[devel] Обновление до krb5-1.15.1
Alexander Bokovoy
ab на altlinux.org
Ср Сен 13 08:51:40 MSK 2017
2017-09-13 3:24 GMT+03:00 Evgeny Sinelnikov <sin на altlinux.org>:
>>> Disable dns_canonicalize_hostname. This may break some setups.
>>>
>> Это другое. К сожалению, развязать использование CNAME и
>> каноникализацию в рамках текущего кода в krb5 нельзя. Выключение
>> каноникализации поломало целый ряд конфигураций, где сервисы были
>> выписаны на реальные машины, а пользователи обращались к ресурсам,
>> которые представляют собой CNAME к этим машинам. Например,
>> www.example.com, где www.example.com -- CNAME для A-записи
>> some.host.example.net. То есть, реальное имя сервиса --
>> HTTP/some.host.example.net.
>>
>> Порешили, что поправим каноникализацию так, чтобы CNAME резолвить
>> можно было, а остальное -- нет.
>
> Что-то мне расхотелость применять у нас dns_canonicalize_hostname =
> false, как в Fedora, по умолчанию, да ещё и по триггеру в старые
> установки. У меня тоже CNAME сломаются. Да и есть ли в этом резон?
>
> Да, Add-KDC-policy-pluggable-interface патчи для FreeIPA понадобятся?
>
> И выпиливания вот эти:
> - Make-certauth-eku-module-restrictive-only/
> - fedora-Remove-incomplete-PKINIT-OCSP-support
> тоже, не знаю зачем тащить?
Все эти PKINIT-связанные патчи нужны.
Каноникализацию лучше не менять пока что, да.
--
/ Alexander Bokovoy
Подробная информация о списке рассылки Devel