_ [debian] mozilla-firefox 1.0+dfsg.1-2vd1

vd_bugzilla-jp_bug-1476_attachment-1656_for-mozfx-0.9.3.patchvd_mozfx-0.10.1_without-gnome-and-gconf.patchmozilla-1.8a5-gtk2-composition-fix.diff を当てて作成。

_ [debian] heimdal-kdc 0.6.3-6 変

MIT krb5 は Kerberos5 の MIT リファレンス実装で、Kerberos5 の free 実装版の Heimdal のほうを使ったほうが Debian 的にはいいようだ。というか MIT krb5 ってアメリカの輸出規制にひっかかってるんだっけ? ということで Heimdal のほうを試しに入れてみようかとしたら、heimdal-kdc 0.6.3-6 の install で

Section realms::REALM.ORG doesn't exist
Cannot parse command line

と失敗してしまった。探してみると #289295 にひっかかってしまったようだ。示されている patch を /usr/share/doc/heimdal-kdc/examples/kdc.conf に当てて突破。

_ [comp] Heimdal テスト

Krb5DebianKrb5Plamo を見つつ、やってみる。 いろいろ設定して試したけど、kinit で Kerberos V5 のチケットしか取ってないのだが、ktelnet は Kerberos V4 でしかつなぎに行かない。どうなってんだろ、これ。–without-krb4 でパッケージを作ってみたけど、やはり Kerberos V5 で認証している気配がない。設定ミスか? と思ったら、kftp のほうはきちんと行けた。よくわからん。NFSv4 もできたので、手順をメモ。 構成などは Kerberos5 テスト に準じる。 まず Heimdal を install。

# apt-get install heimdal-kdc heimdal-servers heimdal-clients

realm 名と KDC の password を聞かれるので設定。 /etc/krb5.conf は MIT krb5 のそれと同じ。/var/lib/heimdal-kdc/kdc.conf は MIT krb5 の /etc/krb5kdc/kdc.conf とほぼ同じ。 KDB は install 時に、kstash 及び kadmin -l init REALM の実行によって作成されているのでパス。 管理 principal を登録。

# kadmin -l
> add foo/admin

password を聞かれるので設定する。/var/lib/heimdal-kdc/kadmind.acl で ACL を設定。

foo/admin@EXAMPLE.JP        all        *

foo の user principal を追加。

# kadmin -l
> add foo

password を聞かれるので設定する。 server で server, client 両方の nfs principal を追加。

# kadmin -l
> add -r nfs/server.example.jp
> ext_keytab nfs/server.example.jp@EXAMPLE.JP
> add -r nfs/client.example.jp
> ext_keytab nfs/client.example.jp@EXAMPLE.JP

/etc/krb5.keytab が生成されたことを確認。 server で client 用の keytab を生成。

# kadmin -l
> ext_keytab -k /tmp/keytab nfs/server.example.jp@EXAMPLE.JP
> ext_keytab -k /tmp/keytab nfs/client.example.jp@EXAMPLE.JP

server:/tmp/keytab を client:/etc/krb5.keytab としてコピー。 この後の作業は MIT krb5 の場合 と同様。 なお、MIT krb5 でも Heimdal でも、

client# mount -t nfs4 -o sec=krb5 server:/ /mnt

はきちんと動作しなかった。何かが足りない?

_ [comp] dnsmasq

お手軽 DNS キャッシュ用に dnsmasq を入れてみる。