ejabberd+erlang nie działa z nowym openssl

Paweł Zuzelski z w xatka.net
Wto, 4 Maj 2010, 11:07:27 CEST


On Tue, 04 May 2010, Wojciech Błaszkowski wrote:
> W dużej mierze nie potrzeba, bo paczki są jedynie przekompilowane. Upgrade nie 
> wnosi żadnych zmian w plikach konfiguracyjnych. Osobiście robiłem upgrade na 
> wielu maszynach i nie natknąłem się na żadne problemy.

Ładna teoria, ale tylko teoria. Ja Ci opowiem historyjkę jaka mnie
spotkała po upgradzie openssl, ku przestrodze dla wszystkich.

<disclaimer>
  za zaistniałą sytuację winię developerów openssl a nie PLD
</disclaimer>

mam sobie kilka maszyn, które biorą bazę danych uzytkowników
(konkretnie passwd i shadow) z LDAP. Z LDAPem łączą się przez SSL.
Po upgrade pierwszej z tych maszyn, straciłem możliwość logowania,
sudo itp. Ogólnie zawisały wszelkie odwołania do PAM/NSS. Co się
okazało: PAM/NSS znał CA certyfikat, którym był podpisany certyfikat
serwera LDAP. Sam plik z CA pam znajdował przez hash-link:

  ln -s ca.pem $(openssl x509 -noout -hash -in ca.pem).0

Problem polega na tym, że w openssl zmienił się algorytm generowania
tych hashy w sposób niekompatybilny wstecz, to znaczy hash
wygenerowany openssl-em 0.9.8 jest inny niż hash wygenerowany
opensslem 1.0.0. W związku z tym po upgrade nie był wstanie znaleźć
ca.pem.

Podsumowując, have a happy upgrade, my friend.

-- 
Pozdrawiam,
Paweł


Więcej informacji o liście dyskusyjnej pld-devel-pl