From: Evgeny Sinelnikov <sin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Обновление до krb5-1.15.1
Date: Wed, 13 Sep 2017 04:24:23 +0400
Message-ID: <CAK42-GqqrQxmhHbrcAZL_K1OwkxA5E9MzgJiVc4mUQhis6rk9w@mail.gmail.com> (raw)
In-Reply-To: <CAG0OwAGcenNE8sW5XeQZeuTp_2nqj0dnS+PCYajaO=o3k3mt4Q@mail.gmail.com>
13 сентября 2017 г., 1:09 пользователь Alexander Bokovoy
<ab@altlinux.org> написал:
> On Tue, Sep 12, 2017 at 4:39 PM, Evgeny Sinelnikov <sin@altlinux.org> wrote:
>> Здравствуйте,
>>
>> я заметил целый ряд новых патчей и пока не понял какие из них нам нужны.
>>
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-KDC-policy-pluggable-interface.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-timestamp-helper-functions.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-timestamp-tests.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Add-y2038-documentation.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Allow-clock-skew-in-krb5-gss_context_time.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Fix-bugs-in-kdcpolicy-commit.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Fix-in_clock_skew-and-use-it-in-AS-client-code.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Make-timestamp-manipulations-y2038-safe.patch
>> fedora-Add-KDC-policy-pluggable-interface/fedora-Use-krb5_timestamp-where-appropriate.patch
>>
>> Make-certauth-eku-module-restrictive-only/fedora-Add-hostname-based-ccselect-module.patch
>> Make-certauth-eku-module-restrictive-only/fedora-Add-PKINIT-test-case-for-generic-client-cert.patch
>> Make-certauth-eku-module-restrictive-only/fedora-Add-test-cert-with-no-extensions.patch
>> Make-certauth-eku-module-restrictive-only/fedora-Convert-some-pkiDebug-messages-to-TRACE-macros.patch
>> Make-certauth-eku-module-restrictive-only/fedora-Fix-certauth-built-in-module-returns.patch
>>
>> fedora-Add-support-to-query-the-SSF-of-a-GSS-context.patch
>> fedora-Preserve-GSS-context-on-init-accept-failure.patch
>> fedora-Prevent-KDC-unset-status-assertion-failures.patch
>> fedora-Remove-incomplete-PKINIT-OCSP-support.patch
>>
>> В них имеется исправление CVE-2017-11368, которое судя по всем нас не
>> затрагивает (в этом я пока не разобрался) и KDC policy pluggable
>> interface, который непонятно нужен ли нам. Его и дальше придётся
>> тянуть из апстримного гита и патчей федоры.
> Я думаю, что мы можем обсудить это в Калуге.
>
>>>> - до начала теста (1 - для r1, 2 - для r2)
>>>> - сразу после kinit (3 - для r1, 4 - для r2)
>>> Спасибо. Я поговорю сегодня с Робби (мейнтейнер krb5 в Федоре).
>>
>> Я так и не понял чем здесь всё решилось. Вопрос, изначально, ставился так:
>>
>>>> При работе с ccache collection код использует тот реалм, который
>>>> указан в имени принципала. Если он там отсутствует, то применяется
>>>> тот, который указан в качестве умолчания в krb5.conf.
>>>>
>>>> Далее, если в krb5.conf есть dns_canonicalize_hostname=true, то
>>>> localhost будет разрешен через getaddrinfo() и превратится в
>>>> localhost.localdomain.
>>>> Поскольку реалм не указан и прямого соответствия в domain_realm секции
>>>> krb5.conf нет, то используется реалм по умолчанию.
>>
>> Хотя в коде указано так:
>>
>> retval = get_boolean(ctx, KRB5_CONF_DNS_CANONICALIZE_HOSTNAME, 1, &tmp);
>> if (retval)
>> goto cleanup;
>> ctx->dns_canonicalize_hostname = tmp;
>>
>> То есть dns_canonicalize_hostname=true, по умолчанию, получается.
> Я поговорил с Робби и он сказал, что многие тесты при сборке не
> запускаются. Это один из них. Связано это с тем, что в сборочной среде
> они не проходят, требуют больше, чем получается предоставить.
> У меня, например, при сборке в COPR недоступны хранение сессионных
> ключей в ядре (keyctl session, etc), поэтому приходится и вовсе
> отключать make check.
>
>> Я так понял, что в федоре решили вопрос так:
>>
>> commit ccd78d8ee908015ca558e7428c27151cb1af5579
>> Author: Robbie Harwood <rharwood@redhat.com>
>> Date: Wed Aug 2 17:02:46 2017 +0000
>>
>> Disable dns_canonicalize_hostname. This may break some setups.
>>
> Это другое. К сожалению, развязать использование CNAME и
> каноникализацию в рамках текущего кода в krb5 нельзя. Выключение
> каноникализации поломало целый ряд конфигураций, где сервисы были
> выписаны на реальные машины, а пользователи обращались к ресурсам,
> которые представляют собой CNAME к этим машинам. Например,
> www.example.com, где www.example.com -- CNAME для A-записи
> some.host.example.net. То есть, реальное имя сервиса --
> HTTP/some.host.example.net.
>
> Порешили, что поправим каноникализацию так, чтобы CNAME резолвить
> можно было, а остальное -- нет.
Что-то мне расхотелость применять у нас dns_canonicalize_hostname =
false, как в Fedora, по умолчанию, да ещё и по триггеру в старые
установки. У меня тоже CNAME сломаются. Да и есть ли в этом резон?
Да, Add-KDC-policy-pluggable-interface патчи для FreeIPA понадобятся?
И выпиливания вот эти:
- Make-certauth-eku-module-restrictive-only/
- fedora-Remove-incomplete-PKINIT-OCSP-support
тоже, не знаю зачем тащить?
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2017-09-13 0:24 UTC|newest]
Thread overview: 18+ messages / expand[flat|nested] mbox.gz Atom feed top
2017-07-14 18:47 Evgeny Sinelnikov
2017-07-17 12:49 ` Alexander Bokovoy
2017-08-20 3:20 ` Evgeny Sinelnikov
2017-08-20 5:08 ` Alexander Bokovoy
2017-08-20 10:16 ` Evgeny Sinelnikov
2017-08-20 10:24 ` Evgeny Sinelnikov
2017-08-20 11:46 ` Dmitry V. Levin
2017-08-20 15:19 ` Alexander Bokovoy
2017-08-20 21:27 ` Evgeny Sinelnikov
2017-08-21 4:53 ` Alexander Bokovoy
2017-08-22 6:18 ` Evgeny Sinelnikov
2017-08-22 6:59 ` Alexander Bokovoy
2017-09-12 13:39 ` Evgeny Sinelnikov
2017-09-12 21:09 ` Alexander Bokovoy
2017-09-12 21:22 ` Dmitry V. Levin
2017-09-12 21:45 ` Alexander Bokovoy
2017-09-13 0:24 ` Evgeny Sinelnikov [this message]
2017-09-13 5:51 ` Alexander Bokovoy
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=CAK42-GqqrQxmhHbrcAZL_K1OwkxA5E9MzgJiVc4mUQhis6rk9w@mail.gmail.com \
--to=sin@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git