Update EXTRA_DIST for file changes

Various things have been moved around and a bunch of new files
added.  Update EXTRA_DIST accordingly.

Move heimdal-strength test

Now that the program is in tools, move the test accordingly.

Rename plugin/api.h to plugin/internal.h

This no longer defines the default API, since that is now an
internal implementation detail.  Rename the header file to match
the sort of thing I do with other projects.

Use krb5_free_string to free krb5_appdefault_string results

After parsing a numeric setting, free the string returned by
krb5_appdefault_string with krb5_free_string instead of free.

Add configurable checks for ASCII and for non-letters

New boolean settings require_ascii_printable and require_non_letter
are supported in the krb5-strength setting of [appdefaults] in
krb5.conf.  The former rejects passwords containing characters other
than printable ASCII characters (including space), and the latter
requires that passwords contain at least one character that is not a
letter (upper or lower case) or a space.

Support UTF-8 data in password test cases

In make-c-data, when generating C source from the JSON data,
properly encode UTF-8 strings.  This still requires a C compiler
that can handle raw UTF-8 input, but hopefully that won't be a
serious portability issue.

Add support for enforcing a minimum password length

This is configured using the minimum_length setting in krb5.conf
in the krb5-strength section of [appdefaults].  This length check
is independent of CrackLib's checks.

Probe for setrlimit for the xmalloc tests

Testing the xmalloc utility library requires knowing whether
setrlimit exists.  Add the check to configure.

Separate generic tests from CrackLib tests

Move the generic password tests into a separate file so that
they can be run independent from the CrackLib tests, and run
them for both CrackLib and CDB configurations.

Move password test data into a subdirectory

The number of files is only going to grow, so move it into a
subdirectory and use a loop in autogen to generate C versions of
every file to make it easier to add new blocks of test data.

Add Perl testing from rra-c-util

Delete the old, simple POD tests that only looked at the docs for
heimdal-strength and add full POD and Perl testing using the
generic tests from rra-c-util.

Add missing POD spelling stopword for cdbmake-wordlist

Fix style problems in the heimdal/external test

Some style and formatting issues crept in via various rewrites.
Clean those up again.

Fix naming of cdbmake-wordlist test

We've been using -t instead of .t since this is an Automake
project.  Be consistent.

Add test suite for util/messages-krb5

Move heimdal-strength to the tools directory

Try to keep the proliferation of directories to a minimum and put
all the command-line tools in the same directory.

Renamed cdb.m4 to tinycdb.m4

Reflect the contents more accurately in the name.

Add support for checking against a CDB database

Add support for building with TinyCDB and then checking passwords
against a CDB database.  There is a new password_dictionary_cdb
krb5.conf configuration setting that configures a CDB directory to
use.  The tests with a CDB dictionary are much simpler: passwords are
rejected if found in the dictionary either literally, with one or two
characters removed from the start or end, or with one character
removed from both the start and the end.  Both a CrackLib and a CDB
dictionary can be specified to check both dictionaries.

Include strerror results in Kerberos error messages

When reporting a Kerberos error message from a system call failure,
include the strerror results in the message.

Add cdbmake-wordlist test to the default test suite

Add a test suite for cdbmake-wordlist

Add initial version of cdbmake-wordlist tool

This creates a *.cdb file from a wordlist and will be used for the
new cdb support coming to krb5-strength.  For right now, there's no
test suite.

Remove appdefaults realm support for MIT from TODO

This was completed.

Use the Kerberos context to set the error message

The plugin now sets the Kerberos error message in the context to pass
error information, resulting in higher-quality error reporting in the
MIT Kerberos plugin.

Use die_krb5 in the external password checker

This is pointless at the moment, since we're only using it for
failures in krb5_init_context, but it will be more useful later.

Move krb5.conf configuration into the plugin

Load the configuration inside the plugin when we initialize it,
and pass in a Kerberos context to the plugin so that this is
possible.  Obtain or pass in an existing Kerberos context in the
places where we weren't already doing so.

This loses some more detailed error reporting, particularly around
non-existent configured dictionaries, which will be restored later
by using the Kerberos error message.

Fix memory management in the MIT plugin test

We were freeing one of our testing paths before using it again.

Remove some reachable leaks, static data in cracklib, tests

Don't attempt an optimization where we keep the last block of
the dictionary in memory to answer questions, since each call
may use a different dictionary.  Close the password dictionary
after each lookup (although this doesn't recover all of the
memory due to more static data elsewhere).

Free more memory at the end of the MIT plugin test.

Use standard CrackLib tools when not using embedded

When building with the system CrackLib, use the standard tools to
build the test dictionary instead of building the embedded code
just to use the packer.

Also use the tools to build the dictionary so that the word list
in the test suite doesn't have to be sorted.

Remove explicit CPPFLAGS setting for the plugin

This is handled by the global setting.

Update EXTRA_DIST and libportable sources

Add the new header files to libportable so that they're included
in the distribution, and remove obsolete files from EXTRA_DIST.

