Export error environment variables.
These should help developers to show nicer error messages to users (e.g. invalid credentials, not configured libraries, etc.).

Add support for escaping JSON strings.
JSON strings need to be scaped or attributes which " (such as SAML assertions) will not work as expected.

Implemented support for exporting GSS NAME attributes as environment variables.
This code is strogly based on the code from https://github.com/modauthgssapi/mod_auth_gssapi, whith the required adaptations for accommodating it to this module.

Break out of processing upon GSS error being reported.

The module was returning success upon GSS reporting a failure, so the
normal processing needs to be aborted and an error returned.

Fix minor issues blocking Firefox authentication from working:
- Check only first portion of content type against default type
- Handle non-GSSWeb messages better when there is no active authentication (DECLINE)
- Fix bug where nonce is corrupted (unintentional signed/unsigned integer conversion)

Fail on empty token

Get and set/unset content-length and content-type before other filter work.

Set content-type and clear content-length and content-md5 in output filter.

When we get a request from a non-gssweb client, make the filter pass
the data along the filter chain without modification.

Fix the error handling path so that it won't hand back an output
token from the previous round if this round fails, and so that the
filter won't do anything if we received a request from a non gssweb
client (we don't have an output token or a valid nonce).

Merge branch 'gssweb-apache' of ssh://moonshot.suchdamage.org/srv/git/mod_auth_kerb into gssweb-apache

Compatibility with both Apache 2.2 and 2.4.

The ap_log_rerror function has changed the parameters that it accepts between
Apache 2.2 and 2.4.  The gss_log function wraps around ap_log_rerror, so it
needs to deal with the new parameter that was added.

Merge branch 'gssweb-apache' of moonshot.suchdamage.org:/srv/git/mod_auth_kerb into gssweb-apache

Update the protocol description to match current code and include additonal detaisl about encoding, etc.

Don't include newlines in base64 encodings

Include connection keep-alive

Break gss_get_conn_ctx() into two functions, on that retrieves a context, and one that creates a new one.  Make corresponding changes in both modules.

Don't use output_token after free

Base64 encode application data, instead of escaping.  Fix typo in protocol.  Add debug statement to test code.

Fix client to continue

Fix bugs with code to escape quotes.

Updates/fixes to gssweb filter code.

Filter is successfully called, still needs to do job properly.

Removed backup file.

Apache auth hook appears to work, but filter still not registered properly. Added test client.

Add code for output filter.

Code for gssweb module check_user hook.

Editorial changs to protocol description.

Added protocol description for GSS Web authentication.

Cleanly separate gssapi (negotiate) auth code from (future) gssweb auth code.

Remove static qualifier from non-static funtions, finish .h reorg.

Update include files to match code refactoring for two modules.

Add gssweb sources

Add auth_gssweb module to makefile

Refactor existing mod_auth_gssapi code to support addition of gssweb module.

Add install-sh to mod-auth-kerb directory

Merge branch 'moonshot-negotiate' of file:///srv/git/mod_auth_kerb

use "Negotiate" mechanism

Build fixes to support DESTDIR

license and copyright statements

Return even last token on GSS errors

Adding testing CLI client (based off the Heimdal testing sample)

Improved building

Fixed building with gss libs (by Sam Hartman)

importing current version of mod_auth_gssapi

removed "legacy" of mod_auth_kerb

removed unnecessary files

Better r.e. to prevent from substituing empty strings on some platforms

remove some cc warnings (thanks to Joe Orton)

- own up Kerberos in the resulting mechanism id
- return an error when the client wants multiple iterations of GSSAPI authN

tweaked Basic provider support

documented KrbLocalUserMapping directive

ticket [2421120], added krb5-config command locating

fixed return value when using basic provider to pass the auth to other modules (in case of fail).

forgot something

code reorganization caused by last update

added password verification invocation vie the AuthBasicProvider with krb value

increased version number

changelog

added changelog

removed compilation warnings

reverted to 1.146, this will be part of another commit

moved sed command to its own script(for BSD with non-GNU make users) + improved configure script to correctly handle with --with-krb5=yes

tickets [ 1427467 ], [ 1399384 ], [ 1169067 ], [ 1289096 ] implemented KrbServiceName Any for password auth

fixed bug [1323202] Configure script doesnt correctly handle "--with-krb5"

accepted ticket [1859455]: <sys/types.h> should be included explicitly

accepted ticket [1707336]: Include valid options when calling krb5_get_init_creds_passw

rewriten already_succeeded function, tickets [ 1774288 ], [ 1891230 ]

fixed threading issues as described in ticket [ 1971514 ]

minor update "HTTP" -> default SERVICE_NAME

accepted patch [ 1809998 ] "Accept any incoming credential in keytab" with some minor changes

rewritten whole an to ln name mapping

minor update, some debugging info + better memory management

added auth name to local name mapping. Tickets [1957143], [1303627], [2013838 ], [1809803], [1373783], [1611526]

fixed [1851056] problem with password beginning with ':'

Merge from the 5.3 branch (security fix). Tagged as merge_53_src, merge_53_dst, merge_53_dst_after.

Logged a debug message saying if or not the client delegated his/her credential

Pass the get_gss_error() call with a full request struct so it could log a debug message with the GSSAPI codes

Improved displying of error messages

Increased version numbers

Added definition of KRB5_LIB_FUNCTION (taken from MIT), which seems not to be
included sometimes (MIT 1.5.1).

The shell functions supported by BSD make:s doesn't do what we are used to from
GNU make. Added a comment with two lines which provide the same functionality
also on BSD platforms. It'd be greate if they were wrapped with a if
statetement.

Use krb5_rc_resolve_full() to detect the "none" rcache type. The previous code was based on an internal function using non-public data structure.

Changes in krb4 code
- switch to apr 1.x
- allow the client to specify the realm

increased versions to 5.1

Defined GSS_KRB5_NT_PRINCIPAL_NAME as gss_nt_krb5_name to make it work with older MITs (eg. from RH ES3)

Switched to use APR 1.x
- apr 1.0 stopped shipping the compat headers defining old ap_* calls

changed type to unsigned to be consistent with prototype

Added context declaration

Better check if SPNEGO is supported by the kerberos implementation. Patch accepted from https://sourceforge.net/tracker/?func=detail&atid=464526&aid=1533173&group_id=51775

Detect if the "none" replay cache type is supported before enforcing its use

Bumbed version

typo in error message

Better solution to the "array type has incomplete element type" problem

Compatibilizing define's are pulled out from apr_compat.h and apu_compat.h

The KRB5RCACHETYPE variable is set in initialization calls. Its parameter is allocated using strdup().

Some calls declared static to make gcc stop complainig about non existing prototypes

Ignore .libs

Ignore *.lo, *.slo

Commented out ContextFlags_units, which makes problem on SuSE 10