Add t_cccursor to UNIX tests

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19075 dc483132-0cff-0310-8789-dd5450dbe970

Added KDC timesyncing support to the CCAPI ccache backend for CCAPI v5 and
later.  v5 is the first version of the CCAPI to support the kdc timesyncing
API.

ticket: 5403

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19071 dc483132-0cff-0310-8789-dd5450dbe970

In addition to setting the kpasswd port after
searching for kadmind host addresses we must also
set the socket type according to the request.

ticket: 5393
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19070 dc483132-0cff-0310-8789-dd5450dbe970

NIM Kerberos 5 Provider corrections

When validating a Kerberos 5 principal name, the request
to the KDC should not request forwardable, renewable, or
proxiable options as these may be blocked by policy and
will result in the return of an error.

Always treat the Kerberos 5 principal name as valid
unless the KDC returns an error that clearly indicates that
the principal name does not exist.

Use a MEMORY: ccache for temporary storage instead of an
API: ccache.

Initialize pointer values with NULL instead of 0.

ticket: new
tags: pullup
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19069 dc483132-0cff-0310-8789-dd5450dbe970

NIM Correct Visual Identity Expiration Status

The visual status for the identities in NIM 1.1 was based
upon the highest alert status of any credential that was
associated with the identity.  The correct behavior that is
now implemented is that the identity status should be based
solely upon the expiration state of the credentials obtained
by the identity provider.

For example, the Kerberos v5 identity provider will based the
identity expiration status on the initial TGT.  Service tickets
with short lifetimes that expire do not prevent the acquisition
of additional service tickets.  Therefore, the identity should
not be listed as expired.

ticket: new
tags: pullup
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19068 dc483132-0cff-0310-8789-dd5450dbe970

NIM Kerberos v4 configuration dialog

The Kerberos v4 options for individual identities
was never wired.  The controls were visible but they
did not do anything.  Implement them now for NIM 1.2.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19067 dc483132-0cff-0310-8789-dd5450dbe970

NIM string tables

Update the string tables for NIM so that they are consistent.
Always use "Kerberos v5" or "Kerberos v4".  Refer to credentials
instead of tickets.  Do not abbreviate "Network Identity Manager".
Etc.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19066 dc483132-0cff-0310-8789-dd5450dbe970

   sendto_kdc.c: use of a variable index into a dynamically
allocated array to determine the sizeof() an object makes
it unclear what type of object is involved.  It also requires
a runtime check instead of a compile time replacement.
Not to mention that it could lead to the evaluation of an
uninitialized variable as was done in this case.  Replace
sizeof(array index variable) with sizeof(type).

memset() the correct data structure.

ticket: 5394
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19065 dc483132-0cff-0310-8789-dd5450dbe970

* t_cccursor.c (do_chk): Reverse sense of test of do_chk_one return value

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19064 dc483132-0cff-0310-8789-dd5450dbe970

Fix typo in checked-in version

ticket: 5349

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19063 dc483132-0cff-0310-8789-dd5450dbe970

  This commit adds two new functions, krb5_server_decrypt_ticket_keyblock
  (private) and krb5_server_decrypt_ticket_keytab (public).  These
  functions take a krb5_ticket as input and decrypt it using the provided
  key data.  The public function is useful for higher level application
  protocols such a TLS-KRB5 and AFS RX-KRB5 which exchange a service
  but do not use the AP-REQ/AP-REP messages.

