Speaker Rabbit

abbra


CIFS: curious information funneled sometimes


Previous Entry Share
Как нашли Badlock
Speaker Rabbit
abbra
После насыщенного бессонными ночами и напряженной работой месяца, мы выпустили обновления Samba для закрытия дыр Badlock. Я написал статью в блог Red Hat Enterprise Linux, где рассказываю о том, что это такое и как его открыли.

  • 1
Обновления, наверное, для Samba?

Поправил текст. :)

Прочитал. Осознал масштаб бедствий в полной мере.

Титанический труд по координации и портированию патчей, круто!

Скажите, по FreeIPA можно вам вопросы позадавать? Точнее, он у меня всего один. :)

можно.

Смотрите какая ситуация. Есть развёрнутый FreeIPA и некая машинка в нём зарегестрированная. Также на этой машине сгенерён CRL, который FeeIPA прекрасно скушал и выполнил Issue, сгенерив в ответ валидный мнениню IPA сертификат. А теперь вопрос, какой тип сертификата там генерируется? Ничего внятного я по теме не нашёл или проглядел. Вроде похож на X.509, но нет полей BEGIN CERIFICATE/END CERTIFICATE и при попытке проверить этот сертификат с помощью openssl мне выдаётся сообщение об ошибке unable to load certificate. И если это не x.509, то как вытащить этот сертификат в X.509, чтобы FreeIPA выступал полноценным CA. Ведь по идее, всё это этого внутри есть. Там же Dogtag унутре.

Все сертификаты -- x.509.

У команд user-show, host-show, service-show есть опция --out, которая сохраняет файл с сертификатом локально в формате PEM.

 ipa user-show username --out=my.crt
--------------------------------------
Certificate(s) stored in file 'my.crt'
--------------------------------------
.... [вырезано] ...
$ file my.crt
my.crt: PEM certificate
$ openssl x509 -in my.crt -issuer -fingerprint -noout
issuer= /O=EXAMPLE.COM/CN=Certificate Authority
SHA1 Fingerprint=XX:XX:XX:XX:XX....:XX:XX



Ага, всё-таки X.509. Благодарю, попробую тогда ещё разок разобраться.

И на будущее небольшая просьба, если можно. Всё-таки явно в веб-интерфейсе FreeIPA укажите, что это таки X.509. Мелочь вроде, но может сэкономить много времени, когда надо будет конвертировать сертификаты из одного формата другой для различного софта. Будет ясно, с чего начинать и облегчит работу техподдержке той же, например.

Второе пожелание — сделать возможность выгрузки PEM из UI. Избавит от необходимости давать доступ к шеллу для генерации файла в PEM. Надеюсь, в следующих версиях FreeIPA реализуете. Заранее благодарю. :)

Вы -- первый, кто поставил вопрос таким образом. Ни у кого еще не возникало проблем с тем, какие это сертификаты. Но если хочется большей однозначности, то было бы неплохо заполнить такой запрос -- либо на https://fedorahosted.org/freeipa/report, либо в https://bugzilla.redhat.com.

Добрый день! У меня есть ещё один оффтопичный вопрос по FreeIPA, который читая интернеты пока не получается решить. Можно в ЛС к вам за вопросом?

Пишите. Хотя, конечно, лучше написать письмо в freeipa-users@ и обсуждать там.

Написал. Гляньте, пожалуйста.

наверное ты имел в виду "бессонные ночи", потому что... ну в общем сам понимаешь, "бессонница" это немного про другое

  • 1
?

Log in

No account? Create an account