afs-superuser-foreign-realm-checks-20010514
authorNathan Neulinger <nneul@umr.edu>
Mon, 14 May 2001 23:56:33 +0000 (23:56 +0000)
committerDerrick Brashear <shadow@dementia.org>
Mon, 14 May 2001 23:56:33 +0000 (23:56 +0000)
commite69d27e8f0169f1e792887305b130e5fd2a7a4af
tree56e46c5d937363921653079e0797554ae60c503e
parente85c2defa41ece194c9afdbe5aefae58b372d8bb
afs-superuser-foreign-realm-checks-20010514

This rewrite cleans up the code a bit, removes any athena specific
references (not needed anymore in this version), and adds support for
multi realm management of afs servers (you can now specify
"admin@OTHERREALM" in your userlist).

Code now checks as follows:

tname
tinst  - remote user info from conn
tcell
lcell - local cell
lrealm - local realm (defaults to lcell if not avail)

if no remote cell or instance
        allow localauth
if the cell of the remote connection matches local cell or local realm
        if not tinst
                allow if tname in UserList
        if tinst
                allow if tname.tinst in UserList
if cell doesn't match local cell or realm
        if not tinst
                allow if tname@cell in UserList
                allow if tname@CELL in UserList
        if tinst
                allow if tname.tinst@cell in UserList
                allow if tname.tinst@CELL in UserList

modified per openafs-devel discussion such that krb5 versions (/tinst
rather than .tinst) code path disabled for now
src/auth/userok.c