[sisyphus] IA: krb5 1.8 drops single-DES encryption support

[Ivan A. Melnikov]

Здравствуйте.

В Сизиф приезжает krb5 1.18.2[1], первый из ветки 1.18[2] добравшийся
до наших репозиториев.

В этой ветке есть один breaking change, на который я хочу особенно
обратить внимание: шифрование по DES там больше не поддерживается.
С одной стороны, и прекрасно, давно пора. С другой стороны, кое-что
может сломаться. Во-первых, если есть какие-то legacy клиенты
(или даже сервера), то ой всё. Во-вторых, если у Вас в krb5.conf
или kdc.conf по каким-то причинам оставались разрешёнными
enctypes начинающиеся с des- (например, des-hmac-sha1:normal,
des-cbc-md5:normal или des-cbc-crc:normal), то что-то может
сломаться. Например, при наличии таких enctypes среди
supported_enctypes домена можно получить такое сообщение
об ошибке в kadmin.local:

# kadmin.local
Authenticating as principal admin/admin на DOMAIN.ALT with password.
kadmin.local: Required parameters in kdc.conf missing while initializing kadmin.local interface

Также можно увидеть что-то такое вот от клиентов, если enctypes
с des- завалялся в krb5.conf:

# kinit administrator
kinit: No supported encryption types (config file error?) while getting initial credentials

В обоих случаях нужно удалить enctypes начинающиеся с des-
из допустимых/поддерживаемых.

Если же поддержка single DES по каким-то причинам критична,
переходите пока на p9, там я надеюсь ещё какое-то время
мы поживём на krb5 1.17.x.

[1] http://git.altlinux.org/tasks/254565/logs/events.4.3.log
[2] https://web.mit.edu/kerberos/krb5-1.18/krb5-1.18.2.html

-- 
  wbr,
    iv m.