more bug fixes for NIM 1.2 (KFW 3.2)

netidmgr.exe

- Credentials display :

  - If an outline is marked as KHUI_CW_O_STICKY | KHUI_CW_O_RELIDENT,
    release the identity when deleting the outline node.

  - Correctly determine the location of UI widgets using the column
    specifier of the outline node instead of the column specifier of
    the row.

  - Do not recompute the extents of a row.

  - If there is a default identity and it has no credentials and it is
    not pinned, display it anyway.

krb5common.obj

- Import profile_rename_section()

krb5cred.dll

- In the realm editor:

  - When writing realm data, keep track of whether any updates were
    performed.

  - Reset the dirty bits for each element whose changes were written
    to the profile.

  - Use profile_rename_section() correctly to delete sections.

  - Check if any changes were applied before setting the 'applied' bit
    for the configuration node.

  - Don't assume that the Kerberos 5 General configuration panel has
    received WMCFG_APPLY before the realm editor.  It will not receive
    the notification if it hasn't indicated that there are changes to
    be applied.

- New credentials :

  - If there is no "ExpiresOn" value for a cached prompt set, assume
    that it has already expired.

  - Set the lifetime for a new prompt set to be 7 days longer than
    then maximum renewable lifetime.

ticket: new
component: windows
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19307 dc483132-0cff-0310-8789-dd5450dbe970

NIM commits for KFW 3.2 Beta 1

(NetIDMgr 1.2.0.0)

netidmgr.exe

- Simplify credential window UI element placement calculations.

- Add the Custom_1 view to the UI schema.  This is used to store
  customizations to the basic view.

- Extended styles for toolbars have to be set via TB_SETEXTENDEDSTYLE
  messages instead of the EX_STYLE parameter to CreateWindowEx().
  Also, set the extended style to support detached arrows.

- Support drop down menus in the standard toolbar.

- The per-identity commands that are added to expiration dialogs are
  now flagged for automatic dispatch.

- Remove unnecessary status bar parts and display the status bar icons
  at the correct size.

- The notification alerts now display the info balloon at the correct
  size.

- Increase the height of the height of the dialog button bar to 190
  from 181 dialog units.

- Lock the action tables when refreshing the per-identity actions.
  Perform the necessary notification after refreshing the per-identity
  actions.

- "Initialize <identity>" -> "Obtain new credentials for <identity>"

- Add a button to go back to the Basic view from the Advanced view in
  the new credentials dialog.

- Cache the extents of each row since we now support rows of variable
  heights.

- Selecting a credential row or a header should select all the
  credentials that are represented by the row.

- Update the selection state after loading a new view.

- Display the expiration times in the second line of an expanded
  identity header.

- Checks for expiration flags in the credentials window now take into
  account that the each flag may occupy more than one bit position.

- Calculate the expiration flags for the identity before assigning it
  to a header, so that the header can display accurate expiration
  data.

- Kill unnecessary timers in the credentials view and make sure taht
  the KHUI_CW_ROW_TIMERSET flag is consistent with whether there is an
  active timer for the row.

- In addition to rows that hold credentials, timers can also be
  assigned to headers for identities in the basic view.  This allows
  the headers to display expiration times.

- The credentials view keeps track of the count of credentials, the
  count of identity credentials (credentials which belong to the
  credentials type that the identity belongs to) and the number of
  initial credentials.

- Configuration spaces that hold credential view definitions now
  include an additional value "_AppVersion" which contains the version
  of NIM used to create the data.  If the current version is greater
  than the stated version, NIM will failover to using the schema
  instead of using the saved data.  This is because view definitions
  are version dependent.

- The app_version global variable is now a const.

- The renew and destroy icons in the standard toolbar are now drop
  down buttons.  If the drop down arrow is clicked, they display a
  menu with the list of identities that the operation can target.

- The renew and destroy actions on the credential menu have been
  replaced by submenus that allow the user to select the identity
  which would be the target of the operation.

- Consistently update the 'displayed' field of an alert so that
  plug-ins can keep track of which alerts are being displayed.

- If the currently displayed balloon alert has
  KHUI_ALERT_FLAG_DEFACTION flag, then dispatch the defualt command
  when the user clicks the notification icon, or display the expanded
  alert if necessary.

- Reduce flicker when drawing the credentials display by clipping the
  header control from the device context.

- The state of Advanced mode is now preserved between NIM sessions.

- The credential display layout is kept track of separately for the
  Basic and Advanced views.  Any customization done on either view
  (e.g.: changing sort order) will only affect that view.
  Customizations for the Advanced view will be saved in the Custom_0
  view, while customizations for the Basic view will be saved in
  Custom_1.

- New color scheme.

- Selecting a credential or identity will no longer mask the
  expiration state.  The selection rectangle is now alpha blended.

- In Basic view, the width of the Identity column changes with the
  width of the window so that the credentials display always fills the
  width of the window.

- The colors for the highlight, text color, highlighted text color,
  window background and other elements are now obtained via Windows so
  that NetIDMgr will be more consistent with any themes that have been
  applied.

- Correctly determine whether a column can be dragged or resized based
  on the KHUI_CW_COL_FIXED_WIDTH and KHUI_CW_COL_FIXED_POS flags.

