kdb: store mkey list in context and permit NULL mkey for kdb_dbe_decrypt_key_data
authorSam Hartman <hartmans@mit.edu>
Wed, 15 Sep 2010 17:13:23 +0000 (17:13 +0000)
committerSam Hartman <hartmans@mit.edu>
Wed, 15 Sep 2010 17:13:23 +0000 (17:13 +0000)
commita063fe7e5c11900df005bb2875b27f8e284dfdba
tree36fe23e89c05a9727ccbf82059e3582a6938b4f0
parent4bcc98813080a3dabb94e31e974a6f74a81b2125
kdb: store mkey list in context and permit NULL mkey for kdb_dbe_decrypt_key_data

Previously, code needed to run a loop to find the current master key,
possibly fetch a new master key list and try finding the master key
again around each key decryption.  This was not universally done;
there are cases where only the current master key was used.  In
addition, the correct ideom for decrypting key data is too complicated
and is potentially unavailable to plugins that do not have access to
the master key.  Instead, store the master key list in the dal_handle
whenever it is fetched and permit a NULL master key for
krb5_dbe_decrypt_key_data.

* Remove APIs for krb5_db_{get|set}_mkey_list
* krb5_db_fetch_mkey_list: memoize master key list in dal_handle
* krb5_db_free_mkey_list: don't free the memoized list; arrange for it to be freed later
* krb5_dbe_decrypt_key_data: Search for correct master key on NULL argument
* change call sites to take advantage

ticket: 6778

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@24314 dc483132-0cff-0310-8789-dd5450dbe970
13 files changed:
src/include/kdb.h
src/kadmin/server/ovsec_kadmd.c
src/kdc/do_as_req.c
src/kdc/do_tgs_req.c
src/kdc/kdc_preauth.c
src/kdc/kdc_util.c
src/kdc/main.c
src/lib/kadm5/srv/svr_principal.c
src/lib/kdb/kdb5.c
src/lib/kdb/kdb5.h
src/lib/kdb/keytab.c
src/lib/kdb/libkdb5.exports
src/tests/verify/kdb5_verify.c