15105 2008-03-26 23:59:45 +0300 Opennssl with MIT Kerberos 5 support 2008-09-16 09:55:29 +0400 1 1 4 Development Sisyphus openssl unstable all Linux CLOSED FIXED P2 normal --- 15316 1 sin glebfm glebfm qa-sisyphus oldest_to_newest 66764 0 sin 2008-03-26 23:59:45 +0300 Возникла необходимость воспользоваться rfc2712, хотелось бы получить openssl с поддержкой krb5=MIT. Успешного результата сборки можно добиться путём включения опции в ./Configure. Пример спека здесь: http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=summary 71637 1 sin 2008-06-12 20:15:39 +0400 У меня в гите можно найти сборку openssl-0.9.8g с нужной фичей... Буду счастлив увидеть её в сизифе... 73833 2 sin 2008-07-09 14:17:14 +0400 Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с опцией: --with-krb5-flavor=MIT Необходимый набор изменений можно найти здесь: http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6 При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5, /usr/lib/krb5/plugins/preauth/pkinit.so, слинкован с libcrypto.so.X из libsslX. Например: $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000) Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в свою очередь, слинкован с этим libkrb5. 73868 3 ldv 2008-07-10 02:16:01 +0400 (In reply to comment #2) > Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом > деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с > опцией: > --with-krb5-flavor=MIT > Необходимый набор изменений можно найти здесь: > http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6 Честно говоря, я не знаю, действительно ли нужно включать это. Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки, окажется в памяти у всех использующих libssl. Чтобы заплатить эту цену, нужно понимать, за что. > При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5, > /usr/lib/krb5/plugins/preauth/pkinit.so, > слинкован с libcrypto.so.X из libsslX. Например: > $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto > libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000) > Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в > свою очередь, слинкован с этим libkrb5. Спасибо, буду иметь в виду. 73884 4 sin 2008-07-10 12:37:02 +0400 (In reply to comment #3) > Честно говоря, я не знаю, действительно ли нужно включать это. > Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки, > окажется в памяти у всех использующих libssl. > Чтобы заплатить эту цену, нужно понимать, за что. > Да, момент понятен... Но в нашем случае выбор не велик, оно нам необходимо, что называется, by design. Очевидным выходом вижу содержание иной сборки в отдельном репозитории, как сейчас. Второй вариант типичен для спорных альтернатив - альтернативы... Но как ими лучше воспользоваться... Важно, на этом этапе, уточнить вопрос о бинарной совместимости разных сборок одного и того же openssl с поддержкой kerberos и без неё... Сама же цена этого вопроса - возможность получения шифрованного потока с прозрачной аутентификацией... То есть открывается на той стороне поток и уже известно, кто его открыл... На этом собственно сейчас и построена безопасность удалённого администрирования сетевых сервисов в проекте Tartarus. 77830 5 sin 2008-09-16 09:55:28 +0400 openssl+kerberos собран в сизиф и оттестирован.