Update kerberos directory in win-build

updated to match location in amazon instance.
should be fixed to read from registry.

Windows installer for mech_eap

Fix libmoonshot detection and linking on windows

use win-vc-env.cmd build script in win-build.cmd

util_base64 is required for non-acceptor builds

Utility to setup vc build env on windows

Use libmoonshot cflags and lib path

Clear PWD so buildbot works

Add windows build scripts

Add accidentally overlooked mech_eap.def.header

Add compite_et replacement for windows

Windows fixes for mech_eap Makefile

define CONFIG_NATIVE_WINDOWS, not CONFIG_WIN32_DEFAULTS.
hand-specify link rule on windows; libtool does not properly recognize import
libraries and is generally more trouble than it is worth.

Only define gss_eap_attrid when needed; ensure <utility> is included

Fixup libeap makefile for windows build

Update krb5 library detection and make variables for windows

Currently works for mit-krb5, 32-bit.

Include winsock2.h before openssl/x509v3.h

Ensure abfab radius attributes are defined

Use C++ destructors not finalizers

Rather than calling the attribute finalizer from a library level finalizer, do so from a C++ destructor.
Hopefully this addresses a segfault on process termination (LP: #1201939)

Mech_eap: only output debugging when GSSEAP_TRACE is set

Previously we only output informational messages from libeap.
However, we also output them all the time to stdout, which is bad
because it disrupts the output of the program.  Now, only output
debugging when the GSSEAP_TRACE environment variable is set.  In that
case output all the libeap debugging, not just informational messages.

In addition, use secure_getenv if it is available to avoid introducing yet more issues if run in a raised privilege situation.

Distribute extra files

Version 0.9.2

Only permit ttls

Include legal notices in distribution

fix typo

Register new RADIUS attributes

Version 0.9.1

Treat caCertificate as base64-encoded DER rather than PEM

Openssl's pem parser is very picky and requires newlines.
Moonshot-webp eats newlines from the raw xml, requiring
hand-placed '&#10;' for successful parsing, which is
undersirable. So instead use mech_eap's base64Decode() to
convert caCertificate to DER.

Avoid double-free of bio. Better error code for ca cert parsing failure.

Correctly handle "ca-cert" in peerGetConfigBlob

Treat caCertificate as pem contents rather than pem filename

take length of display_value, not value

gssHeaderLength redundantly initialized

assert name non-NULL before dereferencing

gss_trailerlen = 0 not used

zeroAndReleasePassword must be called with non-NULL buffer

don't set major = GSS_S_FAILURE twice

do not ignore sequenceCheck() return value

check gssEapRadiusAddAttr(REALM_NAME) return code

tok_type can never be -1

Bump release to turn on sha256

libeap: enable sha256

Bump specfile version

libeap: ignore TLS errors before any TLS calls

Ignore any errors that take place before the packet is started.

bump release

util:name: 1 component principals can be services too

accept_sec_context.c: Only add hostname if we have one

specfile: new release

Fix logic for parsing princ components (LP 1249863)

Avoid segfault when missing acceptor realm.

specfile: %post handles /etc/gss/mech

Temporary: set mutual in flags token

Force mutual flag on the context prior to sending the flags token until channel binding is better deployed.

setting flags in verify MIC too late

We've been force setting mutual authentication in the verify mic SM callback.  We need to set mutual authentication prior to sending the flags token.

Update for another libradsec

Force rebuild for rpm to pick up libmoonshot1

new release

Don't free parts of the principal in channel bindings (LP: #1237981                                            )

make dist cleanups

Make dist cleanup

Accept NULL data in mech_eap cb response cb

chbind: Always call response callback

Previously the response callback was only called if there was data for
the namespace that is registered.  Now, call the callback whenever any
channel binding response is received.  This permits callbacks to get
failure responses with no attributes.

