Remove unnecessary new lines from mdist config.

Bump to version 3.5/3.9p1.

Remove unnecessary newlines from mdist config file.

Update sshd_config file based on latest OpenSSH sshd_config.

- always initialize authctxt->valid = 0
- wrap GSSAPI-specific code in #ifdef GSSAPI and format for cleaner patch

clean up code to set authctxt->service and authctxt->style only once.
using 'if (authctxt->attempt == 1)' is clearer than testing for
(authctxt->service == NULL).

call ssh_gssapi_check_mechanism() before attempting gssapi userauth.
no need to even try if the mechanism doesn't pass checks, i.e., we
don't have a credential.

if no gss mechs, then disable gss_authentication. no need to try.

change 2nd arg of ssh_gssapi_check_mechanism() to const char *

be sure not to call xfree(NULL)

don't allow change of service or style when username changes

replace
  if (strcmp(authctxt->user, "") != 0)
with equivalent
  if (authctxt->user[0])
and added some comments

replace
  if (strcmp(authctxt->user, "") != 0)
with equivalent
  if (authctxt->user[0])

unused

merge OpenSSH 3.9p1 to trunk

Initial revision

fix for bug 244 (https://bugzilla.ncsa.uiuc.edu/show_bug.cgi?id=244):
setting authctxt->pw and authctxt->user to NULL is not a good idea.
other code assumes they will be set. so put in placeholders if we
don't have the implicit username yet.

authctxt->user should never be null but add a test just to be sure

don't include "external-keyx" in case for setting username from GSSAPI
context later. if we don't set the username from the GSSAPI context
here for "external-keyx", we're not going to do it later either,
because the context should already be established from the key
exchange. only the "gssapi" userauth methods need to postpone setting
the username, as the GSSAPI context hasn't been established yet.

version 3.4

NCSA_GSSAPI_20040713

remove prototype for ssh_gssapi_mechanisms() function that no longer exists

call get_canonical_hostname(1) to pass FQDN with ssh_gssapi_import_name()
so we correctly resolve hostnames for gssapi userauth

fix for http://grid.ncsa.uiuc.edu/ssh/implicitlogin.adv vulnerability:
- don't return success from userauth if authctxt->valid == 0
  as that flag is set after important checks for disabled accounts
- proceed with userauth_gssapi() even if authctxt->valid == 0,
  because we might set it based on GSSAPI context later, and we
  check it before returning success
- set authctxt->valid = 1 only if getpwnamallow() checks succeed
other:
- pass in authctxt to start_pam(), as the signature changed

fix for http://grid.ncsa.uiuc.edu/ssh/implicitlogin.adv vulnerability:
- set authctxt->value = 0 until we actually verify it via
  getpwnamallow(user), which checks for disabled accounts
other code cleanup:
- remove unneeded check for authctxt->valid before printing a debug
  msg, leftover from old logic
- remove spurious ';'
- added a comment on end brace for implicit username block

3.3 release

fail gss userauth if we received a limited globus proxy

don't abort gsskex if client gives a limited proxy.
we'll deal with it gracefully in userauth.

- initialize ret_flags before calling gss_accept_sec_context()
  because GSI treats ret_flags as both input and output parameters
- only call start_pam() if UsePAM=yes

in addition to passing LD_LIBRARY_PATH to child's environment to
local GSI shared libraries, also pass LIBPATH, SHLIB_PATH,
LD_LIBRARYN32_PATH, and LD_LIBRARY64_PATH for odd platforms

new patch version

fix compiler warnings due to type mismatches (size_t vs. int)

merged OpenSSH 3.8.1p1 to trunk

Initial revision

Darwin's getaddrinfo()'s handing of AI_NUMERICHOST is broken so
unconditionally AC_DEFINE(BROKEN_GETADDRINFO) so our reverse lookups
for GSI succeed

-lkrbafs needs -lkrb4 (in --wiith-afs-krb5 configuration)

  o Bump version of setup package to 3.2 in metadata file.

