kdc: fix comparision between krb5uint32 and (unsigned int)

We don't need a cast in that case.

Before commit 1124c4872dfb81bec9c4b527b8927ca35e39a599
(KVNOs are krb5uint32 in RFC4120, make it so),
we compared krb5int32 casted to size_t with unsigned int,
which resulted in the following problem:

Casting krb5int32 to (size_t) is wrong, as sizeof(int)==4 != sizeof(size_t)== 8.

If you cast negative int values to size_t you'll get this:

int ival = -5000; // 0xFFFFEC78
size_t sval = (size_t)ival; // this will be 0xFFFFFFFFFFFFEC78

So we better compare while casting to (unsigned int).

This is important for Active Directory RODC support,
which adds a random number into the higher 16-bits of the
32-bit kvno value.

metze

kuser/kinit: make it possible to use --windows option on its own

metze

kdc: Build ticket with the canonical server name

We need to use the name that the HDB entry returned, otherwise we
will not canonicalise the reply if requested.

Andrew Bartlett

kdc: pass down HDB_F_FOR_AS_REQ and HDB_F_FOR_TGS_REQ to the hdb layer

metze

lib/hdb: add HDB_F_FOR_AS_REQ and HDB_F_FOR_TGS_REQ flags

This will be used to indicate to the backend if a fetch is for
an AS REQ or TGS REQ. Samba needs to take some action in the
HDB_F_FOR_TGS_REQ case and always canonicalize the principal
names, even without HDB_F_CANON.

metze

kdc: only pass HDB_F_CANON if the client specified b->kdc_options.canonicalize

metze

lib/krb5: windows KDCs always return the canoncalized server principal

Is there a better way to handle this?

metze

HACK: Netbios Domain as Realm

This is really a ugly hack, to support using the Netbios Domain Name
as realm against windows KDC's, they always return the full realm
based on the DNS Name.

metze

lorikeet-heimdal: remove obsolete script for importing from svn.

lorikeet-heimdal: Add a new script to help merging patches from Samba4 to heimdal

lorikeet-heimdal: improve import-lorikeet.sh for the toplevel build

metze

lorikeet-heimdal: Improve the heimdal import scripts

lorikeet-heimdal: add scipts to rebase and import the latest version into samba4

If you use this scripts, read them! :-)

metze

lorikeet-heimdal: add wrap_ex_ntlm.diff from abartlet

metze

lorikeet-heimdal: add IMPORT-HEIMDAL.sh

I think this can be removed...

metze

lorikeet-heimdal: add HEIMDAL-LICENCE.txt

metze

lorikeet-heimdal: camellia-ntt GPLv2+ license

metze

lorikeet-heimdal: autogen.sh modifications

metze

Only free ext on replace

remove used variables

update (c)

start to use KRB5_ENCTYPE_

compiler warning

use add_HDB_Ext_KeySet and plug memory leak

drop dependency

drop dependency since we need the autoconf to overwrite this

expore more

switch to KRB5_ENCTYPE

fix compile warning

Merge pull request #12 from nicowilliams/krb5_admin_patches_2nd

Krb5 admin patches 2nd

This has all the patches needed for krb5_admind to build and pass most tests, that includes:
- more kadm5 API compatibility (including very basic profile functionality)
- multi-kvno support (useful for key rollovers) (a test for this is included in tests/db/check-kdc)

Unfinished:
- password history (currently uses key history, needs to be separated and use digests)
- policies (only default policy allowed)
- mit kdb changes not tested yet

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

KVNOs are krb5uint32 in RFC4120, make it so

fix warning

Add version-script.map to _DEPENDENCIES.

Added to 11 out of 14 directories with map files.  Not lib/ntlm,
lib/hcrypto and kdc which have the map file as an explicit dependency
to _OBBJECTS.

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

partly unify enctype/keytype since there is only enctypes

add an invalid protection level to the enum

cast to avoid size_t vs int issue

switch order of type and GSSAPI_LIB_VARIABLE

fixup type for GSS_C_ATTR_LOCAL_LOGIN_USER

make sure keylen is a multiple of 2

lib/krb5: Allow any kvno to match when searching the keytab.

Windows does not use a KVNO when it checks it's passwords, and MIT
doesn't check the KVNO when no acceptor identity is specified (looping
over all keys in the keytab).

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>
Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

switch to use use_strongest_server_key

use the same behavior as 1.4 release.

Typo

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

Use heim_assert() instead of assert()

Protect against negative n_ks_tuple values and against randkey returning negative n_keys

s/assert/heim_assert/ and remove dead code

1.5.99

check for NULL as argument to krb5_{prepend,set}_error_message functions

update to match plugin abi

kdc: pass down the delegated_proxy_principal to the verify_pac() function

This is needed in order to add the S4U_DELEGATION_INFO to the pac.

metze

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

kdc/windc_plugin.h: KRB5_WINDC_PLUGIN_MINOR 4 => 5

commit "heimdal Add support for extracting a particular KVNO from the database"
(f469fc6d4922d796f5c61bf43e3efc018e37b680 in heimdal/master
 and 9b5e304ccedc8f0f7ce2342e4d9c621417dd1c1e in samba/master)
changed the windc_plugin interface, so we need to change the
version number.

metze

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

kdc: don't allow self delegation if a backend check_constrained_delegation() hook is given

A service should use S4U2Self instead of S4U2Proxy.

