<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;"><span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif;"><blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;"><div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><font style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">Now some naïve questions, as I browsed the OpenSC.tokend github, but did not find/figure out some important things</font></div><div></div></blockquote><div>&nbsp;</div><div>I should mention I am not affiliated with that code project, just something I've tried for talking to the NEO. It appears quite functional but i noticed a general&nbsp;<span></span>warning about stability.</div></div></div></blockquote></span><div style="font-family: Calibri, sans-serif;"><br></div><div style="font-family: Calibri, sans-serif;">:-)</div><div style="font-family: Calibri, sans-serif;"><br></div><span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif;"><blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;"><div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><font style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">Do I need to remove anything in order for it to run correctly?</font>&nbsp;</div></blockquote><div><br></div><div>Shouldn't need to remove anything. There is some sort of dark art to which&nbsp;tokend is used when there are multiple tokend(s) for the same card type. Really depends on the installers and if they remove any previously installed tokend. Sometimes it seems
 to be the last tokend installed or the first one the system has registered for that applet&nbsp;type -&nbsp;I'm actually not completely&nbsp;sure. Mostly I have tried to avoid that situation&nbsp;and&nbsp;only have&nbsp;one compatible&nbsp;tokend&nbsp;per applet type to be used. Sometimes it takes
 manual grooming of the /System/Library/Security/tokend folder if you have multiple compatible tokends for that type. Usually just backing up the tokends in there and removing or&nbsp;restoring if needed will get the job done if just&nbsp;testing. If the tokend is not
 there it will not be leveraged. [keep in mind they are directories not files]</div></div></div></blockquote></span><div style="font-family: Calibri, sans-serif;"><br></div><div style="font-family: Calibri, sans-serif;">I have done that (copied the entire directory to a safe place, and pruned it from everything but OpenSC.tokend).</div><div style="font-family: Calibri, sans-serif;"><br></div><div style="font-family: Calibri, sans-serif;">Now Keychain correctly sees the NEO token, and recognizes/displays the two certificates on it.&nbsp;</div><div style="font-family: Calibri, sans-serif;"><br></div><div style="font-family: Calibri, sans-serif;"><b>However</b>&nbsp;much to my disappointment &#8211; it seems <b>unable to unlock the token keychain</b>.&nbsp;</div><div style="font-family: Calibri, sans-serif;"><br></div><div style="font-family: Calibri, sans-serif;">PIN is correct:</div><div style="font-family: Calibri, sans-serif;"><br></div><div><div><font face="Courier">$ yubico-piv-tool -v -a verify-pin -P xxxxxx</font></div><div><font face="Courier">skipping reader 'SCM SCR 3310 00 00' since it doesn't match.</font></div><div><font face="Courier">using reader 'Yubico Yubikey NEO OTP+U2F+CCID 01 00' matching 'Yubikey'.</font></div><div><font face="Courier">Action 9 does not need authentication.</font></div><div><font face="Courier">Now processing for action 9.</font></div><div><font face="Courier">Successfully verified PIN.</font></div><div><font face="Courier">$</font></div></div><div style="font-family: Calibri, sans-serif;"><br></div><div style="font-family: Calibri, sans-serif;">Any recommendation how to proceed?</div><div style="font-family: Calibri, sans-serif;"><br></div><span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif;"><blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><font style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">Finally, this OpenSC.tokend will work with CAC as well, correct? (It would be a shame to lose the ability to use CAC.)</font></div><div></div></blockquote><div><br></div><div>Not sure. Might depend what kind of card, which vintage and applet configuration.</div></blockquote></span><div style="font-family: Calibri, sans-serif;"><br></div><div style="font-family: Calibri, sans-serif;">I&#8217;ve observed that it <b>correctly recognizes my CAC</b> and the certs on it &#8211; but again, seems <b>unable to unlock it</b>.</div><div><br></div><span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif;"><div><div class="gmail_extra">Any help is appreciated!</div></div></span><div><br></div><div>Thanks!</div></body></html>