Logged a debug message saying if or not the client delegated his/her credential

Pass the get_gss_error() call with a full request struct so it could log a debug message with the GSSAPI codes

Improved displying of error messages

Increased version numbers

Added definition of KRB5_LIB_FUNCTION (taken from MIT), which seems not to be
included sometimes (MIT 1.5.1).

The shell functions supported by BSD make:s doesn't do what we are used to from
GNU make. Added a comment with two lines which provide the same functionality
also on BSD platforms. It'd be greate if they were wrapped with a if
statetement.

Use krb5_rc_resolve_full() to detect the "none" rcache type. The previous code was based on an internal function using non-public data structure.

Changes in krb4 code
- switch to apr 1.x
- allow the client to specify the realm

increased versions to 5.1

Defined GSS_KRB5_NT_PRINCIPAL_NAME as gss_nt_krb5_name to make it work with older MITs (eg. from RH ES3)

Switched to use APR 1.x
- apr 1.0 stopped shipping the compat headers defining old ap_* calls

changed type to unsigned to be consistent with prototype

Added context declaration

Better check if SPNEGO is supported by the kerberos implementation. Patch accepted from https://sourceforge.net/tracker/?func=detail&atid=464526&aid=1533173&group_id=51775

Detect if the "none" replay cache type is supported before enforcing its use

Bumbed version

typo in error message

Better solution to the "array type has incomplete element type" problem

Compatibilizing define's are pulled out from apr_compat.h and apu_compat.h

The KRB5RCACHETYPE variable is set in initialization calls. Its parameter is allocated using strdup().

Some calls declared static to make gcc stop complainig about non existing prototypes

Ignore .libs

Ignore *.lo, *.slo

Commented out ContextFlags_units, which makes problem on SuSE 10

Try also locating apxs2 binary if apxs isn't found

- Use the KRB5RCACHETYPE variable to disable the replay attacks checks in
  MIT 1.4
- Make the 1.3 hack more robust, it tryies to verify it works with 1.3 libs
  (it crashes with 1.4)
(patches submited from Russ Allbery and Jari Ahonen)

Bumped version

Wrap compiler and linker options passed via apxs

#ifdef 0 doesn't work

Bumped years in Licenses and similar stuff

Typo (fix for bug 1424794)

Commented out all KrbEnableSSLPreauthentication related stuff as it depends on
the mod_ssl internals (ssl_var_lookup).

Added SSL_preauthentication option

- Don't build the SPNEGO library at all if using latest heimdal (or another
  distributions supporting SPNEGO, are there any?)
- Changed the semantics of the KrbServiceName directive. It can contain not
  only the service name (HTTP) but also a full principal name that will be used
  for authentication of the server. This should help in solving some DNS
  issues.

- renamed enum CONTEXT into KERB_CTXT to address name clashes on Windows
- added a few missing calling conventions to the calls
(thanks to Pascal Davoust, 20 May 2005 14:56:15)

- Be more compatible with the development apache branch. Allow working with
  APR 1.x and 2.2.
- Avoid some warnings
(thanks to Joe Orton for this patch, 23 May 2005 14:00:57)

mozilla prefs

Only reply with the Negotiate set if the gss_accept_sec_context returned data
for the client. Otherwise the client received an Negotiate header and tried to
authenticate using GSSAPI again and again, which is annoying when the user in
question pass the authentication but isn't authorized.

Added year 2005 to the license block

Added a debug program that performs conversions from DNS names to realms.
(Thanks to Jari Ahonen for it).

Don't prohibit specifying realm is user name

Added type-casting to avoid warning from the compiler

added a short note about Konqueror

Used gsskrb5_register_acceptor_identity() to specify the keytab (some installations seems to have problems reading the filename from the environment)

Added more debug messages

Description of delegation support in Win AD (thanks Rob Sessink)

don't dereference NULL pointer

specify the realm name when calling krb5_parse_name(). MIT seems not to use the realm set by krb5_set_default_realm()

forgot spnego-specific asn.1 sources

Don't compile ASN.1 routines when using Heimdal -- use the ones from Heimdal

delete .libs directories during 'clean'-ing

Centrally #define:ed name of the Negotiate method

corrected wrong parameters printed during debugging

Added changes to enable compiling on Windows (most likely not sufficient)
- Added standard includes
- use {_vs,_s}nprintf instead of {vs,s}nprintf
- added implementation of the mkstemp() call (taken from heimdal)

Added flag RSRC_CONF to the directives definitions so they can be set in the
server-wide config file as well

Increased the release number

typo

note about debugging of Mozilla

Changes by Jari Ahonen

Don't remove the configure script during distclean

when logging a service name use the name processed by GSSAPI

Use cannonical DNS name when constructing the principal for passwd verification (to be consistent with GSSAPI)

Added warning when NTLM authenticator is received

rather FIXME notes

Added more debug messages

Handle KerberosV5/KerberosV4 values of AuthType properly

Corrected debug messages

Rewritten installation guide

two more debugging messages

Added a new directive (KrbDelegateBasic), which can be used to pass on authentication decision to another modules.

Allow the module to work in the proxy mode correctly (don't swallow authentication headers). This commit fixes bug reported at
http://sourceforge.net/tracker/index.php?func=detail&aid=954085&group_id=51775&atid=464524

Use the resolv library when checking for krb5_init_context()

Added fields to the module declaration (in 1.3.x part) required by EAPI

Added suffix '_internal' to all definitions copied from provate MIT header to avoid possible conflicts

added a debugging message

typos

increase version number to be ready for a new release

Added MIT license statements

basicaly typos

krb5 ccache is initialized only after the password verification succeeds

Added header includes and other minor fixes

really use auth_context prepared

added header containing internal MIT definitions

First attempt of working around replay cache (thanks to Jari Ahonen for the GSSAPI part)

- Don't use global structures to persistently store gss context. Support only
  krb5 which requires single gssapi authentication iteration.

Mark a few places where a debug logging should be added

- Use macro AC_PATH_PROG to find the apxs command, don't look for the apache
binary at all since information about apache version are fetched from headers
at compile time.
- Require version 2.57 of autoconf as 2.53 seems to have an error in the
AC_PATH_PROG macro

In order to distinguish between apache API v1.3 and v.2.0 use define
STANDARD20_MODULE_STUFF (from ap_config.h) instead of own APXS[12] variables

- note_kerb_auth_failure() renamed to set_kerb_auth_headers()
- return also last value from gss_accept_sec_context() so client can perform
  mutual authentication

- don't pass a prompter callback to the password veryfying call
- Heimdal is able to handle anonymous memory caches so it's not necessary to use different (non-portable) code for ccache generation

License changed from Apache to BSD

Use GSS_C_NT_HOSTBASED_SERVICE instead of GSS_C_NT_USER_NAME in the gss_import_name()
Don't free the gss structs when additional GSS iterations are required

Updated year in the license block

Don't use DNS lookups when constructing the server principal name. This allows
to use the VirtualServer names as specified in the httpd.conf

Added logging of error messages to the password verification part.

restructuralized checks for krb5 enviroment

Don't use the service name when reading the keytab. This should prevent from
problems between the MS and MIT krb5 implementation. (this fix works only with
1.3.x).

Use different calls when generating memory ccache with Heimdal or MIT

moved check for nonempty password to a proper place

don't accept empty passwords