If channel bindings are supplied to server require them to be matched
authorSam Hartman <hartmans@mit.edu>
Wed, 9 Jun 2004 18:30:01 +0000 (18:30 +0000)
committerSam Hartman <hartmans@mit.edu>
Wed, 9 Jun 2004 18:30:01 +0000 (18:30 +0000)
commitb41642b58f850e8a2138bed343a82c3669ff2a57
tree2e0882d29a9b9d93c1f0a15e1795c17b91e94109
parentfaf3a79c6cdfe398225f5eba755eeea7b80a45ad
If channel bindings are supplied to server require them to be matched

Based on discussion on kerberos@mit.edu, the decision to allow null
channel bindings from a client to match even when server channel
bindings are supplied is flawed.  This decision assumes that we cannot
get server implementations to change even though we are able to deploy
a new Kerberos implementation on the server.  In practice the server
implementations in question have actually changed and so the only part
of revision 1.54 of accept_sec_context.c we actually need is the code
to ignore channel bindings if null channel bindings are passed into
the server.  Thus the change to allow null channel bindings from the
client to match against any channel bindings on the server is backed
out.

Ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@16427 dc483132-0cff-0310-8789-dd5450dbe970
src/lib/gssapi/krb5/ChangeLog
src/lib/gssapi/krb5/accept_sec_context.c