From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.7 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,FREEMAIL_FORGED_FROMDOMAIN,FREEMAIL_FROM, HEADER_FROM_DIFFERENT_DOMAINS autolearn=no autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=sender:date:from:to:subject:message-id:mail-followup-to :mime-version:content-disposition:content-transfer-encoding; bh=xGOH/MyUyCdqGg0UauhHmo39F8zmUfTkesIvbAE43/U=; b=WTerR122GJg1ns0Q0jQ7YGcSVa2P/34NIjSCuYSmUnEBebbd68kTSox+kTZMLkPbvj UMfD3VK5JXLviOSggD/L+8uUjnbyjkt1hS6NAoC/u7db92h7kWN7RlTVvF5C+i5F0aQj dTOMAkc/sSjjUF7HA5OB6A/oHuopdxbmCxhlbTzyLRHnPXpbX/wiNeOKD/MUotvik+3V mVibyl6Y1aEaig7BPXAaLbYyO3ORj+cDzeWbWicBYMEsuKtvwmR6qyA/rl2LCkSi2RDT HoQtGdNnjN1meh3rhaaez5aDGICBvCcjvyP4X6PIS7jlzZVZWrveC0kctFnySayf/0CL gJKg== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:sender:date:from:to:subject:message-id :mail-followup-to:mime-version:content-disposition :content-transfer-encoding; bh=xGOH/MyUyCdqGg0UauhHmo39F8zmUfTkesIvbAE43/U=; b=pS37idVL/ya6t+G0JtKuY7KAZKO+bVpAyKX6O4NltLkyDxxozmToiFO7J0NfLYqd+2 pFch86IRhfH8fK1a/V/h6LytPvVnsrO7m2ZX0jCUHWBX0NJxirXZbQkFl91XGe9NkvW9 9FJfybYThjxxGUhXRx4PRIC42neSukKt+IvzRHA0cR9KlExXLDSIl+C4hjL8R7YdybHs ui9AIpGhIaz6mI6JfrYoSaQ0Sv48yFA2rdC+mcJFMVWMUn7HUpaZmkBJuhiCkqyt2R8Q xZkgON7celWgWbHNLFLmadRfdVTr7+04vjaSxv4lkJJP8YmCqi0kBhRn9NSIZiLj7xs2 Rl4Q== X-Gm-Message-State: AOAM533BX4EwjvMeOcmBKUt9Lblqp+svVmou7bcR/z0eitNUGzUzEEfG 214rRsCuGnD7URcJyhbkGvHwoSO5 X-Google-Smtp-Source: ABdhPJxbnIk6Pek5YqFUKC9xeM6YSMsFEXWMl9yQQvDmepsWHWPlvuOfOFlTe23OTmrvtvaviv/DKQ== X-Received: by 2002:a2e:3c0e:: with SMTP id j14mr41100584lja.25.1594400199055; Fri, 10 Jul 2020 09:56:39 -0700 (PDT) Sender: "Ivan A. Melnikov" Date: Fri, 10 Jul 2020 20:56:37 +0400 From: "Ivan A. Melnikov" To: ALT Linux Sisyphus discussions Message-ID: <20200710165637.medlrfdki2nnzbbi@titan.localdomain> Mail-Followup-To: ALT Linux Sisyphus discussions MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit Subject: [sisyphus] IA: krb5 1.8 drops single-DES encryption support X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 10 Jul 2020 16:56:41 -0000 Archived-At: List-Archive: List-Post: Здравствуйте. В Сизиф приезжает krb5 1.18.2[1], первый из ветки 1.18[2] добравшийся до наших репозиториев. В этой ветке есть один breaking change, на который я хочу особенно обратить внимание: шифрование по DES там больше не поддерживается. С одной стороны, и прекрасно, давно пора. С другой стороны, кое-что может сломаться. Во-первых, если есть какие-то legacy клиенты (или даже сервера), то ой всё. Во-вторых, если у Вас в krb5.conf или kdc.conf по каким-то причинам оставались разрешёнными enctypes начинающиеся с des- (например, des-hmac-sha1:normal, des-cbc-md5:normal или des-cbc-crc:normal), то что-то может сломаться. Например, при наличии таких enctypes среди supported_enctypes домена можно получить такое сообщение об ошибке в kadmin.local: # kadmin.local Authenticating as principal admin/admin@DOMAIN.ALT with password. kadmin.local: Required parameters in kdc.conf missing while initializing kadmin.local interface Также можно увидеть что-то такое вот от клиентов, если enctypes с des- завалялся в krb5.conf: # kinit administrator kinit: No supported encryption types (config file error?) while getting initial credentials В обоих случаях нужно удалить enctypes начинающиеся с des- из допустимых/поддерживаемых. Если же поддержка single DES по каким-то причинам критична, переходите пока на p9, там я надеюсь ещё какое-то время мы поживём на krb5 1.17.x. [1] http://git.altlinux.org/tasks/254565/logs/events.4.3.log [2] https://web.mit.edu/kerberos/krb5-1.18/krb5-1.18.2.html -- wbr, iv m.