Date: Mon, 19 Jan 2026 23:24:55 +0900 From: Tomoaki AOKI <junchoon@dec.sakura.ne.jp> To: hiroo.ono+freebsd@gmail.com Cc: freebsd-users-jp <freebsd-users-jp@freebsd.org> Subject: Re: MIT Kerberos =?UTF-8?B?44Go?= Heimdal Message-ID: <20260119232455.7c52a4d61c5dfae28889d381@dec.sakura.ne.jp> In-Reply-To: <CANtk6SjNmj=_DkR9JcMFuW5J6=oVjh22ZK%2ByTvrEN3tiDA2OJg@mail.gmail.com>
index | next in thread | previous in thread | raw e-mail
On Mon, 19 Jan 2026 20:37:37 +0900 Hiroo Ono (小野寛生) <hiroo.ono+freebsd@gmail.com> wrote: > 小野寛生です。 > > 15-STABLE に移って pkgbasify して ports もいろいろバージョンアップしたらば、 > 設定を直したりデータ移行したり、やりかけて放置していた設定に再着手しないと > いけなかったりで、なんだかずっと PC の前でぽちぽちキーボードを触っています。 > でその関連でめんどくさい話がありまして [1]、 > OpenSSL で時代遅れの暗号スイートが無効化された影響で Heimdal がうまく動か > ないという話があり、 > ・15-STABLE からは base を MIT Kerberos に移行しちゃった > ・14-STABLE の base の Heimdal は(どういう対処かまでは追っていませんが) > 対策された > ・MIT Kerberos の方は upstream で対処済 > ということで、ports から入れた Heimdal だけうまく動かないことがあります。 > 私の場合、Samba で Active DIrectory の DC を動かしているのですが、samba を > ビルドする時の Kerberos スイートにビルトインの Heimdal を選択しているので > kinit が効いてくれなくて困っています。[1] には legacy_sect でも activate = 1 に > した openssl.cnf を作ってそれを環境変数 OPENSSL_CONF 経由で渡せばとりあ > えずはいけるよと書いてあるのですが、私の手元ではうまくいっていません。 > Heimdal のリポジトリのツリー [2] を見ると、「OpenSSL 3.x に対応して RFC8636 [3] > も実装するよ」的なコミットメッセージがあったりして、次の 7.8.1 が出れば動い > てくれるんじゃないかと思いますが、リリースと ports の更新を待つ間どうしたもん > かなあと悩んでいます。 > > Ports のオプションで Kerberos の選択があるところはこれまでずっと ports の > heimdal を選択してきたのですが(ノートPC には security/sssd2 を入れるので、 > head なのもあってそっちだけ MIT Kerberos にしましたが)その設定を全部やり直 > して ports をビルドしなおすのも手間だしなあと。poudriere options が時間かかり > 過ぎなんですよね。 > > [1] https://github.com/heimdal/heimdal/issues/1224 > [2] https://github.com/heimdal/heimdal > [3] https://tex2e.github.io/rfc-translater/html/rfc8636.html 私は自分でkerberosを構成して使用するほど大規模なシステム構成には していないので細かくは読み込んでいませんが、去年の8月あたりからの freebsd-current MLでHeimdalからMITへの移行絡みの投稿が大量(という より膨大)に流れていました。 https://lists.freebsd.org/archives/freebsd-current/2025-August/008601.html このあたりからの情報に参考になるものがありますか? ちょうどstable/15ブランチに向けた駆け込みの時期ですね。 上記はstab weekのスレッドの途中からタイトル変更された形ですが、 更に前だと、問題のバージョンのMIT Kerberosインポート関連は https://lists.freebsd.org/archives/freebsd-current/2025-August/008509.html このあたりから始まっています。 この関連は翌月にも引きずっていますね。 > > 長くなったのでついでに(?)愚痴っておくと、powerdns-recursor と fluent-bit が > 設定ファイルのフォーマットを yaml 形式に移行したのにはしばらく前にやられ > ましたが、今度は mongodb のオプションが AVX 「AVX512系の命令を入れて速く > したい人は指定してね」から NOAVX 「AVX512 系の命令がない CPU を使うん > なら指定してね」に変わっていて、それを見過ごしたために mongodb が動かなく > なって往生しました。Illegal Instruction で死ぬのを久しぶりに見ました。 > こっちはまだ HP Z620 で戦ってんのになあ。 NOAVXで一括で無効化であるのならやめて欲しいところですね。 クライアント向けAlderLake等、AVXやAVX2はあってもAVX512は無いという ケースでも、AVXとAVX2が使えれば性能向上する可能性はある訳ですし。 lang/go*など、GOAMD64でV1からV4まで順次使える命令セットを「増やす」 形で設定できるようになっていますが、それがスタンダードになると いいですね。 V1_DESC= Use baseline x86-64 instruction set V2_DESC= V1 instructions plus CMPXCHG16B, LAHF, SAHF, POPCNT, SSE* V3_DESC= V2 instructions plus AVX*, BMI*, F16C, FMA, LZCNT, MOVBE, OSXSAVE V4_DESC= V3 instructions plus AVX512* AVX512だけ無い場合、V3を選べばいい訳です。 # 私はmongodbは使っていないので、幸い遭遇せずに済んでいます。 > > ではでは。 > -- 青木 知明 [Tomoaki AOKI] <junchoon@dec.sakura.ne.jp>home | help
Want to link to this message? Use this
URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?20260119232455.7c52a4d61c5dfae28889d381>