crash creating db2 database in non-existent directory

* kdb_db2.c (krb5_db2_db_create): If the creation of the first database file
fails, return the error, instead of attempting to create the second (and using
a null pointer as an input string in formatting a filename).

Reported by Jeff Blaine.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19038 dc483132-0cff-0310-8789-dd5450dbe970

* lib.in (clean-libs): Delete darwin.exports and hpux10.exports.
* libnover.in (clean-libs): Use $(DYNOBJEXT) instead of $(SHLIBEXT) for
extension on object to delete.  Also delete darwin.exports and hpux10.exports.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19037 dc483132-0cff-0310-8789-dd5450dbe970

Document what the kadmind ACL is for

Add a sentence documenting the purpose of the kadmind ACL to the node
explaining how to create it.

Ticket: 5279
Component: krb5-doc
Version_Reported: 1.5.1
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19036 dc483132-0cff-0310-8789-dd5450dbe970

Document KDC behavior without stash file

After the discussion of the optional stash file, document the effects of
not creating a stash file.

ticket: new
Component: krb5-doc
Version_Reported: 1.5.1
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19035 dc483132-0cff-0310-8789-dd5450dbe970

* ldap_principal.c (attributes_set): Swap first two elements

Also add comments indicating that this array and the KDB_*_ATTR macros
need to be in sync.

ticket: 5260

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19031 dc483132-0cff-0310-8789-dd5450dbe970

update ldap/Makefile.in for newer autoconf substitution requirements

The other makefile.in files have had the makefile-fragment
substitution lines updated to not have "#" at the front, because some
recent versions of autoconf require that the @-pattern start at the
beginning of the line.  We missed plugins/kdb/ldap/Makefile.in at the
time.

Patch from Michael Calmer.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19030 dc483132-0cff-0310-8789-dd5450dbe970

* Makefile.in (install): Install kdb5_ldap_util.M.  Based on patch from
Michael Calmer.

ticket: 3906
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19029 dc483132-0cff-0310-8789-dd5450dbe970

* kdc_util.h (CONVERT_INTO_DB, CONVERT_OUTOF_DB): Unused macros deleted

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19025 dc483132-0cff-0310-8789-dd5450dbe970

Memory leak in tests/gssapi/t_imp_name.c

Memory leak by not releasing name_oid from gss_display_name().
(conditional on GSSAPI_V2 being defined).

ticket:new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19024 dc483132-0cff-0310-8789-dd5450dbe970

Repair broken links in NetIdMgr Help

  A small number of links contained the wrong root directory.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19023 dc483132-0cff-0310-8789-dd5450dbe970

If gss_krb5int_unseal_token_v3() unwraps a message of length 0 - free
memory and return in message_buffer a NULL pointer for value.  This
is consistant with gss_release_buffer in the mechglue implementation in which
memory is only freed if the buffer length != 0.

ticket: 5233
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19022 dc483132-0cff-0310-8789-dd5450dbe970

memory leak if defective header present in gss_krb5int_unseal_token_v3

If after unsealing the message, the TOK_ID is not 05 04, free memory
before returning a defective token error.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19021 dc483132-0cff-0310-8789-dd5450dbe970

Fix typo in user-guide.texinfo

Typo fix (network instead of netword).  Thanks, Matt Zagrabelny.

Ticket: new
Component: krb5-doc
Version_Reported: 1.4.4
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19020 dc483132-0cff-0310-8789-dd5450dbe970

* copy_data.c (krb5_copy_data): Use krb5int_copy_data_contents

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19019 dc483132-0cff-0310-8789-dd5450dbe970

* cc_memory.c (krb5_mcc_next_cred): Use krb5int_copy_creds_contents

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19018 dc483132-0cff-0310-8789-dd5450dbe970

* lib/krb5/krb/copy_creds.c (krb5int_copy_creds_contents): New function, split
out from krb5_copy_creds.
(krb5_copy_creds): Call it.
* include/k5-int.h (krb5int_copy_creds_contents): Declare.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19017 dc483132-0cff-0310-8789-dd5450dbe970

comment the various data structures

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19016 dc483132-0cff-0310-8789-dd5450dbe970

Some related changes were already in, and I found a couple more to make:

* ldap_realm.c (ldap_filter_correct): Change string argument to char *.  Delete
length argument, which was always strlen of the string argument, and compute
it locally, using size_t instead of (unsigned) int for length-related values.
Update all calls.

