kpasswd: if a credential cache is present, use FAST
authorSam Hartman <hartmans@mit.edu>
Mon, 27 Sep 2010 17:16:41 +0000 (17:16 +0000)
committerSam Hartman <hartmans@mit.edu>
Mon, 27 Sep 2010 17:16:41 +0000 (17:16 +0000)
commitada3888720a105825b91c4f6aee68ce66489264d
treebf6fa81e93daf29fa021df02da0fa9dc48ec2d9e
parent312b5a3b38c6df9b55fc1c3ac58abe8f9f590cea
kpasswd: if a credential cache is present, use FAST

If a credentials cache is available, use it as an armor cache to enable FAST negotiation for kpasswd. This requires an attacker to attack both the user's long-term key for the old password as well as the ticket used for the armor cache in order to attack the password change. Depending on how the armor ticket is obtained, this may provide limited value. However, it provides users an easy option if they are concerned about their current password. Users can kinit with one principal to help protect changing the password of another principal.

* krb5_get_init_creds_opt_set_fast_ccache: new API to set fast ccache based on a krb5_ccache object rather than a resolvable string

* kpasswd: always open the current credential cache even if not needed
  for determining the principal. If the cache has tickets, use it as
  an armor cache.

* tests/dejagnu/krb-standalone/kadmin.exp: Arrange to test new code path

ticket: 6786

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@24359 dc483132-0cff-0310-8789-dd5450dbe970
src/clients/kpasswd/kpasswd.c
src/include/krb5/krb5.hin
src/lib/krb5/krb/gic_opt.c
src/lib/krb5/libkrb5.exports
src/tests/dejagnu/krb-standalone/kadmin.exp