Bug 30614

Summary: pkcs11 support
Product: Sisyphus Reporter: Alexey Shabalin <shaba>
Component: openvpnAssignee: Nikolay A. Fetisov <naf>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: asy, cas, kiber_pank4, mike, naf, rider, viy
Version: unstable   
Hardware: all   
OS: Linux   

Description Alexey Shabalin 2014-12-29 16:31:59 MSK
С грустью обнаружил, что наш openvpn не поддерживает смарткарты.
Прошу добавить поддержку pkcs11.
У нас не выдают сертификаты в файликах на руки, только аппаратные хранилища.
Comment 1 Repository Robot 2015-01-17 16:28:20 MSK
openvpn-2.3.6-alt1 -> sisyphus:

* Thu Jan 15 2015 Nikolay A. Fetisov <naf@altlinux> 2.3.6-alt1
- New version 2.3.6
- CVE-2014-8104 (Closes: 30529)
- Adding pkcs11 support (Closes: 30614)
- Adding systemd service files (Closes: 28071)
Comment 2 Yar4e 2016-07-12 15:54:19 MSK
Запрос так и не был реализован.. Соберите пожалуйста тот-же пакет с включённым pkcs11 для P7. Или поддержка P7 уже окончена и нужно собирать самому? Как оно в P8 - не проверял.

# openvpn --show-pkcs11-ids /home/yar4e/librtpkcs11ecp.so
Options error: Unrecognized option or missing parameter(s) in [CMD-LINE]:1: show-pkcs11-ids (2.3.6)
Use --help for more information.
# openvpn --version
OpenVPN 2.3.6 i586-alt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 17 2015
library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.06
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dependency_tracking=no enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_http_proxy=yes enable_iproute2=yes enable_libtool_lock=yes enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_password_save=yes enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=yes with_crypto_library=openssl with_gnu_ld=yes with_included_gettext=no with_iproute_path=/sbin/ip with_mem_check=no with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no
Comment 3 Nikolay A. Fetisov 2016-07-13 09:57:14 MSK
Для поддержки pkcsS11 требуется pkcs11-helper >= 1.11
В M70T - pkcs11-helper 1.08, соответственно, собрать невозможно.
Просите обновить pkcs11-helper, если оно необходимо именно на M70T.

В Sisyphus/p8 - libpkcs11-helper 1.12.0, и там поддержка pkcs11 включена.
Comment 4 Sergey Y. Afonin 2016-07-14 09:14:43 MSK
А wontfix-то почему, если Adding pkcs11 support (Closes: 30614) ? Баг-то на Сизифе. Это вот если копию на p7 или t7 повесить, то там wontfix актуально будет.
Comment 5 Yar4e 2016-07-14 09:26:58 MSK
В итоге, пересобрать пакеты openvpn и pkcs11-helper в P7 из Сизифа оказалось делом 5 минут, так что да, selffixed. Но тот факт, что за 1.5 года никто не отписал о проблеме - крутейшая статистика по использованию смарт карт пользователями Alt Linux :)
Comment 6 Anton Farygin 2016-07-14 09:33:12 MSK
Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.

Андрей, портируй пожалуйста изменения в p7, это очень важно.
Comment 7 Andrey Cherepanov 2016-07-14 18:39:31 MSK
(В ответ на комментарий №6)
> Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.
> 
> Андрей, портируй пожалуйста изменения в p7, это очень важно.
Переносить 2.3.7-alt1?
Comment 8 Anton Farygin 2016-07-15 09:41:17 MSK
(In reply to comment #7)
> (В ответ на комментарий №6)
> > Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.
> > 
> > Андрей, портируй пожалуйста изменения в p7, это очень важно.
> Переносить 2.3.7-alt1?

не вижу препятствий.
Comment 9 Andrey Cherepanov 2016-07-15 15:05:37 MSK
(В ответ на комментарий №8)
> (In reply to comment #7)
> > (В ответ на комментарий №6)
> > > Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.
> > > 
> > > Андрей, портируй пожалуйста изменения в p7, это очень важно.
> > Переносить 2.3.7-alt1?
> 
> не вижу препятствий.
#167046 BUILDING #1 [locked] p7 libpkcs11-helper.git=1.12.0-alt1.M70P.1.git20140427 openvpn.git=2.3.7-alt0.M70P.1
Comment 10 Sergey Y. Afonin 2016-07-19 11:40:04 MSK
(In reply to comment #9)

> > не вижу препятствий.

> #167046 BUILDING #1 [locked] p7
> libpkcs11-helper.git=1.12.0-alt1.M70P.1.git20140427
> openvpn.git=2.3.7-alt0.M70P.1

Только образовалось некоторое несоответствие с t7 сейчас. libpkcs11-helper надо скопировать в t7. Я так понимаю, что появление нового пакета не отслеживается. openvpn скопировать не получится, так как в t7 уже сейчас версия 2.3.7-alt0.M70T.1. Но эта проблема разрулится сама собой, если openvpn обновить до 2.3.11, а, потом, в p7 сбакпортировать. Кстати, может и libpkcs11-helper по зависимости в задание на копирование попадёт тогда ?
Comment 11 Yar4e 2016-07-21 16:13:15 MSK
libpkcs11-helper 1.12.0 на месте, openvpn пересобрали, но вновь без поддержки pkcs11 :)

openvpn --version
OpenVPN 2.3.7 x86_64-alt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 15 2016
library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.06
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dependency_tracking=no enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_http_proxy=yes enable_iproute2=yes enable_libtool_lock=yes enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_password_save=yes enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=yes with_crypto_library=openssl with_gnu_ld=yes with_included_gettext=no with_iproute_path=/sbin/ip with_mem_check=no with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no
Comment 12 Andrey Cherepanov 2016-07-21 16:19:51 MSK
Криво смержилось. Исправил, отправил на сборку openvpn-2.3.7-alt0.M70P.2