* ldap_realm.h (ldap_filter_correct): Updated declaration.

* ldap_misc.c (remove_overlapping_subtrees): Add forward declaration.  Make
static.
(is_principal_in_realm): Change local variable defrealmlen to size_t.
(store_tl_data): Change local variable curr to point to unsigned char, since
that's what the tl_data_contents array is declared as, and what the STORE16_INT
macro is happier with.
(krb5_ldap_get_reference_count): Make local variable i unsigned.

ticket: 4453
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19009 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/get_in_tkt.c (krb5_get_init_creds): Fix
ordering bug in previous patch.

ticket: 5123

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19007 dc483132-0cff-0310-8789-dd5450dbe970

don't split HTML output from makeinfo

* doc/Makefile (HTML): To avoid generating excessively long
filenames, don't split HTML output.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19002 dc483132-0cff-0310-8789-dd5450dbe970

misc cleanups in admin guide ldap sections

There are a bunch of instances of incorrect punctuation, inconsistent
use of @-commands with option names, typos in names of principal
flags, and a couple spelling errors.  I only fixed what I noticed; I
haven't subjected the rest to careful review.

Also, the long section names for eDirectory-specific documentation
cause the tar files generated for snapshots (which include generated
html docs) to reach the 100-character limit for file names in
traditional tar format; GNU tar can create archives holding them, but
older tar implementations cannot read the archives properly.  So,
several eDirectory-related section names have been shortened.

ticket: new
target: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19001 dc483132-0cff-0310-8789-dd5450dbe970

Merge r18962 to trunk, with minor tweaks; ready to merge to 1.6 branch

Changes fix up some sample names used, remove some options described
from certain commands, and fix filling in man pages.

ticket: 5116

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@19000 dc483132-0cff-0310-8789-dd5450dbe970

use KRB5KRB_ERR_GENERIC, not KRB_ERR_GENERIC in preauth2.c

* src/lib/krb5/krb/preauth2.c (krb5_do_preauth_tryagain): Use
KRB5KRB_ERR_GENERIC, not KRB_ERR_GENERIC.

ticket: new
target_version: 1.6
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18977 dc483132-0cff-0310-8789-dd5450dbe970

don't pass null pointer to krb5_do_preauth_tryagain()

* src/lib/krb5/krb/get_in_tkt.c (krb5_get_init_creds): If
the error isn't PREAUTH_NEEDED and preauth_to_use is null, return
the error in err_reply, rather than attempting to pass a null
pointer to krb5_do_preauth_tryagain().

ticket: new
status: open
target_version: 1.6

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18976 dc483132-0cff-0310-8789-dd5450dbe970

ktfns.c (krb5_kt_get_entry): If the supplied server principal has an empty
realm name, replace it with the default realm, in a private copy.

ticket: 5121
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18975 dc483132-0cff-0310-8789-dd5450dbe970

krb5_is_referral_realm now takes a pointer to const krb5_data, since it doesn't
modify it.

ticket: 5121
status: open

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18974 dc483132-0cff-0310-8789-dd5450dbe970

Use __extension__ if initializing by field name and using GCC in pre-C99 mode

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18973 dc483132-0cff-0310-8789-dd5450dbe970

(k5_mutex_lock_update_stats) [!DEBUG_THREADS_STATS && __GNUC__]: Declare
arguments with "unused" attribute.
(k5_pthread_mutex_lock) [DEBUG_THREADS && __GNUC__]: Use __extension__.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18972 dc483132-0cff-0310-8789-dd5450dbe970

export krb5_get_init_creds_opt_set_change_password_prompt

ticket: 5090

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18970 dc483132-0cff-0310-8789-dd5450dbe970

krb5_rc_io_open_internal on error will call close(-1)

If there is an error in opening the replay cache - memory is freed, but
close() is invoked with -1 (failure from open()).  While technically,
close() will return EBADF in such a case, and nothing bad will happen,
valgrind picks up on this and provides an error...

