handle MS PACs that lack server checksum
authorTom Yu <tlyu@mit.edu>
Tue, 14 Dec 2010 23:25:13 +0000 (23:25 +0000)
committerTom Yu <tlyu@mit.edu>
Tue, 14 Dec 2010 23:25:13 +0000 (23:25 +0000)
commite48a0cd64c74b253527cb172d4b8e5325352d0e7
tree7d30ac46a1136f1463c78344071bbe82015196ca
parentbac36d1fd252ac8b3cb8bfa3855f20762635cd50
handle MS PACs that lack server checksum

backport r24564 from trunk

 ------------------------------------------------------------------------
 r24564 | tlyu | 2010-12-09 20:06:26 -0500 (Thu, 09 Dec 2010) | 18 lines

 ticket: 6839
 subject: handle MS PACs that lack server checksum
 target_version 1.9
 tags: pullup

 Apple Mac OS X Server's Open Directory KDC issues MS PAC like
 authorization data that lacks a server checksum.  If this checksum is
 missing, mark the PAC as unverfied, but allow
 krb5int_authdata_verify() to succeed.  Filter out the unverified PAC
 in subsequent calls to krb5_authdata_get_attribute().  Add trace
 points to indicate where this behavior occurs.

 Thanks to Helmut Grohne for help with analysis.  This bug is also
 Debian Bug #604925:
 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=604925

 This change should also get backported to krb5-1.8.x.

ticket: 6843
version_fixed: 1.8.4
status: resolved

git-svn-id: svn://anonsvn.mit.edu/krb5/branches/krb5-1-8@24574 dc483132-0cff-0310-8789-dd5450dbe970
src/lib/krb5/krb/pac.c