Imported Upstream version 3.2

Imported Upstream version 3.1

Imported Upstream version 3.0

Imported Upstream version 2.4

Imported Upstream version 2.3

Imported Upstream version 2.3

Imported Upstream version 2.2

Remove Debian packaging from the master branch

Close the kasetkey output file descriptor before checking its exit
status so that we get accurate results.

Produce better error messages if REMOTE_USER isn't set in the
environment when checking authorization for instance management and
document the use of REMOTE_USER in the man page.

Change a remaining instance of k4admin to kasetkey.

* Update copyright based on the upstream LICENSE file.

Change a stray use of wallet to kadmin-remctl.

* Add a versioned recommends on kasetkey to get enable, disable, and
  examine support.

Initial changelog entry for 2.1-1.

Release 2.1.

Stop ignoring .pc; we don't use quilt any more.

General coding style cleanup.  Switch to a separate LICENSE file.

Improve the library probing and allow for systems where shared library
dependencies don't work properly.

If KRB5_CONFIG was explicitly set in the environment, don't use a
different krb5-config based on --with-krb4 or --with-krb5.  If
krb5-config isn't executable, don't use it.  This allows one to force
library probing by setting KRB5_CONFIG to point to a nonexistent file.

Sanity-check the results of krb5-config before proceeding and error
out in configure if they don't work.

Fix a typo when calling kasetkey for examine.

Move build support programs to build-aux, the new Automake standard.

Add a TODO for LDAP examine.

kasetkey now supports examine, enable, and disable, so drop all
remaining calls to a Kerberos v4 kadmin client and use kasetkey for
all AFS kaserver integration.

Honor allowed regex configuration for valid principal names in examine
as well.

Include ksetpass.1 in the installed man pages and mark man pages for
distribution properly.

Hopefully finalize 2.0-1.

Release 2.0.

* Update to standards version 3.7.3 (no changes required).

* Use touch $@ to create stamp files.

* kadmin-remctl is now Architecture: any since it includes ksetpass.
* No longer include the supervise configuration for the password reset
  remctld instance in the kadmin-remctl package.
* Move remctl-server and libtext-template-perl to Recommends since
  kadmin-remctl doesn't always need them.
* Update the long description for kadmin-remctl.  It's no longer very
  Stanford-specific as packaged.

Change some kadmin-backend defaults to be less Stanford-specific.

Update copyright date.

Don't enable the newly created AD account if we were told to create it
disabled.

Initial changelog for 2.0-1.

Ignore ksetpass.

Update for 2.0.

Support enable and disable commands for instance management as well.

We don't need to specifically link ksetpass with -lkrb5 since we're
already adding that to LIBS.

Add a credit to Dmitri.

Sleep a bit between ksetpass tries.

Fix a few more bugs, mostly in error reporting, and try the ksetpass
multiple times.

Print out a newline after error messages.

Fix various logic problems in the previous rewrite.  It's now been
tested except for ksetpass.

Allow for kadmin binaries that print error messages in two parts by
waiting for the end of the line before extracting the error message.

When checking against ACLs, support include commands with the same
syntax as remctld.

Initial commit of the rewrite to support Guest Accounts.

Significantly rework kadmin-backend.  The configuration variable for
instance management has been renamed to %CONFIG and now must be set.
It controls both instances and principals without instances.  Many of
the global settings have been moved into that hash and can be set
per-instance.  Particular instances may now be configured to only
exist in Active Directory and bypass Kerberos v5 entirely.

Support using ksetpass for password resets in Active Directory and to
work around a Windows Server 2008 bug that prevents setting passwords
at the time of account creation when using GSS-API authentication.

Added the ksetpass client, which sets a Kerberos password via the
password change protocol using an existing Kerberos ticket cache.

Recognize instance list errors from kadmin correctly.  kadmin returns
errors prefixed by get_principals, not list_principals.

* New upstream release.
  - Add support for adding instances to an Active Directory group.

Release 1.9.

Add support for optionally adding principals with instances created in
Active Directory to an Active Directory authorization group at the
time of creation.

* New upstream release.
  - Increase Expect timeouts in kadmin-backend.
  - Improved error message stripping in kadmin-backend.
  - Add a newline after remctl errors in passwd_change.

Release 1.8.

Update the blurb, description, and requirements.

Note that the Expect code needs to be replaced with something less
fragile and less of a hack.

Increase the timeouts in the Expect calls while performing the actual
operation, since the propagation to Active Directory can take some
time.

When stripping error messages for reporting to the user, don't stop
stripping at newlines.

Add a newline after a remctl library error when reporting such errors
to the user in passwd_change.

