Revert "Fix edit distance checking and add a test suite"

This reverts commit feb69b10461b4dca5d439ace7aaf58640000d8bd.
This is too slow to be usable.  We will be adding an new password
dictionary back-end that will do this check.

Fix edit distance checking and add a test suite

Several errors in the previous implementation caused edit distance
checking to not work properly.  Actually iterate through the
possible characters correctly.

In CDB checks, check all passwords within edit distance one

When checking a password against a CDB dictionary, the dictionary will
be checked for all printable ASCII passwords within edit distance one,
in addition to checking the password with first and last characters,
first two characters, and last two characters removed.

Add hash benchmarking support to heimdal-history

Add an option to benchmark the hash function and find an interation
count that takes a particular amount of time.  Adjust the default
iteration count to match benchmarking done on relatively recent
hardware.

Add password history implementation for Heimdal

A password history implementation for Heimdal is now included.  This
is a separate Perl program, heimdal-history, that stacks with the
external program implementation of strength checking.  It is not
available in the form of a plugin, only as a Heimdal external password
quality check.  (MIT Kerberos provides its own password history
mechanism.)  This program has more extensive Perl module dependencies
than the other programs in this distribution.

Finalize changes for 2.2-1

Update debian/copyright for new upstream release

Update to standards version 3.9.5

Add changelog for new upstream release

Merge tag 'upstream/2.2' into debian

Upstream version 2.2

Imported Upstream version 2.2

Add valgrind.supp to the distribution

Release 2.2

Update to rra-c-util 4.12 and C TAP Harness 2.3

Update to rra-c-util 4.12:

* Properly check the return status of snprintf and friends.

Update to C TAP Harness 2.3:

* Suppress lazy plans and test summaries if the test failed with bail.
* Add warn_unused_result gcc attributes to relevant functions.

Add some (unnecessary) checks to unconfuse clang

When parsing character class configuration, check for NULL explicitly
so that clang knows that the NULL case is handled properly.

Free the plugin in the Heimdal test as well

Close file descriptor and memory leak in CrackLib

Close a file descriptor and memory leak in the included version of
CrackLib.  This problem was already fixed in CrackLib 2.9.0.

Restructure MIT test code to allow for dlclose

We weren't closing the handle after completion of testing, which
caused noise in valgrind.

Free character class restrictions on shutdown

We weren't freeing the new structures for complex character class
restrictions when shutting the module down.

Add rules for running the test suite under valgrind

Add tests for configuration syntax errors

This should really be abstracted out into data, but we'll get to
that at some later date.

Use Perl6::Slurp instead of File::Slurp

One utility was using Perl6::Slurp and another was using
File::Slurp.  Perl6::Slurp is nicer, so just use that, and
update the documentation.  Also document the bootstrap
requirements imposed by make-c-data.

Update README with more details about new checking rules

The description section didn't mention the non-CrackLib capabilities,
and README never spelled out how CDB dictionaries were checked.
Fix both of those oversights.

Flesh out heimdal-strength documentation

Add full documentation for the supported krb5.conf configuration
options to the heimdal-strength POD documentation.  Also slightly
update the BLURB section of README.

Add class requirement documentation and length ranges

Add support for qualifying a character class restriction with the
range of lengths of password to which it applies.  Add documentation
and a NEWS entry for the new configuration.

Fix various character class check mistakes, add test suite

This is the first working version of the character class checking,
which is now plugged into the module initialization.  It also adds
a test suite for the external password check utility, although not
the embedded modules yet.

First pass at support for character class rules

This compiles, but it's not tested yet.  It supports a list of
required character classes, but not the restriction to particular
password lengths yet.

Rename the class test set to letter

Next is to add support for full character class rules, which will
reuse a similar name, so move the simplistic character class rules
to the name letter.json.

Put F<> around krb5.conf in heimdal-strength docs

Test::Spelling doesn't let me use stopwords to remove it from the
failures, and this is arguably more correct anyway.

Minor coding style fix to the heimdal-strength test

Don't use sysbail to report libdl errors in test suite

Fix alphabetization in Kerberos function probes

Fix leading comment in tests/data/make-krb5-conf

It wasn't correctly describing the new capability for adding
arbitrary key/value pairs.

Switch to LT_INIT from AC_PROG_LIBTOOL

The latter is deprecated.

Recenter maintainer line in README

Add NEWS entry for cdbmake-wordlist improvements

Add wordlist filter mode to cdbmake-wordlist

Add a new -o (--output) option that applies any configured filtering
and writes out a new wordlist file instead of creating a CDB file.
Refactor the script to avoid adding too much complexity with this
feature.

Support filtering wordlists by regex in cdbmake-wordlist

Add a new option, -x or --exclude, that excludes words from the
resulting CDB database by regular expression.  This option may
be given repeatedly to filter out multiple regular expressions.

Support a maximum word length in cdbmake-wordlist

Add a new -L (--max-length) option that filters out words longer
than a particular length.

Change my email address to eagle@eyrie.org

Fix typo in some of the copyright notices

Add changelog for upstream 2.1 release

Merge tag 'upstream/2.1' into debian

Upstream version 2.1

Imported Upstream version 2.1

Release 2.1

Add NEWS entries for TinyCDB build fixes

Update some of the password rejection error messages

Refer to "list of common passwords" when rejecting passwords due
to presence in a CDB dictionary, and say that passwords based on
the principal are based on "username or principal" to be more
technically accurate.

Simplify TinyCDB Autoconf probes

Refactor common code and ensure that rra_use_CDB is always set
properly.

