[SOLVED] Re: Heimdal problem: Heimdal 1.4.0~git... till STACKEN.KTH.SE
Magnus Sandberg
mem at stacken.kth.se
Fri May 28 19:48:25 CEST 2010
Hej Harald!
Du hade helt rätt, det var min lösenordsdisiplin som var buggen.
En kpasswd senare så fungerar det hela. Dock fick jag inte kpasswd att
fungera på min i övrigt fungerande Lenny-klient, så jag fick logga in på
shell.stacken för att fixa det hela. Kpasswd kanske använder några portar
som kinit inte gör, jag har rätt tighta brandväggsregler här hemma. Så även
detta var nog mitt eget fel :-)
Nu borde jag iaf ha en Kvno 2 :-)
Tack för tipset, precis som jag trodde fanns det kunnigt folk på listan.
Jag tror inte Debian vill byta Heimdal-version i Stable däremot brukar de
backporta säkerhetsrättningar. Men i Heimdal-fallet verkar de inte har
gjort några säkerhetsuppdateringar om man kollar på paketnamnen :-(
Jag är ingen aktiv Debian-utvecklare så för dem är jag vilken J. Random
Nerd som helt som klagar.
MVH // Mem
_\\|//_
(-0-0-)
/--------------ooO-(_)-Ooo--------------\
| Magnus Sandberg |
| Email: mem at stacken.kth.se |
| GSM: +46-70-205 81 84 |
| http://www.linkedin.com/in/link2mem |
\---------------------------------------/
|| ||
ooO Ooo
----- Den 27:e maj 2010 skrev Harald Barth följande; ------
> Jag har ett Kerberos-problem. Jag lyckas inte få ut någon TGT ifrån
> STACKEN.KTH.SE ifrån min Debian Squeeze (testing) klient.
Om men om jag förstår rätt använder Debianhuliganerna en 1.4 snapshot
i testing...
Jag har tittad på din principal, och jag förstår nog...
Principal: mem at STACKEN.KTH.SE
Principal expires: 2011-03-01 00:00:00 UTC
Kvno: 1
Attributes: requires-pre-auth
Keytypes: des-cbc-md5(pw-salt()), des-cbc-md4(pw-salt()),
des-cbc-crc(pw-salt())
Du är inte så mycket för att byta lösenord, eller (kvno=1) ? Men
eftersom du inte gjort det på länge, dina enctypes är gamla, sådana
som numera per default anses vara osäkra. Om du läser igenom
relesenötterna till 1.3.X eller 1.4.X så står det där. Eller man
krb5.conf (*) Men för att få lite fler enctypes på din principal så
får du byta lösenord. Jag har tex på min principal:
Keytypes: des-cbc-md5(pw-salt), des-cbc-md4(pw-salt),
des-cbc-crc(pw-salt), des3-cbc-sha1(pw-salt), arcfour-hmac-md5(pw-salt),
aes128-cts-hmac-sha1-96(pw-salt), aes256-cts-hmac-sha1-96(pw-salt)
Lite längre lista, eller hur?
---
(*)
[libdefaults]
allow_weak_crypto = yes
---
> Jag har inte hittat någon dokumentation med vilka enctypes som Heimdal
> stödjer, så jag har bara testat de enctypes jag lyckats googla fram.
Jag håller på att föreslå till Love att det skall vara enklare att få
fram, helst runtime. Det är inte lätt att veta compiletime eftersom om
man länkar mot openssl så är det ju inte i heimdal där den infon finns.
> Så till min fråga. Jag tänkte felanmäla det hela till
> Debian-utvecklarna men då skulle jag vilka veta vilken version av
> KDC som Stacken kör. OS-version kanske också är intressant.
Det är nog inte en bugg. Däremot så är det en bugg att de har plockad
en 1.4 snapshot i testing och unstable och är på 1.2.1 i stable.
Speciellt eftersom idag så kom det en säkerhetsupdate (1.3.3) för den
aktuella stabila grenen (1.3.X).
Stackens KDC är 1.2.1 på OpenBSD och stöder alla enctypes som jag
har listad ovan.
> Å andra sidan kanske det finns Heimdal-kunnigt folk på den här
> listan så jag kanske kan få goda råd direkt ifrån källan (så att
> säga)?
Kanske kanske. Men jag skulle uppskatta ifall du kunde hjälpa till
att putta debian stable mot 1.3.3.
Harald.
More information about the Stacken
mailing list