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18961 dc483132-0cff-0310-8789-dd5450dbe970

Inovke krb5_rc_close to shutdown cache - and check for memory leaks

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18960 dc483132-0cff-0310-8789-dd5450dbe970

Restore inadvertently deleted section.  Minor editorial changes

ticket: 5027

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18957 dc483132-0cff-0310-8789-dd5450dbe970

pull up r18933 to trunk

 r18933@cathode-dark-space:  rsavitha | 2006-12-08 04:37:01 -0500
 ticket: new
 subject: admin guide changes for the LDAP backend
 Target_Version: 1.6
 Tags: pullup

 Added LDAP backend related information to the admin guide

ticket: 5027

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18956 dc483132-0cff-0310-8789-dd5450dbe970

Add -clearpolicy to kadmin addprinc usage

Add -clearpolicy to the usage message returned by kadmin when one types
addprinc without any arguments.

ticket: new
Component: krb5-admin
Version_Reported: 1.4.4
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18955 dc483132-0cff-0310-8789-dd5450dbe970

krb5_get_init_creds_opt_set_change_password_prompt

     krb5_get_init_creds_opt_set_change_password_prompt is a new
     gic option that permits the prompter code to be skipped
     when the password has expired.  This option is meant to
     be used by credential managers such as NetIDMgr and
     Kerberos.app that have their own built in password change
     dialogs.

     This patch adds the new function, exports it on Windows,
     and makes use of it within the Krb5 identity provider
     for NetIDMgr.

     The patch is written to ensure that no changes to the
     krb5_get_init_creds_opt structure are required and
     to ensure that the default behavior, prompting, is
     maintained.

     The export lists for UNIX and KFM must still be updated.

     The function prototype was committed as part of ticket 3642.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18954 dc483132-0cff-0310-8789-dd5450dbe970

make depend

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18949 dc483132-0cff-0310-8789-dd5450dbe970

Pull r18927 up to trunk, and tweak check for "history" principal name
to be a little more precise.

Ready for pullup to 1.6 branch; make depend should be run.

ticket: 5009
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18948 dc483132-0cff-0310-8789-dd5450dbe970

set AUTOCONF_HEADER

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18947 dc483132-0cff-0310-8789-dd5450dbe970

pull r18926 up to trunk; ready for pullup to 1.6 branch

ticket: 5005

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18946 dc483132-0cff-0310-8789-dd5450dbe970

make depend

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18942 dc483132-0cff-0310-8789-dd5450dbe970

a little more info on libpython loading issue

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18941 dc483132-0cff-0310-8789-dd5450dbe970

make depend

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18940 dc483132-0cff-0310-8789-dd5450dbe970

Don't leak padata when looping for krb5_do_preauth_tryagain()

    * src/lib/krb5/krb/get_in_tkt.c: krb5_get_init_creds()

Free any existing request.padata at the top of the loop
calling krb5_do_preauth() and krb5_do_preauth_tryagain().

ticket: new
component: krb5-libs
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18935 dc483132-0cff-0310-8789-dd5450dbe970

build the trunk on Windows (again)

This revision corrects a number of missing or extraneous
KRB5_CALLCONV symbols; exposes symbols for _WIN32;
   and avoids including headers that don't exist

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18932 dc483132-0cff-0310-8789-dd5450dbe970

Undo revision 18930 which was not supposed to include this
        file.

ticket: 3642

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18931 dc483132-0cff-0310-8789-dd5450dbe970

Modifications to support the generation and embedding
    of library manifests into generated EXEs and DLLs.
    Manifests are required for Windows XP and above when
    applications are built with Microsoft Visual Studio 2005
    (aka VS8) or above.

ticket: 3642
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18930 dc483132-0cff-0310-8789-dd5450dbe970

krb5_cc_remove should work for the CCAPI

Implemented a working krb5_cc_remove for the CCAPI cache type.  Added a
private support function krb5_creds_compare() which checks if two krb5_creds
are identical.  This function should be needed by implementations of
krb5_cc_remove for other ccache types.

ticket: new
owner: tlyu
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18923 dc483132-0cff-0310-8789-dd5450dbe970

minor update to kdb5_util man page for LDAP plugin

I added some info to the kdb5_util man page regarding the LDAP plugin.

ticket: new
Target_Version: krb5-1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18919 dc483132-0cff-0310-8789-dd5450dbe970

fix for kdb5_util load bug with dumps from a LDAP KDB

I found a bug when I did a "kdb5_util load -update ldap-dump" where
ldap-dump was a dump done from a LDAP based KDB.  The issue is that this
sort of dump contains principal_dn data which is not the case for a db2
KDB dump.

ticket: new
Target_Version: krb5-1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18918 dc483132-0cff-0310-8789-dd5450dbe970

