NEWS

   1                     User-Visible krb5-strength Changes
   2
   3 krb5-strength 2.2 (unreleased)
   4
   5     More complex character class requirements can be specified with the
   6     configuration option require_classes.  This option lists the character
   7     classes the password must contain.  These restrictions may be
   8     qualified with password length ranges, allowing the requirements to
   9     change with the length of the password.  See README for more details
  10     and the option syntax.
  11
  12     cdbmake-wordlist now supports filtering out words based on maximum
  13     length (-L) and arbitrary user-provided regular expressions (-x).  It
  14     also supports running in filter mode to produce a new wordlist instead
  15     of a CDB file (-o).
  16
  17 krb5-strength 2.1 (2013-10-10)
  18
  19     Fix the package build when CDB support is disabled or TinyCDB was not
  20     found.
  21
  22     Some of the password rejection error messages have been changed to
  23     make them more accurate or comprehensible to the user.
  24
  25     Passing --with-tinycdb to configure now correctly makes TinyCDB
  26     support mandatory without adding bogus directories to the library and
  27     include search paths.
  28
  29 krb5-strength 2.0 (2013-10-07)
  30
  31     Add support for the MIT Kerberos password quality plugin interface,
  32     available in MIT Kerberos 1.9 and later, contributed by Greg Hudson
  33     and MIT.  Drop the patch for MIT Kerberos 1.4 (and hence support for
  34     versions of MIT Kerberos prior to 1.9).  A dictionary path set in
  35     krb5.conf takes precedence over the dictionary path provided by MIT
  36     Kerberos when the plugin is initialized, if both are set, to allow the
  37     dict_path configuration setting to be used for other plugins while
  38     using a separate dictionary for krb5-strength.
  39
  40     The default installation path for this plugin is now
  41     /usr/local/lib/krb5/plugins/pwqual/strength.so (for both MIT and
  42     Heimdal), assuming a --libdir setting of /usr/local/lib.  This may
  43     require updates to the Kerberos KDC configuration or moving the plugin
  44     when upgrading from earlier versions.
  45
  46     Add support for building with TinyCDB and then checking passwords
  47     against a CDB database.  There is a new password_dictionary_cdb
  48     krb5.conf configuration setting that configures a CDB directory to
  49     use.  The tests with a CDB dictionary are much simpler: passwords are
  50     rejected if found in the dictionary either literally, with one or two
  51     characters removed from the start or end, or with one character
  52     removed from both the start and the end.  Both a CrackLib and a CDB
  53     dictionary can be specified to check both dictionaries.  A new
  54     cdbmake-wordlist utility (written in Perl) is included to ease the
  55     process of creating a CDB database from a simple word list.
  56
  57     A minimum password length can now be enforced directly via the plugin
  58     or external check program without relying on CrackLib.  To set a
  59     minimum password length, add a minimum_length setting to the
  60     krb5-strength section of [appdefaults] in krb5.conf.
  61
  62     New boolean settings require_ascii_printable and require_non_letter
  63     are supported in the krb5-strength setting of [appdefaults] in
  64     krb5.conf.  The former rejects passwords containing characters other
  65     than printable ASCII characters (including space), and the latter
  66     requires that passwords contain at least one character that is not a
  67     letter (upper or lower case) or a space.
  68
  69     The plugin can now be configured without a dictionary, in which case
  70     only checks for a password based on the principal and the simpler
  71     checks available through the new configuration variables are done.
  72     This mode is mostly useful for testing, since such simple checking can
  73     more easily be done via less complex password strength configurations.
  74
  75     The check for passwords based on the principal now check for passwords
  76     formed by reversing or adding numbers before and after each separate
  77     component of the principal.  This will catch passwords based on the
  78     realm or components of the realm, which will often catch passwords
  79     based on the name of the local institution.
  80
  81     The plugin now sets the Kerberos error message in the context to pass
  82     error information, resulting in higher-quality error reporting in the
  83     MIT Kerberos plugin.
  84
  85     CrackLib checks for passwords where a character is a simple increment
  86     or decrement of the previous character.  In previous versions, the
  87     embedded version of CrackLib allowed at most four such occurrences in
  88     the entire password.  This results in false positives on long
  89     passphrases, since such accidental letter relationships aren't
  90     uncommon in human languages.  Change the embedded CrackLib to allow
  91     one such simple increment for every three characters in the password,
  92     which tightens the check somewhat for shorter passwords and loosens it
  93     considerably for longer passwords.
