Add a patch for Heimdal 7.4.0, contributed by Patrik Lundin

Make the tools/backend test less sensitive to precise timing

Release 3.1

Further rra-c-util 5.8 and C TAP Harness 3.4 updates

Sneak in a few more things: a Test::RRA::Automake fix for removing
relative directories, and fixes to C TAP Harness for test lists
containing no tests.

Add NEWS entry for fixes to krb5-sync-backend silent mode

Update to rra-c-util 5.8 and C TAP Harness 3.3

Update to rra-c-util 5.8:

* Support the Solaris 10 embedded Kerberos implementation.
* Use calloc or reallocarray instead of malloc.
* Fix compilation with a C++ compiler.

Update to C TAP Harness 3.3:

* Display verbose test results with -v or C_TAP_VERBOSE.
* Reopen standard input to /dev/null when running a test list.
* Don't leak extraneous file descriptors to tests.

Add format attributes recommended by current GCC

Merge pull request #1 from Stanford/master

krb5-sync-backend: Add an ending newline to error messages

krb5-sync-backend: Add an ending newline to error messages

For --silent we're splitting up the errors by \n, which strips the
newlines from each line.  Print out with an explicit \n so that errors
don't all run together.

Fix ignore regex in krb5-sync-backend for missing users

The log message in the krb5-sync plugin changed from "in LDAP" to
"via LDAP".  Change the ignore regex accordingly.

Fix email address in tests/data/make-krb5-conf

Add a few items to the TODO list

Document that krb5-sync doesn't use instance configuration

The krb5-sync command-line utility does what it's told and ignores
the instance configuration and the ad_base_instance support.
Document this.

Correctly handle memory errors in parsing ad_instances

Add back ad_base_instance support for MIT Kerberos

This works properly provided that the instance lookup uses a
separate Kerberos context.  Thanks to Greg Hudson for the fix.

Fix some leftover documentation for the old module name

Also remove some leftover documentation for old versions of MIT
Kerberos, which are no longer supported.

Add largefile support

This isn't horribly interesting for what this module does, but
there's no harm and it makes Lintian warnings go away.

Disable ad_base_instance for MIT Kerberos

Calling libkadm5srv functions from inside a kadm5_hook plugin
appears to corrupt the state of the library on MIT Kerberos.
Disable the ad_base_instance configuration option on MIT Kerberos
for the time being.

Add Net::Remctl::Backend as a requirement for backend testing

Mention new module requirements for krb5-sync-backend in NEWS

Remove nonnull from sync_vector_free

It is permissible to pass NULL to sync_vector_free, so remove the
GCC annotation.

Fix the contents of the distribution

Release 3.0

Remove stray blank line in portable/krb5.h

Only probe for krb5/kadm5_hook_plugin.h when building with MIT

If building with Heimdal using non-standard paths, we may find the
MIT Kerberos header but not be able to compile with it because of
all the symbol conflicts.  Work around this by only checking for
the header when building with Heimdal.

Update version numbers of Test::RRA* modules

Fix detection of ad_base_instance principals

The logic for checking the Kerberos database for the principal
was incorrect in the case where the principal exists.  Fix the
status code checking to work properly.

Correctly ignore ad_base_instance for enable and disable

The logic to ignore ad_base_instance for enable and disable was
accidentally skipped.

Allow propagation of base instances

We weren't allowing ad_base_instance instances through far enough
into the password change logic to determine that they should be
propagated to the base account.

Fix error in storing credentials for AD propagation

A one-character error caused us to never properly initialize the
local ticket cache.

Compile libtap with the right CPPFLAGS

Now that we include the Kerberos tests, we need to include
AM_CPPFLAGS in the CPPFLAGS for libtap.

Add new spelling stopwords to krb5-sync-backend

Now that the license is in the documentation, we need a few more
stopwords for POD spelling tests.

Cast password error lengths for Heimdal

The length fields are size_t with Heimdal, so cast them to an int
so that printf is happy.

Fix formatting of the new backend test

Add tests for instance handling

Test allowed and disallowed instances and ensure that they're
queued or ignored as appropriate.

Reorganize TODO and synchronize with current status

Add a basic test suite for krb5-sync-backend

This does not (yet) test the process function, but everything
else gets some reasonable basic testing.  Still to be done, as
well as process, is testing of creating files when there are
conflicts and testing the purge function.

Work around Net::Remctl::Backend bug in krb5-sync-backend

Net::Remctl::Backend doesn't do argument count validation
properly with arguments from standard input, which affected the
password command.  Allow one fewer argument than we require and
do a separate check that the number of arguments is correct.

Fix locking in krb5-sync-backend with non-default queues

Allow krb5-sync-backend to create the lock file if it's missing,
and pass in the queue directory to the lock function so that it
can find the correct lock file.

Add test_tmpdir function to Test::RRA::Automake

This parallels the C TAP library function: create a temporary
directory and return the path, and remove the directory if possible
on program exit.