Windows servers allow S4U2Proxy only to explicitly configured
target principals.

metze

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

kdc: pass down the server hdb_entry_ex to check_constrained_delegation()

This way we can compare the already canonicalized principals,
while still passing the client specified target principal down
to the backend specific constrained_delegation() hook.

metze

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

kdc: use the correct client realm in the EncTicketPart

With S4U2Proxy tgt->crealm might be different from tgt_name->realm.

metze

Signed-off-by: Love Hörnquist Åstrand <lha@h5l.org>

better logging

sprinkle more windows files

cf: Also enable pthreads on Linux 3.

Signed-off-by: Love Hornquist Astrand <lha@h5l.org>

Make kadm5_lock() and unlock work, and add kadmin commands for them.

The libkadm5 functions hdb_open() and close around all HDB ops.  This
meant the previous implementation of kadm5_lock() and unlock would
always result in a core dump.  Now we hdb_open() for write in
kadm5_lock() and hdb_close() in kadm5_unlock(), with all kadm5_s_*()
functions now not opening nor closing the HDB when the server context
keep_open flag is set.

Also, there's now kadmin(8) lock and unlock commands.  These are there
primarily as a way to test the kadm5_lock()/unlock() operations, but
MIT's kadmin.local also has lock/unlock commands, and these can be
useful for scripting (though they require much care).

Fix from Roland Dowdeswell -- kadm5_setkey_principal() has to rev kvno earlier

Fixes for updates of KADM5_KVNO but not KEY_DATA and vice-versa.

It turns out that updates of kvno but not key data and vice-versa are
both, allowed and actually done (e.g, in kadmin's ank).  Doing the right
thing in these cases turns out to be a bit tricky, but this commit ought
to do it.

add_enctype needs to set the kvno of the keys it adds!

add_enctype() was not fetching the kvno of the principal it was
modifying, and it was not setting the kvno of the new keys (instead it
set it to 0).  This worked fine before multi-kvno, but broke then.  The
fix is to fetch the kvno and set the new keys' kvno to that.

I'm thinking of adding a new kadmin command to prune old kvnos by date
or kvno differential...

Test multi-kvno support in kadmin and KDC (part 1).

Preserve set_time on historic keysets in kadm5_s_modify_principal() path.

Two mods from Roland to make kadm5_setkey_principal_3() work.

Two patches from Roland Dowdeswell to make n_keys/new_keys args optional.

Re-write _kadm5_set_keys2() to handle key history.

Introduce Keys ::= SEQUENCE OF Key in hdb.asn1 so we can get convenience utils.

Another HDB_F_DECRYPT-isn't-critical fix.

Oops, HDB_F_DECRYPT isn't critical; making it so breaks tests.

Fix warnings.

Fix a double free in ank.c.

Make the KDC path work.

How on earth did this build breaking thinko get through?

Fixed a likely bug in modify_principal() where the memset() of ent happens after early error checking.

Remove policy name checking against krb5.conf code.

Add missing KADM5_AUTH_GET_KEYS error and use it.

Updated kadmind.8 and kadmin.8.

Add comment and assert about key history to kadm5_log_replay_modify()

Fix incorrect key history check optimization. (NOT TESTED)

Avoid useless work related to keepold.

Forgot to export the kadm5 policy functions.

More s/int/size_t/ for iterators.  Also fixed a stupid bug.

Add default to policy prompt and fix harmless bug in edit_policy()

Re-fix an earlier mistake that fell out in a branch switcheroo.

Complete --keepold support and fix crasher in kadmin cpw -r --keepold.

Oops, reverse sense of get-keys check...

Forgot to save edits to kadmin/server.c to use the new get-keys authorization.

Forgot to export kadm5_store_principal_ent_nokeys().

Fix policy validation bug (parse_policy() should return success when the policy name is OK!)

create_principal() must memset(ent, 0, ...) before ever returning (fixes core dump)

Undo a s/size_t/int/.  Iterators must be unsigned.

Ooops!  Mind those tags when re-ordering ASN.1 SEQUENCEs! (hdb_keyset)

Export the new kadm5 functions.

Add --keepold option to cpw.

Duh, act on keepold in randkey!

Trivial policy bug fix.

Fixed dumb bug that caused keys to not accumulate in history.

Make changes to hdb_keyset type be backward-compatible.

Forgot a file for the hdb_keyset backwards-compat extention.

More kadmin support for kvno diff policy.

Changed lib/hdb/Makefile.am to use --sequence=HDB-Ext-KeySet