Heimdal problem: Heimdal 1.4.0~git20100322 till STACKEN.KTH.SE

Harald Barth haba at kth.se
Thu May 27 22:02:26 CEST 2010


> Jag har ett Kerberos-problem. Jag lyckas inte få ut någon TGT ifrån 
> STACKEN.KTH.SE ifrån min Debian Squeeze (testing) klient.

Om men om jag förstår rätt använder Debianhuliganerna en 1.4 snapshot
i testing...

Jag har tittad på din principal, och jag förstår nog...

            Principal: mem at STACKEN.KTH.SE
    Principal expires: 2011-03-01 00:00:00 UTC
                 Kvno: 1
           Attributes: requires-pre-auth
             Keytypes: des-cbc-md5(pw-salt()), des-cbc-md4(pw-salt()), des-cbc-crc(pw-salt())

Du är inte så mycket för att byta lösenord, eller (kvno=1) ? Men
eftersom du inte gjort det på länge, dina enctypes är gamla, sådana
som numera per default anses vara osäkra. Om du läser igenom
relesenötterna till 1.3.X eller 1.4.X så står det där. Eller man
krb5.conf (*) Men för att få lite fler enctypes på din principal så
får du byta lösenord. Jag har tex på min principal:

             Keytypes: des-cbc-md5(pw-salt), des-cbc-md4(pw-salt), des-cbc-crc(pw-salt), des3-cbc-sha1(pw-salt), arcfour-hmac-md5(pw-salt), aes128-cts-hmac-sha1-96(pw-salt), aes256-cts-hmac-sha1-96(pw-salt)

Lite längre lista, eller hur?

---
(*)
[libdefaults]
        allow_weak_crypto = yes

--- 

> Jag har inte hittat någon dokumentation med vilka enctypes som Heimdal 
> stödjer, så jag har bara testat de enctypes jag lyckats googla fram.

Jag håller på att föreslå till Love att det skall vara enklare att få
fram, helst runtime. Det är inte lätt att veta compiletime eftersom om
man länkar mot openssl så är det ju inte i heimdal där den infon finns.

> Så till min fråga. Jag tänkte felanmäla det hela till
> Debian-utvecklarna men då skulle jag vilka veta vilken version av
> KDC som Stacken kör. OS-version kanske också är intressant.

Det är nog inte en bugg. Däremot så är det en bugg att de har plockad
en 1.4 snapshot i testing och unstable och är på 1.2.1 i stable.
Speciellt eftersom idag så kom det en säkerhetsupdate (1.3.3) för den
aktuella stabila grenen (1.3.X).

Stackens KDC är 1.2.1 på OpenBSD och stöder alla enctypes som jag
har listad ovan.

> Å andra sidan kanske det finns Heimdal-kunnigt folk på den här
> listan så jag kanske kan få goda råd direkt ifrån källan (så att
> säga)?

Kanske kanske. Men jag skulle uppskatta ifall du kunde hjälpa till
att putta debian stable mot 1.3.3.

Harald.


More information about the Stacken mailing list