README

   1                    Kerberos Version 5, Release 1.9
   2
   3                             Release Notes
   4                         The MIT Kerberos Team
   5
   6 Copyright and Other Notices
   7 ---------------------------
   8
   9 Copyright (C) 1985-2010 by the Massachusetts Institute of Technology
  10 and its contributors.  All rights reserved.
  11
  12 Please see the file named NOTICE for additional notices.
  13
  14 Building and Installing Kerberos 5
  15 ----------------------------------
  16
  17 The first file you should look at is doc/install-guide.ps; it contains
  18 the notes for building and installing Kerberos 5.  The info file
  19 krb5-install.info has the same information in info file format.  You
  20 can view this using the GNU emacs info-mode, or by using the
  21 standalone info file viewer from the Free Software Foundation.  This
  22 is also available as an HTML file, install.html.
  23
  24 Other good files to look at are admin-guide.ps and user-guide.ps,
  25 which contain the system administrator's guide, and the user's guide,
  26 respectively.  They are also available as info files
  27 kerberos-admin.info and krb5-user.info, respectively.  These files are
  28 also available as HTML files.
  29
  30 If you are attempting to build under Windows, please see the
  31 src/windows/README file.
  32
  33 Reporting Bugs
  34 --------------
  35
  36 Please report any problems/bugs/comments using the krb5-send-pr
  37 program.  The krb5-send-pr program will be installed in the sbin
  38 directory once you have successfully compiled and installed Kerberos
  39 V5 (or if you have installed one of our binary distributions).
  40
  41 If you are not able to use krb5-send-pr because you haven't been able
  42 compile and install Kerberos V5 on any platform, you may send mail to
  43 krb5-bugs@mit.edu.
  44
  45 You may view bug reports by visiting
  46
  47 http://krbdev.mit.edu/rt/
  48
  49 and logging in as "guest" with password "guest".
  50
  51 DES transition
  52 --------------
  53
  54 The Data Encryption Standard (DES) is widely recognized as weak.  The
  55 krb5-1.7 release contains measures to encourage sites to migrate away
  56 from using single-DES cryptosystems.  Among these is a configuration
  57 variable that enables "weak" enctypes, which defaults to "false"
  58 beginning with krb5-1.8.
  59
  60 Major changes in 1.9
  61 --------------------
  62
  63 Code quality:
  64
  65 * Python-based testing framework
  66 * DAL cleanup
  67
  68 Developer experience:
  69
  70 * NSS crypto back end
  71 * PRNG modularity
  72 * Fortuna-like PRNG
  73
  74 Performance:
  75
  76 * Account lockout performance improvements
  77
  78 Administrator experience:
  79
  80 * Trace logging
  81 * Plugin interface for password sync
  82 * Plugin interface for password quality checks
  83 * Configuration file validator
  84 * KDC support for SecurID preauthentication
  85
  86 Protocol evolution:
  87
  88 * IAKERB
  89 * Camellia encryption (experimental; disabled by default)
  90
  91 krb5-1.9 changes by ticket ID
  92 -----------------------------
  93
  94 1219    mechanism to delete old keys should exist
  95 2032    No advanced warning of password expiry
  96 5014    kadmin (and other utilities) should report enctypes as it takes them
  97 6647    Memory leak in kdc
  98 6672    Python test framework
  99 6679    Lazy history key creation
 100 6684    Simple kinit verbosity patch
 101 6686    IPv6 support for kprop and kpropd
 102 6688    mit-krb5-1.7 fails to compile against openssl-1.0.0
 103 6699    Validate and renew should work on non-TGT creds
 104 6700    Introduce new krb5_tkt_creds API
 105 6712    Add IAKERB mechanism and gss_acquire_cred_with_password
 106 6714    [patch] fix format errors in krb5-1.8.1
