18183 2008-12-10 22:39:03 +0300 Добавить поддержку kerberos5 в openssh 2009-04-24 22:57:54 +0400 1 1 4 Development Sisyphus openssh unstable all Linux CLOSED FIXED http://www.openssh.com/features.html P2 normal --- 17727 1 sin glebfm boris glebfm iv ldv vt qa-sisyphus oldest_to_newest 82605 0 sin 2008-12-10 22:39:03 +0300 Для прозрачной аутентификации в kerberos при работе ssh необходимо включить соответствующую поддержку в текущую сборку openssh. Необходимый минимальный набор изменений доступен у меня в git: http://git.altlinux.org/people/sin/packages/openssh.git Работоспособность пакета после пересборки с параметром '--with-kerberos5=/usr' проверена. 82636 1 ldv 2008-12-11 15:22:02 +0300 Надо изучить, что изменяется внутри openssh при включении этого параметра... 82716 2 sin 2008-12-15 03:52:35 +0300 Привожу сравнение пакетов: [sin@server openssh]$ ls /home/sin/hasher/repo/i586/RPMS.hasher/*openssh*5.1p1* /home/sin/hasher/repo/i586/RPMS.hasher/openssh-5.1p1-alt2.1.i586.rpm /home/sin/hasher/repo/i586/RPMS.hasher/openssh-askpass-common-5.1p1-alt2.1.noarch.rpm /home/sin/hasher/repo/i586/RPMS.hasher/openssh-clients-5.1p1-alt2.1.i586.rpm /home/sin/hasher/repo/i586/RPMS.hasher/openssh-keysign-5.1p1-alt2.1.i586.rpm /home/sin/hasher/repo/i586/RPMS.hasher/openssh-server-5.1p1-alt2.1.i586.rpm [sin@server openssh]$ ls /var/ftp/pub/ALTLinux/Sisyphus/{i586,noarch}/RPMS.classic/*openssh*5.1p1* /var/ftp/pub/ALTLinux/Sisyphus/i586/RPMS.classic/openssh-5.1p1-alt2.i586.rpm /var/ftp/pub/ALTLinux/Sisyphus/i586/RPMS.classic/openssh-clients-5.1p1-alt2.i586.rpm /var/ftp/pub/ALTLinux/Sisyphus/i586/RPMS.classic/openssh-keysign-5.1p1-alt2.i586.rpm /var/ftp/pub/ALTLinux/Sisyphus/i586/RPMS.classic/openssh-server-5.1p1-alt2.i586.rpm /var/ftp/pub/ALTLinux/Sisyphus/noarch/RPMS.classic/openssh-askpass-common-5.1p1-alt2.noarch.rpm [sin@server openssh]$ compare_packages -a -R -- /var/ftp/pub/ALTLinux/Sisyphus/{i586,noarch}/RPMS.classic/*openssh*5.1p1* -- /home/sin/hasher/repo/i586/RPMS.hasher/*openssh*5.1p1* | cat --- /tmp/.private/sin/compare_packages.mc1b5u8PFX/1 2008-12-15 03:48:28 +0300 +++ /tmp/.private/sin/compare_packages.mc1b5u8PFX/2 2008-12-15 03:48:28 +0300 @@ -40,9 +40,12 @@ libc.so.6(GLIBC_2.3.4) libc.so.6(GLIBC_2.4) libc.so.6(GLIBC_2.8) +libcom_err.so.2 libcrypt.so.1(GLIBC_2.0) libcrypto.so.7 libedit.so.0 +libgssapi_krb5.so.2(gssapi_krb5_2_MIT) +libkrb5.so.3(krb5_3_MIT) libpam(include) libpam.so.0(LIBPAM_1.0) libpam_userpass.so.1 @@ -51,8 +54,8 @@ libutil.so.1(GLIBC_2.0) libwrap.so.0 libz.so.1 -openssh = 5.1p1-alt2 -openssh-clients = 5.1p1-alt2 +openssh = 5.1p1-alt2.1 +openssh-clients = 5.1p1-alt2.1 pam0(system-auth) pam0(system-auth-use_first_pass) rpmlib(CompressedFileNames) <= 3.0.4-1 Других формальных сравнений пока придумать не могу. Какие сравнения нужно провести? 82717 3 ldv 2008-12-15 03:54:22 +0300 (In reply to comment #2) > Других формальных сравнений пока придумать не могу. Какие сравнения нужно > провести? Это мне нужно провести... 89016 4 sin 2009-04-09 14:49:34 +0400 Эту сборку давно хотелось бы видеть в Сизифе... И в бранче 5.0 тоже хотелось бы видеть... Я объединил новый релиз openssh со своими правками в git. 89239 5 repository-robot 2009-04-12 03:53:05 +0400 openssh-5.2p1-alt2 -> sisyphus: * Sun Apr 12 2009 Dmitry V. Levin <ldv@altlinux> 5.2p1-alt2 - Enabled kerberos support (Evgeny Sinelnikov; closes: #18183). 90067 6 sin 2009-04-24 22:57:54 +0400 С пользователями, присутствующими в /etc/passwd прозрачная аутентификация работает. Но с сетевыми есть проблема: [mastersin@valhalla ~]$ klist Ticket cache: FILE:/tmp/krb5cc_503 Default principal: mastersin@SARATOV.ETERSOFT.RU Valid starting Expires Service principal 04/24/09 22:42:30 04/25/09 08:43:17 krbtgt/SARATOV.ETERSOFT.RU@SARATOV.ETERSOFT.RU renew until 04/24/09 22:42:30 04/24/09 22:42:40 04/25/09 08:43:17 host/server.saratov.etersoft.ru@SARATOV.ETERSOFT.RU renew until 04/24/09 22:42:30 [mastersin@valhalla ~]$ ssh server Connection closed by 192.168.33.1 [root@server ~]# tail /var/log/messages ...... Apr 24 22:51:32 server sshd[11352]: Connection from 192.168.33.5 port 38963 Apr 24 22:51:33 server sshd[11352]: Failed none for mastersin from 192.168.33.5 port 38963 ssh2 Apr 24 22:51:33 server sshd[11355]: Postponed gssapi-with-mic for mastersin from 192.168.33.5 port 38963 ssh2 Apr 24 22:51:33 server sshd[11352]: Authorized to mastersin, krb5 principal mastersin@SARATOV.ETERSOFT.RU (krb5_kuserok) Apr 24 22:51:33 server sshd[11352]: Failed gssapi-with-mic for mastersin from 192.168.33.5 port 38963 ssh2 Apr 24 22:51:33 server sshd[11355]: fatal: Access denied for user mastersin by PAM account configuration В параметрах ssh_config клиента включено: GSSAPIAuthentication yes В параметрах sshd_config сервера включено: GSSAPIAuthentication yes GSSAPICleanupCredentials yes При подключении в DEBUG режиме можно увидеть, что проблема в вызове pam_acct_mgmt() из auth-pam.c: do_pam_account() Но, видимо это тема отдельного бага...