Make clean in lib/krb5/os does not clean test objs

make clean failed to remove t_locate_kdc.o

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18915 dc483132-0cff-0310-8789-dd5450dbe970

Remove unused prototype for krb5_find_config_files

The prototype for krb5_find_config_files() no longer is necessary
as the function does not exist in the source tree anymore.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18914 dc483132-0cff-0310-8789-dd5450dbe970

update for krb5-1.6-beta1

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18904 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/ccache/cc_file.c: Adapted patch from Roland
Dowdeswell to avoid possible double-free conditions on certain
errors.

ticket: 4788
tags: pullup
target_version: 1.6
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18897 dc483132-0cff-0310-8789-dd5450dbe970

send a new request with the new padata returned by krb5_do_preauth_tryagain()

    Send another request containing the padata obtained from tryagain.

    * src/include/k5-int.h
    Update prototype

    * src/lib/krb5/krb/get_in_tkt.c
    Send pointer to the request.padata so krb5_do_preauth_tryagain()
    can update the request to be sent.

    * src/lib/krb5/krb/preauth2.c
    If a module returns modified padata, add it to the return_padata
    and return.

ticket: new
Component: krb5-libs
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18896 dc483132-0cff-0310-8789-dd5450dbe970

Return edata from non-"PA_REQUIRED" preauth types

    * src/kdc/kdc_preauth.c (check_padata)
    Return e-data from any failing preauth module.
    Save the e-data and return value from the first failing module.
    If a subsequent module marked as PA_REQUIRED fails, return
    its e-data and error instead.

    * src/kdc/kdc_preauth.c (load_preauth_plugins)
    Quiet compiler warning by setting pointer to NULL.

ticket: new
Target_Version: 1.6
tags: pullup
Component: krb5-kdc

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18895 dc483132-0cff-0310-8789-dd5450dbe970

bump minor versions due to API additions

ticket: 4689
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18894 dc483132-0cff-0310-8789-dd5450dbe970

* src/kadmin/dbutil/dump.c (load_db): Open the dumpfile as
read-only; we only get a shared lock, so no reason to open for
writing for the sake of getting a lock.

ticket: 3218

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18893 dc483132-0cff-0310-8789-dd5450dbe970

* src/appl/telnet/libtelnet/kerberos5.c (kerberos5_send):
Conditionalize debugging printfs.

ticket: 4941
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18892 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/vfy_increds.c (krb5_verify_init_creds): Use
krb5_cc_new_unique().

* src/lib/gssapi/krb5/accept_sec_context.c:
(rd_and_store_for_creds): Use krb5_cc_new_unique().

ticket: 4805
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18887 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/gc_via_tkt.c (check_reply_server): New function
to check server principal in reply.  Ensures that the reply is
self-consistent, allows rewrites if canonicalization is requested,
and allows limited rewrites of TGS principals if canonicalization
is not requested.
(krb5_get_cred_via_tkt): Move server principal checks into
check_reply_server().

ticket: 3322
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18879 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/krb/gc_frm_kdc.c: Also do style cleanup.
(krb5_get_cred_from_kdc_opt): If server principal was rewritten,
fall back unless it was rewritten to a TGS principal.  This fixes
a bug when a MS AD rewrites the service principal into a
single-component NETBIOS-style name. If we get a referral back to
the immediately preceding realm, fall back to non-referral
handling.  This fixes the changepw failure.  To prevent memory
leaks, when falling back to non-referral handling, free any tgts
previously obtained by the initial non-referral do_traversal()
call.

ticket: 4955
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18878 dc483132-0cff-0310-8789-dd5450dbe970

Implemented CCAPI v3 specific ccache collection cursor

* src/lib/krb5/ccache/ccbase.c: Added CCAPI v3 entry to list of type cursors

* src/lib/krb5/ccache/ccapi/stdcc.h:
* src/lib/krb5/ccache/ccapi/stdcc.c: Implemented CCAPI v3 cursor functionality.

ticket: 4739
status: open

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18877 dc483132-0cff-0310-8789-dd5450dbe970

skip all modules in plugin if init function fails

If the plugin initialization function fails, skip all modules in
the plugin, not just the first.  Also, print the error message from
the plugin if supplied.

