<div dir="ltr">Bill,<div><br></div><div>thanks for investigating this. I'll keep the bug open in case somebody else gets hit by it, and mark it as fixed in 2.1.26 when it hits unstable.</div><div><br></div><div>O.</div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 24, 2013 at 5:40 AM, Bill MacAllister <span dir="ltr"><<a href="mailto:whm@stanford.edu" target="_blank">whm@stanford.edu</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>
<br>
--On Thursday, March 21, 2013 04:44:20 PM -0700 Bill MacAllister <<a href="mailto:whm@stanford.edu" target="_blank">whm@stanford.edu</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Yeah, it's almost certainly an upstream bug.  Ah, I see that Cyrus SASL<br>
has a Bugzilla and everything these days.<br>
</blockquote>
<br>
Once I complete testing today I will file the bug.<br>
</blockquote>
<br>
And I confirmed that if I use TLS encryption the client works.<br>
<br>
I sent a note to the cyrus-sasl list and got a response from Quanah<br>
saying that "cyrus-sasl 2.1.25 had multiple problems with GSSAPI<br>
unless it was patched heavily".  I'll try packaging that we see<br>
what happens.  I did file a bugzilla, but if the newer version<br>
works that is mote.<br>
</blockquote>
<br></div>
Hugh Cole-Baker on the Cyrus SASL list pointed me to the solution<br>
for Cyrus SASL version 2.1.25 at<br>
<br>
 <a href="http://mail.openjdk.java.net/pipermail/security-dev/2013-February/006665.html" target="_blank">http://mail.openjdk.java.net/<u></u>pipermail/security-dev/2013-<u></u>February/006665.html</a><br>
<br>
I confirmed that this does indeed solve the problem.  Basically,<br>
OpenLDAP needs the global configuration setting for sasl-secprops<br>
to include minssl=1.  (Or olcSaslSecProps if you are using cn=config.)<br>
In our case we set it to:<br>
<br>
 olcSaslSecProps: minssf=1,noplain,noanonymous<br>
<br>
I also confirmed that 2.1.26 also solves the problem.  Quanah Gibson-Mount<br>
reported that there have been a number of other problems with 2.1.25.<br>
<br>
I think this bug can be closed.<div class="HOEnZb"><div class="h5"><br>
<br>
Bill<br>
<br>
-- <br>
<br>
Bill MacAllister<br>
Infrastructure Delivery Group, Stanford University<br>
<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Ondřej Surý <<a href="mailto:ondrej@sury.org" target="_blank">ondrej@sury.org</a>>
</div>