Fix compilation without TinyCDB

The build without TinyCDB support was apparently not retested
after some refactoring, so some functions had the wrong signatures
or were not properly prototyped.

Fix handling of --with-tinycdb

Avoid adding -Lyes/lib and -Iyes/include to flags when given
--with-tinydb.  All this should do is make building with TinyCDB
mandatory.

Flesh out test suite requirements in README

Update BLURB in README based on the new Debian description

The previous version was rather outdated and didn't talk about
all of the plugin's capabilities.

Finalize changes for 2.0-1

Remove README.Debian

* Remove README.Debian.  All of that information is now available in the
  installed upstream README file.

Ideally, more specific Debian instructions should be written at some
point to distill the upstream README file into more useful details.

Really enable PIE in the hardening flags

Stop using dh_install

Since we only have a single package, there's no point.  Just
explicitly remove the *.la file.

Silence the echo commands about disabled test suite

Fix the target of the module chmod command

Add more Perl modules to pass Test::Strict

We need to install all modules required by make-c-data even though
we're currently not running it during the build.

Ignore test suite failures due to #724570

CrackLib is currently broken for the test suite, which causes
some tests to fail.  Run the test suite anyway in the hope of
identifying other issues.

Flesh out build dependencies for testing

Add cracklib-runtime and tinycdb to the build dependencies to
support the test suite.  Add a ton of Perl modules to support the
tests written in Perl and the tests of the Perl scripts in the
package.

Drop --with-tinycdb to work around a bug in configure

Add bug closer for the ITP bug

Install man pages and generalize usr/bin install rule

Add Pre-Depends since debhelper will want it for multiarch

Version the libkrb5-dev dependency

This won't work with the version in oldstable.  May as well be
explicit about that.

Fix permissions on the correct plugin file

Add branch information to the Vcs-Git metadata

Use xz compression for the upstream and Debian tarballs

Rewrite debian/copyright in copyright-format 1.0

Update standards version to 3.9.4

Use dh-autoreconf to rebuild the build system during package builds

Add blank line to the end of the local patch header

Update debhelper to V9, enable hardening and parallel builds

* Update debhelper compatibility level to V9.
  - Enable hardening flags, including bindnow and PIE.
  - Enable parallel builds.

Remove Bugs header now that this package is in Debian proper

Build against system CrackLib and the CDB libraries

Merge krb5-strength and heimdal-strength, revise description

* Eliminate the heimdal-strength package.  krb5-strength now builds a
  single binary package of the same name including the MIT plugin and
  the Heimdal external password quality program.  The Heimdal plugin is
  not built by the Debian packaging because Heimdal prefers external
  programs.  The plugin can be added later as a separate package if
  there is demand.
* Revise the package long description for the merger of krb5-strength
  and heimdal-strength and the new capabilities in 2.0.
* Recommend cracklib-runtime and tinycdb since they are required to
  build dictionaries.  Downgrade krb5-admin-server to Enhances and add
  heimdal-kdc.

Add changelog for the upstream 2.0 release

Merge tag 'upstream/2.0' into debian

Upstream version 2.0

Imported Upstream version 2.0

Fix distribution contents for the release

It's been a while and a lot of changes, so there were various
places where the contents of the distribution as defined by
Makefile.am were out of date.

Remove now-unneeded strlcat and strlcpy .gitignore entries

These tests are no longer included.

Fix logic to find the test CDB database

This is in the source package, not built dynamically as part of
the test suite, so we need to use test_file_path to find it.

Adjust the test suite for being run with a weird umask

If the test suite is run with a read-only source distribution, we
create files that aren't writable and then various things go awry.
Force permissions in a few key places to correct the problem.

Release 2.0

Rewrite LICENSE in Debian copyright-format 1.0

Fix copyright dates and cracklib/LICENCE reference in README

Remove a cdbmake-wordlist comment that confused build-license

One copyright statemnet per file works better.

Add a license statement to the heimdal-strength documentation

Add more standard sections to README

Add SUPPORT, SOURCE REPOSITORY, and LICENSE sections.

Fix a clang analysis error in the CDB code

The code was actually safe, but it wasn't clear enough for clang.
Add an explicit initialization to make the code clearer.

Add additional checks for passwords based on principals

The check for passwords based on the principal now check for passwords
formed by reversing or adding numbers before and after each separate
component of the principal.  This will catch passwords based on the
realm or components of the realm, which will often catch passwords
based on the name of the local institution.

Rename generic tests to principal tests

They're actually tests for passwords based on a principal, so name
them accordingly.

Document that checking against the principal is always done

Even if there are no dictionaries configured, we still check whether
the password is based on the principal.

Change strength_check to take a saner argument order

It makes more sense to pass in the principal before the password.
Change all the internal APIs to use that order.

Refactor checking for passwords based on principals

Move this code into a separate file in preparation for expanding
the nature of the checks, and following the general principal of
putting each type of check in a separate file.

Clean up and refactor configuration handling

Each "module" (CDB and CrackLib) now handles its own configuration
and setup, and the internal APIs are more straightforward and
simpler.

The plugin can now be configured without a dictionary, in which case
only the simpler checks available through the new configuration
variables are done.  This mode is mostly useful for testing, since
such simple checking can more easily be done via less complex password
strength configurations.

Use krb5_xfree for krb5_free_default_realm on Heimdal

The documentation says to use free, but this doesn't make sense
since the memory is allocated inside the Kerberos library.

Separate Kerberos configuration handling into a separate file

Provide a cleaner interface and hard-code the section values to
reduce the number of required arguments.  Factor out the realm
handling and properly free the default realms, avoiding memory
leaks.

Remove unnecessary includes in plugin/cracklib.c