Bug 15105 - Opennssl with MIT Kerberos 5 support
: Opennssl with MIT Kerberos 5 support
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/openssl)
: unstable
: all Linux
: P2 normal
Assigned To:
:
:
:
: 15316
:
  Show dependency tree
 
Reported: 2008-03-26 23:59 by
Modified: 2008-09-16 09:55 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2008-03-26 23:59:45
Возникла необходимость воспользоваться rfc2712, хотелось бы получить openssl с
поддержкой krb5=MIT. Успешного результата сборки можно добиться путём включения
опции в ./Configure.
Пример спека здесь:
http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=summary
------- Comment #1 From 2008-06-12 20:15:39 -------
У меня в гите можно найти сборку openssl-0.9.8g с нужной фичей... Буду счастлив
увидеть её в сизифе...
------- Comment #2 From 2008-07-09 14:17:14 -------
Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом деле
не обязательно класть libssl7, достаточно пересобрать текущий вариант с опцией:
--with-krb5-flavor=MIT
Необходимый набор изменений можно найти здесь:
http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6

При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5,
/usr/lib/krb5/plugins/preauth/pkinit.so,
слинкован с libcrypto.so.X из libsslX. Например:
$ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto
        libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000)
Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а
libssl7, в свою очередь, слинкован с этим libkrb5.
------- Comment #3 From 2008-07-10 02:16:01 -------
(In reply to comment #2)
> Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом
> деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с
> опцией:
> --with-krb5-flavor=MIT
> Необходимый набор изменений можно найти здесь:
> http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6

Честно говоря, я не знаю, действительно ли нужно включать это.
Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки,
окажется в памяти у всех использующих libssl.
Чтобы заплатить эту цену, нужно понимать, за что.

> При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5,
> /usr/lib/krb5/plugins/preauth/pkinit.so,
> слинкован с libcrypto.so.X из libsslX. Например:
> $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto
>         libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000)
> Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в
> свою очередь, слинкован с этим libkrb5.

Спасибо, буду иметь в виду.
------- Comment #4 From 2008-07-10 12:37:02 -------
(In reply to comment #3)
> Честно говоря, я не знаю, действительно ли нужно включать это.
> Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки,
> окажется в памяти у всех использующих libssl.
> Чтобы заплатить эту цену, нужно понимать, за что.
> 

Да, момент понятен... Но в нашем случае выбор не велик, оно нам необходимо, что
называется, by design. Очевидным выходом вижу содержание иной сборки в
отдельном репозитории, как сейчас. Второй вариант типичен для спорных
альтернатив - альтернативы... Но как ими лучше воспользоваться... Важно, на
этом этапе, уточнить вопрос о бинарной совместимости разных сборок одного и
того же openssl с поддержкой kerberos и без неё...

Сама же цена этого вопроса - возможность получения шифрованного потока с
прозрачной аутентификацией... То есть открывается на той стороне поток и уже
известно, кто его открыл... На этом собственно сейчас и построена безопасность
удалённого администрирования сетевых сервисов в проекте Tartarus.
------- Comment #5 From 2008-09-16 09:55:28 -------
openssl+kerberos собран в сизиф и оттестирован.