rd_req_decoded: clarify behavior in comment
authorSam Hartman <hartmans@mit.edu>
Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)
committerSam Hartman <hartmans@mit.edu>
Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)
git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@24257 dc483132-0cff-0310-8789-dd5450dbe970

src/lib/krb5/krb/rd_req_dec.c

index 014002981b9f7ee8c69781e45b385dfff1cc9260..9bc7c42f902f7df510a4264430bbba1dbd9c1ba1 100644 (file)
  *
  *  server specifies the expected server's name for the ticket; if NULL, then
  *  any server will be accepted if the key can be found, and the caller should
- *  verify that the principal is something it trusts.
+ *  verify that the principal is something it trusts. With the exception of the
+ *  kdb keytab, the ticket's server field need not match the name passed in for
+ *  server. All that is required is that the ticket be encrypted with a key
+ *  from the keytab associated with the specified server principal. This
+ *  permits the KDC to have a set of aliases for the server without keeping
+ *  this information consistent with the server. So, when server is non-null,
+ *  the principal expected by the application needs to be consistent with the
+ *  local keytab, but not with the informational name in the ticket.
  *
  *  rcache specifies a replay detection cache used to store authenticators and
  *  server names