ALT Linux Team development discussions
 help / color / mirror / Atom feed
From: Alexander Bokovoy <ab@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Обновление до krb5-1.15.1
Date: Wed, 13 Sep 2017 00:09:17 +0300
Message-ID: <CAG0OwAGcenNE8sW5XeQZeuTp_2nqj0dnS+PCYajaO=o3k3mt4Q@mail.gmail.com> (raw)
In-Reply-To: <CAK42-GrKA6-uE-U3xuwvie=pwMvh65yMgK9L8qv-LV409qV7og@mail.gmail.com>

On Tue, Sep 12, 2017 at 4:39 PM, Evgeny Sinelnikov <sin@altlinux.org> wrote:
> Здравствуйте,
>
> я заметил целый ряд новых патчей и пока не понял какие из них нам нужны.
>
> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-KDC-policy-pluggable-interface.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-timestamp-helper-functions.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-timestamp-tests.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-y2038-documentation.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Allow-clock-skew-in-krb5-gss_context_time.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Fix-bugs-in-kdcpolicy-commit.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Fix-in_clock_skew-and-use-it-in-AS-client-code.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Make-timestamp-manipulations-y2038-safe.patch
> fedora-Add-KDC-policy-pluggable-interface/fedora-Use-krb5_timestamp-where-appropriate.patch
>
> Make-certauth-eku-module-restrictive-only/fedora-Add-hostname-based-ccselect-module.patch
> Make-certauth-eku-module-restrictive-only/fedora-Add-PKINIT-test-case-for-generic-client-cert.patch
> Make-certauth-eku-module-restrictive-only/fedora-Add-test-cert-with-no-extensions.patch
> Make-certauth-eku-module-restrictive-only/fedora-Convert-some-pkiDebug-messages-to-TRACE-macros.patch
> Make-certauth-eku-module-restrictive-only/fedora-Fix-certauth-built-in-module-returns.patch
>
> fedora-Add-support-to-query-the-SSF-of-a-GSS-context.patch
> fedora-Preserve-GSS-context-on-init-accept-failure.patch
> fedora-Prevent-KDC-unset-status-assertion-failures.patch
> fedora-Remove-incomplete-PKINIT-OCSP-support.patch
>
> В них имеется исправление CVE-2017-11368, которое судя по всем нас не
> затрагивает (в этом я пока не разобрался) и KDC policy pluggable
> interface, который непонятно нужен ли нам. Его и дальше придётся
> тянуть из апстримного гита и патчей федоры.
Я думаю, что мы можем обсудить это в Калуге.

>>> - до начала теста (1 - для r1, 2 - для r2)
>>> - сразу после kinit (3 - для r1, 4 - для r2)
>> Спасибо. Я поговорю сегодня с Робби (мейнтейнер krb5 в Федоре).
>
> Я так и не понял чем здесь всё решилось. Вопрос, изначально, ставился так:
>
>>> При работе с ccache collection код использует тот реалм, который
>>> указан в имени принципала. Если он там отсутствует, то применяется
>>> тот, который указан в качестве умолчания в krb5.conf.
>>>
>>> Далее, если в krb5.conf есть dns_canonicalize_hostname=true, то
>>> localhost будет разрешен через getaddrinfo() и превратится в
>>> localhost.localdomain.
>>> Поскольку реалм не указан и прямого соответствия в domain_realm секции
>>> krb5.conf нет, то используется реалм по умолчанию.
>
> Хотя в коде указано так:
>
>     retval = get_boolean(ctx, KRB5_CONF_DNS_CANONICALIZE_HOSTNAME, 1, &tmp);
>     if (retval)
>         goto cleanup;
>     ctx->dns_canonicalize_hostname = tmp;
>
> То есть dns_canonicalize_hostname=true, по умолчанию, получается.
Я поговорил с Робби и он сказал, что многие тесты при сборке не
запускаются. Это один из них. Связано это с тем, что в сборочной среде
они не проходят, требуют больше, чем получается предоставить.
У меня, например, при сборке в COPR недоступны хранение сессионных
ключей в ядре (keyctl session, etc), поэтому приходится и вовсе
отключать make check.

> Я так понял, что в федоре решили вопрос так:
>
> commit ccd78d8ee908015ca558e7428c27151cb1af5579
> Author: Robbie Harwood <rharwood@redhat.com>
> Date:   Wed Aug 2 17:02:46 2017 +0000
>
>     Disable dns_canonicalize_hostname.  This may break some setups.
>
Это другое. К сожалению, развязать использование CNAME и
каноникализацию в рамках текущего кода в krb5 нельзя. Выключение
каноникализации поломало целый ряд конфигураций, где сервисы были
выписаны на реальные машины, а пользователи обращались к ресурсам,
которые представляют собой CNAME к этим машинам. Например,
www.example.com, где www.example.com -- CNAME для A-записи
some.host.example.net. То есть, реальное имя сервиса --
HTTP/some.host.example.net.

Порешили, что поправим каноникализацию так, чтобы CNAME резолвить
можно было, а остальное -- нет.

-- 
/ Alexander Bokovoy

  reply	other threads:[~2017-09-12 21:09 UTC|newest]

Thread overview: 18+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2017-07-14 18:47 Evgeny Sinelnikov
2017-07-17 12:49 ` Alexander Bokovoy
2017-08-20  3:20   ` Evgeny Sinelnikov
2017-08-20  5:08     ` Alexander Bokovoy
2017-08-20 10:16       ` Evgeny Sinelnikov
2017-08-20 10:24         ` Evgeny Sinelnikov
2017-08-20 11:46           ` Dmitry V. Levin
2017-08-20 15:19         ` Alexander Bokovoy
2017-08-20 21:27           ` Evgeny Sinelnikov
2017-08-21  4:53             ` Alexander Bokovoy
2017-08-22  6:18               ` Evgeny Sinelnikov
2017-08-22  6:59                 ` Alexander Bokovoy
2017-09-12 13:39                   ` Evgeny Sinelnikov
2017-09-12 21:09                     ` Alexander Bokovoy [this message]
2017-09-12 21:22                       ` Dmitry V. Levin
2017-09-12 21:45                         ` Alexander Bokovoy
2017-09-13  0:24                       ` Evgeny Sinelnikov
2017-09-13  5:51                         ` Alexander Bokovoy

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to='CAG0OwAGcenNE8sW5XeQZeuTp_2nqj0dnS+PCYajaO=o3k3mt4Q@mail.gmail.com' \
    --to=ab@altlinux.org \
    --cc=devel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git