- Correctly update the scroll bars when switching between views.

- The "marker" button for a displayed alert should not perform any
  action and it should not be the default control.  Selecting it
  should no longer cause an assertion to be thrown.

- Don't display the "... Click here for more." message when displaying
  a balloon alert if the operating system involved does not provide a
  reliable means of detecting that the user clicked on a balloon.

- When attempting to display queued alerts, if the alert at the top of
  the queue is of a type that cannot be consolidated, then show it by
  itself.

- If the size of the alert window changes, it should be redrawn
  properly.

krb5creds.dll

- Allow setting an identity as the default even if there are no
  credentials or credential caches associated with it.  We generate
  the name of the ccache we would use if we were getting new
  credentials for the identity and then set that as the default cache.

- Controls in the per-identity configuration panels resized to fit
  their contents.

- Set the credentials type and type name attributes for identities for
  which we have a TGT.

- Use khm_krb5_get_identity_params() when retrieving parameters for
  the identity global configuration panel.

- Add UI elements for setting the global values for forwardable,
  renewable and addressless flags.

- Make the schema default to issue forwardable tickets for identities
  that have no configuration and when krb5.ini does not define
  'forwardable'.

- When updating the identity properties, take all the active
  identities into account, so that we won't orphan any identities with
  Krb5 properties but no credentials associated with them.

- If there is no TGT associated with an identity, then strip it of any
  Krb5 provided properties.

- Associate identities that have a valid TGT with Krb5 by setting
  KCDB_ATTR_TYPE to the Krb5 credentials type.

- Don't attempt to renew an identity if the TGT is not renewable or is
  expired.

- When opening the configuration handle for an identity, if the
  identity does not have any configuration information, failover to
  using the per-realm configuration or the identity global
  configuration.

- When opening the configuration handle, don't return a handle that
  can't safely be closed.

- Add code from get_in_tkt.c that correctly handles per-realm settings
  when obtaining libdefaults settings from the profile.

ticket: new
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19306 dc483132-0cff-0310-8789-dd5450dbe970

Change DEBUG and VERBOSE defaults so that omitting them from the command line has an effect!

Pass NODEBUG=1 to build.pl.

Target_Version: 1.6.1
Ticket: 5490
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19305 dc483132-0cff-0310-8789-dd5450dbe970

Remove obsolete comment

Add -nolog switch; always pass build.pl --nolog.  Logging will be done in bkw.pl.log

Create <src>/pismere/CVS if missing so checkout works.

Target_Version: 1.6.1
Ticket: 5490
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19304 dc483132-0cff-0310-8789-dd5450dbe970

Add %BUILDDIR% for nsi-includes.nsi, which was missed the first time around

Target_Version: 1.6.1
Ticket: 5490
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19302 dc483132-0cff-0310-8789-dd5450dbe970

make depend

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19301 dc483132-0cff-0310-8789-dd5450dbe970

Update svn:ignore properties

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19300 dc483132-0cff-0310-8789-dd5450dbe970

Missed in previous merges: Check if daemon() function needs to be supplied in
lib/apputils.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19299 dc483132-0cff-0310-8789-dd5450dbe970

Add more tag substitutions to file copy and the config file, to provide a way to generate names like kfw-3-2-0-DEBUG.exe programatically

Target_Version: 1.6.1
Ticket: 5490
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19298 dc483132-0cff-0310-8789-dd5450dbe970

Pull product version information from kerberos.ver

Change site-local.wxi/.nsi to site-local-tagged.wxi/.nsi.  Add tags such as %VERSION-MAJOR% which are substituted by the build script.  NB:  to build the installers directly, the build script must be run at least once to generate site-local.wxi/.nsi.

Write DEBUG, RELEASE, BETA defines to site-local.nsi, based on build setting & values from kerberos.ver.

Add more tag substitutions to file copy and the config file, to provide a way to generate names like kfw-3-2-0-DEBUG.exe programatically.

Target_Version: 1.6.1
Ticket: 5490
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19297 dc483132-0cff-0310-8789-dd5450dbe970

KFW: problems with non-interactive logons

Non-interactive logons cause two problems:

(1) on XP/2003 the logon event handlers do not get triggered and on
    all platforms the LogonScript does not get executed.
    As a result, ccache files are not deleted.
(2) on all platforms, accessing the credential cache causes
    krbcc32s.exe to be spawned.  This process never terminates.

This patch tests for interactive logons.  If the logon is not
interactive, the Network Provider exits immediately.

ticket: new
component: windows
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19296 dc483132-0cff-0310-8789-dd5450dbe970

Update documentation

Target_Version: 1.6.1
Ticket: 5490
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19294 dc483132-0cff-0310-8789-dd5450dbe970

Correct error message text, add comments, change some command line defaults.  Change plink path

Target_Version: 1.6.1
Ticket: 5490
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19293 dc483132-0cff-0310-8789-dd5450dbe970

All Windows apps were popping MessageBoxes when stderr is redirected.  Console apps shouldn't and no longer do that.  Added isGuiApp, which tests gui resource usage

Removed duplicate nested tests for _WIN32.