Finish cleanup of krb5-sync-backend coding style

Functionality should be the same, but it now uses IPC::Run and
Net::Remctl::Backend and holds a queue lock while processing a
particular queue file.  The -h option was removed and a new
manual command was added.

Add standard Perl test suite

Add the test suite for Perl programs.  Currently, the critic test
does not pass if maintainer tests are enabled, since the coding
style for krb5-sync-backend is out of date.

Initial work on updating krb5-sync-backend coding style

Still a work in progress.  The program has only been about half
converted.

Add some more test data files to the distribution

Rename test Kerberos configuration files for clarity

Now that we can generate the queue file, let's call these something
that makes it clearer what they are.

Clean up the setup and teardown of the queue-only test

Fix some minor error-handling issues in the queue-only test

Close some memory leaks in the test suite

Caught by running the test suite under valgrind.

Merge krb5-sync sections in generated krb5.conf files

It looks like the profile library can't handle multiple appdefault
sections for krb5-sync and doesn't combine them properly.  Make
make-krb5-conf a bit more complicated to merge the settings into
the existing section.

In run_setup, better error reporting for a failed setup program

If the setup program fails without producing any output, say so,
rather than just calling bail with the empty string.

Add support for valgrind testing

Include the suppression file from rra-c-util.

Fix some memory management issues caught by clang

One use-after-free and one case in plugin/vector.c that was actually
okay but that was too difficult to analyze.

Update to rra-c-util 4.12 (to be) and C TAP Harness 2.3

Update to rra-c-util 4.12:

* Better error messages from xasprintf on failure to format output.
* Check return status of vsnprintf properly.
* Significant improvements to POD tests.
* Avoid leaking a dummy symbol from the portability layer.
* Probe for Kerberos headers with file existence checks.

Update to C TAP Harness 2.3:

* runtests now treats the command line as a list of tests by default.
* The full test executable path can now be passed to runtests -o.
* Improved harness output for tests with lazy plans.
* Improved harness output to a terminal for some abort cases.
* Flush harness output after each test even when not on a terminal.
* bail and sysbail now exit with status 255 to match Test::More.
* Suppress lazy plans and test summaries if the test failed with bail.
* Add warn_unused_result gcc attributes to relevant functions.

Add build-aux/ar-lib to MAINTAINERCLEANFILES

Update warning flags from the latest rra-c-util

Update portable/snprintf.c from rra-c-util

Contains some warning fixes for the new warning flags.

Simplify queue-only test using make-krb5-conf

Generate the krb5.conf file for the queue-only test by adding the
configuration setting on to the default.conf file instead of using
a separate file.  Also redo the setup to be somewhat cleaner.

Simplify the queuing tests

Create a library of common utility funcitons to check properties
of the queue, and use them in the queue-only and queuing tests.

Change the name of the module to drop the redundant krb5_

This will require configuration changes during upgrades.

Start cleaning up module test suite

Import the Kerberos TAP functions from rra-c-util so that we can
use bail_krb5, and update the Kerberos Autoconf macros to match.
Add make-krb5-conf to build a configuration with known settings,
although it's not being used yet.  Clean up and comment the dynamic
loading tests and use bail more to avoid making the whole test
conditional.

Rename the default test krb5.conf file

Calling it krb5.conf is confusing.  Call it default.conf instead,
which is clearer about its role.

Remove obsolete patches from EXTRA_DIST

Rename plugin/api.c to plugin/general.c and comment it

New syslog option to suppress syslog logging

Add a new boolean krb5.conf option, syslog, which can be set to false
to suppress syslog logging of the actions taken by the plugin and
error messages leading to queuing the change.  Always log the error
that leads to queuing a status change.

Improve formatting of the configuration documentation

Break up the configuration documentation in README into separate
paragraphs for each configuration option and organize in
alphabetical order by configuration option name.  Be clearer
about the required or not required status of some options.

Add portable replacement for strndup

We're now using this again, now that we're using the vector
library for the ad_instances configuration, so add a replacement
for Mac OS X.

Use a vector for ad_instances

Rather than doing complicated parsing of the space-separated list
of acceptable instances, add support for vectors and parsing the
configuration option into a vector, which makes the code fairly
simple and straightforward.

For queuing, strip realm using krb5_unparse_name_flags

Rather than trying to parse the resulting string for the realm
separator, use krb5_unparse_name_flags and tell the Kerberos
library to strip the realm for us.

Remove the domain parameter from queuing

We keep it in the file format, but just hard-code it to "ad" for
right now, since we don't support any other domains at the moment.

Convert remaining internal functions to Kerberos error handling

Return a Kerberos status code as the uniform error reporting
mechanism and move the result into an out parameter.

Pass the Kerberos context to sync_close

We don't use it now, but may as well match the plugin interface
just in case.

Fail the password change if we can't check the instance

If configured with a base instance, fail the password change if
we can't look up the instance in the Kerberos database to determine
whether it should be propagated.

Rewrite instance_allowed to use bool

The logic still needs some improvement, but at least we can use
real boolean variables.