  This commit also adds new functionality to kvno which permits kvno
  when provided a keytab as input to verify whether or not the keytab
  contains a key that can successfully decrypt the obtains service ticket.

ticket: 5349
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19062 dc483132-0cff-0310-8789-dd5450dbe970

kfw wix installer - memory overwrite error

   The custom handler allocates a buffer that is smaller
than is required to hold the input.  Allocate the correct
  sized buffer.

ticket: new
tags: pullup
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19061 dc483132-0cff-0310-8789-dd5450dbe970

Update to KFW NSIS installer

Update copyright date, samples directory, and shortcut
to NetIDMgr documentation

ticket: new
component: windows
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19060 dc483132-0cff-0310-8789-dd5450dbe970

updated Windows README

Revise the readme text for Windows.  Remove references
to old beta SDKs.

ticket: new
tags: pullup
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19059 dc483132-0cff-0310-8789-dd5450dbe970

krb5-1.7-prerelease

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19056 dc483132-0cff-0310-8789-dd5450dbe970

MITKRB5-SA-2006-003: mechglue argument handling too lax

Fix mechglue argument checks so that output pointers are always
initialized regardless of whether the other arguments fail to validate
for some reason.  This avoids freeing of uninitialized pointers.

Initialize the gss_buffer_descs in ovsec_kadmd.c.

ticket: new
target_version: 1.6
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19043 dc483132-0cff-0310-8789-dd5450dbe970

MITKRB5-SA-2006-002: svctcp_destroy() can call uninitialized function pointer

Explicitly null out xprt->xp_auth when AUTH_GSSAPI is being used, so
that svctcp_destroy() will not call through an uninitialized function
pointer after code in svc_auth_gssapi.c has destroyed expired state
structures.  We can't unconditionally null it because the RPCSEC_GSS
implementation needs it to retrieve state.

ticket: new
target_version: 1.6
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19042 dc483132-0cff-0310-8789-dd5450dbe970

create KDC database directory

The default directory for the KDC database files doesn't exist after a
normal "make install".  Reported by Jeff Blaine.

* Makefile.in (INSTALLMKDIRS): Add var (really localstatedir) and var/krb5kdc
to directories to be created at "make install" time, even though it'll be
empty on most machines (since most probably aren't KDCs).

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19039 dc483132-0cff-0310-8789-dd5450dbe970

crash creating db2 database in non-existent directory

* kdb_db2.c (krb5_db2_db_create): If the creation of the first database file
fails, return the error, instead of attempting to create the second (and using
a null pointer as an input string in formatting a filename).

Reported by Jeff Blaine.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19038 dc483132-0cff-0310-8789-dd5450dbe970

* lib.in (clean-libs): Delete darwin.exports and hpux10.exports.
* libnover.in (clean-libs): Use $(DYNOBJEXT) instead of $(SHLIBEXT) for
extension on object to delete.  Also delete darwin.exports and hpux10.exports.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19037 dc483132-0cff-0310-8789-dd5450dbe970

Document what the kadmind ACL is for

Add a sentence documenting the purpose of the kadmind ACL to the node
explaining how to create it.

Ticket: 5279
Component: krb5-doc
Version_Reported: 1.5.1
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19036 dc483132-0cff-0310-8789-dd5450dbe970

Document KDC behavior without stash file

After the discussion of the optional stash file, document the effects of
not creating a stash file.

ticket: new
Component: krb5-doc
Version_Reported: 1.5.1
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19035 dc483132-0cff-0310-8789-dd5450dbe970

* ldap_principal.c (attributes_set): Swap first two elements

Also add comments indicating that this array and the KDB_*_ATTR macros
need to be in sync.

ticket: 5260

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19031 dc483132-0cff-0310-8789-dd5450dbe970

update ldap/Makefile.in for newer autoconf substitution requirements

The other makefile.in files have had the makefile-fragment
substitution lines updated to not have "#" at the front, because some
recent versions of autoconf require that the @-pattern start at the
beginning of the line.  We missed plugins/kdb/ldap/Makefile.in at the
time.

