Finalize changes for 4.2-2

Remove trailing whitespace in debian/changelog

Bump watch file version to 4 and use https for URL

Run wrap-and-sort -ast

Update to debhelper compatibility level V11

* Update to debhelper compatibility level V11.
  - Remove --parallel flags, no longer needed.
  - Remove dh-autoreconf dependency and sequence, no longer needed.

Update to standards version 4.2.1

* Update standards version to 4.2.1.
  - Enable verbose test output.
  - Install the upstream release notes as NEWS.gz, not changelog.gz.
  - Add Rules-Requires-Root: no.
  - Use https for URLs in debian/control and debian/copyright.

Refresh upstream signing key

Switch to the DEP-14 branch layout

* Switch to the DEP-14 branch layout and update debian/gbp.conf and
  Vcs-Git accordingly.

Finalize changes for 4.2-1

Enable all compiler hardening options

Refresh upstream signing key

Refresh debian/copyright

Add debian/gbp.conf for the branch layout

* Add debian/gbp.conf reflecting the branch layout of the default
  packaging repository.

Update standards version to 3.9.6

Add bug closers for Debian bugs fixed upstream

Add initial changelog for 4.2-1 release, drop patches

All patches were already present upstream.

Merge tag 'upstream/4.2' into debian

Upstream version 4.2

Imported Upstream version 4.2

Add tests/data/perl.conf to the distribution

Fix paths to POD docs in EXTRA_DIST

Release 4.2

Clean up license notices and regenerate LICENSE

Use the Debian copyright-format 1.0 format for LICENSE.  Fix up the
files that had unparseable license notices or ones with typos, and
add license notices to a few files that didn't have them.

Move POD documentation into a docs subdirectory

This is required for the standardized documentation check, and
reduces some clutter at the top level.

Remove strlcpy, strlcat, and strndup

These are no longer used by the utility library, so we don't have
to provide replacements for them.  Also clean up a remaining build
rule for the concat test suite.

Update to rra-c-util 5.9 and C TAP Harness 3.4

Update to rra-c-util 5.9:

* Add missing va_end to xasprintf implementation.
* Improve portability to Kerberos included in Solaris 10.
* Use appropriate warning flags with Clang (currently not warning clean).
* Use Lancaster Consensus environment variables to control tests.
* Use calloc or reallocarray for protection against integer overflows.
* Suppress warnings from Kerberos headers in non-system paths.
* Assume calloc initializes pointers to NULL.
* Assume free(NULL) is properly ignored.
* Improve error handling in xasprintf and xvasprintf.
* Check the return status of snprintf and vsnprintf properly.
* Preserve errno if snprintf fails in vasprintf replacement.
* Fix probing for Heimdal's libroken to work with older versions.
* Improve POD tests.
* Fix kafs compilation failure on Solaris 11 or later.
* Drop concat from the util library in favor of asprintf.
* Fail on any error in [bx]asprintf and [bx]vasprintf.
* Pass --deps to krb5-config in the non-reduced-dependencies case.
* Silence __attribute__ warnings on more compilers.

Update to C TAP Harness 3.4:

* Fix segfault in runtests with an empty test list.
* Display verbose test results with -v or C_TAP_VERBOSE.
* Support comments and blank lines in test lists.
* Check for integer overflow on memory allocations.
* Reopen standard input to /dev/null when running a test list.
* Don't leak extraneous file descriptors to tests.
* Suppress lazy plans and test summaries if the test failed with bail.
* runtests now treats the command line as a list of tests by default.
* The full test executable path can now be passed to runtests -o.
* Improved harness output for tests with lazy plans.
* Improved harness output to a terminal for some abort cases.
* Flush harness output after each test even when not on a terminal.
* Only use feature-test macros when requested or built with gcc -ansi.
* Drop is_double from the C TAP library to avoid requiring -lm.
* Avoid using local in the shell libtap.sh library.
* Silence __attribute__ warnings on more compilers.
* runtests now frees all allocated resources on exit.