ticket: new
Target_Version: 1.6
Tags: pullup
Component: krb5-kdc

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18873 dc483132-0cff-0310-8789-dd5450dbe970

krb5int_copy_data_contents shouldn't free memory it didn't allocate

* src/lib/krb5/krb/copy_data.c (krb5int_copy_data_contents): Don't
free outdata on malloc failure; we didn't allocate outdata.

ticket: new
target_version: 1.6
tags: pullup
component: krb5-libs

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18865 dc483132-0cff-0310-8789-dd5450dbe970

documentation updates for KFW 3.1

  Documentation updates including new screen shots for KFW 3.1

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18864 dc483132-0cff-0310-8789-dd5450dbe970

KFW 3.1 commits for Final Release

   KfW 3.1 final (NetIDMgr 1.1.8.0)

   nidmgr32.dll (1.1.8.0)

   - When detecting IP address changes, wait for things to settle down
     before setting of the IP address change notification.

   krb5cred.dll (1.1.8.0)

   - Fixed the Kerberos 5 configuration dialog which didn't handle
     setting the default realm properly.  Setting the default realm now
     sets the correct string in krb5.ini.

   - Changing the default realm now marks the relevant configuration node
     as dirty, and enabled the 'Apply' button.

   - Changing the 'renewable', 'forwardable' and 'addressless' checkboxes
     in the identity configuration panels now mark the relevant
     configuration nodes as dirty, and enables the 'Apply' button.

   - The location of the Kerberos 5 configuration file is now read-only
     in the Kerberos 5 configuration dialog.

   - Set the maximum number of characters for the edit controls in the
     configuration dialog.

   krb4cred.dll (1.1.8.0)

   - The location of the Kerberos 4 configuration files are now read-only
     in the Kerberos 4 configuration dialog.

   - Handles setting the ticket string.

   - Changing the ticket string now marks the relevant configuration node
     as dirty, and enables the 'Apply' button.

   - Fixed the plug-in initialization code to perform the initial ticket
     listing at the end of the initializaton process.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18863 dc483132-0cff-0310-8789-dd5450dbe970

library fragments to front of line

* src/plugins/kdb/ldap/libkdb_ldap/Makefile.in: Fix fragments substitutions so the makefile works with autoconf 2.60

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18862 dc483132-0cff-0310-8789-dd5450dbe970

fix debug messages

Change debugging messages so they print salt value correctly
and clean up warnings when compiling with DEBUG.

ticket: new
Tags: pullup
Target_Version: 1.6

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18859 dc483132-0cff-0310-8789-dd5450dbe970

free error message when freeing context

Call krb5_clear_error_message() to free any allocated error message
before freeing the context.

The condition that triggered this was a plugin library which fails to
load because of unresolved references.  It appears dlopen() on Linux
leaks four bytes for each failing library in this situation.

ticket: new
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18858 dc483132-0cff-0310-8789-dd5450dbe970

* src/lib/krb5/ccache/ccbase.c (krb5int_cc_getops): Internal
function to fetch ops vector given ccache prefix string.
(krb5_cc_new_unique): New function to generate a new unique
ccache of a given type.

* src/include/krb5/krb5.hin: Prototype for krb5_cc_new_unique().

* src/lib/krb5/libkrb5.exports:
* src/lib/krb5_32.def: Add krb5_cc_new_unique().

ticket: 3091
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18857 dc483132-0cff-0310-8789-dd5450dbe970

krb5_get_init_creds_password:

remove unintentionally committed code not meant for 1.4 branch

ticket: 4802

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18842 dc483132-0cff-0310-8789-dd5450dbe970

one more commit for kfw 3.1 beta 4

  - when the krb5 prompter callback function is called,
    set the focus to the first input field provided by
    the caller.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18841 dc483132-0cff-0310-8789-dd5450dbe970

reset use_master flag when master_kdc cannot be found

   krb5_get_init_creds_password:

if the master_kdc cannot be identified reset the use_master
    flag.  otherwise, the krb5_get_init_creds("kadmin/changepw")
call will attempt to communicate with the master_kdc that
cannot be reached.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18840 dc483132-0cff-0310-8789-dd5450dbe970

use krb5_c_valid_enctype, not valid_enctype

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18839 dc483132-0cff-0310-8789-dd5450dbe970

Didn't include header changes in the previous commit

ticket: 4799
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18837 dc483132-0cff-0310-8789-dd5450dbe970

update krb5_c_keylength function, create krb5_c_random_to_key function

Modify the keylength function to return both keybytes and keylength.
Change the name of the function and source file to reflect this.

