Default to crypt mode for unix clients 68/12668/3
authorBenjamin Kaduk <kaduk@mit.edu>
Mon, 31 Jul 2017 01:57:05 +0000 (20:57 -0500)
committerBenjamin Kaduk <kaduk@mit.edu>
Sat, 5 Aug 2017 22:47:04 +0000 (18:47 -0400)
Though the protection offered by rxkad, even with rxkad-k5 and rxkad-kdf, is
insufficient to protect traffic from a determined attacker, it remains the
case that the internet is not a safe place for user data to travel in the
clear, and has not been for a long time.  The Windows client encrypts by
default, and all or nearly all the Unix client packaging scripts set crypt
mode by default.  Catch up to reality and default to crypt mode in the
Unix cache manager.

Change-Id: If0061ddca3bedf0df1ade8cb61ccb710ec1181d4
Reviewed-on: https://gerrit.openafs.org/12668
Reviewed-by: Benjamin Kaduk <kaduk@mit.edu>
Tested-by: BuildBot <buildbot@rampaginggeek.com>

NEWS
src/afs/afs_conn.c

diff --git a/NEWS b/NEWS
index a9b6ca4..55cd568 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -268,6 +268,10 @@ OpenAFS 1.8.0pre2
 
   All Client Platforms
 
+    * Use rxkad_crypt by default for connections to fileservers.  This matches
+      the existing behavior of the Windows client and has been applied by
+      the distribution packaging on many platforms already.
+
     * Add support for relative ACL changes with fs setacl. If a single plus (+)
       or minus (-) character is appended to the rights' letters argument, the
       new rights are computed relatively to the existing ones.
index 56515c8..92e560c 100644 (file)
@@ -44,7 +44,7 @@
 /* Exported variables */
 afs_rwlock_t afs_xconn;                /* allocation lock for new things */
 afs_rwlock_t afs_xinterface;   /* for multiple client address */
-afs_int32 cryptall = 0;                /* encrypt all communications */
+afs_int32 cryptall = 1;                /* encrypt all communications */
 
 /* some connection macros */