 107 6715    cksum_body exports
 108 6719    Add lockout-related performance tuning variables
 109 6720    Negative enctypes improperly read from keytabs
 110 6723    Negative enctypes improperly read from ccaches
 111 6733    Make signedpath authdata visible via GSS naming exts
 112 6736    Add krb5_enctype_to_name() API
 113 6737    Trace logging
 114 6746    Make kadmin work over IPv6
 115 6749    DAL improvements
 116 6753    Fix XDR decoding of large values in xdr_u_int
 117 6755    Add GIC option for password/account expiration callback
 118 6758    Allow krb5_gss_register_acceptor_identity to unset keytab name
 119 6760    Fail properly when profile can't be accessed
 120 6761    add profile include support
 121 6762    key expiration computed incorrectly in libkdb_ldap
 122 6763    New plugin infrastructure
 123 6765    Password quality pluggable interface
 124 6769    clean up memory leak and potential unused variable in crypto tests
 125 6771    Fix memory leaks in kdb5_verify
 126 6772    Ensure valid key in krb5int_yarrow_cipher_encrypt_block
 127 6774    pkinit client cert matching can be disrupted by one of the
 128         candidate certs
 129 6775    pkinit <KU> evaluation during certificate matching may fail
 130 6776    Typos in src/plugins/preauth/pkinit/pkinit_crypto_openssl.c
 131 6777    Segmentation fault in krb library (sn2princ.c) if realm not resolved
 132 6778    kdb: store mkey list in context and permit NULL mkey for
 133         kdb_dbe_decrypt_key_data
 134 6779    kinit: add KDB keytab support
 135 6783    KDC worker processes feature
 136 6784    relicense Sun RPC to 3-clause BSD-style
 137 6785    Add gss_krb5_import_cred
 138 6786    kpasswd: if a credential cache is present, use FAST
 139 6787    S4U memory leak
 140 6791    kadm5_hook: new plugin interface
 141 6792    Implement k5login_directory and k5login_authoritative options
 142 6793    acquire_init_cred leaks interned name
 143 6795    Propagate modprinc -unlock from master to slave KDCs
 144 6796    segfault due to uninitialized variable in S4U
 145 6799    Performance issue in LDAP policy fetch
 146 6801    Fix leaks in get_init_creds interface
 147 6802    copyright notice updates
 148 6804    Remove KDC replay cache
 149 6805    securID code fixes
 150 6806    securID error handling fix
 151 6807    SecurID build support
 152 6809    gss_krb5int_make_seal_token_v3_iov fails to set conf_state
 153 6810    Better  libk5crypto NSS fork safety
 154 6811    Mark Camellia-CCM code as experimental
 155 6812    krb5_get_credentials should not fail due to inability to store
 156         a credential in a cache
 157 6815    Failed kdb5_util load removes real database
 158 6819    Handle referral realm in kprop client principal
 159 6820    Read KDC profile settings in kpropd
 160 6822    Implement Camellia-CTS-CMAC instead of Camellia-CCM
 161 6823    getdate.y: declare yyparse
 162 6824    Export krb5_tkt_creds_get
 163 6825    Add missing KRB5_CALLCONV in callback declaration
 164 6826    Fix Windows build
 165 6827    SA-2010-007 Checksum vulnerabilities (CVE-2010-1324 and others)
 166 6828    Install kadm5_hook_plugin.h
 167 6829    Implement restrict_anonymous_to_tgt realm flag
 168
 169 Acknowledgements
 170 ----------------
 171
 172 Past and present Sponsors of the MIT Kerberos Consortium:
 173
 174     Apple
 175     Carnegie Mellon University
 176     Centrify Corporation
 177     Columbia University
 178     Cornell University
 179     The Department of Defense of the United States of America (DoD)
 180     Google
 181     Iowa State University
 182     MIT
 183     Michigan State University
 184     Microsoft
 185     The National Aeronautics and Space Administration
 186         of the United States of America (NASA)
