Silence const errors

Cast to (char *) not (void *) to do pointer math

Add gss_localname support

Uses the fully qualified name and falls back to simple user name and
calls getpwnam_r() to resolve a local name. If the user is not known
to the nsswitch subsystme it returns a failure.

Handle missing name calling acquire creds.

In the GSS_C_ACCEPT (acceptor/server) case we would end up segfalting
if no name was provided. Instead allow a null desired_name and load
the default server name if none is passed in, just like
gss_accept_sec_context() does i this case.

Release 0.4.0

Fix const warnings

Just discard the const and silence the warnings, where safe;
rework assignments were possible.

Fix Makefile cflags use

Fix memory leak in NTLMv2 acceptor code

Release Candidate 2 for 0.4.0

Add way to talk about MIC with SPNEGO

As agreed with MIT people, add an inquire mechanism that serves 2 roles.

On the one hand, if the spnego mechanism makes this call at all it means
it is recent enough to support forcing the mechlistMIC on if we create
an Authenticate message MIC. So remove the environment variable and
instead depend on the SPNEGO layer to call this function before the
Authenticate token is generated (usually right after the Negotiate token
has been produced).

On the other hand if this function has been called assume SPNEGO will
call again right after the authenticate message has been genrated to
know whether the mechlistMIC needs to be added.

Release Candidate 1 for 0.4.0

Disable MIC by default.

The environment variable NTLMSSP_ENABLE_MIC will enable setting the MIC if
requested by the server when it is set to '1'.

It is disabled by default because it works only with a patched SPNEGO library
that will always set the mechlistMIC on the authenticate packet if we report
that integrity is enabled.
If the libray is unpatched it has also been observed that Firefox will go in
an infinite authentication loop while it keeps trying to make requests that are
always denied.

Provide the correct target name in the challenge

MS-NLMP prescribes in 3.2.5.1.1 that the server should send the
NetbIOS Domain name if joined to a domain or the NetBIOS computer
name if standalone. Never the DNS computer name.
Also do not add a target_name entry in the target_info field, it is
not required and Windows does not do that.

Check netbios computer and domain name when needed

MS-NLMP 3.1.5.1.2 says a client must fail to communicate if NTLMv2
is used, Integrity or Confidentiality are required and NetBIOS Computer
or Domain Name are not present in the Challenge message from the server.

Always provide netbios computer and domain name

These are necessary by spec (MS-NLMP 3.1.5.1.2) if the server
sends a target_info field in the challenge message, which we do.

Uses environment variables NETBIOS_COMPUTER_NAME and NETBIOS_DOMAIN_NAME
to set NetBIOS data. If they are not available the server name truncated
to the first '.' (if any) will be used and the domain is set to the
generic "WORKGROUP" name.

Test Challenge V2 message with CBT test vectors

Verify Channel Bindings in accept_sec_context

Add support for setting CBT in the client

Add function to verify Channel Binding Token

Add function to calculate channel bindings hash

Get av_flags and check MIC if a client sent it

Gets the target_info structure from the NT Response (if any is available)
and extract the av_flags.

If the appropriate flag is set verify the MIC previously extracted.

Return target_info from ntlm_decode_auth_msg

The target_info structure embedded in the NT Response message in NTLMv2
contains information needed to establish if the client has sent a valid
MIC. So we need to extract and return it if the caller requested it.

Also moves some wire structures definitions in common to be able to
reuse them.

Make MIC conditional on integrity being requested

If integrity is requested by any party then the MIC, if requested by the
server will be generated, otherwise it will not be.

Compute MIC in the client when requested

Add function to verify MICs

Add function to calculate MIC

Use target_info parsing helper

Target_info can be optional, but it conflicts with channel bindings being
requesed.

Augment target_info processing with a utility

Thi re-encoded the target_info structure at the client side adding
additional provisions of MS-NLMP 3.1.5.2.1

That is:
- generate indication that a MIC is requested by the server
- add ClientSuppliedTargetName data

Set version before tests that use MS test vectors

This way we can remove the hacked test vectors where we changed
the version fields.

Add internal facility to override standard version

This is useufl to use test vetors w/o altering them

Retry auth with NULL Domain as per spec

Remove unnecessary assignments

The calculation was right but some unnecessary assignments were left
from a previous version.

Also make the length computation more obvious.

Remove redundant definition

wire_lm_response is just the same thing as wire_ntlm_response, the
only difference is how cli_chal is defined but it is not important
from a usage p[oint of view.

Change input parameter to be const

It is never and should never be touched so const char * is better.

Fail if the encryption level is not matched

If the client allows only 128bit security but the server does not offer
it, then fail the authentication.

Do not send LM Response on auth to modern servers

If a server send a target_info field in a challenge message it means
it does not need nor want a LM Response.
See also MS-NLMP 3.1.5.1.2

The authenticate message must alwyas send a lm_chalresp and a nt_chalresp
fields in the header but they will be simply zero length, yet the payload
pointer must point to the valid payload area. (Windows server fail
authentication if the LM Response buffer offset is zero).

Always use Extedned Session Security when possible

MS-NLMP 3.1.5.1.1 recommends to set the extended session security flag
if LM authentication is not going to be used.