Add a function, krb5_c_random_to_key() that takes random input data
of the right length (keybytes) and produce a valid key for a given
enctype.

ticket: new
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18836 dc483132-0cff-0310-8789-dd5450dbe970

commits for KFW 3.1 Beta 4

     KfW 3.1 beta 4 (NetIDMgr 1.1.6.0)

     nidmgr32.dll (1.1.6.0)

     - Fix a race condition where the initialization process might be
       flagged as complete even if the identity provider hasn't finished
       initialization yet.

     krb5cred.dll (1.1.6.0)

     - When assigning the default credentials cache for each identity,
       favor API and FILE caches over MSLSA if they exist.

     - When renewing an identity which was the result of importing
       credentials from the MSLSA cache, attempt to re-import the
       credentials from MSLSA instead of renewing the imported credentials.

     - Prevent possible crash if a Kerberos 5 context could not be obtained
       during the renewal operation.

     - Prevent memory leak in the credentials destroy handler due to the
       failure to free a Kerberos 5 context.

     - Properly match principals and realms when importing credentials from
       the MSLSA cache.

     - Determine the correct credentials cache to place imported
       credentials in by checking the configuration for preferred cache
       name.

     - Keep track of identities where credentials imports have occurred.

     - When setting the default identity, ignore the KRB5CCNAME environment
       variable.

     - Do not re-compute the credentials cache and timestamps when updating
       an identity.  The cache and timestamp information is computed when
       listing credentials and do not change between listing and identity
       update.

     - When refreshing the default identity, also handle the case where the
       default credentials cache does not contain a principal, but the name
       of the cache can be used to infer the principal name.

     - Invoke a listing of credentials after a successful import.

     - Do not free a Kerberos 5 context prematurely during plug-in
       initialization.

     netidmgr.exe (1.1.6.0)

     - Fix the UI context logic to handle layouts which aren't based around
       identities.

     - Don't try to show a property sheet when there are no property pages
       supplied for the corresponding UI context.

     - Use consistent context menus.

     - Bring a modal dialog box to the foreground when it should be active.

     - Do not accept action triggers when the application is not ready to
       process actions yet.

     - Do not force the new credentials dialog to the top if there's
       already a modal dialog box showing.

     - Change the default per-identity layout to also group by location.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18828 dc483132-0cff-0310-8789-dd5450dbe970

krb5_stdccv3_generate_new returns NULL ccache

Fixed krb5_stdccv3_generate_new so it no longer returns a NULL ccache.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18820 dc483132-0cff-0310-8789-dd5450dbe970

* rd_req_dec.c: Whitespace changes in function headers.
(krb5_rd_req_decoded_opt): Include more info in error text for AP_WRONG_PRINC
and NOPERM_ETYPE errors.

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18817 dc483132-0cff-0310-8789-dd5450dbe970

include realm in "can't resolve KDC" error message

* locate_kdc.c (krb5int_locate_server): Store an error message for
REALM_CANT_RESOLVE error that lists the realm.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18816 dc483132-0cff-0310-8789-dd5450dbe970

avoid double frees in ccache manipulation around gen_new

* krb5/krb/vfy_increds.c (krb5_verify_init_creds): If krb5_cc_gen_new fails,
don't both close and destroy the template ccache.
* gssapi/krb5/accept_sec_context.c (rd_and_store_for_creds): Likewise.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18815 dc483132-0cff-0310-8789-dd5450dbe970

fix warning in preauth_plugin.h header

* preauth_plugin.h (enum krb5plugin_preauth_client_request_type): Omit trailing
comma.

ticket: new

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18814 dc483132-0cff-0310-8789-dd5450dbe970

fix some warnings in ldap code

* libkdb_ldap/ldap_realm.c (ignore_duplicates, compare): Unused functions deleted.
(krb5_ldap_modify_realm, krb5_ldap_read_realm_params): Conditionalize declarations of
automatic variables that are only used for eDirectory.
* libkdb_ldap/ldap_service_stash.c (tohex): Use one sprintf call instead of two.
(dec_password): Use an unsigned type to fetch values with %x.
* libkdb_ldap/ldap_realm.h (ldap_filter_correct): Declare.
* libkdb_dlap/ldap_misc.c (my_strndup): Only define if HAVE_LDAP_STR2DN.
(populate_krb5_db_entry): Remove unused automatic variable.
* ldap_util/kdb5_ldap_util.c (cmd_table): Fix typo in preprocessing conditional.
* ldap_util/kdb5_ldap_realm.c (get_ticket_policy): Declarations first, then code.
* ldap_util/kdb5_ldap_services.c (kdb5_ldap_stash_service_password): On error, increment
exit_status; don't return a value.
* ldap_util/kdb5_ldap_services.h (kdb5_ldap_stash_service_password): Update decl.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18813 dc483132-0cff-0310-8789-dd5450dbe970