Ticket: 5446
Status: resolved
Target_Version: 1.6.1
Tags:  pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19292 dc483132-0cff-0310-8789-dd5450dbe970

remove unwanted files from kfw build script

Remove aklog, khhelp.h, and the .manifest files as they are
not installed by the installer.

ticket: new
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19291 dc483132-0cff-0310-8789-dd5450dbe970

WIX installer stores WinLogon event handler under wrong registry value

The WinLogon event handler in prior versions of the Wix installer
has been installing the event handler under the registry value "KFWLogon"
which happens to be the name that "OpenAFS" also uses for its Kerberos
logon events.   The KFW NSIS installer has used "MIT_KFW" in order to
avoid the conflict.  The Wix installer is being corrected to match.

When there is a name collision, only one of the event handlers gets
installed.  As a result, Kerberos FILE ccaches get created with SYSTEM
only ACLs and are never destroyed.  This is the same problem that
happens on Windows Vista when integrated logon is used because the
event handler hooks do not exist.

ticket: new
tags: pullup
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19290 dc483132-0cff-0310-8789-dd5450dbe970

This commit addresses several issues:

(1) The registry key used for activating event reporting to
    the Windows application log was wrong.  It should be
    "NetworkProvider" not "Network Provider"

(2) Event logging of the state of the "Debug" value has been
    added so that it is possible to debug the use of event
    reporting.

(3) The code no longer performs the pre-kinit operations
    if a password was not provided.

(4) A new function KFW_copy_file_cache_to_api_cache() has
    been added.  This is used instead of
    KFW_copy_file_cache_to_default_cache() permitting the
    default cache to be MSLSA, FILE, or anything else.
    The API cache name will be of the form API:principal
    just as is done by Network Identity Manager.

ticket: 5469

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19289 dc483132-0cff-0310-8789-dd5450dbe970

KfW build automation

Don't fetch afscompat.
Handle case of checkout into non-existent directory.

Target_Version: 1.6.1
Component: KfW
Tags:  pullup
Ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19288 dc483132-0cff-0310-8789-dd5450dbe970

Remove unused scc_default_format field from krb5_context

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19287 dc483132-0cff-0310-8789-dd5450dbe970

Initialize 'now' to avoid compiler warning

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19285 dc483132-0cff-0310-8789-dd5450dbe970

MAX_FORMAT_BUFFER should be type size_t to reduce warnings

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19284 dc483132-0cff-0310-8789-dd5450dbe970

Adjust type of 'stable' in krb5_register_serializer to reduce warnings

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19283 dc483132-0cff-0310-8789-dd5450dbe970

Change strnchr sought value to int to match passed value

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19282 dc483132-0cff-0310-8789-dd5450dbe970

Initialize values to avoid 'possibly uninitialized' compiler warnings

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19281 dc483132-0cff-0310-8789-dd5450dbe970

Convert keyblock or padata types to krb5_data without compiler warnings.
(Added inline functions, with appropriate casts, for data conversion.)

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19280 dc483132-0cff-0310-8789-dd5450dbe970

Use memset to silence some 'may be used uninitialized' warnings

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19279 dc483132-0cff-0310-8789-dd5450dbe970

whitespace (mostly wrapping long lines produced by protoize)

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19278 dc483132-0cff-0310-8789-dd5450dbe970

Configure db2 plugin directory at top level

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19277 dc483132-0cff-0310-8789-dd5450dbe970

Pass the extra library dependency on AIX (is this even still needed??) via a new
variable instead of by updating LIBS at configure time.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19276 dc483132-0cff-0310-8789-dd5450dbe970

Don't test for stuff not used, used unconditionally, or with feature-test macros in k5-int.h available at test time

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19275 dc483132-0cff-0310-8789-dd5450dbe970

Build tests subtree makefiles at top level

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19274 dc483132-0cff-0310-8789-dd5450dbe970

Include autoconf.h

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19273 dc483132-0cff-0310-8789-dd5450dbe970

Configure appl test programs from top level

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19272 dc483132-0cff-0310-8789-dd5450dbe970

Include autoconf.h

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19271 dc483132-0cff-0310-8789-dd5450dbe970

Generate makefiles for two static libs plus the python plugin from the top-level configure script

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19270 dc483132-0cff-0310-8789-dd5450dbe970

Fix some syntax issues in testing krb5-config output

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19269 dc483132-0cff-0310-8789-dd5450dbe970

Depend on support library

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19268 dc483132-0cff-0310-8789-dd5450dbe970

Include autoconf.h before testing macros for Python header location

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19267 dc483132-0cff-0310-8789-dd5450dbe970

Remove KRB5_BUILD_LIBRARY_STATIC; always use KRB5_BUILD_LIBRARY

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19266 dc483132-0cff-0310-8789-dd5450dbe970

Never set krb5_force_static.  Instead, set the defaults for building
shared libraries, and allow a Makefile.in to include a new makefile
fragment for building private (static, not installed) libraries.

Created another makefile fragment to be included to indicate the
shared library has no dependencies.  (Currently this is the case only
for the libdb2 library, which we don't install, but do build for
testing.)  The way we construct the library dependency search path
arguments doesn't work for an empty list on some platforms.

