EAP Channel binding support

Merge remote-tracking branch 'origin/eap-chbind'

Conflicts:
mech_eap/accept_sec_context.c
mech_eap/dictionary.ukerna
mech_eap/gsseap_err.et
mech_eap/util_radius.h

update for another redhat build

Update RPM release to link against libmoonshot

Increase version  for redhat because of new OID and IETF changes; this should have been done back in May

Update build deps for shibboleth

Support curl-openssl-devel from shibboleth in RH spec files

Update spec for mech_eap

fix build without OpenSAML

Reindent

Reindent

textual identities to UI

The call to moonshot_get_identity included exported name tokens; the
interface expected C strings. Use gssEapDisplayName instead.

Clarify where else comes from for code clarity

Chbind cleanups

* indentation
* don't use non-booleans as truth values
* consistent cleanup handling
* improved variable names

ttls: defer METHOD_DONE if cb pending

Allow a round trip including CB response.

ttls: chbind_hdr is packed

libeap: Use AM_CFLAGS not CFLAGS

libeap: ttls: encapsulate using RADIUS VSA

It turns out that older version of FreeRADIUS will fail if they
receive a diameter VSA not in their dictionary.  A RADIUS VSA is fine
though.  This does not comply with the TTLS spec, but is the best we
can do in terms of interoperability, so do that.

libeap: use attribute 135 not 134 for ttls chbind

chbind: use IETF attributes

Use non-VSA IETF attributes for channel binding. Also, permit more
attributes in response than request.

Set GSS_C_MUTUAL_FLAG only on successful channel binding.

Previously, GSS_C_MUTUAL_FLAG was always set in the initiator context;
CTX_FLAG_EAP_CHBIND_ACCEPT was also set on successful channel binding.
Then GSS_C_MUTUAL_FLAG was properly specified in the return flags to
gssEapInitSecContext() depending on whether CTX_FLAG_EAP_CHBIND was set,
but eapGssSmInitGssFlags() was improperly sending GSS_C_MUTUAL_FLAG to
the acceptor even when no channel binding had occured.

Fix bug in eap_ttls_avp_encapsulate() when >248 bytes are encapsulated.

src pointer wasn't being advanced, so the first 248 bytes were duplicated
in place of the remainder of the message.

Eap channel bindings cleanup

Simplify radius buffer construction and parse service-specifics correctly.

Simplify and document radius_utils.c and radius_utils.h

krb5_free_unparsed_name deprecated by Heimdal

use krb5_xfree

krb5_free_data_contents deprecated by Heimdal

Use krb5_data_free instead

indentation fix

Return WRONG_ACCEPTOR_NAME

Create a new error for incorrect acceptor name received from acceptor
to aid in debugging.

allow empty acceptor names

indentation fix

Ignore empty realms comparing acceptor name hint

Conflicts:

mech_eap/util_name.c

Call gssEapReleaseName not gss_release_name

we have a mech name not a union name so use the local mechanism.

indentation fix

fix indentation

Call gssEapCompareName not gss_compare_name

we have a mech name not a union name so use the local mechanism.

remove references to PADL mechanism OIDs

neglected gss-eap-v1 arc in OID comment table

Coding style conform

Update to use IETF RADIUS attributes

draft-ietf-abfab-gss-eap is approved and IANA has assigned
standardized RADIUS attributes, so these are no longer vendor
specific.

Update dictionary file to change the names of the existing attributes.

Update name OIDs

Add comment on where OIDs come from and update oid for EAP name type.

Update mech oid to conform to draft-ietf-abfab-gss-eap-09

Update gitignore

Fix gcc 4.7 warnings

Send acceptor name and verify

In extensions state, send the acceptor name.
When the acceptor name is sent, verify if we already have a name hint.

Update to gss-eap-naming-04

Update attribute prefixes used to draft-ietf-abfab-gss-eap-naming-04.

Merge remote-tracking branch 'origin/radius-new-client-pkcs12'

Merge remote-tracking branch 'origin/rfc3961-mic'

fix ISCBO for gssEapPseudoRandom signature change

corresponding header change for gssEapPseudoRandom

Cleanup gssEapPseudoRandom()

Don't define inline if compiling C++ on Win32

Handle NULL sequence state in exported partial contexts

This could be further improved by not encoding the sequence state
if it is zero.

Don't expect OID for imported initiator name

allow GSS_C_NO_CREDENTIAL to gssEapPrimaryMechForCred

preserve name mechanism on imported contexts

allow GSS_C_NO_CREDENTIAL to gssEapPrimaryMechForCred

Fix libeap/src/utils/common.h to support windows+ipv6.

Use winsock2.h + ws2tcpip.h instead of winsock.h

Signed-off-by: Kevin Wasserman <kevin.wasserman@painless-security.com>

Fix pointer signedness issues

Eap channel bindings fixes

Only specify GSS_C_MUTUAL_FLAG return flag on successful eap channel
binding.

EAP Channel binding

eap channel bindings: use ukerna vsa to encapsulate ttls chbind messages.

eap channel binding support.

channel binding WIP: add chbind_data, chbind_data_len to eap_peer_config

Merge branch 'master' into radius-new-client-pkcs12

Bump spec version

Initializeshib resolver before opensaml so catalog path is set

util_moonshot.c: Handle empty strings in trust anchor arguments.

Treat empty cert hash as NULL (LP: #917956)

fix order of operations merge regression

use rs_attr_display_name/rs_attr_parse_name

use "26" as prefix for vendor attributes

use urn:ietf:params:gssapi:aaa-radius prefix

remove dictionary param from sample radsec config

check rs_attr_find return code correctly

remove rs_context_init_freeradius_dict

port to new RADIUS client library

Merge remote-tracking branch 'origin/master'

Automated builds and creation fo installer package and disk image works

Revert "InitOnceExecuteOnce not present on XP"

This reverts commit 061ae16ba14ef7a70bdb4741a1e04ced4d5d7b09.

There is still a race in this lockless one-time initialization which
could cause an assertion failure. Until we decide whether XP support
for the acceptor is required, back this out.

InitOnceExecuteOnce not present on XP

Merge branch 'master' of ssh://moonshot.suchdamage.org:822/srv/git/moonshot

add MS-Windows-Group-Sid

Merge branch 'master' of project-moonshot.org/git/moonshot

Conflicts:
moonshot/mech_eap/Makefile.am

Link against the Kerberos library in /usr/local instead of the version in /usr

Revert "Support EAP-TLS in Moonshot (requires OpenSSL)"

This reverts commit 2ef42df0ecea8745a678fe26ff9b16072b93586b.

Revert "remember to duplicate clientCertificate"

This reverts commit 0bde9b2ad5a4a36f745f1c91e9155edb337922b8.

Revert "Allow certificate/private key to contain binary data"

This reverts commit 6196f93aaca970f23276407af0812179c51a29ea.

NFSv4 patch from Daniel Kouril

Allow certificate/private key to contain binary data

remember to duplicate clientCertificate

Support EAP-TLS in Moonshot (requires OpenSSL)

Merge branch 'moonshot' of ssh://moonshot.suchdamage.org:822/srv/git/libeap into moonshot

Conflicts:
Makefile.am

link against OpenSSL backend

wrap gssQueryMechanismInfo

Merge branch 'master' of ssh://moonshot.suchdamage.org:822/srv/git/moonshot

Fix for building without acceptor

use RFC3961 checksums for CB/exts MIC

Fix merge conflict

Add freeradius to rpath; disable ui integration from spec for now

Spec file update

Update libeap to include make dist