Single sign-on i kerberos w AC

[Mariusz Kryński]

Witam.
Chciałem się podzielić doświadczeniami z kilkudniowej walki z
uruchomieniem autentykacji użytkowników za pomoca kerberos'a
(implementacja heimdal). Logowanie z użyciem pam_krb5 i logowanie ssh
przy pomocy ticket'ów kerberos'a poszło z przysłowiowego "kopa".
Gorzej poszło z IMAP'em. Dystrybucyjny cyrus-imap wspiera kerberos'a
przez sasl'a. Po przebudowaniu sasl'a z "--with gssapi" bez problemu
działa autentykacja za pomocą ticket'ów w narzędziach cyrrus'a: cyradm i
sieveshell. Niestety nie działały (chociaż teoretycznie powinny)
aplikacje klienckie do czytania poczty - Evolution (2.0.3) i mutt
(1.4.2.1)  Evolution poprawnie wykrywa metodę gssapi, jednak nie
zapamiętuje ustawień i próbuje autoryzować użytkownika za pomocą hasła.
mutt natomiast pobiera ticket do imap'a z kdc, lecz kończy z błędem
SASL'a. 
W załączniku poprawki do evolution i mutt'a. 
Łata do evolution ma zostać włączona do następnego wydania (znaleziona w
bugzilli), natomiast mutt'a połatałem własnoręcznie (problemy ze zbyt
małym buforem oraz nadmiarowe zwalnianie buforów sasl'a, które są
zwalniane przez samą bibliotekę). 
Prosiłbym kogoś władnego o przejrzenie i wrzucenie łatek...

P.S. Dlaczego sasl jest domyślnie budowany bez gssapi ?

-- 
mrk

-------------- next part --------------
A non-text attachment was scrubbed...
Name: evolution-store-auth.patch
Type: text/x-patch
Size: 549 bytes
Desc: not available
URL: </mailman/pipermail/pld-devel-pl/attachments/20050217/5a48c7ac/attachment.bin>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: mutt-saslfix.patch
Type: text/x-patch
Size: 1982 bytes
Desc: not available
URL: </mailman/pipermail/pld-devel-pl/attachments/20050217/5a48c7ac/attachment-0001.bin>