  94
  95     Expect the Heimdal password strength checking plugin header in
  96     kadm5/kadm5-pwcheck.h instead of outside of the kadm5 directory.  This
  97     is the path used by current versions of Heimdal.  Drop support for
  98     older versions of Heimdal that don't install this header file.
  99
 100     Update to rra-c-util 4.9:
 101
 102     * Probe for Kerberos headers using file checks instead of compiles.
 103     * Improve probe for the Heimdal libroken library.
 104     * Always build with large file support.
 105     * Conditionally call AM_PROG_AR for portability to new Autotools.
 106
 107     Update to C TAP Harness 2.2:
 108
 109     * Allow more easily running single programs under tests/runtests.
 110     * Flush the output from the test harness after each test.
 111
 112 krb5-strength 1.1 (2012-05-11)
 113
 114     Change the minimum password length in the embedded CrackLib to 8.
 115
 116     Reject passwords formed from the username portion of the principal
 117     with digits appended.
 118
 119     In the embedded CrackLib, also check for a duplicated dictionary word.
 120
 121     Support linking with the system CrackLib instead of the embedded and
 122     stricter copy by passing --with-cracklib to configure.
 123
 124     Fix variable sizes in the embedded CrackLib on 64-bit platforms.  This
 125     may fix interoperability problems with databases created on platforms
 126     with a different native integer size.  Thanks, Karl Lehnberger and
 127     Benj Carson.
 128
 129     Stop using local in the test suite for portability to Solaris /bin/sh.
 130
 131     Update to rra-c-util 4.4:
 132
 133     * Use PATH_KRB5_CONFIG to override krb5-config location.
 134     * Fix probing for ibm_svc/krb5_svc.h on AIX.
 135     * Support Heimdal libraries without libroken, like OpenBSD.
 136     * Fix manual Kerberos library probing without transitive dependencies.
 137     * Support systems that only have krb5/krb5.h.
 138     * Pass --deps to krb5-config in the non-reduced-dependencies case.
 139     * Silence __attribute__ warnings on more compilers.
 140     * Update warning flags for make warnings.
 141     * Flesh out MAINTCLEANFILES to remove autogen results.
 142     * Add notices to all files copied from rra-c-util.
 143
 144     Update to C TAP Harness 1.12:
 145
 146     * Drop is_double from the C TAP library to avoid requiring -lm.
 147     * Avoid using local in the shell libtap.sh library.
 148     * Silence __attribute__ warnings on more compilers.
 149     * runtests now frees all allocated resources on exit.
 150     * Fix runtests to still honor SOURCE and -s without BUILD and -b.
 151     * Add tests/HOWTO documenting how to add new tests.
 152     * Ensure correct output ordering in test results.
 153     * Add -h and a better usage message to tests/runtests.
 154
 155 krb5-strength 1.0 (2010-02-16)
 156
 157     Add heimdal-strength, a program that checks password strength using
 158     the protocol for a Heimdal external check program.
 159
 160     The shared module now also exports the interface expected by Heimdal's
 161     dynamically loaded password strength checking API and can be used as a
 162     Heimdal kadmin plugin.
 163
 164     Add a new plugin API for MIT Kerberos modelled after the plugin API
 165     used for other MIT Kerberos plugins.  Thanks to Marcus Watts for
 166     substantial research and contributions to the interface design.  This
 167     work is incomplete in this release, missing the corresponding patch to
 168     MIT Kerberos.
 169
 170     Fixed the data format written by the included packer program to add
 171     enough nul bytes at the end of the data.  Previously, there was not
 172     enough trailing nul bytes for the expected input format, leading to
 173     uninitialized memory reads in the password lookup.
 174
 175     Add a test suite using the driver and library from C TAP Harness 1.1.
 176
 177     Add portability code for platforms without a working snprintf or other
 178     deficiencies and updated the code to take advantage of those
 179     guarantees.
 180
 181 krb5-strength 0.5 (2007-07-18)
 182
 183     The check of the password against the principal checked against the
 184     fully-qualified principal, which is not the usual problem.
 185     Additionally check that the password doesn't match the principal with
 186     the realm removed or the reverse of that (case-insensitive).
 187
 188 krb5-strength 0.4 (2007-03-28)
 189
 190     The patches directory was omitted from the distribution.  Really
 191     include it.
 192
 193 krb5-strength 0.3 (2007-03-23)
 194
 195     Initial public release.  Includes a patch for MIT Kerberos, a slightly
 196     modified version of CrackLib, and glue wrapped around CrackLib to make
 197     a loadable module.