Retry initial authentication until it succeeds

For both k5start with a command or -K and no -x flag, and krenew with
the -i flag, repeatedly retry the initial authentication.  The first
retry will be immediate, and then the commands will keep trying with
exponential backoff to one minute intervals, and then continuously at
one minute intervals until the command is killed or authentication
succeeds.  k5start and krenew will no longer start any other command
until the initial authentication succeeds, fixing startup behavior
when running a command that must have valid Kerberos tickets
immediately on start.  Based on a patch by Lars Hanke.

Fix a Stanford-specific bit in the test suite

When stripping the realm, strip any realm, not just stanford.edu.

Also fix -a and -b checks for krenew, add NEWS entry

Fixed option plausibility checks

Improve documentation and add NEWS for -a option

Fix k5start documentation of -K default

The default for -K is one hour, not something appropriate to the
ticket lifetime.  Add adjusting the wakeup period to the ticket
lifetime to TODO.

Add some additional work to TODO

Update the short description of the package

Don't advertise srvtabs, and add more information about the added
features over kinit.

Add -a option to always renew tickets and tokens

Add the -a option to k5start and krenew, which says to always try
to renew our tickets (and tokens, if -t) every time we wake up,
regardless of how much time is left on the tickets.  This is useful if
you want to ensure that a certain amount of lifetime always exists
on the tickets, or if you want to ensure aklog gets run, even if
something else is keeping our tickets fresh.

Based on a patch by Andrew Deason.

Fix another place where a temporary cache wasn't removed

If fchmod of the temporary ticket cache failed, the file wasn't
deleted.  Add in code to do that.

Change my email address to eagle@eyrie.org

Increase urgency to medium following new release advice

Finalize changes for 4.1-3

Add the upstream release signing key and verify it in debian/watch

Add AM_PROG_AR to configure.ac

* Add upstream patch to add AM_PROG_AR to configure.ac, needed by more
  recent Automake versions.

Stop forcing single-debian-patch

I'm going to use gbp pq to manage patches instead.

Update standards version to 3.9.5 (copyright, Vcs-Git)

* Update standards version to 3.9.5.
  - Convert debian/copyright to copyright-format 1.0.
  - Specify the Debian packaging branch in the Vcs-Git control field.

Remove now-ignored --disable-k4start flag from configure invocation

Enable parallel builds

Add more bug closers for using dh_autoreconf

Enable large file support

This probably won't matter, but may as well.

Make daemon test suite more robust

Extend delays, since authentication can take a while on a remote,
loaded network.  Use better strategies for waiting for activity
than simple numeric delays.  Fix the test count in k5start/daemon.

Skip keyring tests if the resulting tickets disappear

MIT Kerberos doesn't cope well with UID session keyrings.  It can
get tickets, but then the tickets disappear.  Check for that and
skip the keyring tests if we're running into that problem.

Add AM_PROG_AR to configure.ac, needed by newer Automake

Apply new -H with -K meaning to krenew, clean up code

-H can now be used with -K in krenew as well.  Simplify the
implementation, hopefully improve the documentation, and add a
NEWS entry.

Allow usage of -K together with -H

This allows users to override the default minimum remaining ticket
lifetime of two minutes after the next run when using -K.

When using -H without -K there should be no change in behaviour.

Add flag for reprompting to TODO

NEWS entry and test suite for k5start exit changes

Ensure that k5start -K -x still exits on initial failure

k5start -K no longer exits if initial authentication fails

k5start, when run with the -K option to run as a daemon, no longer
exits if the initial authentication fails.  Instead, it reports the
error to standard error and then continues to run, attempting
authentication every minute as if authentication had failed after it
had started.  Patch from Rasmus Borup Hansen.

Clean up after failure with k5start -o, -g, or -m

Clean up the temporary ticket cache on k5start failure if -o, -g, or
-m were given.  Based on a patch by Rasmus Borup Hansen.

