Возникла необходимость воспользоваться rfc2712, хотелось бы получить openssl с поддержкой krb5=MIT. Успешного результата сборки можно добиться путём включения опции в ./Configure. Пример спека здесь: http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=summary
У меня в гите можно найти сборку openssl-0.9.8g с нужной фичей... Буду счастлив увидеть её в сизифе...
Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с опцией: --with-krb5-flavor=MIT Необходимый набор изменений можно найти здесь: http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6 При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5, /usr/lib/krb5/plugins/preauth/pkinit.so, слинкован с libcrypto.so.X из libsslX. Например: $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000) Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в свою очередь, слинкован с этим libkrb5.
(In reply to comment #2) > Не знаю уже стоит ли мне надеяться на разрешение этого вопроса. На самом > деле не обязательно класть libssl7, достаточно пересобрать текущий вариант с > опцией: > --with-krb5-flavor=MIT > Необходимый набор изменений можно найти здесь: > http://git.altlinux.org/people/sin/packages/?p=openssl.git;a=shortlog;h=refs/heads/libssl6 Честно говоря, я не знаю, действительно ли нужно включать это. Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки, окажется в памяти у всех использующих libssl. Чтобы заплатить эту цену, нужно понимать, за что. > При пересборке же с libssl7 стоит учесть, что один из плагинов в libkrb5, > /usr/lib/krb5/plugins/preauth/pkinit.so, > слинкован с libcrypto.so.X из libsslX. Например: > $ ldd /usr/lib/krb5/plugins/preauth/pkinit.so|grep libcrypto > libcrypto.so.6 => /lib/libcrypto.so.6 (0xb7cde000) > Так что может получится, что один из плагинов libkrb5 слинкован с libssl6, а libssl7, в > свою очередь, слинкован с этим libkrb5. Спасибо, буду иметь в виду.
(In reply to comment #3) > Честно говоря, я не знаю, действительно ли нужно включать это. > Всё же дополнительная библиотека, которая тащит за собой ещё 4 библиотеки, > окажется в памяти у всех использующих libssl. > Чтобы заплатить эту цену, нужно понимать, за что. > Да, момент понятен... Но в нашем случае выбор не велик, оно нам необходимо, что называется, by design. Очевидным выходом вижу содержание иной сборки в отдельном репозитории, как сейчас. Второй вариант типичен для спорных альтернатив - альтернативы... Но как ими лучше воспользоваться... Важно, на этом этапе, уточнить вопрос о бинарной совместимости разных сборок одного и того же openssl с поддержкой kerberos и без неё... Сама же цена этого вопроса - возможность получения шифрованного потока с прозрачной аутентификацией... То есть открывается на той стороне поток и уже известно, кто его открыл... На этом собственно сейчас и построена безопасность удалённого администрирования сетевых сервисов в проекте Tartarus.
openssl+kerberos собран в сизиф и оттестирован.