Bug 42341 - После применении профиля pkcs11-profiles-p11-kit-proxy нельзя добавить опцию slot_num
Summary: После применении профиля pkcs11-profiles-p11-kit-proxy нельзя добавить опцию ...
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: pkcs11-profiles-p11-kit-proxy (show other bugs)
Version: unstable
Hardware: x86 Linux
: P5 normal
Assignee: manowar@altlinux.org
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2022-04-05 12:55 MSK by Белаш Константин
Modified: 2022-04-07 23:00 MSK (History)
2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Белаш Константин 2022-04-05 12:55:16 MSK 
При использовании профиля p11_kit_proxy для модуля pam_pkcs11 в последующем возникает ошибка при добавлении опции slot_num (для указания с каким слотом работать при использовании многослотовых токенов).

Воспроизведение ситуации:
# apt-get install pkcs11-profiles-p11-kit-proxy
# control pam-pkcs11-profile p11_kit_proxy

Разница в /etc/security/pam_pkcs11/pam_pkcs11.conf после применения профиля:
# diff /etc/security/pam_pkcs11/pam_pkcs11.conf /etc/security/pam_pkcs11/pam_pkcs11.conf.default
33c33
<   card_only = true;
---
>   card_only = false;
54c54
<   use_pkcs11_module = p11_kit_proxy;
---
>   use_pkcs11_module = opensc;
379,388d378
<
<   pkcs11_module p11_kit_proxy {
<     ca_dir = /etc/security/pam_pkcs11/cacerts;
<     crl_dir = /etc/security/pam_pkcs11/crls;
<     module = /usr/lib64/p11-kit-proxy.so;
<     support_threads = false;
<     cert_policy = global_ca,ca,signature;
<     token_type = "Proxy";
<     slot_description = "none";
<   }

После добавления в секцию "pkcs11_module p11_kit_proxy {...}" опции "slot_num = 4;" и выполнении команды pkcs11_inspect возникает ошибка:
# pkcs11_inspect
ERROR:pkcs11_inspect.c:57: Error setting configuration parameters

Если из секции "pkcs11_module p11_kit_proxy {...}" убрать опцию "slot_description = "none";" тогда ошибки не возникает и pam_pkcs11 работает нормально.
Comment 1 manowar@altlinux.org 2022-04-07 18:44:51 MSK 
"Which slot to use?

You can use "slot_num" or "slot_description", but not both, to specify
the slot to use.   Using "slot_description" is preferred because the
PKCS#11 specification does not guarantee slot ordering. "slot_num" should
only be used with those PKCS#11 implementations that guarantee
constant slot numbering."

Получается, вы добавляете новый параметр в конфигурацию, но не убираете из неё  конфликтующий с ним параметр. Документация говорит, что их нельзя использовать вместе и советует использовать slot_description как более однозначный.
Comment 2 Белаш Константин 2022-04-07 19:32:26 MSK 
Согласен, присутствие параметра slot_description не является ошибкой.
С другой стороны, а какой смысл его добавлять в профиль. Без него и так будет работать.

А если возникает необходимость указать конкретный слот, то тут уже пусть пользователь выбирает каким способом он это будет делать.
В моем конкретном случае не было возможности указать slot_description, он для всех 3х слотов одинаковый. Пришлось использовать slot_num, столкнулся с ошибкой.

Просто думаю, что если бы не было этого параметра в профиле, то люди бы меньше встречались с этой ошибкой.
Comment 3 manowar@altlinux.org 2022-04-07 20:11:22 MSK 
Хорошо, уберу.
Comment 4 Белаш Константин 2022-04-07 20:14:30 MSK 
Спасибо.
Comment 5 Repository Robot 2022-04-07 20:18:55 MSK 
pkcs11-profiles-0.1.13-alt1 -> sisyphus:

 Thu Apr 07 2022 Paul Wolneykien <manowar@altlinux> 0.1.13-alt1
 - Remove slot_description = "none" from the default module profiles
   (closes: 42339, 42341).
Comment 6 Leonid Krivoshein 2022-04-07 23:00:20 MSK 
Спасибо!