Merge remote-tracking branch 'origin/eap-tls'

The eap-tls branch includes build dependencies on openssl which we
need for the sha2 hash support in IDP certs.  The eap-tls changes are
not widely exposed, but to the extent they are present are harmless.

Conflicts:
libeap/Makefile.am
mech_eap/Makefile.am
mech_eap/gssapiP_eap.h
mech_eap/init_sec_context.c

Use service spicifics utility functions correctly

remove extranious declaration

temporary: force mutual

Until channel bindings are more widely deployed force mutual
authentication even if channel binding fails.

EAP Channel binding support

Merge remote-tracking branch 'origin/eap-chbind'

Conflicts:
mech_eap/accept_sec_context.c
mech_eap/dictionary.ukerna
mech_eap/gsseap_err.et
mech_eap/util_radius.h

update for another redhat build

Update RPM release to link against libmoonshot

Increase version  for redhat because of new OID and IETF changes; this should have been done back in May

Update build deps for shibboleth

Support curl-openssl-devel from shibboleth in RH spec files

Update spec for mech_eap

fix build without OpenSAML

Reindent

Reindent

textual identities to UI

The call to moonshot_get_identity included exported name tokens; the
interface expected C strings. Use gssEapDisplayName instead.

Clarify where else comes from for code clarity

Chbind cleanups

* indentation
* don't use non-booleans as truth values
* consistent cleanup handling
* improved variable names

ttls: defer METHOD_DONE if cb pending

Allow a round trip including CB response.

ttls: chbind_hdr is packed

libeap: Use AM_CFLAGS not CFLAGS

libeap: ttls: encapsulate using RADIUS VSA

It turns out that older version of FreeRADIUS will fail if they
receive a diameter VSA not in their dictionary.  A RADIUS VSA is fine
though.  This does not comply with the TTLS spec, but is the best we
can do in terms of interoperability, so do that.

libeap: use attribute 135 not 134 for ttls chbind

chbind: use IETF attributes

Use non-VSA IETF attributes for channel binding. Also, permit more
attributes in response than request.

Set GSS_C_MUTUAL_FLAG only on successful channel binding.

Previously, GSS_C_MUTUAL_FLAG was always set in the initiator context;
CTX_FLAG_EAP_CHBIND_ACCEPT was also set on successful channel binding.
Then GSS_C_MUTUAL_FLAG was properly specified in the return flags to
gssEapInitSecContext() depending on whether CTX_FLAG_EAP_CHBIND was set,
but eapGssSmInitGssFlags() was improperly sending GSS_C_MUTUAL_FLAG to
the acceptor even when no channel binding had occured.

Fix bug in eap_ttls_avp_encapsulate() when >248 bytes are encapsulated.

src pointer wasn't being advanced, so the first 248 bytes were duplicated
in place of the remainder of the message.

Eap channel bindings cleanup

Simplify radius buffer construction and parse service-specifics correctly.

Simplify and document radius_utils.c and radius_utils.h

krb5_free_unparsed_name deprecated by Heimdal

use krb5_xfree

krb5_free_data_contents deprecated by Heimdal

Use krb5_data_free instead

indentation fix

Return WRONG_ACCEPTOR_NAME

Create a new error for incorrect acceptor name received from acceptor
to aid in debugging.

allow empty acceptor names

indentation fix

Ignore empty realms comparing acceptor name hint

Conflicts:

mech_eap/util_name.c

Call gssEapReleaseName not gss_release_name

we have a mech name not a union name so use the local mechanism.

indentation fix

fix indentation

Call gssEapCompareName not gss_compare_name

we have a mech name not a union name so use the local mechanism.

remove references to PADL mechanism OIDs

neglected gss-eap-v1 arc in OID comment table

Coding style conform

Update to use IETF RADIUS attributes

draft-ietf-abfab-gss-eap is approved and IANA has assigned
standardized RADIUS attributes, so these are no longer vendor
specific.

Update dictionary file to change the names of the existing attributes.