Fix missing assignments in ntlm_decode_target_info

Missed to see that the server set timestamp and flags.
This was preventing MICs from being generated from the client among other
things.

Return flags and time when requested

The calling application may want to check what flags were actually
negotiated.
Spnego also depends on the mechanism properly returning flags when
integrity is negotiated for MIC purposes.

Return Client name if requested

Fix epoch value

It was off by a factor of 10

Release 0.3.1

Fix segfault in init context.

The init context function was improperly initializing the ctx variable (too
late) when some early error conditions can happen. Therefore passing to the
delete context function a random memory address it would then try to free.
This wuld cause a SEGFAULT in most cases.

Additionally unfortunately iconv_close() does not follow good practices and
blindignly dereferences data, even if the passed in pointer is NULL.
So add a check before calling.

Release 0.3.0

Implement Import/Export cred functions

Generalize export_state and related functions

Expose cred store names in public header file.

Easier to use from clients this way.

Test export/import context functions

Implement import context function

Implement export context function

The Export format version is set to 0.1
Long term keys are not exported.

Add import/export functions for the RC4 state

Use RC4 instead of EVP interface of openssl

This makes it much easier to export/import the crypto state.
In preparation for implemeting import/export of context.

Fix potential leaks in delete_context

Free RC4 state if any
Free workstations tring if any

Also make sure to safely zero the struct before freeing to avoid leaking any
key material.

Do not copy creds on the context

There is no need to copy creds around, they are always available
or retrievable.

Fix memleaks in init_sec_context

Fix memory leak with gssntlm_names

Thanks to Stefan Becker <chemobejk@gmail.com> for finding this leak.

Fix spec file krb5-libs dep

Fix NTLM specific cred_store prefixes

Can't use ':' in the prefix name as ':' is the separator between prefix and
values.

Bump up version number to prerelease level

Add methods to inquire credentials

Also add simple sanity check test.

Add support for NTLMv1 Signing and Sealing

Including tests to verify conformance to MS-NLMP

Add CRC32 function using Zlib's crc32

Fix URLs with new upstream locations

Release 0.2.0

Test connectionless contexts

Support connectionless signing and sealing.

In connectionless mode (GSS_C_DATAGRAM_FLAG on) sealing keys
ust be rotated for each message.

Add way to set sequence numbres.

In NTLMSSP connectionless mode applications are supposed to provide the
sequence number, however GSSAPI's get_mic and verify_mic functions do
not allow to pass an explicit sequence number.

Allow to override the context sequence numbers using a custom oid and
implemnting gss_set_sec_context_option()

Allows the operation only if the context is in connectionless mode.

Add support for connectionless mode

This needs a new GSSAPI flag, for now grab a number and define
GSS_C_DATAGRAM_FLAG ourselves.

Add public devel header file

This contains definitions for various OIDs and flags needed to
implemented non-standard features like NTLMSSP Connectionless mode.

Add special case for enterprise names

When enterprise names are used they need to be passed with the embedded
'@' signed escaped with a '\', when that is done the whole name is used
as the user name and the name is not split on the @ or \ characters.

These forms are now supported:

foo
    USERNAME: foo
    DOMAIN: <null>

BAR\foo
    USERNAME: foo
    DOMAIN: BAR

foo@BAR
    USERNAME: foo
    DOMAIN: BAR

foo\@bar.example.com
    USERNAME: foo\@bar.example.com
    DOMAIN: <null>

Treat NO OID as GSS_C_NT_USER_NAME on import

Fix potential segfault condition in RC4_FREE

Fix generation of signing keys and add tests

Fix symbols export regex to include gssspi_ too.

Thanks to David Woodhouse for finding out.

Test acquire_cred_with_password

Add support for gss_acquire_cred_with_password()

Fix handling of NULL domain

Fix segafult in NTOWFv2. When domain is NULL it is just omitted from the
NTOWFv2 computation.

Fix segfault in accept_sec_context, just make dom_name be an empty string.

Fix also memory leaks.

Fix acquiring creds via cred_store

Make sure to set the cred type and copy in the name.

Streamline spec file.

Fixes as requested by Fedora review

Bump up version number afeter 0.1.0 release

Correct upstream page in spec

Make version 0.1.0

Fix typos in README.txt

Add more tests.

Cover gss_inquire_context and gss_display_name implementations.

Add gss_display_name implementation

Add implementation of gss_inquire_context

Also add source and target names to the context.

Test Integrity and Confidentiality

Add integrity and confidentiality functions

Add testsing of gssntlm mechglue functions

Basic implementation of accept_sec_context

For now works only for satndalone server with access to a password file.

Add support for server credentials

Add helper to copy names and gss_duplicate_name

Internal release name

Helper function to check lm compatibility level

Also stop associating it with th creds struct.

Fix message type check

Add gss_context_time() implementation

Helper function to check security context validity

Add expiration time checks

Check Maxlife for challenge response messages.
Also add a Maximum lifetime for the context itself based on the
same challene/response maximum life.

According to MS-NLMP MaxLifetime is 36h on modern Windows OSs, use
the same for now.

Add Credential Store support

This allows a program to feed crdentials directly to GSSAPI from a
configuration file, or other means.

Fix some comments