<div dir="ltr">David,<div><br></div><div>Thank you! I will look into this and see if this can make a difference.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 19, 2015 at 10:34 AM, David Jaša <span dir="ltr"><<a href="mailto:djasa@redhat.com" target="_blank">djasa@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Út, 2015-05-19 at 15:59 +0200, David Jaša wrote:<br>
> On Út, 2015-05-19 at 09:00 -0400, Thomas Foster wrote:<br>
> > David,<br>
> ><br>
> > While using the spice client have you put your cac into your local<br>
> > reader?  If so, we're you able to use it?  I ask because if you look<br>
> > at my screenshots from my last email I get the same usb device<br>
> > (usbccid), but I also get an extra device that is a problem.<br>
> ><br>
> > _______________________________________________<br>
> > Spice-devel mailing list<br>
> > <a href="mailto:Spice-devel@lists.freedesktop.org">Spice-devel@lists.freedesktop.org</a><br>
> > <a href="http://lists.freedesktop.org/mailman/listinfo/spice-devel" target="_blank">http://lists.freedesktop.org/mailman/listinfo/spice-devel</a><br>
><br>
> Hm, I think I start understanding your situation: you're using linux<br>
> client (CentOS 7?), Windows 7 guest and the smart card doesn't work<br>
> for you. When you write "drivers in spice client" you actually mean<br>
> drivers for client OS. That's card-dependent. You need to have a<br>
> "smart card middleware" installed in the system and registered in nss,<br>
> e.g.:<br>
><br>
> $ modutil -dbdir /etc/pki/nssdb -list<br>
><br>
> Listing of PKCS #11 Modules<br>
> -----------------------------------------------------------<br>
>   1. NSS Internal PKCS #11 Module<br>
>        slots: 2 slots attached<br>
>       status: loaded<br>
><br>
>        slot: NSS Internal Cryptographic Services<br>
>       token: NSS Generic Crypto Services<br>
><br>
>        slot: NSS User Private Key and Certificate Services<br>
>       token: NSS Certificate DB<br>
><br>
>   2. CoolKey PKCS #11 Module<br>
>       library name: libcoolkeypk11.so<br>
>        slots: 1 slot attached<br>
>       status: loaded<br>
><br>
>        slot: Gemalto PC Twin Reader 00 00<br>
>       token: spice qe<br>
><br>
>   3. p11-kit<br>
>       library name: /usr/lib64/pkcs11/p11-kit-trust.so<br>
>        slots: 2 slots attached<br>
>       status: loaded<br>
><br>
>        slot: /etc/pki/ca-trust/source<br>
>       token: System Trust<br>
><br>
>        slot: /usr/share/pki/ca-trust-source<br>
>       token: Default Trust<br>
> -----------------------------------------------------------<br>
><br>
> Module 2. is the one that provides my smartcard, "slot: Gemalto PC<br>
> Twin Reader 00 00" is my physical card reader, . Coolkey is not<br>
> however officially sanctioned in windows (although unofficial builds<br>
> exist)<br>
<br>
</div></div>So official builds exist as well but you'd need a Red Hat Certificate<br>
System subscription in order to access them:<br>
<a href="https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/8.1/html/Managing_Smart_Cards_with_the_Enterprise_Security_Client/install-windows.html" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/8.1/html/Managing_Smart_Cards_with_the_Enterprise_Security_Client/install-windows.html</a><br>
<br>
David<br>
<span class=""><br>
> so if you intend to use the card in Windows, you'll need a different<br>
> middleware for it and possibly, you'll need to register it to nss by<br>
> hand:<br>
><br>
> # modutil -dbdir /etc/pki/nssdb -add "some name for your pkcs#11 module" -libfile /usr/lib64/pkcs11/your_fancy_p11_library.so<br>
><br>
> once done, the "spice client" will pick up the card automatically and<br>
> it will show up in the working card reader in Windows with no further<br>
> configuration.<br>
> Alternatively, if your card doesn't have linux drivers (or it needs to<br>
> be formatted by some Windows tool to a format specific for that<br>
> tool...), the option for you is to use USB redirection of the whole<br>
> card reader:<br>
><br>
</span><span class="">> Then the card won't be obviously available in the client OS but that's<br>
> kind of irrelevant if it's format need to be incompatible with the<br>
> client OS anyway.<br>
> Please note also that I had to stop and mask pcscd in the client<br>
> system in order to make the reader redirect. Note also that you'll<br>
> need the driver for the physical reader in the guest OS in this<br>
> scenario (the Gemalto driver for my card reader was also available<br>
> through Windows update). The card was not recognized in my case<br>
> beacause it's CoolKey/RHCS-formatted which would need the driver<br>
> linked above in Windows:<br>
><br>
><br>
</span>> HTH,<br>
><br>
> David<br>
<div class="HOEnZb"><div class="h5">> _______________________________________________<br>
> Spice-devel mailing list<br>
> <a href="mailto:Spice-devel@lists.freedesktop.org">Spice-devel@lists.freedesktop.org</a><br>
> <a href="http://lists.freedesktop.org/mailman/listinfo/spice-devel" target="_blank">http://lists.freedesktop.org/mailman/listinfo/spice-devel</a><br>
<br>
<br>
</div></div></blockquote></div><br></div>