Update to rra-c-util 4.12 and C TAP Harness 2.3

Update to rra-c-util 4.12:

* Properly check the return status of snprintf and friends.

Update to C TAP Harness 2.3:

* Suppress lazy plans and test summaries if the test failed with bail.
* Add warn_unused_result gcc attributes to relevant functions.

Add some (unnecessary) checks to unconfuse clang

When parsing character class configuration, check for NULL explicitly
so that clang knows that the NULL case is handled properly.

Free the plugin in the Heimdal test as well

Close file descriptor and memory leak in CrackLib

Close a file descriptor and memory leak in the included version of
CrackLib.  This problem was already fixed in CrackLib 2.9.0.

Restructure MIT test code to allow for dlclose

We weren't closing the handle after completion of testing, which
caused noise in valgrind.

Free character class restrictions on shutdown

We weren't freeing the new structures for complex character class
restrictions when shutting the module down.

Add rules for running the test suite under valgrind

Add tests for configuration syntax errors

This should really be abstracted out into data, but we'll get to
that at some later date.

Use Perl6::Slurp instead of File::Slurp

One utility was using Perl6::Slurp and another was using
File::Slurp.  Perl6::Slurp is nicer, so just use that, and
update the documentation.  Also document the bootstrap
requirements imposed by make-c-data.

Update README with more details about new checking rules

The description section didn't mention the non-CrackLib capabilities,
and README never spelled out how CDB dictionaries were checked.
Fix both of those oversights.

Flesh out heimdal-strength documentation

Add full documentation for the supported krb5.conf configuration
options to the heimdal-strength POD documentation.  Also slightly
update the BLURB section of README.

Add class requirement documentation and length ranges

Add support for qualifying a character class restriction with the
range of lengths of password to which it applies.  Add documentation
and a NEWS entry for the new configuration.

Fix various character class check mistakes, add test suite

This is the first working version of the character class checking,
which is now plugged into the module initialization.  It also adds
a test suite for the external password check utility, although not
the embedded modules yet.

First pass at support for character class rules

This compiles, but it's not tested yet.  It supports a list of
required character classes, but not the restriction to particular
password lengths yet.

Rename the class test set to letter

Next is to add support for full character class rules, which will
reuse a similar name, so move the simplistic character class rules
to the name letter.json.

Put F<> around krb5.conf in heimdal-strength docs

Test::Spelling doesn't let me use stopwords to remove it from the
failures, and this is arguably more correct anyway.

Minor coding style fix to the heimdal-strength test

Don't use sysbail to report libdl errors in test suite

Fix alphabetization in Kerberos function probes

Fix leading comment in tests/data/make-krb5-conf

It wasn't correctly describing the new capability for adding
arbitrary key/value pairs.

Switch to LT_INIT from AC_PROG_LIBTOOL

The latter is deprecated.

Recenter maintainer line in README

Add NEWS entry for cdbmake-wordlist improvements

Add wordlist filter mode to cdbmake-wordlist

Add a new -o (--output) option that applies any configured filtering
and writes out a new wordlist file instead of creating a CDB file.
Refactor the script to avoid adding too much complexity with this
feature.

Support filtering wordlists by regex in cdbmake-wordlist

Add a new option, -x or --exclude, that excludes words from the
resulting CDB database by regular expression.  This option may
be given repeatedly to filter out multiple regular expressions.

Support a maximum word length in cdbmake-wordlist

Add a new -L (--max-length) option that filters out words longer
than a particular length.

Change my email address to eagle@eyrie.org

Fix typo in some of the copyright notices

Release 2.1

Add NEWS entries for TinyCDB build fixes

Update some of the password rejection error messages

Refer to "list of common passwords" when rejecting passwords due
to presence in a CDB dictionary, and say that passwords based on
the principal are based on "username or principal" to be more
technically accurate.

Simplify TinyCDB Autoconf probes

Refactor common code and ensure that rra_use_CDB is always set
properly.

Fix compilation without TinyCDB

The build without TinyCDB support was apparently not retested
after some refactoring, so some functions had the wrong signatures
or were not properly prototyped.

Fix handling of --with-tinycdb

Avoid adding -Lyes/lib and -Iyes/include to flags when given
--with-tinydb.  All this should do is make building with TinyCDB
mandatory.

Flesh out test suite requirements in README

Update BLURB in README based on the new Debian description

The previous version was rather outdated and didn't talk about
all of the plugin's capabilities.

Fix distribution contents for the release

It's been a while and a lot of changes, so there were various
places where the contents of the distribution as defined by
Makefile.am were out of date.

Remove now-unneeded strlcat and strlcpy .gitignore entries

These tests are no longer included.

