some root certificates to get that).</div>
</blockquote>
<div style="font-family: Calibri, sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; ">
<br>
</div>
Question again on why you would need to install roots for certificates on a PIV card. &nbsp;Is this a self-generated PIV Card with internal / test identities and not US Federal Government issued Identities ? &nbsp;I ask because the&nbsp;<b>System Root<span class="Apple-converted-space">&nbsp;</span></b>Keychain
 should already have the necessary CA Roots Certificates for proper trust validation and revocation checking for US Federal Government issued Identities. &nbsp;If not, please let me know what was not there, so that I can correct that.</span>
<div><br>
</div>
<div><b>Answer</b><span class="Apple-converted-space">&nbsp;</span> They are DOE certificates issued by an Entrust Managed Services SSP CA which I didn't see in the system root keychain. &nbsp;Looking at it further, I'm not sure I actually solved it anyway since the
 certificates in the PIV card show up as being signed by an untrusted user.<span class="Apple-converted-space">&nbsp;</span></div>
</div>
</blockquote>
<br>
</div>
<div>WIll,</div>
<div><br>
</div>
<div>Ahh, we may be at the heart of your problem....&nbsp;If your PIV Certs show up as&nbsp;signed by an untrusted user that is the root cause of you not being able to log in with Attr Matching or PKINIT. &nbsp;The PubKeyHash method does not do certificate status checking,
 but both Attr Matching and PKINT do verify that the certificate is trusted and valid prior to login.</div>
<div><br>
</div>
<div>You must resolve this first before being able move on. &nbsp;Are the DOE issued certificates not resolved (Trust Path Validation) to the &quot;Federal Common Policy CA&quot; Root CA Certificate ? &nbsp;Looking at the certificate I have for you at @<a href="http://pnnl.gov">pnnl.gov</a>
 it is signed using a &quot;Department of Energy&quot;, &quot;Pacific Northwest National Laboratory&quot; Root CA Certificate. &nbsp;You need to specifically mark that Root CA Cert as trusted on your system (since it is not in System Roots and trusted) and then any certificate signed
 by it will appear as valid if all else is correct with the certificate.</div>
<div><br>
</div>
<div>
<blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;">
<div>
<ul class="MailOutline">
<li>Launch Keychain Access (KA)</li><li>Select &quot;Certificates&quot; in the Category (lower left corner)</li><li>Enter &quot;Department of Energy&quot; in the Search Field (upper right corner)</li><li>Double-click the Certificate&nbsp;&quot;Department of Energy&quot; with Serial Number &quot;998328652&quot; to open it</li><li>Click the 'disclosure' triangle in front of the word 'Trust' in the certificate's window</li><li>Select Always Trust</li><li>Provide your Admin Account PW and the Trust will be set to Always Trust that Root</li></ul>
</div>
<div><br>
</div>
<div>Now go back to setting up Login.</div>
</blockquote>
</div>
<span style="background-color: transparent;">
<div><span style="background-color: transparent;"><br>
</span></div>
The unfortunate point to note is that many of the DOE labs have Root CA Certs issued by&nbsp;an Entrust Managed Services SSP CA&nbsp;that resolves to the DOE Root CA and not the &quot;</span>Federal Common Policy CA&quot; which Apple includes in the Trusted Root Store.<span style="background-color: transparent;"><br>
</span>Let me see if we need to look into including the DOE Root CA Cert in the System Roots. &nbsp;That would have solved your problem to begin with. &nbsp;Federal PKI directs only trusting the&nbsp;&quot;Federal Common Policy CA&quot;, but let me see what I can do.<br>
<br>
<div apple-content-edited="true"><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; border-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
- Shawn<br>
______________________________________________________<br>
Shawn Geddis<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">
</span>&nbsp;&nbsp;<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">
</span>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:geddis@me.com">geddis@me.com</a><br>
Enterprise Security Consulting Engineer, Apple &nbsp; &nbsp; <a href="mailto:geddis@apple.com">
geddis@apple.com</a><br>
<br>
MacOSForge:<span class="Apple-converted-space">&nbsp;</span><b>Smart Card Services</b><span class="Apple-converted-space">&nbsp;</span>&nbsp;Project Lead: &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;<br>
<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; "></span>Web:<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">
</span><a href="http://smartcardservices.macosforge.org/">http://smartcardservices.macosforge.org/</a><br>
<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; "></span>Lists:<span class="Apple-tab-span" style="font-weight: normal; white-space: pre; ">
</span><a href="http://lists.macosforge.org/mailman/listinfo">http://lists.macosforge.org/mailman/listinfo</a><br>
______________________________________________________<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
</div>
</span></div>
<br>
</div>
</div>
</span>
</body>
</html>