  o Bump package metadata to version 3.2.

  o Remove unneeded LD_LIBRARY_PATH changes from setup script.

  o Bump to version 3.2.

bump patch version to NCSA_GSSAPI_20040423

  o Source globus-user-env.sh prior to executing our main perl setup
    script.

re-fix old bug, re-introduced on re-merge of Simon's code:
gss_indicate_mechs() needs to be in PRIVSEP() because we need the list
of mechanisms supported by the privileged process; the unprivileged
process can't load gssapi mech libraries

fix mechglue build

fix OpenSSH build problem with xlc on AIX 5.2

GSI-OpenSSH 3.1 / OpenSSH 3.8p1

don't clear environment. GSI needs it (GLOBUS_LOCATION, X509_CERT_DIR, LD_LIBRARY_PATH, etc.)

3.1

updates from OpenSSH 3.8p1 release

3.1 OpenSSH 3.8p1

remove superfluous #includes

don't need to include compat.h twice

don't need to include ssh2.h and compat.h twice. (isn't merging fun?)

GSSAPICleanupCreds is now GSSAPICleanupCredentials

remove duplicate krb5_cleanup_proc() call introduced in merge

replace #include "compat.h" as it's included in regular openssh release

new patch release today

need extern ServerOptions options declaration

wrap do_pam_putenv() in if (options.use_pam) as done elsewhere
(new in OpenSSH 3.8p1)

remove unused label

shrink gssapi compat code based on simon's compat patch

merge OpenSSH 3.8p1 with trunk
- new gssapi-with-mic userauth method: added flag to support both new
  method and old gssapi method for backward compat
- new USE_AFS code needs to be merged with old AFS_KRB5 code

Initial revision

bugfix: == isn't valid /bin/sh syntax; use = instead

fix logic error on implicit username: don't assume username must change
for implicit to work; always reset authctxt for implicit username case

print "<implicit>" for empty usernames

resync with vendor branch; should not have local modifications here

resolve_localhost() not needed here, as we already do it in ssh_gssapi_import_name()

fix bug that was bypassing resolve_localhost() call, introduced in merge
of OpenSSH 3.7p1

remove unneeded #include "compat.h"

  o Bump version to 3.0.

  o Bump to version 3.0.

  o Remove compat package from bundle

  o Remove compat package from bundle.

  o Bump version number in the bundle version script.

  o Reverse some changes to source bundle.

  o Bump to version 2.11.
  o Sign bundle automatically.

  o Bump to version 2.11.

  o Update ssh_prng_cmds.in to match trunk version.

  o Update ssh_config to match OpenSSH 3.7.1p2.

  o Update sshd_config to match OpenSSH 3.7.1p2.

make --with-globus optional if --with-globus-static is specified

  o Bump to version 2.11.

NCSA_GSSAPI_20040119

include GSI, KRB5, and MECHGLUE in version string based on configure
options for more debugging info

add NCSA_GSSAPI_20040117 to SSH_VERSION spec so we can determine remote
software version info (if our patch is applied)

bugfix: according to spec, we MUST skip external-keyx if gsskex not
performed. it has no chance of success.

- added --with-globus-static to link statically with Globus libs
- added check for existence of $GLOBUS_LOCATION directory
- minor modifications to -help text

on receipt of SSH2_MSG_KEXGSS_ERROR, exit with fatal() error message rather
than falling through to misleading "Protocol error" message

if --with-globus-flavor is given, assume --with-globus

remove GSSAPI authentication support for SSH protocol 1

add gsisftp symlinks on make install

  o Add bundle signing script

  o Change readable tests to present for when to link key files.

  o Add gsi_openssh_compat to gsi-openssh bundle.

Initial revision

  o Bump to version 2.10.

  o Use gsissh executables in $GL/bin/ssh.d/ instead of $GL/bin/.

  o Link key files rather than copy them.

Initial revision