ejabberd+erlang nie działa z nowym openssl
Paweł Zuzelski
z w xatka.net
Wto, 4 Maj 2010, 11:07:27 CEST
On Tue, 04 May 2010, Wojciech Błaszkowski wrote:
> W dużej mierze nie potrzeba, bo paczki są jedynie przekompilowane. Upgrade nie
> wnosi żadnych zmian w plikach konfiguracyjnych. Osobiście robiłem upgrade na
> wielu maszynach i nie natknąłem się na żadne problemy.
Ładna teoria, ale tylko teoria. Ja Ci opowiem historyjkę jaka mnie
spotkała po upgradzie openssl, ku przestrodze dla wszystkich.
<disclaimer>
za zaistniałą sytuację winię developerów openssl a nie PLD
</disclaimer>
mam sobie kilka maszyn, które biorą bazę danych uzytkowników
(konkretnie passwd i shadow) z LDAP. Z LDAPem łączą się przez SSL.
Po upgrade pierwszej z tych maszyn, straciłem możliwość logowania,
sudo itp. Ogólnie zawisały wszelkie odwołania do PAM/NSS. Co się
okazało: PAM/NSS znał CA certyfikat, którym był podpisany certyfikat
serwera LDAP. Sam plik z CA pam znajdował przez hash-link:
ln -s ca.pem $(openssl x509 -noout -hash -in ca.pem).0
Problem polega na tym, że w openssl zmienił się algorytm generowania
tych hashy w sposób niekompatybilny wstecz, to znaczy hash
wygenerowany openssl-em 0.9.8 jest inny niż hash wygenerowany
opensslem 1.0.0. W związku z tym po upgrade nie był wstanie znaleźć
ca.pem.
Podsumowując, have a happy upgrade, my friend.
--
Pozdrawiam,
Paweł
Więcej informacji o liście dyskusyjnej pld-devel-pl