Fix logic to find the test CDB database

This is in the source package, not built dynamically as part of
the test suite, so we need to use test_file_path to find it.

Adjust the test suite for being run with a weird umask

If the test suite is run with a read-only source distribution, we
create files that aren't writable and then various things go awry.
Force permissions in a few key places to correct the problem.

Release 2.0

Rewrite LICENSE in Debian copyright-format 1.0

Fix copyright dates and cracklib/LICENCE reference in README

Remove a cdbmake-wordlist comment that confused build-license

One copyright statemnet per file works better.

Add a license statement to the heimdal-strength documentation

Add more standard sections to README

Add SUPPORT, SOURCE REPOSITORY, and LICENSE sections.

Fix a clang analysis error in the CDB code

The code was actually safe, but it wasn't clear enough for clang.
Add an explicit initialization to make the code clearer.

Add additional checks for passwords based on principals

The check for passwords based on the principal now check for passwords
formed by reversing or adding numbers before and after each separate
component of the principal.  This will catch passwords based on the
realm or components of the realm, which will often catch passwords
based on the name of the local institution.

Rename generic tests to principal tests

They're actually tests for passwords based on a principal, so name
them accordingly.

Document that checking against the principal is always done

Even if there are no dictionaries configured, we still check whether
the password is based on the principal.

Change strength_check to take a saner argument order

It makes more sense to pass in the principal before the password.
Change all the internal APIs to use that order.

Refactor checking for passwords based on principals

Move this code into a separate file in preparation for expanding
the nature of the checks, and following the general principal of
putting each type of check in a separate file.

Clean up and refactor configuration handling

Each "module" (CDB and CrackLib) now handles its own configuration
and setup, and the internal APIs are more straightforward and
simpler.

The plugin can now be configured without a dictionary, in which case
only the simpler checks available through the new configuration
variables are done.  This mode is mostly useful for testing, since
such simple checking can more easily be done via less complex password
strength configurations.

Use krb5_xfree for krb5_free_default_realm on Heimdal

The documentation says to use free, but this doesn't make sense
since the memory is allocated inside the Kerberos library.

Separate Kerberos configuration handling into a separate file

Provide a cleaner interface and hard-code the section values to
reduce the number of required arguments.  Factor out the realm
handling and properly free the default realms, avoiding memory
leaks.

Remove unnecessary includes in plugin/cracklib.c

Refactor the CrackLib code into a separate source file

Also rename api.c to general.c, which more accurately reflects the
current contents of that file.

Move CDB initialization into plugin/cdb.c

Move a bit farther down the path of having the different portions
of strength checking properly separated out.

Remove duplicate definition of KADM5_PASS_Q_GENERIC

This is now handled by portable/kadmin.h.

Refactor error handling inside the plugin

Add a set of generic functions for setting the error message in
the Kerberos context, move some of the error message strings out
where they can be easily manipulated, and use a similar error
message for CDB matches as the other password error messages.

Clean up error handling in the Heimdal plugin

Move the code to convert the Kerberos error to an error string
into a separate function and use that to simplify the error
reporting.  Remove an unnecessary prefix to the error for
initializing the password strength checking.

Rename the internal plugin functions

Use a standard prefix of strength_ rather than pwcheck_.  This
matches the name of the plugin and is somewhat more informative.

Change the default plugin install path and name

The default installation path for this plugin is now
/usr/local/lib/krb5/plugins/pwqual/strength.so (for both MIT and
Heimdal), assuming a --libdir setting of /usr/local/lib.  This may
require updates to the Kerberos KDC configuration or moving the plugin
when upgrading from earlier versions.

Fix Heimdal pwcheck header probing

The configure probe was never going to work properly.  Fix that by
adding the correct includes.  Drop the fallback for versions of
Heimdal without the include file installed, which is not required
for Debian squeeze and later.

Hide internal functions

Mark all the internal plugin functions and all the CrackLib functions
as hidden.

Mark the portable_dummy symbol as hidden

This was leaking out of shared libraries that used libportable.
Whoops.

Remove strlcat and strlcpy portable replacements

I no longer use either function in this package, so there's no
need to include the replacements and the code to test them.

Reorganize the plugin tests

Make the organization of the test suite reflect the organization
of the source code.

Update EXTRA_DIST for file changes

Various things have been moved around and a bunch of new files
added.  Update EXTRA_DIST accordingly.

Move heimdal-strength test

Now that the program is in tools, move the test accordingly.

Rename plugin/api.h to plugin/internal.h

This no longer defines the default API, since that is now an
internal implementation detail.  Rename the header file to match
the sort of thing I do with other projects.

Use krb5_free_string to free krb5_appdefault_string results

After parsing a numeric setting, free the string returned by
krb5_appdefault_string with krb5_free_string instead of free.