Updated Makefile.in to use @libpriv_frag@ and @libnodeps_frag@ as
necessary.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19265 dc483132-0cff-0310-8789-dd5450dbe970

Store a little more detail for unknown enctype error

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19264 dc483132-0cff-0310-8789-dd5450dbe970

Fix PROG_LIBPATH, and use -l instead of an explicit filename to build profile_tcl

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19263 dc483132-0cff-0310-8789-dd5450dbe970

Rearrange code so all of the 'krb5_force_static' stuff is done in one place

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19262 dc483132-0cff-0310-8789-dd5450dbe970

Remove traces of enable_shared, enable_static, enable_profiled, and
build_dynobj.  Hard-code the behavior for shared libraries, no static,
no profiled.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19261 dc483132-0cff-0310-8789-dd5450dbe970

Remove separate KRB5_BUILD_LIBRARY_WITH_DEPS macro, just use KRB5_BUILD_LIBRARY

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19260 dc483132-0cff-0310-8789-dd5450dbe970

Remove commented-out macro

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19259 dc483132-0cff-0310-8789-dd5450dbe970

Remove special support for building a shared library with no dependencies, since we only
have one such library, and it's one we don't install.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19258 dc483132-0cff-0310-8789-dd5450dbe970

Don't use -Bsymbolic on Linux for now, it seems to break kadmind somehow

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19241 dc483132-0cff-0310-8789-dd5450dbe970

When using the Vista SDK version of NTSecAPI.h it is necessary
to ensure the _WIN32_WINNT have a value of 0x0501 or greater.
Otherwise, required LSA type declarations are undeclared.

Provide a registry value that can be set to turn on Application
Event log messages for debugging.

HKLM\System\CurrentControlSet\Services\MIT Kerberos\Network Provider
DWORD "Debug"

Ensure that KFW_obtain_user_temp_directory() returns a value on
error.

Correct the declaration of KFW_copy_cache_to_system_file()
to match the prototype.

ticket: 5469

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19240 dc483132-0cff-0310-8789-dd5450dbe970

krb5 library uses kdc.conf when it shouldn't

Don't add kdc.conf to the list of config files to use unless it's
actually requested.  Reported by Will Fiveash.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19239 dc483132-0cff-0310-8789-dd5450dbe970

NIM: New Default View and miscellaneous fixes

================================
KfW 3.1 Alpha (NetIDMgr 1.1.11.0)

-- nidmgr32.dll

- Only one action in a menu is allowed to have KHUI_ACTIONREF_DEFAULT
  flag set.  This marks the action as being the default action for the
  menu and will be rendered as such.

- Newly created identities start off with the KCDB_IDENT_FLAG_EMPTY
  flag set.  Once credentials are associated with the identity and the
  identity is refreshed, the flag will be cleared.

- When creating actions, enforce the name length.

- khm_value_exists() now handles shadowed configuration spaces.

- Add new action KHUI_ACTION_LAYOUT_MINI which toggles between
  'Advanced' and 'Basic' views.

- Add support for F11 and F12 keys in khui_get_cmd_accel_string().

- New option for alerts to indicate that instead of just setting the
  response field in the alert, the UI should dispatch the command
  that the user has selected.

-- krb5common.obj

- khm_krb5_initialize() can return a handle to a krb5_ccache that has
  already been closed.  Now it doesn't.

- Also import 'krb5_string_to_deltat()'.

- Work around conditioned symbol definitions in ntsecapi.h in the
  Vista Platform SDK that affect Win 2000.

-- krb5cred.dll

- Don't clear the prompts when the options for an identity changes.
  The prompter code relies on the prompts being around so that the
  values that the user has entered can be retained if the new set of
  prompts is the same as the old one.

- Use the same code in the new credentials acquisition and the
  identity configuration code to obtain krb5 parameters for an
  identity.

- Reset the 'IMPORTED' flag when we get new credentials using a
  password.

- If the validity of a principal is not known, then we restrict the
  options that can be specified when calling
  krb5_get_init_creds_password() so that we can reliably determine if
  the principal is valid.  If we need to get new credentials for the
  principal, we need to make another call using the correct options.

- The return codes from the prompter need to indicate that the
  password read operation was cancelled instead of arbiraty non-zero
  values.

- When reading identity settings, if a particular setting is not
  defined in the registry, then default to reading the settings out of
  krb5.ini.

- Refer to credentials as 'credentials' or 'tickets' instead of
  'creds'.

- If an identity has imported credentials, don't import for the same
  identity again.

- When importing an identity, create the identity configuration in the
  registry if we don't already have any settings there.

- Work around conditioned symbol definitions in ntsecapi.h in the
  Vista Platform SDK that affect Win 2000.

- Rearrange declarations for clarity.

- Use the correct APIs to parse configuration values from krb5.ini.

-- krb4cred.dll

- The dialog layout was updated to accomodate a localized string that
  no longer fit in its control.

- Remove a spurious inclusion of ntsecapi.h and work around
  conditioned symbol definition in the Vista Platform SDK.

-- netidmgr.exe

- Fix the menu creation code to correctly tag the default action so
  that it will be rendered properly.

