vitus_wagner (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
vitus_wagner) wrote2015-06-26 07:44 am
vitus_wagner) wrote2015-06-26 07:44 am
Entry tags:
VPN-ное.
Дописал к sstp-client-у поддержку клиентских сертификатов и engines, чтобы можно было авторизовываться ключом с eToken-а. Первый раз в жизни послал на github-е pull-реквест.
Оказалось, что для того, чтобы ходить в нашу корпоративную VPN, этого мало. Нужна еще поддержка PEAP в pppd. А её там из коробки нет. (удивительно, уже семь лет существует Windows server 2008, в котором RAS эти извращенные способы доступа умеет, а в апстрим это еще не пропихнули).
Нашел, правда, готовый патч. Судя по комментариям автора, довольно наколеночный, нужно будет внимательно проаудитить.
Видимо, в наше время для людей, которые умеют программировать под *nix крайне нехарактерно работать в конторах, где критичные элементы инфраструктуры строятся на технологиях Microsoft.
Оказалось, что для того, чтобы ходить в нашу корпоративную VPN, этого мало. Нужна еще поддержка PEAP в pppd. А её там из коробки нет. (удивительно, уже семь лет существует Windows server 2008, в котором RAS эти извращенные способы доступа умеет, а в апстрим это еще не пропихнули).
Нашел, правда, готовый патч. Судя по комментариям автора, довольно наколеночный, нужно будет внимательно проаудитить.
Видимо, в наше время для людей, которые умеют программировать под *nix крайне нехарактерно работать в конторах, где критичные элементы инфраструктуры строятся на технологиях Microsoft.
Re: Оффтоп
Вообще надо в два приема.
Сначала на концептуальном уровне:
Вот нам нужны такие-то такие-то идентификаторы. Сейчас аналогичные идентификаторы hardcoded туда-то и туда-то.
А вообще нам бы надо OID-ы регистрировать по-нормальному. (насколько я посмотрел, ситуация с регистрацией OID_ов с 0.9.8 не изменилась.
Можно было бы смириться с OID-ами в конфиге, но есть уйма приложений, в том числе такие важные как mod_ssl , stunnel и openvpn, которые этот конфиг не читают, причем по принципиальным соображениям.
Ну и так далее. Потом после описания преимуществ и недостатков вариантов решения этих проблем - выкатываем патч, как пример нашего решения.
Насколько я понимаю, как раз с micalg-ами все довольно дешево получается - добавить поле в EVP_MD, и, возможно, к нему accessor.
А вот с TLS-ом там и правда сильно сложнее.
Re: Оффтоп
OID-ы можно регистрировать нормально. Уже тогда можно было. Но там есть чёртова тонна псевдомассивов с константами, в которые надо бы что-то добавлять, но получится это тяжеловесно. В лучшем случае это массивы непубличных структур, в худшем - набор #define.
Любимый пример от Игуса - русские буквы в X.509 extension по какому-то документу, устанавливающему требования к квалифицированному сертификату. Коллбеки пляшут от NID-ов, NID-ы упорядочиваются по возрастанию. Структура закрытая, хрен что добавишь.