Eliminate domain-based client realm walk
authorGreg Hudson <ghudson@mit.edu>
Wed, 28 Sep 2011 17:03:15 +0000 (17:03 +0000)
committerGreg Hudson <ghudson@mit.edu>
Wed, 28 Sep 2011 17:03:15 +0000 (17:03 +0000)
commitb72aef2c1cbcc76f7fba14ddc54a4e66e7a4e66c
tree37a80969b8a7c84a14d189f4bd803c97235a9c6c
parente3a33e5bb36c02c6646f80e3a8dd17532f4e3756
Eliminate domain-based client realm walk

For a very long time, KDCs have known how to perform a domain-based
realm walk when serving requests for TGTs.  (So if a KDC for A.B.C
receives a request for krbtgt/X.B.C and doesn't have that principal,
it can return one for krbtgt/B.C instead.)  Performing the same
heuristic on the client is unnecessary and inefficient in common
cases.

Add a new function k5_client_realm_path to walk_rtree.c which uses
capaths values only, and returns a list of realms (as desired by
get_creds.c) instead of TGT names.

ticket: 6966

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@25241 dc483132-0cff-0310-8789-dd5450dbe970
src/include/k5-int.h
src/lib/krb5/krb/get_creds.c
src/lib/krb5/krb/walk_rtree.c