LDAP patch from Novell, 2006-10-13

Patch from 13 November from Savitha R:
> Fix for delpol deleting ticket policies
> Removed references to old schema
> Moved some unused code under #ifdef HAVE_EDIRECTORY

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18812 dc483132-0cff-0310-8789-dd5450dbe970

Add macros for __attribute__((deprecated)) for krb4 and des APIs

Added KRB5INT_KRB4_DEPRECATED and KRB5INT_DES_DEPRECATED.

ticket: new
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18811 dc483132-0cff-0310-8789-dd5450dbe970

update copyrights and acknowledgments

Update copyrights and acknowledgments for 1.6.

ticket: new
target_version: 1.6
component: krb5-doc
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18805 dc483132-0cff-0310-8789-dd5450dbe970

allow server preauth plugin verify_padata function to return e-data

Change server-side preauth plugin interface to allow the plugin's
verify_padata function to return e-data to be returned to the client.
(Patch from Nalin Dahyabhai <nalin@redhat.com>)

Update sample plugins to return e-data to exercise the code.

Fix memory leak in the wpse plugin.

ticket: new
Component: krb5-kdc
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18801 dc483132-0cff-0310-8789-dd5450dbe970

correct client preauth plugin request_context

Correctly share the same request_context between all modules
within a single client preauth plugin.

ticket: new
Component: krb5-libs
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18800 dc483132-0cff-0310-8789-dd5450dbe970

more Novell ldap patches from Nov 6 and Fix for wrong password policy reference count

This commit is to update the code with the following Novell patches from
Nov 6, 2006:

patch-ldap-kadm5-macro.diff
patch-ldap-fixes.diff
patch-ldap-key-seq-salt.diff
patch-ldap-misc.diff

And this patch from Nov 8:
patch-ldap-pwd-policy.c

ticket: new
Target_Version: krb5-1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18799 dc483132-0cff-0310-8789-dd5450dbe970

Delay kadmind random number initialization until after fork

Target_Version 1.6
Tags: pullup

Delay initialization of the random number generator in kadmind until
after the fork and backgrounding of the process.  Otherwise, a lack of
sufficient entropy during the system boot process will delay system
boot on systems that run each init script in series and that start
kadmind via an init script.

ticket: new
Component: krb5-admin
Version_Reported: 1.4.4

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18793 dc483132-0cff-0310-8789-dd5450dbe970

Document how to change the krbtgt key for a realm

ticket: new
Componet: krb5-doc
Version_Reported: 1.4.4
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18792 dc483132-0cff-0310-8789-dd5450dbe970

Install gssapi.h in includedir that includes gssapi/gssapi.h so that either
form of #include will work.  Provides better compatibility with Heimdal.

ticket: 2240
Component: krb5-libs
Version_Reported: 1.3.2
Target_Version: 1.6
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18791 dc483132-0cff-0310-8789-dd5450dbe970

Add "get_data" function to the client preauth plugin interface

Modify the client preauth plugin interface to pass in a function
pointer and data pointer so the plugin may request information
otherwise unavailable.

ticket: new
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18790 dc483132-0cff-0310-8789-dd5450dbe970

Add public function to get keylenth associated with an enctype

Add a new function, krb5_c_keylength, to libk5crypto to obtain the
keylength associated with an enctype.

ticket: new
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18789 dc483132-0cff-0310-8789-dd5450dbe970

Remove obsolete/conflicting prototype for krb524_convert_princs

After krb524_convert_princs() was made static, the prototype in krb524d.h
no longer matches the actual function declaration and is no longer needed.

ticket: new
Tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18787 dc483132-0cff-0310-8789-dd5450dbe970

commit for KFW 3.1 beta 3 (part two)

remove prototype for removed function

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18781 dc483132-0cff-0310-8789-dd5450dbe970

commits for KFW 3.1 Beta 3

     KfW 3.1 beta 3 (NetIDMgr 1.1.4.0)

     source for 1.1.4.0

     - Eliminate unused commented out code.

     nidmgr32.dll (1.1.4.0)

     - The configuration provider was incorrectly handling the case where a
       configuration value also specifies a configuration path, resulting
       in the configuration value not being found.  Fixed.

