]> git.ipfire.org Git - thirdparty/krb5.git/commit
Fix authdata signatures for non-TGT AS-REQs
authorIsaac Boukris <iboukris@gmail.com>
Mon, 24 Jun 2019 10:06:38 +0000 (13:06 +0300)
committerGreg Hudson <ghudson@mit.edu>
Mon, 9 Sep 2019 13:57:13 +0000 (09:57 -0400)
commit15349afaaedcf1113382a92bd3a34b7cedd0129f
tree2f688867d2c17f8d9f964d0d8e7fb58449d15bab
parentd975dd1eae7b22b14ce7aa6eefb523e9b3c022ba
Fix authdata signatures for non-TGT AS-REQs

PACs (as well as anything wrapped in CAMMAC) should be signed using
the local TGT key.  Cross-realm TGS requests, ticket renewal and
validation requests, and non-TGT AS requests currently do not pass the
local TGT DB entry or its key to sign_authdata(), forcing the KDB
module to do a redundant lookup in order to properly sign PACs.

Rename the existing krbtgt and krbtgt_key parameters to header_server
and header_key, to better indicate that they are for the header ticket
server.  For AS requests, pass NULL for these parameters instead of
passing a duplicate of server/server_key.

Add local_tgt and local_tgt_key parameters for the realm's local TGT
and its first key.

[ghudson@mit.edu: rewrote commit message]

ticket: 8829 (new)
src/include/kdb.h
src/kdc/kdc_authdata.c
src/lib/kdb/kdb5.c
src/plugins/kdb/test/kdb_test.c