Patch from Michael Calmer.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19030 dc483132-0cff-0310-8789-dd5450dbe970

* Makefile.in (install): Install kdb5_ldap_util.M.  Based on patch from
Michael Calmer.

ticket: 3906
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19029 dc483132-0cff-0310-8789-dd5450dbe970

* kdc_util.h (CONVERT_INTO_DB, CONVERT_OUTOF_DB): Unused macros deleted

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19025 dc483132-0cff-0310-8789-dd5450dbe970

Memory leak in tests/gssapi/t_imp_name.c

Memory leak by not releasing name_oid from gss_display_name().
(conditional on GSSAPI_V2 being defined).

ticket:new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19024 dc483132-0cff-0310-8789-dd5450dbe970

Repair broken links in NetIdMgr Help

  A small number of links contained the wrong root directory.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19023 dc483132-0cff-0310-8789-dd5450dbe970

If gss_krb5int_unseal_token_v3() unwraps a message of length 0 - free
memory and return in message_buffer a NULL pointer for value.  This
is consistant with gss_release_buffer in the mechglue implementation in which
memory is only freed if the buffer length != 0.

ticket: 5233
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19022 dc483132-0cff-0310-8789-dd5450dbe970

memory leak if defective header present in gss_krb5int_unseal_token_v3

If after unsealing the message, the TOK_ID is not 05 04, free memory
before returning a defective token error.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19021 dc483132-0cff-0310-8789-dd5450dbe970

Fix typo in user-guide.texinfo

Typo fix (network instead of netword).  Thanks, Matt Zagrabelny.

Ticket: new
Component: krb5-doc
Version_Reported: 1.4.4
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19020 dc483132-0cff-0310-8789-dd5450dbe970

* copy_data.c (krb5_copy_data): Use krb5int_copy_data_contents

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19019 dc483132-0cff-0310-8789-dd5450dbe970

* cc_memory.c (krb5_mcc_next_cred): Use krb5int_copy_creds_contents

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19018 dc483132-0cff-0310-8789-dd5450dbe970

* lib/krb5/krb/copy_creds.c (krb5int_copy_creds_contents): New function, split
out from krb5_copy_creds.
(krb5_copy_creds): Call it.
* include/k5-int.h (krb5int_copy_creds_contents): Declare.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19017 dc483132-0cff-0310-8789-dd5450dbe970

comment the various data structures

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19016 dc483132-0cff-0310-8789-dd5450dbe970

Some related changes were already in, and I found a couple more to make:

* ldap_realm.c (ldap_filter_correct): Change string argument to char *.  Delete
length argument, which was always strlen of the string argument, and compute
it locally, using size_t instead of (unsigned) int for length-related values.
Update all calls.

* ldap_realm.h (ldap_filter_correct): Updated declaration.

* ldap_misc.c (remove_overlapping_subtrees): Add forward declaration.  Make
static.
(is_principal_in_realm): Change local variable defrealmlen to size_t.
(store_tl_data): Change local variable curr to point to unsigned char, since
that's what the tl_data_contents array is declared as, and what the STORE16_INT
macro is happier with.
(krb5_ldap_get_reference_count): Make local variable i unsigned.

ticket: 4453
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19009 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/get_in_tkt.c (krb5_get_init_creds): Fix
ordering bug in previous patch.

ticket: 5123

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19007 dc483132-0cff-0310-8789-dd5450dbe970

don't split HTML output from makeinfo

* doc/Makefile (HTML): To avoid generating excessively long
filenames, don't split HTML output.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19002 dc483132-0cff-0310-8789-dd5450dbe970

misc cleanups in admin guide ldap sections

There are a bunch of instances of incorrect punctuation, inconsistent
use of @-commands with option names, typos in names of principal
flags, and a couple spelling errors.  I only fixed what I noticed; I
haven't subjected the rest to careful review.