Add NEWS entry for krenew -i interval fix

Shorten the wake-up period if there was an initial failure

If -i is given to krenew and the initial ticket renewal failed, start
with the shorter wake-up interval of one minute just as if a
subsequent renewal failed.

Fix k5start documentation to not imply it switches users

The first argument is the principal, not a username.  Don't call it
a username and imply that k5start can switch users.

Regenerate the Autotools build system with dh-autoreconf

Finalize changes for 4.1-2

Make the single-debian-patch and patch-header options local

* Move single-debian-patch to local-options and patch-header to
  local-patch-header so that they only apply to the packages I build and
  NMUs get regular version-numbered patches.

Update to debhelper V9, enable hardening

* Update to debhelper compatibility level V9.
  - Enable compiler hardening flags, including bindnow and PIE.

Add spec changelog for changes from Robbert Eggermont

Add updated spec file

- The .spec file refers to version 3.16.
- SLED doesn't have krb5-libs; both SLED and RHEL seem fine with
  Requires: krb5'.
- The %defattr lines cause some directory permissions problems.

Fix stray whitespace in NEWS

This was breaking formatting for the web pages.

Add changelog for upstream 4.1 release

Merge commit 'upstream/4.1' into debian

Imported Upstream version 4.1

Remove generated krb5.conf in non-renewable tests

If there is no keytab configuration, we were generating a krb5.conf
file and not deleting it.

Fix some documentation spelling errors

Release 4.1

Shorten the wakeup interval on errors

When k5start or krenew are running as a daemon and obtaining new
tickets fails, both now shorten the wakeup interval to one minute and
keep trying at that interval until the error resolves itself, and then
go back to the normal wakeup interval.

Always clean up PID files on exit

After a SIGHUP or SIGTERM when not running a command, k5start and
krenew now clean up their PID files, if any, before exiting.

Update copyright dates

Add krenew -s option to SIGHUP the command on exit

Add a new -s option to krenew that, if given, tells krenew to send
SIGHUP to the command it's running when it exits because it can't
renew the ticket.  This is useful when continuing to run the command
without a valid ticket would be pointless.

Test that krenew doesn't kill the command on exit

Fix k5start -H with a cache for the wrong principal

Fix a regression introduced in kstart 4.0 where k5start -H would be
happy with an unexpired ticket for a different principal than the
desired client principal.

Fix k5start -H and krenew -H with non-renewable tickets

Fix a regression introduced in kstart 4.0 that caused k5start -H and
krenew -H to fail and attempt reauthentication with non-renewable
tickets even if the lifetime was long enough.  Thanks to pod for the
report.

Add krenew option to SIGHUP child on exit to TODO

Improve the README discussion of kafs requirements

Finalize changes for 4.0-1

Remove reference to arla from README.Debian

* Remove reference to arla from README.Debian.  That package was removed
  from Debian some years ago.

Update source package format to 3.0 (quilt)

Update debian/copyright from upstream LICENSE file

Update to standards version 3.9.2

Update to debhelper compatibility level V8

Changelog for upstream 4.0 release

Merge commit 'upstream/4.0' into debian

Conflicts:
tests/util/xmalloc-t

Imported Upstream version 4.0

When re-execing perms-t via fakeroot, use the SOURCE directory

Release 4.0

Add new test files to the distribution

Remove another stray "Kerberos v5" reference

Update LICENSE

Remove the MIT copyright and license; there are no appreciable bits
of MIT kinit left in this code.  Everything has been rewritten.

Update lots of LICENSE information from the import of new code from
rra-c-util and various licensing changes there.

Add tests/README from C TAP Harness

Update README for kafs requirements, MIT Kerberos for tests

Add replacement for missing krb5_cc_get_full_name

Fix krenew cache canonicalization

Canonicalize to the full name similar to the change to k5start.  Add
a test for krenew handling of keyring caches.

Fix k5start/daemon tests for working cache canonicalization