Date: Mon, 19 Jan 2026 20:37:37 +0900 From: =?UTF-8?B?SGlyb28gT25vICjlsI/ph47lr5vnlJ8p?= <hiroo.ono+freebsd@gmail.com> To: freebsd-users-jp <freebsd-users-jp@freebsd.org> Subject: =?UTF-8?Q?MIT_Kerberos_=E3=81=A8_Heimdal?= Message-ID: <CANtk6SjNmj=_DkR9JcMFuW5J6=oVjh22ZK%2ByTvrEN3tiDA2OJg@mail.gmail.com>
index | next in thread | raw e-mail
小野寛生です。 15-STABLE に移って pkgbasify して ports もいろいろバージョンアップしたらば、 設定を直したりデータ移行したり、やりかけて放置していた設定に再着手しないと いけなかったりで、なんだかずっと PC の前でぽちぽちキーボードを触っています。 でその関連でめんどくさい話がありまして [1]、 OpenSSL で時代遅れの暗号スイートが無効化された影響で Heimdal がうまく動か ないという話があり、 ・15-STABLE からは base を MIT Kerberos に移行しちゃった ・14-STABLE の base の Heimdal は(どういう対処かまでは追っていませんが) 対策された ・MIT Kerberos の方は upstream で対処済 ということで、ports から入れた Heimdal だけうまく動かないことがあります。 私の場合、Samba で Active DIrectory の DC を動かしているのですが、samba を ビルドする時の Kerberos スイートにビルトインの Heimdal を選択しているので kinit が効いてくれなくて困っています。[1] には legacy_sect でも activate = 1 に した openssl.cnf を作ってそれを環境変数 OPENSSL_CONF 経由で渡せばとりあ えずはいけるよと書いてあるのですが、私の手元ではうまくいっていません。 Heimdal のリポジトリのツリー [2] を見ると、「OpenSSL 3.x に対応して RFC8636 [3] も実装するよ」的なコミットメッセージがあったりして、次の 7.8.1 が出れば動い てくれるんじゃないかと思いますが、リリースと ports の更新を待つ間どうしたもん かなあと悩んでいます。 Ports のオプションで Kerberos の選択があるところはこれまでずっと ports の heimdal を選択してきたのですが(ノートPC には security/sssd2 を入れるので、 head なのもあってそっちだけ MIT Kerberos にしましたが)その設定を全部やり直 して ports をビルドしなおすのも手間だしなあと。poudriere options が時間かかり 過ぎなんですよね。 [1] https://github.com/heimdal/heimdal/issues/1224 [2] https://github.com/heimdal/heimdal [3] https://tex2e.github.io/rfc-translater/html/rfc8636.html 長くなったのでついでに(?)愚痴っておくと、powerdns-recursor と fluent-bit が 設定ファイルのフォーマットを yaml 形式に移行したのにはしばらく前にやられ ましたが、今度は mongodb のオプションが AVX 「AVX512系の命令を入れて速く したい人は指定してね」から NOAVX 「AVX512 系の命令がない CPU を使うん なら指定してね」に変わっていて、それを見過ごしたために mongodb が動かなく なって往生しました。Illegal Instruction で死ぬのを久しぶりに見ました。 こっちはまだ HP Z620 で戦ってんのになあ。 ではでは。home | help
Want to link to this message? Use this
URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?CANtk6SjNmj=_DkR9JcMFuW5J6=oVjh22ZK%2ByTvrEN3tiDA2OJg>