Also, the long section names for eDirectory-specific documentation
cause the tar files generated for snapshots (which include generated
html docs) to reach the 100-character limit for file names in
traditional tar format; GNU tar can create archives holding them, but
older tar implementations cannot read the archives properly.  So,
several eDirectory-related section names have been shortened.

ticket: new
target: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19001 dc483132-0cff-0310-8789-dd5450dbe970

Merge r18962 to trunk, with minor tweaks; ready to merge to 1.6 branch

Changes fix up some sample names used, remove some options described
from certain commands, and fix filling in man pages.

ticket: 5116

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19000 dc483132-0cff-0310-8789-dd5450dbe970

use KRB5KRB_ERR_GENERIC, not KRB_ERR_GENERIC in preauth2.c

* src/lib/krb5/krb/preauth2.c (krb5_do_preauth_tryagain): Use
KRB5KRB_ERR_GENERIC, not KRB_ERR_GENERIC.

ticket: new
target_version: 1.6
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18977 dc483132-0cff-0310-8789-dd5450dbe970

don't pass null pointer to krb5_do_preauth_tryagain()

* src/lib/krb5/krb/get_in_tkt.c (krb5_get_init_creds): If
the error isn't PREAUTH_NEEDED and preauth_to_use is null, return
the error in err_reply, rather than attempting to pass a null
pointer to krb5_do_preauth_tryagain().

ticket: new
status: open
target_version: 1.6

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18976 dc483132-0cff-0310-8789-dd5450dbe970

ktfns.c (krb5_kt_get_entry): If the supplied server principal has an empty
realm name, replace it with the default realm, in a private copy.

ticket: 5121
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18975 dc483132-0cff-0310-8789-dd5450dbe970

krb5_is_referral_realm now takes a pointer to const krb5_data, since it doesn't
modify it.

ticket: 5121
status: open

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18974 dc483132-0cff-0310-8789-dd5450dbe970

Use __extension__ if initializing by field name and using GCC in pre-C99 mode

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18973 dc483132-0cff-0310-8789-dd5450dbe970

(k5_mutex_lock_update_stats) [!DEBUG_THREADS_STATS && __GNUC__]: Declare
arguments with "unused" attribute.
(k5_pthread_mutex_lock) [DEBUG_THREADS && __GNUC__]: Use __extension__.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18972 dc483132-0cff-0310-8789-dd5450dbe970

export krb5_get_init_creds_opt_set_change_password_prompt

ticket: 5090

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18970 dc483132-0cff-0310-8789-dd5450dbe970

krb5_rc_io_open_internal on error will call close(-1)

If there is an error in opening the replay cache - memory is freed, but
close() is invoked with -1 (failure from open()).  While technically,
close() will return EBADF in such a case, and nothing bad will happen,
valgrind picks up on this and provides an error...

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18961 dc483132-0cff-0310-8789-dd5450dbe970

Inovke krb5_rc_close to shutdown cache - and check for memory leaks

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18960 dc483132-0cff-0310-8789-dd5450dbe970

Restore inadvertently deleted section.  Minor editorial changes

ticket: 5027

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18957 dc483132-0cff-0310-8789-dd5450dbe970

pull up r18933 to trunk

 r18933@cathode-dark-space:  rsavitha | 2006-12-08 04:37:01 -0500
 ticket: new
 subject: admin guide changes for the LDAP backend
 Target_Version: 1.6
 Tags: pullup

 Added LDAP backend related information to the admin guide

ticket: 5027

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18956 dc483132-0cff-0310-8789-dd5450dbe970

Add -clearpolicy to kadmin addprinc usage

Add -clearpolicy to the usage message returned by kadmin when one types
addprinc without any arguments.

ticket: new
Component: krb5-admin
Version_Reported: 1.4.4
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18955 dc483132-0cff-0310-8789-dd5450dbe970

krb5_get_init_creds_opt_set_change_password_prompt

     krb5_get_init_creds_opt_set_change_password_prompt is a new
     gic option that permits the prompter code to be skipped
     when the password has expired.  This option is meant to
     be used by credential managers such as NetIDMgr and
     Kerberos.app that have their own built in password change
     dialogs.

     This patch adds the new function, exports it on Windows,
     and makes use of it within the Krb5 identity provider
     for NetIDMgr.

