Bug 30614 - pkcs11 support
: pkcs11 support
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/openvpn)
: unstable
: all Linux
: P3 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2014-12-29 16:31 by
Modified: 2016-07-21 16:19 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2014-12-29 16:31:59
С грустью обнаружил, что наш openvpn не поддерживает смарткарты.
Прошу добавить поддержку pkcs11.
У нас не выдают сертификаты в файликах на руки, только аппаратные хранилища.
------- Comment #1 From 2015-01-17 16:28:20 -------
openvpn-2.3.6-alt1 -> sisyphus:

* Thu Jan 15 2015 Nikolay A. Fetisov <naf@altlinux> 2.3.6-alt1
- New version 2.3.6
- CVE-2014-8104 (Closes: 30529)
- Adding pkcs11 support (Closes: 30614)
- Adding systemd service files (Closes: 28071)
------- Comment #2 From 2016-07-12 15:54:19 -------
Запрос так и не был реализован.. Соберите пожалуйста тот-же пакет с включённым
pkcs11 для P7. Или поддержка P7 уже окончена и нужно собирать самому? Как оно в
P8 - не проверял.

# openvpn --show-pkcs11-ids /home/yar4e/librtpkcs11ecp.so
Options error: Unrecognized option or missing parameter(s) in [CMD-LINE]:1:
show-pkcs11-ids (2.3.6)
Use --help for more information.
# openvpn --version
OpenVPN 2.3.6 i586-alt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6]
built on Jan 17 2015
library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.06
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_crypto=yes enable_crypto_ofb_cfb=yes
enable_debug=yes enable_def_auth=yes enable_dependency_tracking=no
enable_dlopen=unknown enable_dlopen_self=unknown
enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes
enable_http_proxy=yes enable_iproute2=yes enable_libtool_lock=yes
enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes
enable_multihome=yes enable_pam_dlopen=no enable_password_save=yes
enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes
enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes
enable_selinux=no enable_server=yes enable_shared=yes
enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes
enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no
enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=yes
with_crypto_library=openssl with_gnu_ld=yes with_included_gettext=no
with_iproute_path=/sbin/ip with_mem_check=no
with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no
------- Comment #3 From 2016-07-13 09:57:14 -------
Для поддержки pkcsS11 требуется pkcs11-helper >= 1.11
В M70T - pkcs11-helper 1.08, соответственно, собрать невозможно.
Просите обновить pkcs11-helper, если оно необходимо именно на M70T.

В Sisyphus/p8 - libpkcs11-helper 1.12.0, и там поддержка pkcs11 включена.
------- Comment #4 From 2016-07-14 09:14:43 -------
А wontfix-то почему, если Adding pkcs11 support (Closes: 30614) ? Баг-то на
Сизифе. Это вот если копию на p7 или t7 повесить, то там wontfix актуально
будет.
------- Comment #5 From 2016-07-14 09:26:58 -------
В итоге, пересобрать пакеты openvpn и pkcs11-helper в P7 из Сизифа оказалось
делом 5 минут, так что да, selffixed. Но тот факт, что за 1.5 года никто не
отписал о проблеме - крутейшая статистика по использованию смарт карт
пользователями Alt Linux :)
------- Comment #6 From 2016-07-14 09:33:12 -------
Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.

Андрей, портируй пожалуйста изменения в p7, это очень важно.
------- Comment #7 From 2016-07-14 18:39:31 -------
(В ответ на комментарий №6)
> Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.
> 
> Андрей, портируй пожалуйста изменения в p7, это очень важно.
Переносить 2.3.7-alt1?
------- Comment #8 From 2016-07-15 09:41:17 -------
(In reply to comment #7)
> (В ответ на комментарий №6)
> > Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.
> > 
> > Андрей, портируй пожалуйста изменения в p7, это очень важно.
> Переносить 2.3.7-alt1?

не вижу препятствий.
------- Comment #9 From 2016-07-15 15:05:37 -------
(В ответ на комментарий №8)
> (In reply to comment #7)
> > (В ответ на комментарий №6)
> > > Ошибка зарегистрирована на Sisyphus, нужно точно такую же повесить на P7.
> > > 
> > > Андрей, портируй пожалуйста изменения в p7, это очень важно.
> > Переносить 2.3.7-alt1?
> 
> не вижу препятствий.
#167046 BUILDING #1 [locked] p7
libpkcs11-helper.git=1.12.0-alt1.M70P.1.git20140427
openvpn.git=2.3.7-alt0.M70P.1
------- Comment #10 From 2016-07-19 11:40:04 -------
(In reply to comment #9)

> > не вижу препятствий.

> #167046 BUILDING #1 [locked] p7
> libpkcs11-helper.git=1.12.0-alt1.M70P.1.git20140427
> openvpn.git=2.3.7-alt0.M70P.1

Только образовалось некоторое несоответствие с t7 сейчас. libpkcs11-helper надо
скопировать в t7. Я так понимаю, что появление нового пакета не отслеживается.
openvpn скопировать не получится, так как в t7 уже сейчас версия
2.3.7-alt0.M70T.1. Но эта проблема разрулится сама собой, если openvpn обновить
до 2.3.11, а, потом, в p7 сбакпортировать. Кстати, может и libpkcs11-helper по
зависимости в задание на копирование попадёт тогда ?
------- Comment #11 From 2016-07-21 16:13:15 -------
libpkcs11-helper 1.12.0 на месте, openvpn пересобрали, но вновь без поддержки
pkcs11 :)

openvpn --version
OpenVPN 2.3.7 x86_64-alt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6]
built on Jul 15 2016
library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.06
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_crypto=yes enable_crypto_ofb_cfb=yes
enable_debug=yes enable_def_auth=yes enable_dependency_tracking=no
enable_dlopen=unknown enable_dlopen_self=unknown
enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes
enable_http_proxy=yes enable_iproute2=yes enable_libtool_lock=yes
enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes
enable_multihome=yes enable_pam_dlopen=no enable_password_save=yes
enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes
enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes
enable_selinux=no enable_server=yes enable_shared=yes
enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes
enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no
enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=yes
with_crypto_library=openssl with_gnu_ld=yes with_included_gettext=no
with_iproute_path=/sbin/ip with_mem_check=no
with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no
------- Comment #12 From 2016-07-21 16:19:51 -------
Криво смержилось. Исправил, отправил на сборку openvpn-2.3.7-alt0.M70P.2