rd_req_decoded: clarify behavior in comment

author Sam Hartman <hartmans@mit.edu>

Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)

committer Sam Hartman <hartmans@mit.edu>

Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)
author Sam Hartman <hartmans@mit.edu>
Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)
committer Sam Hartman <hartmans@mit.edu>
Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)
diff --git a/src/lib/krb5/krb/rd_req_dec.c b/src/lib/krb5/krb/rd_req_dec.c

index 014002981b9f7ee8c69781e45b385dfff1cc9260..9bc7c42f902f7df510a4264430bbba1dbd9c1ba1 100644 (file)
--- a/src/lib/krb5/krb/rd_req_dec.c
+++ b/src/lib/krb5/krb/rd_req_dec.c
@@ -44,7 +44,14 @@
   *
   *  server specifies the expected server's name for the ticket; if NULL, then
   *  any server will be accepted if the key can be found, and the caller should
- *  verify that the principal is something it trusts.
+ *  verify that the principal is something it trusts. With the exception of the
+ *  kdb keytab, the ticket's server field need not match the name passed in for
+ *  server. All that is required is that the ticket be encrypted with a key
+ *  from the keytab associated with the specified server principal. This
+ *  permits the KDC to have a set of aliases for the server without keeping
+ *  this information consistent with the server. So, when server is non-null,
+ *  the principal expected by the application needs to be consistent with the
+ *  local keytab, but not with the informational name in the ticket.
   *
   *  rcache specifies a replay detection cache used to store authenticators and
   *  server names
author	Sam Hartman <hartmans@mit.edu>
	Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)
committer	Sam Hartman <hartmans@mit.edu>
	Wed, 25 Aug 2010 23:31:59 +0000 (23:31 +0000)