- Update the menu enumeration code to use documented functions instead
  of accessing acton lists directly.

- Pool of per-identity actions now include a set of actions for
  obtaining credentials for specific identities.

- The default action performed when the notification icon is clicked
  is now configurable.  When displaying the context menu in the
  notification area, the default action is highlighted.

- Remove unnecessary handlers from the notifcation event handler.

- Only handle NIN_SELECT instead of both NIN_SELECT and WM_LBUTTONUP
  in the notification event handler.  When the user clicks the
  notication icon, both events are generated. NIN_SELECT is canonical.

- When the handling NIN_BALLOONUSERCLICK in the notification event
  handler, reset balloon_alert before displaying any new alerts so
  that we won't overwrite it later.

- Reset the notification alert icon after displaying an alert.

- If a renewal fails, the displayed alert contains a button that the
  user can click to initiate the process of acquiring new credentials
  for the identity.

- Alerts can optionally dispatch the commands that were added to it
  using the KHUI_ALERT_FLAG_DISPATCH_CMD flag.

- Increase the size of the About dialog.

- Correct the action text for the IDS_ACTION_OPEN_APP and
  IDS_ACTION_CLOSE_APP to say 'Show' and 'Hide' instead of 'Open' and
  'Close'.  These actions only control the visible state of the NIM
  window.

- Add additional notification which signals that the commandline has
  finished processing.

- Add an 'acquire' action to the per-identity actions.

- The per identity actions (renew, destroy, acquire) now have useful
  captions, names and tooltips.

- Use WM_NEXTDLGCTL message when changing the focus of dialog
  controls.  SetFocus() is insufficient.

- If we get a request to show a new credential acquisition dialog and
  we are already showing one, bring that one to the foreground instead
  of trying to display a new one or waiting quietly.

- New configuration schema for the UI that include definitions for the
  new default view.

- The alerter window can now show more than one alert at once.

- If we are about to show queued alerts, then check if the alerts that
  are waiting are related and if they can be grouped together.  If so,
  show them in a single alert window instead of multiple ones.

- If new alerts are issued while a set of alerts are being displayed
  and if the new alert is related to the alerts that are being
  displayed, then add the new alert to the list being displayed.

- Make sure we have a lock on the alert when we are manipulating or
  accessing it.

- Set the focus to the correct control when displaying an alert.

- When adding alerts from the alert queue, make sure we iterate
  through the queue properly.

- Allow keyboard navigation inside the alert window and support scroll
  bars.

- Check if we have a valid code pointer before invoking a UI callback.

- Make sure the main window is in the normal configuration before
  switching to a layout that rquires it.

- When moving the main window around, if it comes close to an edge of
  the working area of the display, snap to it.

- Maintain two sets of settings for the main window placement.  One
  for the mini mode and one for the normal mode.

- When processing saved window placement information from the
  configuration, handle docking hints which note which edges of the
  screen the main window should be adjacent to, if any.

- Switching to the 'Basic' view disables the layout and column
  selection menus.

- Position the new credentials dialog above the main window if the
  main window is visible.

- The alert that is displayed to indicate that an identity has
  expired, now contains a command button that can be used to invoke
  the new credentials dialog for that identity.

-- source

- Update the documentation to reflect the change in behavior regarding
  KHUI_ACTIONREF_DEFAULT in khui_menu_insert_action() and
  khui_menu_insert_paction().

- Remove notes about menu access functions being not thread safe.
  This is no longer true.

- Update the documentation for khui_alert_show() to document new
  behavior regarding KHUI_ALERT_FLAG_DISPATCH_CMD.

- Update documentation to indicate which KHUI_ALERT_FLAG_* flags are
  internal and document the new KHUI_ALERT_FLAG_DISPATCH_CMD flag.

- Augment the queue handling macros to support additional operations.
  Also add new tree data structure with an ordered list of children.

- Code reorganization to reuse code for obtaining the caption and
  tooltip for a system defined action in netidmgr.exe.

ticket: new
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19238 dc483132-0cff-0310-8789-dd5450dbe970

Enable Vista support for MSLSA

The MSLSA: ccache type when used on Windows Vista can take advantage of an ability to write tickets to the LSA credential cache for the current logon session.   This is possible due to the addition of the KERB_SUBMIT_TICKET interface.

Also new to Vista is the CACHE_INFO_EX2 interface which permits a much more efficient method of enumerating the contents of the LSA credential cache.

The code to take advantage of these features has been present for more than a year.  However, due to the lack of a public SDK that included the necessary data structures the functionality has been disabled.  As of this commit, the functionality will be enabled if the version of NTSecAPI.h includes TRUST_ATTRIBUTE_TRUST_USES_AES_KEYS.  This is a preprocessor symbol that is new to the Vista SDK.

In order to build with the new Vista functionality when using the XP SP2 SDK, the NTSecAPI.h file from the Vista SDK must be used in place of the version from the XP SP2 SDK.