* New upstream release.
  - Support a $K5_HOST variable to use a non-default admin server.

Release 1.7.

Make maintainer-clean more thorough.

Tweak kadmin-backend slightly so that it runs properly with Perl
5.6.1 without warnings.

Add the $K5_HOST configuration variable to kadmin-backend which, if
set, tells kadmin-backend to contact the given kadmin server instead
of the default for the local realm.

Note possible check_passwd improvements.

More error condition fixes.

Correctly handle errors on account creation in kadmin-backend.  It was
treating all Kerberos errors as success.

Standardize across the non-instance functions of kadmin-backend the
ordering of error and retstr messages and return retstr for the case
of creating an account that already exists instead of just error.

Return retstr and then error for principals that already exist.

* New upstream release.
  - Fix problems with deleting instances from Active Directory.
  - Correctly encode the Active Directory unicodePwd field.
  - Support listing instances in foreign realms.
  - Fix kadmin examine output when K4 output faking is enabled.

Release 1.6.

Active Directory expects passwords to be encoded in UCS-2LE.  Change
the password provided to the LDIF template to match those expectations
and move the modules needed for talking to Active Directory to
require statements from use statements so that those Perl modules
aren't required unless Active Directory integration is desired.

Kerberos v4 examine output faking was prepending "retstr: " even to
error messages.  Drop "retstr: " when there is an error.

Strip the DN properly when deleting an account based on the LDIF file.

Use the correct configuration key when reading the LDIF file to find
the DN for deleting instances.

When listing instances, add a wildcard after the instance pattern
rather than letting kadmin append the local realm so that we can use
the same code on development servers that may be serving different
realms than the local realm.

* Update debhelper compatibility level to V5 (no changes required).

* New upstream release.
  - Add support for instance propagation to Active Directory.
  - Fix time zone problems with K4 output faking.
  - Fix configuration details in passwd_change documentation.

You always need Text::Template for the kadmin backend.

Release 1.5.

Document the kadmin-backend modifications to talk to Active Directory.

Make k5start, ldapadd, ldapdelete, and ldapsearch configuration
variables so that people can specify alternative paths if they wish.

Add documentation for the new options.

Don't attempt to propagate instances to AD unless AD propagation is
configured.

Make the LDAP configuration file and keytab paths configurable rather
than hard-coding them, adding them to the %INSTANCES hash.  Rename the
ldif config variable to ad_ldif to match.

Go back to passing the quiet flag to LDAP commands and not printing
the LDIF and command before doing something.  Pull the DN from the
LDIF template for delete instead of hard-coding our structure.

Delete from AD before deleting from K5, since the local delete is much
less likely to be in error.  Also delete the AD principal if the local
account creation fails so as not to strand an account in AD without a
password due to our initial workarounds.

Initial working version, full of ugly hacks and hard-coded configuration.
Now to start cleaning this up to be vaguely sane.

When faking Kerberos v4 examine output in kadmin-backend, strip the
time zone information from the Kerberos v5 timestamps.  Kerberos v4
kadmin examine didn't include time zone information.

Fix the passwd_change configuration documentation to use the correct
krb5.conf parameters.

Need more escaping when passing strings to CFLAGS.

Release 1.4.  Update the README for the new configuration capabilities
of passwd_change.

* New upstream release.
  - Fix K4 examine faking when the account doesn't exist.
  - passwd_change now takes configuration from krb5.conf.
* Drop the local patch to change the passwd_change defaults and instead
  pass Stanford's defaults as compiler options in debian/rules.

Replace hard-coded defaults with ones that aren't Stanford-specific
and wrap them all in #ifndef so that they can be set on the command
line.

passwd_change now takes krb5.conf configuration, but we still need a
better method of setting defaults.

Add support in passwd_change for reading configuration from the system
krb5.conf and only use the compiled-in values as defaults.

Add a warnings target.

Add getting configuration information from /etc/krb5.conf.

The K4 parts of kadmin-backend are now optional.

Properly handle K4 output faking when the principal doesn't exist.

* New upstream release.
  - Don't assume that kadmin returns a reasonable error status.
  - Add support for faking K4 examine output based on K5.

Release 1.3.

Add support for faking K4 kadmin examine output based on the K5
getprinc output, for backwards compatibility for Stanford Registry
integration.

MIT Kerberos kadmin doesn't return a useful exit status in conjunction
with -q.  It always exits 0, even if the operation failed.  Adjust for
this by inspecting its output instead.

Slip into the 1.2 release one additional fix:  Handle CRs in the output
of various commands run under Expect.

Fix lintian override.

* Install a lintian override file for the kadmin-remctl password-reset
  service directory.