     - Fix a race condition when refreshing identities where removing an
       identity during a refresh cycle may a crash.

     - Fix a bug which would cause an assertion to fail if an item was
       removed from one of the system defined menus.

     - When creating an indirect UI context, khui_context_create() will
       correctly fill up a credential set using the selected credentials.

     krb5cred.dll (1.1.4.0)

     - Fix a race condition during new credentials acquisition which may
       cause the Krb5 plug-in to abandon a call to
       krb5_get_init_creds_password() and make another call unnecessarily.

     - If krb5_get_init_creds_password() KRB5KDC_ERR_KEY_EXP, the new
       credentials dialog will automatically prompt for a password change
       instead of notifying the user that the password needs to be changed.

     - When handling WMNC_DIALOG_PREPROCESS messages, the plug-in thread
       would only be notified of any changes to option if the user
       confirmed the new credentials operation instead of cancelling it.

     - Additional debug output for the DEBUG build.

     - Reset the sync flag when reloading new credentials options for an
       identity.  Earlier, the flag was not being reset, which can result
       in the new credentials dialog not obtaining credentials using the
       new options.

     - Handle the case where the new credentials dialog maybe closed during
       the plug-in thread is processing a request.

     - Fix a condition which would cause the Krb5 plug-in to clear the
       custom prompts even if Krb5 was not the identity provider.

     - Once a password is changed, use the new password to obtain new
       credentials for the identity.

     netidmgr.exe (1.1.4.0)

     - Fix a redraw issue which left areas of the credentials window
       unupdated if another window was dragged across it.

     - Handle WM_PRINTCLIENT messages so that the NetIDMgr window will
       support window animation and other features that require a valid
       WM_PRINTCLIENT handler.

     - During window repaints, NetIDMgr will no longer invoke the default
       window procedure.

     - Add support for properly activating and bringing the NetIDMgr window
       to the foreground when necessary.  If the window cannot be brought
       to the foreground, it will flash the window to notify the user that
       she needs to manually activate the NetIDMgr window.

     - When a new credentials dialog is launched as a result of an external
       application requesting credentials, if the NetIDMgr application is
       not minimized, it will be brought to the foreground before the new
       credentials dialog is brought to the foreground.  Earlier, the new
       credentials dialog may remain hidden behind other windows in some
       circumstances.

     - When displaying custom prompts for the new credentials dialog, align
       the input controls on the right.

ticket:new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18767 dc483132-0cff-0310-8789-dd5450dbe970

krb5.h not C++-safe due to "struct krb5_cccol_cursor"

Fixed definition of "struct krb5_cccol_cursor" in krb5.h to be C++ safe.
In C++ the struct name is also a type so there can't be a typedef of the same
name, in this case "typedef struct krb5_cccol_cursor *krb5_cccol_cursor;".

ticket: new
status: open
target_version: 1.6
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18765 dc483132-0cff-0310-8789-dd5450dbe970

krb5_get_init_creds_password does not consistently prompt for password changing

  krb5_get_init_creds_password() previously did not consistently
handle KRB5KDC_ERR_KEY_EXP errors.  If there is a "master_kdc"
  entry for the realm and the KDC is reachable, then the function
will prompt the user for a password change.  Otherwise, it will
return the error code to the caller.  If the caller is a ticket
manager, it will prompt the user for a password change with a
dialog that is different from the one generated by the prompter
function passed to krb5_get_init_creds_password.

With this change krb5_get_init_creds_password() will always
prompt the user if it would return KRB5KDC_ERR_KEY_EXP unless
the function is compiled with USE_LOGIN_LIBRARY.  (KFM)

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18764 dc483132-0cff-0310-8789-dd5450dbe970

Make clean in lib/kdb leaves error table files

Remove adb_err.c and adb_err.h on make clean.

ticket: new
tags: pullup

git-svn-id: svn://anonsvn.mit.edu/krb5/trunk@18763 dc483132-0cff-0310-8789-dd5450dbe970