Make the way too short error consistent with CrackLib

Current CrackLib returns "it is WAY too short" rather than
"it's WAY too short".  Be consistent so that more of the test
suite will pass correctly.

Rewrite the MIT plugin tests in C

Rewrite the MIT plugin test in pure C, using the generated C
data and calling the shell script to create the necessary krb5.conf
file.  Check configuration both via the internal dictionary path
and via appdefaults.

Fix configuration and status codes in the MIT plugin

Modify the MIT plugin to support [appdefaults] configuration in
addition to the dictionary path configured in the KDC.  Modify the
core code to return meaningful error codes instead of just 0 and 1,
adjust the Heimdal module accordingly to translate them into 0 and
1, and use that to allow the MIT code to return real error codes.

In order to support this, import more of the Kerberos portability
layer including new portability for kadmin headers.

Report a real plan for the heimdal/external test

We can calculate how many tests we're going to run, so do so and
report a real plan.

Rewrite the Heimdal plugin tests in C

Add a new Perl program to generate a C version of the password
test data from the JSON source, and run that program during
autogen so that we can ship the source in the distribution and
not require JSON support for the basic test suite.  Add a new
shell script to generate the necessary krb5.conf file.

Rewrite the Heimdal plugin test in pure C, using the generated C
data and calling the shell script to create the necessary krb5.conf
file.

Rewrite the heimdal-strength tests in Perl

Externalize the passwords and expected results in a JSON file
and rewrite the test case in Perl, making it read the list of
test cases from that file.  Add a stripped-down krb5.conf file
used by the test suite instead of trying to manipulate the system
krb5.conf file.

Import Perl test support modules from rra-c-util

Import Test::RRA, Test::RRA::Automake, and Test::RRA::Config
from rra-c-util 4.10 for the use of test cases written in Perl.

Clean up the leading comment on the MIT plugin code

Reformat the prototype for pwqual_strength_initvt

Use util/macros.h for the UNUSED macro

Also reorganize the MIT plugin code a little bit.

Import the util layer from rra-c-util, use for heimdal-strength

Rather than rolling our own versions of xmalloc, xstrdup, and die,
import the util layer and use the standard versions of those
functions.  Also import the test suite.

Use the correct Stanford copyright notice, update dates

Include portable/krb5.h instead of krb5.h

Make use of the portability layer to figure out which Kerberos
header to include.

Remove an old TODO item related to the MIT patch

Don't purge the autom4te.cache directory

Retain this to make subsequent autogen runs faster.

Use the portability layer and close a memory leak

Free the unparsed principal name when checking passwords in
Heimdal, and use the portability layer in the external strength
program.

Add a more extensive Kerberos portability layer

We don't really care about portability for krb5_get_error_message
since we effectively will require that it exists, but may as well
use the same structure as other code.  Add some other functions
that we're using (or should be using).

Add support for new MIT plugin interface, drop old patch

Add support for the MIT Kerberos password quality plugin interface,
available in MIT Kerberos 1.9 and later, contributed by Greg Hudson
and MIT.  Drop the patch for MIT Kerberos 1.4 (and hence support for
versions of MIT Kerberos prior to 1.9).

Add additional CrackLib changes to cracklib/HISTORY

Fix the path to the Heimdal password strength header

Expect the Heimdal password strength checking plugin header in
kadm5/kadm5-pwcheck.h instead of outside of the kadm5 directory.  This
is the path used by current versions of Heimdal.

Update to the latest warning flags fromr rra-c-util 4.9

Add a missing ANSI C prototyping fix

Remove the need for tests/data/.placeholder

Just create the tests/data directory if needed before running
the packer to create the dictionary.

Update to rra-c-util 4.9 and C TAP Harness 2.2

Update to rra-c-util 4.9:

* Probe for Kerberos headers using file checks instead of compiles.
* Improve probe for the Heimdal libroken library.
* Always build with large file support.
* Conditionally call AM_PROG_AR for portability to new Autotools.

Update to C TAP Harness 2.2:

* Allow more easily running single programs under tests/runtests.
* Flush the output from the test harness after each test.

Make the simplicity check dependent on password length

CrackLib checks for passwords where a character is a simple increment
or decrement of the previous character.  In previous versions, the
embedded version of CrackLib allowed at most four such occurrences in
the entire password.  This results in false positives on long
passphrases, since such accidental letter relationships aren't
uncommon in human languages.  Change the embedded CrackLib to allow
one such simple increment for every three characters in the password,
which tightens the check somewhat for shorter passwords and loosens it
considerably for longer passwords.

Imported Upstream version 1.1

Add new rra-c-util files to the distribution

Release 1.1

Stop using local in the test suite for portability to Solaris /bin/sh

Update LICENSE statements

Use the correct form of the Stanford University copyright.