     The patch is written to ensure that no changes to the
     krb5_get_init_creds_opt structure are required and
     to ensure that the default behavior, prompting, is
     maintained.

     The export lists for UNIX and KFM must still be updated.

     The function prototype was committed as part of ticket 3642.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18954 dc483132-0cff-0310-8789-dd5450dbe970

make depend

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18949 dc483132-0cff-0310-8789-dd5450dbe970

Pull r18927 up to trunk, and tweak check for "history" principal name
to be a little more precise.

Ready for pullup to 1.6 branch; make depend should be run.

ticket: 5009
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18948 dc483132-0cff-0310-8789-dd5450dbe970

set AUTOCONF_HEADER

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18947 dc483132-0cff-0310-8789-dd5450dbe970

pull r18926 up to trunk; ready for pullup to 1.6 branch

ticket: 5005

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18946 dc483132-0cff-0310-8789-dd5450dbe970

make depend

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18942 dc483132-0cff-0310-8789-dd5450dbe970

a little more info on libpython loading issue

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18941 dc483132-0cff-0310-8789-dd5450dbe970

make depend

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18940 dc483132-0cff-0310-8789-dd5450dbe970

Don't leak padata when looping for krb5_do_preauth_tryagain()

    * src/lib/krb5/krb/get_in_tkt.c: krb5_get_init_creds()

Free any existing request.padata at the top of the loop
calling krb5_do_preauth() and krb5_do_preauth_tryagain().

ticket: new
component: krb5-libs
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18935 dc483132-0cff-0310-8789-dd5450dbe970

build the trunk on Windows (again)

This revision corrects a number of missing or extraneous
KRB5_CALLCONV symbols; exposes symbols for _WIN32;
   and avoids including headers that don't exist

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18932 dc483132-0cff-0310-8789-dd5450dbe970

Undo revision 18930 which was not supposed to include this
        file.

ticket: 3642

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18931 dc483132-0cff-0310-8789-dd5450dbe970

Modifications to support the generation and embedding
    of library manifests into generated EXEs and DLLs.
    Manifests are required for Windows XP and above when
    applications are built with Microsoft Visual Studio 2005
    (aka VS8) or above.

ticket: 3642
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18930 dc483132-0cff-0310-8789-dd5450dbe970

krb5_cc_remove should work for the CCAPI

Implemented a working krb5_cc_remove for the CCAPI cache type.  Added a
private support function krb5_creds_compare() which checks if two krb5_creds
are identical.  This function should be needed by implementations of
krb5_cc_remove for other ccache types.

ticket: new
owner: tlyu
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18923 dc483132-0cff-0310-8789-dd5450dbe970

minor update to kdb5_util man page for LDAP plugin

I added some info to the kdb5_util man page regarding the LDAP plugin.

ticket: new
Target_Version: krb5-1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18919 dc483132-0cff-0310-8789-dd5450dbe970

fix for kdb5_util load bug with dumps from a LDAP KDB

I found a bug when I did a "kdb5_util load -update ldap-dump" where
ldap-dump was a dump done from a LDAP based KDB.  The issue is that this
sort of dump contains principal_dn data which is not the case for a db2
KDB dump.

ticket: new
Target_Version: krb5-1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18918 dc483132-0cff-0310-8789-dd5450dbe970

Make clean in lib/krb5/os does not clean test objs

make clean failed to remove t_locate_kdc.o

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18915 dc483132-0cff-0310-8789-dd5450dbe970

Remove unused prototype for krb5_find_config_files

The prototype for krb5_find_config_files() no longer is necessary
as the function does not exist in the source tree anymore.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18914 dc483132-0cff-0310-8789-dd5450dbe970

update for krb5-1.6-beta1

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18904 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/ccache/cc_file.c: Adapted patch from Roland
Dowdeswell to avoid possible double-free conditions on certain
errors.

ticket: 4788
tags: pullup
target_version: 1.6
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18897 dc483132-0cff-0310-8789-dd5450dbe970

send a new request with the new padata returned by krb5_do_preauth_tryagain()

    Send another request containing the padata obtained from tryagain.