Add configurable checks for ASCII and for non-letters

New boolean settings require_ascii_printable and require_non_letter
are supported in the krb5-strength setting of [appdefaults] in
krb5.conf.  The former rejects passwords containing characters other
than printable ASCII characters (including space), and the latter
requires that passwords contain at least one character that is not a
letter (upper or lower case) or a space.

Support UTF-8 data in password test cases

In make-c-data, when generating C source from the JSON data,
properly encode UTF-8 strings.  This still requires a C compiler
that can handle raw UTF-8 input, but hopefully that won't be a
serious portability issue.

Add support for enforcing a minimum password length

This is configured using the minimum_length setting in krb5.conf
in the krb5-strength section of [appdefaults].  This length check
is independent of CrackLib's checks.

Probe for setrlimit for the xmalloc tests

Testing the xmalloc utility library requires knowing whether
setrlimit exists.  Add the check to configure.

Separate generic tests from CrackLib tests

Move the generic password tests into a separate file so that
they can be run independent from the CrackLib tests, and run
them for both CrackLib and CDB configurations.

Move password test data into a subdirectory

The number of files is only going to grow, so move it into a
subdirectory and use a loop in autogen to generate C versions of
every file to make it easier to add new blocks of test data.

Add Perl testing from rra-c-util

Delete the old, simple POD tests that only looked at the docs for
heimdal-strength and add full POD and Perl testing using the
generic tests from rra-c-util.

Add missing POD spelling stopword for cdbmake-wordlist

Fix style problems in the heimdal/external test

Some style and formatting issues crept in via various rewrites.
Clean those up again.

Fix naming of cdbmake-wordlist test

We've been using -t instead of .t since this is an Automake
project.  Be consistent.

Add test suite for util/messages-krb5

Move heimdal-strength to the tools directory

Try to keep the proliferation of directories to a minimum and put
all the command-line tools in the same directory.

Renamed cdb.m4 to tinycdb.m4

Reflect the contents more accurately in the name.

Add support for checking against a CDB database

Add support for building with TinyCDB and then checking passwords
against a CDB database.  There is a new password_dictionary_cdb
krb5.conf configuration setting that configures a CDB directory to
use.  The tests with a CDB dictionary are much simpler: passwords are
rejected if found in the dictionary either literally, with one or two
characters removed from the start or end, or with one character
removed from both the start and the end.  Both a CrackLib and a CDB
dictionary can be specified to check both dictionaries.

Include strerror results in Kerberos error messages

When reporting a Kerberos error message from a system call failure,
include the strerror results in the message.

Add cdbmake-wordlist test to the default test suite

Add a test suite for cdbmake-wordlist

Add initial version of cdbmake-wordlist tool

This creates a *.cdb file from a wordlist and will be used for the
new cdb support coming to krb5-strength.  For right now, there's no
test suite.

Remove appdefaults realm support for MIT from TODO

This was completed.

Use the Kerberos context to set the error message

The plugin now sets the Kerberos error message in the context to pass
error information, resulting in higher-quality error reporting in the
MIT Kerberos plugin.

Use die_krb5 in the external password checker

This is pointless at the moment, since we're only using it for
failures in krb5_init_context, but it will be more useful later.

Move krb5.conf configuration into the plugin

Load the configuration inside the plugin when we initialize it,
and pass in a Kerberos context to the plugin so that this is
possible.  Obtain or pass in an existing Kerberos context in the
places where we weren't already doing so.

This loses some more detailed error reporting, particularly around
non-existent configured dictionaries, which will be restored later
by using the Kerberos error message.

Fix memory management in the MIT plugin test

We were freeing one of our testing paths before using it again.

Remove some reachable leaks, static data in cracklib, tests

Don't attempt an optimization where we keep the last block of
the dictionary in memory to answer questions, since each call
may use a different dictionary.  Close the password dictionary
after each lookup (although this doesn't recover all of the
memory due to more static data elsewhere).

Free more memory at the end of the MIT plugin test.

Use standard CrackLib tools when not using embedded

When building with the system CrackLib, use the standard tools to
build the test dictionary instead of building the embedded code
just to use the packer.

Also use the tools to build the dictionary so that the word list
in the test suite doesn't have to be sorted.

Remove explicit CPPFLAGS setting for the plugin

This is handled by the global setting.

Update EXTRA_DIST and libportable sources

Add the new header files to libportable so that they're included
in the distribution, and remove obsolete files from EXTRA_DIST.

Make the way too short error consistent with CrackLib

Current CrackLib returns "it is WAY too short" rather than
"it's WAY too short".  Be consistent so that more of the test
suite will pass correctly.