Bug 15105 - Opennssl with MIT Kerberos 5 support
Summary: Opennssl with MIT Kerberos 5 support
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: openssl (show other bugs)
Version: unstable
Hardware: all Linux
: P2 normal
Assignee: Gleb F-Malinovskiy
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on: 15316
Blocks:
  Show dependency tree
 
Reported: 2008-03-26 23:59 MSK by Evgeny Sinelnikov
Modified: 2008-09-16 09:55 MSD (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Evgeny Sinelnikov 2008-03-26 23:59:45 MSK
Возникла необходимость воспользоваться rfc2712, хотелось бы получить openssl с
поддержкой krb5=MIT. Успешного результата сборки можно добиться путём включения
опции в ./Configure.
Пример спека здесь:
http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=summary
Comment 1 Evgeny Sinelnikov 2008-06-12 20:15:39 MSD
У меня в гите можно найти сборку openssl-0.9.8g с нужной фичей... Буду счастлив
увидеть её в сизифе...
Comment 2 Evgeny Sinelnikov 2008-07-09 14:17:14 MSD
Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с опцией:
--with-krb5-flavor=MIT
Необходимый набор изменений можно найти здесь:
http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6

При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5,
/usr/lib/krb5/plugins/preauth/pkinit.so,
слинкован с libcrypto.so.X из libsslX. Например:
$ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto
        libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000)
Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в свою очередь, слинкован с этим libkrb5.
Comment 3 Dmitry V. Levin 2008-07-10 02:16:01 MSD
(In reply to comment #2)
> Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом
> деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с
> опцией:
> --with-krb5-flavor=MIT
> Необходимый набор изменений можно найти здесь:
> http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6

Честно говоря, я не знаю, действительно ли нужно включать это.
Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки,
окажется в памяти у всех использующих libssl.
Чтобы заплатить эту цену, нужно понимать, за что.

> При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5,
> /usr/lib/krb5/plugins/preauth/pkinit.so,
> слинкован с libcrypto.so.X из libsslX. Например:
> $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto
>         libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000)
> Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в
> свою очередь, слинкован с этим libkrb5.

Спасибо, буду иметь в виду.
Comment 4 Evgeny Sinelnikov 2008-07-10 12:37:02 MSD
(In reply to comment #3)
> Честно говоря, я не знаю, действительно ли нужно включать это.
> Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки,
> окажется в памяти у всех использующих libssl.
> Чтобы заплатить эту цену, нужно понимать, за что.
> 

Да, момент понятен... Но в нашем случае выбор не велик, оно нам необходимо, что называется, by design. Очевидным выходом вижу содержание иной сборки в отдельном репозитории, как сейчас. Второй вариант типичен для спорных альтернатив - альтернативы... Но как ими лучше воспользоваться... Важно, на этом этапе, уточнить вопрос о бинарной совместимости разных сборок одного и того же openssl с поддержкой kerberos и без неё...

Сама же цена этого вопроса - возможность получения шифрованного потока с прозрачной аутентификацией... То есть открывается на той стороне поток и уже известно, кто его открыл... На этом собственно сейчас и построена безопасность удалённого администрирования сетевых сервисов в проекте Tartarus.
Comment 5 Evgeny Sinelnikov 2008-09-16 09:55:28 MSD
openssl+kerberos собран в сизиф и оттестирован.