 187     Network Appliance (NetApp)
 188     Nippon Telephone and Telegraph (NTT)
 189     Oracle
 190     Pennsylvania State University
 191     Red Hat
 192     Stanford University
 193     TeamF1, Inc.
 194     The University of Alaska
 195     The University of Michigan
 196     The University of Pennsylvania
 197
 198 Past and present members of the Kerberos Team at MIT:
 199
 200     Danilo Almeida
 201     Jeffrey Altman
 202     Justin Anderson
 203     Richard Basch
 204     Mitch Berger
 205     Jay Berkenbilt
 206     Andrew Boardman
 207     Bill Bryant
 208     Steve Buckley
 209     Joe Calzaretta
 210     John Carr
 211     Mark Colan
 212     Don Davis
 213     Alexandra Ellwood
 214     Dan Geer
 215     Nancy Gilman
 216     Matt Hancher
 217     Thomas Hardjono
 218     Sam Hartman
 219     Paul Hill
 220     Marc Horowitz
 221     Eva Jacobus
 222     Miroslav Jurisic
 223     Barry Jaspan
 224     Geoffrey King
 225     Kevin Koch
 226     John Kohl
 227     HaoQi Li
 228     Peter Litwack
 229     Scott McGuire
 230     Steve Miller
 231     Kevin Mitchell
 232     Cliff Neuman
 233     Paul Park
 234     Ezra Peisach
 235     Chris Provenzano
 236     Ken Raeburn
 237     Jon Rochlis
 238     Jeff Schiller
 239     Jen Selby
 240     Robert Silk
 241     Bill Sommerfeld
 242     Jennifer Steiner
 243     Ralph Swick
 244     Brad Thompson
 245     Harry Tsai
 246     Zhanna Tsitkova
 247     Ted Ts'o
 248     Marshall Vale
 249     Tom Yu
 250
 251 The following external contributors have provided code, patches, bug
 252 reports, suggestions, and valuable resources:
 253
 254     Brandon Allbery
 255     Russell Allbery
 256     Brian Almeida
 257     Michael B Allen
 258     Derek Atkins
 259     David Bantz
 260     Alex Baule
 261     Arlene Berry
 262     Jeff Blaine
 263     Radoslav Bodo
 264     Emmanuel Bouillon
 265     Michael Calmer
 266     Ravi Channavajhala
 267     Srinivas Cheruku
 268     Leonardo Chiquitto
 269     Howard Chu
 270     Andrea Cirulli
 271     Christopher D. Clausen
 272     Kevin Coffman
 273     Simon Cooper
 274     Sylvain Cortes
 275     Nalin Dahyabhai
 276     Roland Dowdeswell
 277     Jason Edgecombe
 278     Mark Eichin
 279     Shawn M. Emery
 280     Douglas E. Engert
 281     Peter Eriksson
 282     Ronni Feldt
 283     Bill Fellows
 284     JC Ferguson
 285     William Fiveash
 286     Ákos Frohner
 287     Marcus Granado
 288     Scott Grizzard
 289     Steve Grubb
 290     Philip Guenther
 291     Dominic Hargreaves
 292     Jakob Haufe
 293     Jeff Hodges
 294     Love Hörnquist Åstrand
 295     Ken Hornstein
 296     Henry B. Hotz
 297     Luke Howard
 298     Jakub Hrozek
 299     Shumon Huque
 300     Jeffrey Hutzelman
 301     Wyllys Ingersoll
 302     Holger Isenberg
 303     Pavel Jindra
 304     Joel Johnson
 305     Mikkel Kruse
 306     Volker Lendecke
 307     Jan iankko Lieskovsky
 308     Ryan Lynch
 309     Franklyn Mendez
 310     Markus Moeller
 311     Paul Moore
 312     Zbysek Mraz
 313     Edward Murrell
 314     Nikos Nikoleris
 315     Dmitri Pal
 316     Javier Palacios
 317     Ezra Peisach
 318     W. Michael Petullo
 319     Mark Phalan
 320     Robert Relyea
 321     Martin Rex
 322     Jason Rogers
 323     Mike Roszkowski
 324     Guillaume Rousse
 325     Tom Shaw
 326     Peter Shoults
 327     Simo Sorce
 328     Michael Ströder
 329     Bjørn Tore Sund
 330     Rathor Vipin
 331     Jorgen Wahlsten
 332     Max (Weijun) Wang
 333     John Washington
 334     Marcus Watts
 335     Simon Wilkinson
 336     Nicolas Williams
 337     Ross Wilper
 338     Xu Qiang
 339     Hanz van Zijst
 340
 341 The above is not an exhaustive list; many others have contributed in
 342 various ways to the MIT Kerberos development effort over the years.
 343 Other acknowledgments (for bug reports and patches) are in the
 344 doc/CHANGES file.