Fix a stray use of rra@stanford.edu

Return a real status from sync_instance_exists

Return a Kerberos status and store the existence in a separate
boolean variable.  This doesn't abort the password change on failure
yet due to some problems in calling functions, but it's the first
step.

Remove unused config argument from sync_instance_exists

Report better error messages when queue locking fails

Put the full error message in the Kerberos context, and change an
internal function to be able to returna proper status.

Remove portable version of strndup

We don't use this anywhere in the source tree, so there's no
reason to have it around.

Remove strlcpy and strlcat portability functions

Now that ad_ldap_base is the full base DN, we no longer use either
of those functions anywhere in the source tree.  Remove the
portability glue.

ad_ldap_base now contains the entire base DN

The meaning of the ad_ldap_base configuration option has changed, and
it's now mandatory for status synchronization.  This setting should
now contain the full DN of the tree in Active Directory where account
information is stored (such as cn=Accounts,dc=example,dc=com).
Previously, the dc components should be omitted and were derived from
the realm; this is no longer done.  If this configuration option is
not set, principal status will not be synchronized to Active
Directory.

Replace remaining uses of snprintf with asprintf

There's still a remaining use of strlcpy and strlcat to build the
LDAP base DN, which I'm going to change in a more comprehensive
manner.

Change the type of the enabled argument to sync_status to bool

Use bool for the flag in principal_allowed

Remove the password length from the interface

Nothing used it anyway, so why complicate our life.

Rename all of the internal functions

Use the much shorter sync_ prefix instead of pwupdate, and don't
care internally about pre-commit vs. post-commit.  We handle that
entirely in the module glue layer now.  Remove the empty and
never-called postcommit password function.

Invert the arguments to pwupdate_init

Pass in the out parameter last, which is more consistent with the
Kerberos calling convention and the hook APIs for both MIT and
Heimdal.

Assume free(NULL) is safe to call

ISO C requires that this do nothing, silently.

Use kadm5_hook_modinfo for the internal structure

This is the MIT Kerberos name, and by adopting it we get a little
bit more type checking and don't have to invent our own data
structure name.

Add NEWS entry for the new password change queuing behavior

Rework internal error handling to use Kerberos errors

Now that we've dropped the old API, we can drop the error handling
mode, which predates rich Kerberos errors.  Replace it with use of
krb5_set_error_message everywhere, and change a lot of functions
to return a krb5_error_code instead of a boolean or some special
status code.

As part of this change, all password changes are queued for Active
Directory if they fail regardless of the reason for the failure.

Pass the Kerberos context into all internal functions

Standardize the API so that all functions except the init and
shutdown take the plugin configuration and the Kerberos context,
and stop internally creating and removing Kerberos contexts.  Stop
using void * in a bunch of places, isolating that to the MIT and
Heimdal plugin code.

Document krb5.conf realm handling

You can use sections for the local default realm, but not separate
configuration based on the realm of the affected principal.

Refactor krb5.conf handling

Use the code from krb5-strength to improve how configuration is
extracted from krb5.conf and support configuration based on the
default realm.

Drop support for old versions of MIT Kerberos

Drop support for MIT Kerberos versions prior to 1.9.  All major
distributions are now shipping with a newer version of MIT Kerberos
than this, and supporting older versions requires supporting patches
and maintaining handicapped internal APIs.  MIT Kerberos 1.9 and later
do not require patches to use this module.  Patches for Heimdal are
still provided.

Use portable/krb5.h and portable/kadmin.h

The hook glue code for MIT and Heimdal wasn't using the portable
header wrappers.  Fix that.

Hide all internal functions, use C bindings

Set the visibility of all internal functions to hidden when built
with gcc to avoid leaking symbols from the module.  Use the macros
to force C binding when built with a C++ compiler.

Also use portable/krb5.h instead of krb5.h in internal.h.

Document the configure flags used for kadmin server support

Update my email address to eagle@eyrie.org

Add support for ad_base_instance

Add a new string krb5.conf option, ad_base_instance, which, if set,
changes the way that password synchronization is handled.  When this
option is set, the password for the principal formed by appending that
instance to a base principal is propagated to Active Directory as the
password for the base principal.  So, for instance, if this is set to
the string "windows", the password of the principal "user/windows" is
propagated to Active Directory as the password for the principal
"user" and password changes for the principal "user" are ignored.
This special behavior only happens if "user/windows" exists in the
local Kerberos KDC database; if not, password propagation for the
principal "user" happens normally, just as if this option weren't set.
This allows the Active Directory principal to be treated as an
instance rather than a main account for specific users without
affecting behavior for other users.

No regressions, but currently untested otherwise.

Add ad_queue_only to force queuing of all changes

Add a new boolean krb5.conf option, ad_queue_only, which, if set to
true, forces all changes to be queued even if there are no conflicting
changes already queued.  The changes can then be processed later with
krb5-sync-backend.  This can be useful if real-time updates to Active
Directory cause performance issues in kadmind or kpasswdd.  kpasswd
clients in particular are often intolerant of delays.