[Momonga-devel.ja:02302] Re: cvs, quickml, xfsdumpの rebuildに失敗(cvs)

["Masahiro Takahata" <takahata@xxxxxxxxx>]

たかはたです。

どうも前提条件が違っていると思われるので、説明しておきます。
現在の Momonga HEAD のレポジトリ/OmoiKondaraシステムでは、
OBSOLETE、To.Zooあるいは、To.NonFreeされているパッケージ以外の
パッケージは、全部インストールしている事が前提としています。

なので、8月25日にpkgsに入った時点で、どのパッケージからも
Requireされていなくても、入っている事が期待されているとも
言えます。というか、私は入っていることを期待していましたし。
authconfig等ではテストを行って動いているのを確認をしています。
通常システムにとって、krb5は必須かどうかと言われると、LDAPなどと
同じように何かのパッケージにRequireされている場合や、それを
使っている場合にはインストールされていると言う状況ですよね。
たまたま、LDAPの場合は必要とするパッケージが多いために、
標準で入っているかのような動きになっていますが。

何かにRequireされていないという事で、ビルドできないとか、
それによって不具合が生じたとしても、全部入りが前提である以上
報告を頂ければ修正しますが、特にそのパッケージをいじってる人が
test版ISOからビルドを始めるという事はあまりないので、気づかない
という事が大半です。これは、報告頂ければ修正を行いますし、
メンバーならば、気づいたら自分で修正を行う事になっています。

----- Original Message ----- 
From: "ToshiOkada" <to1107@xxxxxxxxxxxxxxxxx>
To: <devel.ja@xxxxxxxxxxxxxxxxx>
Sent: Wednesday, November 12, 2003 1:54 AM
Subject: [Momonga-devel.ja:02299] Re: cvs, quickml, xfsdumpの rebuildに失敗
(cvs)


> こんにちは，Toshi(O)です。
>
> On Wed, 12 Nov 2003 01:01:55 +0900
> "Masahiro Takahata" <takahata@xxxxxxxxx> wrote:
>
> > たかはたです。
> >
> > まず初めにkrb5ですが、以前MITのページにはアメリカおよびカナダ国民以外は
> > ダウンロードしないでくれという注意書き(実際にはダウンロードできた)
> > があったため、Momongaのレポジトリには入っていませんでした。
> > そのため、kerberos v5を使った認証が出来ていませんでした。
> >
> > cvsのパッケージの元になっているRedHatのspecファイルには、
> > --with-gssapi --enable-encryption 付きでビルドするようになっていました
> > がMomongaのレポジトリには含まれていなかったため、このオプションは
> > 取り外されていました。
> >
> > 先ごろ、ようやく輸出規制が解除されていると確認が取れましたので、
> > krb5をpkgsに入れました。これはsamba3.0での認証を念頭においています。
> >
> > で、件のcvsですが、ローカルにkrb5がインストールされていると、
> > 自動的に探して有効にするのがdefaultの挙動です。
> >
> > ただし、自動的には--enable-encryptionが有効にならないので、指定する
> > 必要があります。
> >
> > というわけで想定している挙動としては、
> > --with-gssapi --enable-encryption 付きでビルドする
> > というのが正しい挙動です。
>
> 　これでようやく事情が飲み込めました，ありがとうございます。
>
>
> > セキュリティ云々という部分については、私はよくわからないので
> > どこがどうなった場合に、何がどうまずいのかを今後の参考にさせて頂き
> > たいと思いますので、詳しくご教授頂ければ幸いです。
>
> 　これについてはたかはたさんの方が遙かに詳しいことと思います，私などとて
> もじゃないですが及びもしませんです(笑
> 　今まで krb5が全く入っていなかったものが 8月下旬頃でしたっけか ?，HEAD
> に投入され，その後しばらくはどこかで利用する気配のないまま経過し，今回
> Samba3.0の投入と同時に krb5がインストールされたわけですから，そういった
> 事情が殆ど分からない私には krb5の今後の扱いについて不思議であり疑問だっ
> たわけです。
>
> 　ですからセキュリティ的に，という表現は少々的ハズレかもしれませんが，使
> 用するうえで "以前は実装状態でなかったモノがいつまにか実装されている" っ
> てのは，特に認証機能においてはあまり気持ちのよいモノではないです。
> 　その認証機能を使わないのであっても，"krb5が有効になっている" という前
> 提のモトで運用するのとしないのとでは万が一 "穴" がみつかったときの注意力
> も自ずと違ってきますし，そう言ったこともセキュリティ的には大事な "危機管
> 理意識" だと私個人は思っているわけです。
>
> 　cvsで krb5が有効になるが故に makeに失敗すると気づいたのは，ぢつわエラー
> Logから判断したのではなくて，Samba3.0が投入された時点で mph-get upgrade
> したら自動的に krb5が入ったことに気づき，それ以後 Buildされる全パケジの
> 挙動に気を付けていたから即座に "krb5に絡んだエラーかも" と思い，
> 　%configure --without-gssapi を試してそうだと分かっただけなのです(笑
>
> とまぁ，意識下に認識されているかどうか，ってことは，何事においても平時な
> ら無用の長物かもしれませんが，なにか異状を感じた時には重要な判断材料の一
> つになってくれるものではないでしょうか ??
> 　私がセキュリティ的にと言ったのは，こういう意味なんです。
>
>
> 　ということですので，事前に計画性があったうえで krb5を投入し利用し始め
> たのだという事情が飲み込めましたので，
>
> > で、件のcvsですが、ローカルにkrb5がインストールされていると、
> > 自動的に探して有効にするのがdefaultの挙動です。
>
> この挙動も納得できましたし，
>
> > というわけで想定している挙動としては、
> > --with-gssapi --enable-encryption 付きでビルドする
> > というのが正しい挙動です。
>
> と言うことも特に異論はございません。
>
> 説明していただきましてありがとうございました。:-)
> -------------------
> ToshiOkada  <to1107@xxxxxxxxxxxxxxxxx>
>