This commit also addresses the issues associated with the inability to read session keys from a UAC limited process.   When UAC limitation is detected by examining the process token elevation level all access to the MSLSA contents is disabled.   At some point in the future we can implement an elevated COM service in order to obtain access to the session keys.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19237 dc483132-0cff-0310-8789-dd5450dbe970

Zero sockaddrs in fai_add_entry() so we can compare them with memcmp()

If we don't zero the struct sockaddrs in fai_add_entry() then any sin_zero
fields will be left as random memory and the memcmp() will return that the
addresses are different even if they aren't.

ticket: new
target_version: 1.6.1
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19235 dc483132-0cff-0310-8789-dd5450dbe970

KfW automated build scripts & supporting files

Updated scripts & additional configuration files.

Ticket: new
Target_Version: 1.6.1
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19234 dc483132-0cff-0310-8789-dd5450dbe970

Update 3.1.0 to 3.2.0; update location of sample directory

Ticket: 5409
Target_Version: 1.6.1
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19233 dc483132-0cff-0310-8789-dd5450dbe970

Update build files for new version and file locations

Target_Version: 1.6.1
Tags:  pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19232 dc483132-0cff-0310-8789-dd5450dbe970

On Linux, add linker flags -Bsymbolic (makes for smaller libraries, at
the cost of being able to override the symbol names we export) and
--no-undefined (errors out on shared library generation with undefined
symbols).

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19229 dc483132-0cff-0310-8789-dd5450dbe970

Depend on kadm5 server library too, now that we use the config_params calls

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19228 dc483132-0cff-0310-8789-dd5450dbe970

Use "unsigned __int{16,32}" types for Windows in load_{16,32}_n, per Kevin

ticket: 5425

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19227 dc483132-0cff-0310-8789-dd5450dbe970

* kadm5_create.c: Include fake-addrinfo.h.
(add_admin_princs): Use getaddrinfo instead of gethostbyname.  Report
the correct message on getaddrinfo errors, and return EINVAL to
caller.

ticket: 5257

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19226 dc483132-0cff-0310-8789-dd5450dbe970

Fix tail portability problem by adding an expression test to the
existing awk invocation instead.  Patch from Robert Basch at MIT.

ticket: 5447

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19225 dc483132-0cff-0310-8789-dd5450dbe970

Remove test pass that exercises AES256 over UDP, since we also have
one that exercises the same configuration over TCP.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19224 dc483132-0cff-0310-8789-dd5450dbe970

* include/k5-platform.h: Add load_{16,32,64}_n for loading values from
(possibly unaligned) memory in native order.
* lib/krb5/krb/get_in_tkt.c (krb5_get_init_creds): Fetch four random
bytes from the crypto library and generate a 31-bit (non-negative)
nonce, instead of using the timestamp.

ticket: 5425

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19223 dc483132-0cff-0310-8789-dd5450dbe970

* sendto_kdc.c (default_debug_handler): If writing to a log file, keep
it open and unbuffered instead of always opening and closing.  When
the format string has characters to be copied literally to the output,
write them all at once instead of individually.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19222 dc483132-0cff-0310-8789-dd5450dbe970

KFW: Vista Integrated Logon

        On Windows Vista the GINA architecture was removed.  As a side
        effect the support for the Logon Event Handlers was also removed.
        The KFW Integrated Logon functionality relies on the "Logon"
        event handler to migrate the user's tickets from a secure FILE:
        ccache to an API: ccache so that the tickets will be available
        to NetIDMgr and all other Kerberos applications.

        This functionality is especially important on Vista for
        accounts that are members of the Administrators group because
        the User Account Control (UAC) restricts access to the session
        keys of all tickets in the MSLSA ccache.  The only way for
        tickets to be made available to MIT Kerberos applications is
        by obtaining them within the Network Provider and pushing them
        into the Logon Session.

        This patch replaces the missing Logon Event Handler support
        with a new exported function "LogonEventHandler" which adheres
        to the rundll32.exe specifications.  The "LogonEventHandler"
        function accepts as input the name of a FILE ccache and moves
        the contents into an API: ccache and then deletes the FILE
        ccache.

        In order for this to work the FILE ccache must be owned by
        the account that was used to logon to the current session.
        The NPLogonNotify() function must therefore lookup the SID
        for the active account, assign an appropriate DACL to the
        ccache file, and change the owner.  In addition, when Vista
        is in use a LogonScript must be constructed that will perform
        the call to rundll32.exe.

        Other changes include altering the prototype of
        KFW_copy_ccache_system_file to accept a filename instead of
        the LogonID.  This improves the abstraction and allows the
        filename to be computed once and passed into multiple
        functions from NPLogonNotify().

        Many debugging calls were added to assist with implementation.
        #define DEBUG 1 at the top of kfwcommon.c when you wish to
        build with debugging that generates entries in the Windows
        Application Event Viewer.

It is important to note that Integrated Logon attempts to
logon the username within the default realm within the
krb5.ini file using the provided password.  This is so
a local machine account name matching the default realm
can obtain Kerberos tickets by synchronizing the password.

ticket: new
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19221 dc483132-0cff-0310-8789-dd5450dbe970

Remove from unused_passes a configuration also listed in the default passes

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19215 dc483132-0cff-0310-8789-dd5450dbe970

Do use valgrind on /bin/sh commands, since that's how we launch kadmind currently

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19212 dc483132-0cff-0310-8789-dd5450dbe970

reverting commit to windows WIX installer (revision 19207)

Revision 19207 committed by Kevin Koch does not document changes
made to the Wix installer files.  The changes that were made remove
the installation of the configuration files and the inclusion of
leash32.chm.