    * src/include/k5-int.h
    Update prototype

    * src/lib/krb5/krb/get_in_tkt.c
    Send pointer to the request.padata so krb5_do_preauth_tryagain()
    can update the request to be sent.

    * src/lib/krb5/krb/preauth2.c
    If a module returns modified padata, add it to the return_padata
    and return.

ticket: new
Component: krb5-libs
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18896 dc483132-0cff-0310-8789-dd5450dbe970

Return edata from non-"PA_REQUIRED" preauth types

    * src/kdc/kdc_preauth.c (check_padata)
    Return e-data from any failing preauth module.
    Save the e-data and return value from the first failing module.
    If a subsequent module marked as PA_REQUIRED fails, return
    its e-data and error instead.

    * src/kdc/kdc_preauth.c (load_preauth_plugins)
    Quiet compiler warning by setting pointer to NULL.

ticket: new
Target_Version: 1.6
tags: pullup
Component: krb5-kdc

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18895 dc483132-0cff-0310-8789-dd5450dbe970

bump minor versions due to API additions

ticket: 4689
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18894 dc483132-0cff-0310-8789-dd5450dbe970

* src/kadmin/dbutil/dump.c (load_db): Open the dumpfile as
read-only; we only get a shared lock, so no reason to open for
writing for the sake of getting a lock.

ticket: 3218

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18893 dc483132-0cff-0310-8789-dd5450dbe970

* src/appl/telnet/libtelnet/kerberos5.c (kerberos5_send):
Conditionalize debugging printfs.

ticket: 4941
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18892 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/vfy_increds.c (krb5_verify_init_creds): Use
krb5_cc_new_unique().

* src/lib/gssapi/krb5/accept_sec_context.c:
(rd_and_store_for_creds): Use krb5_cc_new_unique().

ticket: 4805
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18887 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/gc_via_tkt.c (check_reply_server): New function
to check server principal in reply.  Ensures that the reply is
self-consistent, allows rewrites if canonicalization is requested,
and allows limited rewrites of TGS principals if canonicalization
is not requested.
(krb5_get_cred_via_tkt): Move server principal checks into
check_reply_server().

ticket: 3322
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18879 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/gc_frm_kdc.c: Also do style cleanup.
(krb5_get_cred_from_kdc_opt): If server principal was rewritten,
fall back unless it was rewritten to a TGS principal.  This fixes
a bug when a MS AD rewrites the service principal into a
single-component NETBIOS-style name. If we get a referral back to
the immediately preceding realm, fall back to non-referral
handling.  This fixes the changepw failure.  To prevent memory
leaks, when falling back to non-referral handling, free any tgts
previously obtained by the initial non-referral do_traversal()
call.

ticket: 4955
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18878 dc483132-0cff-0310-8789-dd5450dbe970

Implemented CCAPI v3 specific ccache collection cursor

* src/lib/krb5/ccache/ccbase.c: Added CCAPI v3 entry to list of type cursors

* src/lib/krb5/ccache/ccapi/stdcc.h:
* src/lib/krb5/ccache/ccapi/stdcc.c: Implemented CCAPI v3 cursor functionality.

ticket: 4739
status: open

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18877 dc483132-0cff-0310-8789-dd5450dbe970

skip all modules in plugin if init function fails

If the plugin initialization function fails, skip all modules in
the plugin, not just the first.  Also, print the error message from
the plugin if supplied.

ticket: new
Target_Version: 1.6
Tags: pullup
Component: krb5-kdc

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18873 dc483132-0cff-0310-8789-dd5450dbe970

krb5int_copy_data_contents shouldn't free memory it didn't allocate

* src/lib/krb5/krb/copy_data.c (krb5int_copy_data_contents): Don't
free outdata on malloc failure; we didn't allocate outdata.

