?

Log in

No account? Create an account
Cat-light

klink0v


Блохи в свитере деда Сергеича


Kerberos: тяжкий путь между багами
Death
klink0v

Моё внимание всегда привлекали гетерогенные решения. Из серии "скрестить ужа с ежом и получить полтора метра колючей проволоки". Если речь идёт о совместной работе Windows и Linux, то тут наверняка откуда-нибудь из-за угла выползет Kerberos - протокол аутентификации. И несмотря на страшное название, бояться его не стоит. Только вот почти все связанные с ним инструменты и реализации имеют такое количество злобных неочевидных багов, что прорваться между ними подчас бывает очень и очень непросто. Некоторые из них я изложу здесь прежде всего себе на память.

Дальше очень много букв на чисто техническую тему.Collapse )

МЖЗ: мелкие житейские загадки
cat-updown
klink0v

Еду с утра на работу. Выхожу из паровоза (электрички). Подхожу к ближайшей урне на платформе чтобы выплюнуть жевательную резинку. И наблюдаю на дне урны маленький лабораторный оптический микроскоп. Вопрос только один: как и зачем он там оказался?

И ведь понятно, что:


  • я скорее всего никогда не узнаю ответа этот вопрос;

  • даже если и узнаю, то практическая полезность такого знания стремится к нулю.

Но блин, как же всё-таки чертовски интересно кто и зачем выбросил на железнодорожной платформе микроскоп. Бывает же.

Funny Metal mishearded
Cat-light
klink0v

Снова приветствую всех в эфире радиостанции Боян-FM. Сегодня два старых видеоролика со знатным misheard на тему Heavy Metal. Просто смотрите и слушайте.

Под катомCollapse )

Еще один Kerberos-related баг (libapache2-mod-auth-kerb)
Cat-dark
klink0v

Говорил же в предыдущем псто о том, что всё связанное с Kerberos в Linux несёт в себе ну очень большое количество багов? Вот ещё один.

Если в настройках модуля libapache2-mod-auth-kerb (mod_auth_kerb.so) активирован параметр "KrbMethodK5Passwd on", который говорит о необходимости произвести fallback на авторизацию по паролю в случае отлупа по SPNEGO, то модуль берёт не тот keytab, который указан у него же в настройках в строфе "Krb5Keytab бла-бла-бла", а системный дефолтный keytab (который прописан в "/etc/krb5.conf" в default_keytab_name).

Внешне это выглядит следующим образом. По GSSAPI/SPNEGO пользователи аутентифицируются нормально. А вот если оно не сработало и сервер запросил логин-пароль, то дальше в логах апача наблюдаем

krb5_get_init_creds_password() failed: KDC reply did not match expectations
failed to verify krb5 credentials: Key table entry not found

Блин, когда они уже закончатся, эти бесконечные баги... Надо рапорт чтоль автору отправить...