When the decision is made to remove Leash from the installer,
the entire Leash feature and the associated properties used to
determine when it is installed must be removed.  Commenting out
individual file components is not sufficient.

Configuration files must be installed as part of KFW.  The
source of the configuration files is defined by the variable
"ConfigDir" within the site-local.wxi directory.

Any changes made to the WIX installer must also be made to the NSIS
installer.

The changes to the src/windows/wix directory from 19207 are
therefore reverted.

ticket: new
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19211 dc483132-0cff-0310-8789-dd5450dbe970

osf1: get proper library dependencies installed

The LDCOMBINE setting for Tru64 left out $(CFLAGS), which meant the
-pthread option wasn't being passed in, so the libraries didn't
indicate a dependency on the pthread library despite the fact that we
need it unconditionally (if thread support is enabled).  Including
$(CFLAGS) should fix this.

Our own binaries get linked with -pthread anyways, so they build okay,
but other binaries trying to link against or load our libraries could
have problems.

ticket: new
target_version: 1.6.1
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19208 dc483132-0cff-0310-8789-dd5450dbe970

Train build script to use repository sources, omit sample configuration.  [wix area.]

Add control of the repository access step, fetch all sources from the repository.  Track in documentation.

Eliminate unhelpful output during pre-package step.

The next step is to fetch only krb5/src/windows/build and run the entire build.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19207 dc483132-0cff-0310-8789-dd5450dbe970

Move automation documentation from wiki to here.
Minor tweaks to script (start adding unzip support) and config (move svn url to right place).

Target_Version: 1.6.1

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19206 dc483132-0cff-0310-8789-dd5450dbe970

Automation for building KfW

Target_Version: 1.6.1
Component: KfW

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19205 dc483132-0cff-0310-8789-dd5450dbe970

Back out windows specific makefile change

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19204 dc483132-0cff-0310-8789-dd5450dbe970

More existence tests; path update

Modify remainder of Makefiles that were sensitive to identity/obj or other cleaned files not being present.

Update util/et/Makefile.in to look for com_err.h in src/include, not src/include/src.

ticket: 5457
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19203 dc483132-0cff-0310-8789-dd5450dbe970

Test for existence of identity/obj before try to delete files

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19202 dc483132-0cff-0310-8789-dd5450dbe970

On unload, free up g_mechSet and g_mechList

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19201 dc483132-0cff-0310-8789-dd5450dbe970

update dependencies

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19199 dc483132-0cff-0310-8789-dd5450dbe970

Delete more stuff for 'clean' and 'distclean' targets

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19198 dc483132-0cff-0310-8789-dd5450dbe970

valgrind detects uninitialized (but really unused) bytes in 'queue'

The gsstest program exports a GSSAPI security context to a blob in
memory, writes that memory to a file, and reads it back to use it.
Under valgrind, the writing phase triggers a warning about
uninitialized storage.

The "queue" structure as implemented in generic/util_ordering.c holds
an array of values, some of which may never be initialized.  As far as
I can tell, those uninitialized values are never used before being
initialized, either, but valgrind doesn't know that.

This patch zaps the structure contents (including the array) before
using the queue object.

ticket: new
target_version: 1.6.1
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19196 dc483132-0cff-0310-8789-dd5450dbe970

krb5_get_cred_from_kdc fails to null terminate the tgt list

if the next tgt in a cross-realm traversal cannot be
obtained find_nxt_kdc() was calling krb5_free_creds()
on the last tgt in the list but was failing to nullify
the pointer to the cred that was just freed.

if there were no additional tgts obtained,
krb5_get_cred_from_kdc() would return a non-NULL terminated
cred list to the caller.  This would result in a crash
when attempting to manipulate the non-existent cred past
the end of the list.

This commit nullifies the credential pointer in
find_nxt_kdc() after the call to krb5_free_creds()

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19195 dc483132-0cff-0310-8789-dd5450dbe970

Add intalert.h which should have been added as part of
revision 19189

ticket: 5452

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19191 dc483132-0cff-0310-8789-dd5450dbe970

Windows - some apps define ssize_t as a preprocessor symbol

ticket: new
component: krb5-libs
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19190 dc483132-0cff-0310-8789-dd5450dbe970

NIM Improved Alert Management

This patch implements the new Alert Management functionality.