In the embedded CrackLib, also check for a duplicated dictionary word

Update to rra-c-util 4.4 and C TAP Harness 1.12

Update to rra-c-util 4.4:

* Use PATH_KRB5_CONFIG to override krb5-config location.
* Fix probing for ibm_svc/krb5_svc.h on AIX.
* Support Heimdal libraries without libroken, like OpenBSD.
* Fix manual Kerberos library probing without transitive dependencies.
* Support systems that only have krb5/krb5.h.
* Pass --deps to krb5-config in the non-reduced-dependencies case.
* Silence __attribute__ warnings on more compilers.
* Include strings.h where available for additional prototypes.
* Update warning flags for make warnings.
* Flesh out MAINTCLEANFILES to remove autogen results.
* Add notices to all files copied from rra-c-util.

Update to C TAP Harness 1.12:

* Drop is_double from the C TAP library to avoid requiring -lm.
* Avoid using local in the shell libtap.sh library.
* Silence __attribute__ warnings on more compilers.
* runtests now frees all allocated resources on exit.
* Add bmalloc, bcalloc, brealloc, and bstrdup TAP library functions.
* Fix runtests to still honor SOURCE and -s without BUILD and -b.
* Add tests/HOWTO documenting how to add new tests.
* More correct handling of system-specific errors in output checking.
* Ensure correct output ordering in test results.
* Add -h and a better usage message to tests/runtests.
* Add diag and sysdiag functions to the basic TAP library.
* Clean up data types in the basic C TAP library.
* Add the GCC nonnull attribute to the TAP library bail functions.

Update Heimdal plugin test for changes to CrackLib rules

Conditionally add cracklib/packer to check_PROGRAMS

This is better than noinst_PROGRAMS since it will be built with
make warnings.

Update test suite for new length restriction, new username check

Make the dictionary word we use to test longer now that we require
at least eight character passwords.  Also update the whitespace
tests.  Add tests for rejecting the username with digits appended.

Reject username followed by digits as the password

Reject passwords formed from the username portion of the principal
with digits appended.

Change the minimum password length in the embedded CrackLib to 8

Support linking with the system CrackLib

Support linking with the system CrackLib instead of the embedded and
stricter copy by passing --with-cracklib to configure.

Note type handling fix in cracklib/HISTORY

Remove to-do item about variable sizes in CrackLib

Use the correct variable sizes for int8/int16/int32 in CrackLib

Fix variable sizes in the embedded CrackLib on 64-bit platforms.  This
may fix interoperability problems with databases created on platforms
with a different native integer size.  Thanks, Karl Lehnberger and
Benj Carson.

Imported Upstream version 1.0

Add some missing statements from LICENSE

Link the plugin with the Kerberos libraries

Imported Upstream version 1.0

Add some more missing files to the distribution

Distribute and rename POD checks

Include the POD checks in the distribution and rename them to match
the naming of other test programs.

Distribute tests/data/wordlist

Release 1.0

Note that the MIT Kerberos plugin work is incomplete

Update LICENSE for portability layer and test suite addition

Add tests for POD documentation and spelling stopwords

Add a manual page for heimdal-strength

Update README, add documentation for Heimdal

Remove the beta notification for this software, since we've been running
it in production for a while.  Explain more clearly how it compares to
just embedding CrackLib.  Add configuration instructions for Heimdal and
details about the new external password quality check function.

Allow for Heimdal passing the principal as argv[0] to external check

Current versions of Heimdal appear to pass the principal as the first
element of argv rather than passing the program name as the first element
and the principal as the first conventional argument.  Allow for this in
the external check implementation.

Add new plugin API for MIT Kerberos

Add a new plugin API for MIT Kerberos modelled after the plugin API
used for other MIT Kerberos plugins.  Thanks to Marcus Watts for
substantial research and contributions to the interface design.

Add a NEWS entry for the portability layer

Add a changelog entry for supporting Heimdal's plugin API

Move the external Heimdal check program to a separate directory

Skip the Heimdal plugin test if not built with Heimdal

Fix the Heimdal plugin and test suite

The plugin code now passes all of its test cases, and the test suite
is run by default.

Add a test for the Heimdal shared module

Take advantage of the portability layer for plugin code

Use the new portable/system.h header and rely on the existence of a
sane snprintf and working strlcpy.

Rename Heimdal external password strength test

heimdal/external is more accurate than heimdal/basic, since a plugin
test is coming next.

Add a basic portability library

Add a basic portability library that ensures that functions like snprintf
and strlcpy are available, since I want to use them in the plugin code.
Synchronized with rra-c-util 2.1.

Initial implementation of Heimdal plugin API

Support the Heimdal shared module API for embedded password strength
checking and build that interface only if building against Heimdal.

Add TODO items for better integration with regular CrackLib

Add a test suite

Add a test suite using the driver and library from C TAP Harness 1.1.

Fixed the padding written by the packer utility

Fixed the data format written by the included packer program to add
enough nul bytes at the end of the data.  Previously, there was not
enough trailing nul bytes for the expected input format, leading to
uninitialized memory reads in the password lookup.