Summary: | Opennssl with MIT Kerberos 5 support | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Evgeny Sinelnikov <sin> |
Component: | openssl | Assignee: | Gleb F-Malinovskiy <glebfm> |
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P2 | CC: | glebfm |
Version: | unstable | ||
Hardware: | all | ||
OS: | Linux | ||
Bug Depends on: | 15316 | ||
Bug Blocks: |
Description
Evgeny Sinelnikov
2008-03-26 23:59:45 MSK
У меня в гите можно найти сборку openssl-0.9.8g с нужной фичей... Буду счастлив увидеть её в сизифе... Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с опцией: --with-krb5-flavor=MIT Необходимый набор изменений можно найти здесь: http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6 При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5, /usr/lib/krb5/plugins/preauth/pkinit.so, слинкован с libcrypto.so.X из libsslX. Например: $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000) Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в свою очередь, слинкован с этим libkrb5. (In reply to comment #2) > Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом > деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с > опцией: > --with-krb5-flavor=MIT > Необходимый набор изменений можно найти здесь: > http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6 Честно говоря, я не знаю, действительно ли нужно включать это. Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки, окажется в памяти у всех использующих libssl. Чтобы заплатить эту цену, нужно понимать, за что. > При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5, > /usr/lib/krb5/plugins/preauth/pkinit.so, > слинкован с libcrypto.so.X из libsslX. Например: > $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto > libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000) > Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в > свою очередь, слинкован с этим libkrb5. Спасибо, буду иметь в виду. (In reply to comment #3) > Честно говоря, я не знаю, действительно ли нужно включать это. > Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки, > окажется в памяти у всех использующих libssl. > Чтобы заплатить эту цену, нужно понимать, за что. > Да, момент понятен... Но в нашем случае выбор не велик, оно нам необходимо, что называется, by design. Очевидным выходом вижу содержание иной сборки в отдельном репозитории, как сейчас. Второй вариант типичен для спорных альтернатив - альтернативы... Но как ими лучше воспользоваться... Важно, на этом этапе, уточнить вопрос о бинарной совместимости разных сборок одного и того же openssl с поддержкой kerberos и без неё... Сама же цена этого вопроса - возможность получения шифрованного потока с прозрачной аутентификацией... То есть открывается на той стороне поток и уже известно, кто его открыл... На этом собственно сейчас и построена безопасность удалённого администрирования сетевых сервисов в проекте Tartarus. openssl+kerberos собран в сизиф и оттестирован. |