Many improvements to avoid race conditions and improve resource
  tracking.

ticket: new
component: windows

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19189 dc483132-0cff-0310-8789-dd5450dbe970

Unused macro NEG removed

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19183 dc483132-0cff-0310-8789-dd5450dbe970

When importing a name with a valid (non-null) handle but a zero
length, set GSS_S_BAD_NAME but not GSS_S_CALL_INACCESSIBLE_READ.

ticket: 5445
status: open

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19172 dc483132-0cff-0310-8789-dd5450dbe970

If a reflection is detected, zap the message buffer pointer output
argument as well as actually freeing the buffer.  (Found while using
the gsstest option to exercise error conditions.)

ticket: 5445
status: open

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19171 dc483132-0cff-0310-8789-dd5450dbe970

Initialize "loopback" field in newly allocated name structure

ticket: 5445
status: open

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19170 dc483132-0cff-0310-8789-dd5450dbe970

Ensure consistancy between prototypes and functions

I am using an older compiler that is complaining that prototypes
do not match the functions they reference.  The issue is that a number
of prototypes are using "const int foo" while the function is "int foo".
From a caller sense it makes no difference - but the compiler is correct
they are different.

All is now consistant.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19169 dc483132-0cff-0310-8789-dd5450dbe970

Conditionalize some ipv6 bits

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19168 dc483132-0cff-0310-8789-dd5450dbe970

Conditionalize more bits that might not be defined by the OS

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19167 dc483132-0cff-0310-8789-dd5450dbe970

Don't use struct in6_addr if we don't have IPv6 support

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19165 dc483132-0cff-0310-8789-dd5450dbe970

rename krb5_server_decrypt_ticket_keyblock() to
krb5int_server_decrypt_ticket_keyblock()

ticket: 5349

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19159 dc483132-0cff-0310-8789-dd5450dbe970

hack to permit GetEnvironmentVariable usage without requiring getenv() conversion

Windows has a major flaw when it comes to the use of getenv/putenv.
getenv/putenv do not modify the actual environment of the process.
Instead, they modify a copy of the environment block at the time the
C Runtime Library was initialized for the current module.  In other
words, the C Runtime Library environment block for the executable
is not the same as the C Runtime Library environment block for the
krb5_32.dll library, etc.

This results in problems when a process wants to set the default
ccache name outside the krb5_context.  The krb5_context default ccname
disappears when the context is destroyed.  gss_acquire_cred() suffers
from the creation and destruction of krb5_contexts and therefore the
krb5_context default ccname cannot be used to set a default ccname.
Instead, the process environment must be used.

In order to modify the process environment, SetEnvironmentVariable()
must be used.  However, this does not result in the C Runtime Library
environment blocks being updated.  putenv() does not see the definition
of "KRB5CCNAME".

This patch modifies get_os_ccname() for Windows to check
GetEnvironmentVariable() before checking the registry.  This hack will
work as long as there is no "KRB5CCNAME" variable in the C Runtime
Library environment block.

The long term solution is to replace all calls to getenv and putenv
with GetEnvironmentVariable/SetEnvironmentVariable for Windows.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19154 dc483132-0cff-0310-8789-dd5450dbe970

In the resolve function - ensure on memory allocation error -
deref of null pointer does not happen.

Also include kt-int.h for prototypes.

ticket: 5411

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19153 dc483132-0cff-0310-8789-dd5450dbe970

krb5_kt_default_name should take an unsized length

The internal code to krb5_kt_default_name was casting the length to size_t.
Change prototype to take an unsigned - which makes sense in how the code uses
it.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19144 dc483132-0cff-0310-8789-dd5450dbe970

krb5_kt_get_type should return const char *.

The code returns a pointer to static structures. Just to enforce the
assumption that users can not change the returned data.

Change prototype of krb5_kt_get_type to return const char *. The other
changes are to clean up warnings - no change in code - usage assumed const.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19143 dc483132-0cff-0310-8789-dd5450dbe970

Add a new program to perform various tests on the WRFILE: and MEMORY: keytabs

I developed this program to test functionality of the MEMORY keytab - which
resulted in the numerous fixes that have been committed recently.

Tests all functioanlity of keytabs except for krb5_kt_default() and
krb5_kt_read_service_key() - although essential functionality tested.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19142 dc483132-0cff-0310-8789-dd5450dbe970

MEMORY keytab krb5_kt_get_entry sets enctype to 0 if unspecified

If one invokes krb5_kt_get_entry() for a memory keytab w/ an unspecified
enctype (i.e. 0) - the returned keytab has it's enctype set to 0 as well.

Also - in copying out the found keytab_entry - when a kvno is unspecified,
the last match found is used  - not the one with the highest vno.
This was caused by copying out the variable "entry" and not "match".

Ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19141 dc483132-0cff-0310-8789-dd5450dbe970

MEMORY keytab does not copy keytab_entry keyblock contents

In krb5_kt_add_entry: The MEMORY keytab does not make a copy of the
keytab_entry keyblock contents - but instead retains a pointer to the
incomming one.

In krb5_kt_get_entry and krb5_kt_get_next - a pointer to internal
keyblock contents memory is returned to the caller - which is subsequently
freed when tht caller invokes krb5_free_keytab_entry_contents.

Solution is to use krb5_copy_keyblock_contents() instead of simply copying
the structure.

Ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19140 dc483132-0cff-0310-8789-dd5450dbe970

The default K4 compatibility mode is now none, not preauth.  Also document
that the valid values for v4_mode are the valid arguments to the -4 flag
to krb5kdc.

Ticket: 2724
Component: krb5-doc
Target_Version: 1.6.1
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19139 dc483132-0cff-0310-8789-dd5450dbe970