ticket: new
target_version: 1.6
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18865 dc483132-0cff-0310-8789-dd5450dbe970

documentation updates for KFW 3.1

  Documentation updates including new screen shots for KFW 3.1

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18864 dc483132-0cff-0310-8789-dd5450dbe970

KFW 3.1 commits for Final Release

   KfW 3.1 final (NetIDMgr 1.1.8.0)

   nidmgr32.dll (1.1.8.0)

   - When detecting IP address changes, wait for things to settle down
     before setting of the IP address change notification.

   krb5cred.dll (1.1.8.0)

   - Fixed the Kerberos 5 configuration dialog which didn't handle
     setting the default realm properly.  Setting the default realm now
     sets the correct string in krb5.ini.

   - Changing the default realm now marks the relevant configuration node
     as dirty, and enabled the 'Apply' button.

   - Changing the 'renewable', 'forwardable' and 'addressless' checkboxes
     in the identity configuration panels now mark the relevant
     configuration nodes as dirty, and enables the 'Apply' button.

   - The location of the Kerberos 5 configuration file is now read-only
     in the Kerberos 5 configuration dialog.

   - Set the maximum number of characters for the edit controls in the
     configuration dialog.

   krb4cred.dll (1.1.8.0)

   - The location of the Kerberos 4 configuration files are now read-only
     in the Kerberos 4 configuration dialog.

   - Handles setting the ticket string.

   - Changing the ticket string now marks the relevant configuration node
     as dirty, and enables the 'Apply' button.

   - Fixed the plug-in initialization code to perform the initial ticket
     listing at the end of the initializaton process.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18863 dc483132-0cff-0310-8789-dd5450dbe970

library fragments to front of line

* src/plugins/kdb/ldap/libkdb_ldap/Makefile.in: Fix fragments substitutions so the makefile works with autoconf 2.60

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18862 dc483132-0cff-0310-8789-dd5450dbe970

fix debug messages

Change debugging messages so they print salt value correctly
and clean up warnings when compiling with DEBUG.

ticket: new
Tags: pullup
Target_Version: 1.6

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18859 dc483132-0cff-0310-8789-dd5450dbe970

free error message when freeing context

Call krb5_clear_error_message() to free any allocated error message
before freeing the context.

The condition that triggered this was a plugin library which fails to
load because of unresolved references.  It appears dlopen() on Linux
leaks four bytes for each failing library in this situation.

ticket: new
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18858 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/ccache/ccbase.c (krb5int_cc_getops): Internal
function to fetch ops vector given ccache prefix string.
(krb5_cc_new_unique): New function to generate a new unique
ccache of a given type.

* src/include/krb5/krb5.hin: Prototype for krb5_cc_new_unique().

* src/lib/krb5/libkrb5.exports:
* src/lib/krb5_32.def: Add krb5_cc_new_unique().

ticket: 3091
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18857 dc483132-0cff-0310-8789-dd5450dbe970

krb5_get_init_creds_password:

remove unintentionally committed code not meant for 1.4 branch

ticket: 4802

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18842 dc483132-0cff-0310-8789-dd5450dbe970

one more commit for kfw 3.1 beta 4

  - when the krb5 prompter callback function is called,
    set the focus to the first input field provided by
    the caller.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18841 dc483132-0cff-0310-8789-dd5450dbe970

reset use_master flag when master_kdc cannot be found

   krb5_get_init_creds_password:

if the master_kdc cannot be identified reset the use_master
    flag.  otherwise, the krb5_get_init_creds("kadmin/changepw")
call will attempt to communicate with the master_kdc that
cannot be reached.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18840 dc483132-0cff-0310-8789-dd5450dbe970

use krb5_c_valid_enctype, not valid_enctype

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18839 dc483132-0cff-0310-8789-dd5450dbe970

Didn't include header changes in the previous commit

ticket: 4799
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18837 dc483132-0cff-0310-8789-dd5450dbe970

update krb5_c_keylength function, create krb5_c_random_to_key function

Modify the keylength function to return both keybytes and keylength.
Change the name of the function and source file to reflect this.

Add a function, krb5_c_random_to_key() that takes random input data
of the right length (keybytes) and produce a valid key for a given
enctype.

ticket: new
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18836 dc483132-0cff-0310-8789-dd5450dbe970

commits for KFW 3.1 Beta 4

     KfW 3.1 beta 4 (NetIDMgr 1.1.6.0)

     nidmgr32.dll (1.1.6.0)

     - Fix a race condition where the initialization process might be
       flagged as complete even if the identity provider hasn't finished
       initialization yet.

     krb5cred.dll (1.1.6.0)

     - When assigning the default credentials cache for each identity,
       favor API and FILE caches over MSLSA if they exist.

     - When renewing an identity which was the result of importing
       credentials from the MSLSA cache, attempt to re-import the
       credentials from MSLSA instead of renewing the imported credentials.

     - Prevent possible crash if a Kerberos 5 context could not be obtained
       during the renewal operation.

     - Prevent memory leak in the credentials destroy handler due to the
       failure to free a Kerberos 5 context.

     - Properly match principals and realms when importing credentials from
       the MSLSA cache.

     - Determine the correct credentials cache to place imported
       credentials in by checking the configuration for preferred cache
       name.

     - Keep track of identities where credentials imports have occurred.

     - When setting the default identity, ignore the KRB5CCNAME environment
       variable.

     - Do not re-compute the credentials cache and timestamps when updating
       an identity.  The cache and timestamp information is computed when
       listing credentials and do not change between listing and identity
       update.

     - When refreshing the default identity, also handle the case where the
       default credentials cache does not contain a principal, but the name
       of the cache can be used to infer the principal name.

     - Invoke a listing of credentials after a successful import.

     - Do not free a Kerberos 5 context prematurely during plug-in
       initialization.

     netidmgr.exe (1.1.6.0)

     - Fix the UI context logic to handle layouts which aren't based around
       identities.

     - Don't try to show a property sheet when there are no property pages
       supplied for the corresponding UI context.

     - Use consistent context menus.

     - Bring a modal dialog box to the foreground when it should be active.

     - Do not accept action triggers when the application is not ready to
       process actions yet.

     - Do not force the new credentials dialog to the top if there's
       already a modal dialog box showing.

     - Change the default per-identity layout to also group by location.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18828 dc483132-0cff-0310-8789-dd5450dbe970

krb5_stdccv3_generate_new returns NULL ccache

Fixed krb5_stdccv3_generate_new so it no longer returns a NULL ccache.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18820 dc483132-0cff-0310-8789-dd5450dbe970

* rd_req_dec.c: Whitespace changes in function headers.
(krb5_rd_req_decoded_opt): Include more info in error text for AP_WRONG_PRINC
and NOPERM_ETYPE errors.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18817 dc483132-0cff-0310-8789-dd5450dbe970

include realm in "can't resolve KDC" error message

* locate_kdc.c (krb5int_locate_server): Store an error message for
REALM_CANT_RESOLVE error that lists the realm.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18816 dc483132-0cff-0310-8789-dd5450dbe970

avoid double frees in ccache manipulation around gen_new

* krb5/krb/vfy_increds.c (krb5_verify_init_creds): If krb5_cc_gen_new fails,
don't both close and destroy the template ccache.
* gssapi/krb5/accept_sec_context.c (rd_and_store_for_creds): Likewise.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18815 dc483132-0cff-0310-8789-dd5450dbe970

fix warning in preauth_plugin.h header

* preauth_plugin.h (enum krb5plugin_preauth_client_request_type): Omit trailing
comma.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18814 dc483132-0cff-0310-8789-dd5450dbe970