minor updates from Simon's openssh-3.6.1p2-gssapi-20030430.diff patch

merged OPENSSH_3_6_1P2 to trunk

  o Add fix for no standard input and reading in default values.

  o Update gsi_openssh 2.3 package.

  o Move to version 2.3.

  o Move to gsi-openssh 2.3.

session hook patch from Olle Mulmo:
http://www-unix.globus.org/mail_archive/gsi-openssh/2003/04/msg00003.html

move code around to match Simon's patch

whitespace change to match Simon's patch

removed declaration of ssh_gssapi_id_kex(), now split into
ssh_gssapi_client_id_kex() and ssh_gssapi_server_id_kex()

removed duplicate declaration of mm_answer_gss_localname()

merge with OPENSSH_3_6_1P1_SIMON_20030417

bugfix: mechglue code broke krb5-only build

merge of OPENSSH_3_6_1P1_SIMON_20030411

recommit previous changes to simon's re-organized code

re-insert heimdal and mechglue patches after simon's code re-org

don't support GT 1.x anymore; always assume HAVE_GSSAPI_EXT

use globus-makefile-header to simplify setup for GSI

11 Apr 2003 patch from Simon

patch for Irix build problem from
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=104989895728476&w=2

comment out PidFile definition, as we want to base it off of $GL at
run-time by default

misplaced #ifdef GSSAPI

don't allow change of service during authentication
(put back OpenSSH check I previously removed)

use gss_create_empty_oid_set() and gss_add_oid_set_member() instead of
xmalloc()

  o Update setup package to new version.

  o Update URL to point to new location of website.

  o Add the new gsi_openssh package (with pathnames fix) to the bundle
    module.

  o Update bundle metadata to gsi-openssh 2.2.

  o Update packages for 2.2 release.

  o Move to version 2.2 and merge in config diffs from 3.6.1p1.

  o Remove the two config file man pages from the setup package.

cast OM_uint32 to avoid warning

- if no available gssapi mechanisms, abort instead of sending 0 to
  the server
- handle SSH_SMSG_FAILURE messages from server (not sure if server is
  misbehaving in this case but the client can do the right thing anyway)
- handle cases where try_gssapi_authentication() fails before beginning
  the handshake (for example, if there are no GSSAPI credentials);
  previously, we'd block waiting for the server to reply even if we
  never sent anything to the server

handle failure in userauth_gssapi()

merge with OpenSSH 3.6.1p1

setup kexgss_client like other kex client functions for OpenSSH 3.6 merge

split ssh_gssapi_mechanisms() into client and server parts for OpenSSH 3.6
merge, where privsep code is only allowed in server now

- OpenSSH 3.6.1p1 merge
- kexgss() split into kexgss_client() and kexgss_server() like other
  kex functions in OpenSSH 3.6

code re-org to match with OpenSSH 3.6.  privsep functions should only be
used in server modules now, so split up some functions in gss-genr.c
and moved server-specific parts to gss-serv.c

moved kexgss_client() from kexgss.c to kexgssc.c and
moved kexgss_server() from kexgss.c to kexgsss.c to work with OpenSSH 3.6
code re-org where privsep functions are only available in the server now

Initial revision

  o Add example platforms to output.

  o Add platform naming code to the binary bundle maker.

  o Prepare for 2.2 release.

  o Change bundle definition from including static packages to including
    non-static packages.

  o Syntax error fix.

  o Update the bundle scripts so they don't muck around with the CWD.

  o Add easy version setting to the bundle module.

  o Remove the bundle version info from the xml files.

  o Update the procedure for running the make-src-bundle script.

  o Add all the source packages in the 2.1 release to the bundle module.

  o Test.

  o Update the documentation in the scripts.

  o Add usage comments to both scripts.

Initial revision

  o Bump to version 2.1.

version 2.0 to correspond to new source package; no changes to setup pkg

- use get_canonical_hostname() for GSSAPI service hostname resolution
  so we get the same hostname each time for DNS round-robin
- renamed resolve_hostname() to resolve_localhost() because that's all
  we want it to do now

use xfree/xstrdup

remove unused prototype

  o Turn on X11 forwarding by default in both the client and the server.

  o Move to 1.9.

undo changes for termining target GSSAPI service name that avoided DNS
because Globus and Kerberos want to use DNS irrespective of DNS spoofing
concerns

  o Prompt and URL changes.

  o Update to version 1.8.

  o Add SuSE chkconfig format to SXX file.

call globus_module_activate(GLOBUS_GSI_GSS_ASSIST_MODULE) before any
globus_gss_assist() call to ensure the module is activated

  o Add a noprompt flag.

  o Update package information.

HAVE_GSSAPI_EXT determined by configure now

configure needs to set HAVE_GSSAPI_EXT depending on our Globus version;
the header files don't give enough information for us to determine the
correct value here

- define HAVE_GSSAPI_EXT for GT 2.x installs but *not* for GT 1.x
- for GT 2.x w/ mechglue, still need to link with libglobus_gssapi_gsi to
  satisfy reference to gssapi module activation in libglobus_gss_assist

added Jim Barlow's aklog patch

  o Update to version 1.7.

  o Merge in new copies of the configuration files from 3.5p1.

shorten config file descriptions to avoid line wrapping

merged OpenSSH 3.5p1 to trunk

Initial revision

  o To version 1.6.

segv bug fix: gss_accept_sec_context() returns a read-only pointer to the
mech OID, so we shouldn't stash it in our Gssctxt object where we expect
a pointer to an xmalloc'ed object

for privilege separation, send gss_indicate_mechs() and gss_display_status()
to privileged process, which has the GSSAPI libraries loaded and has the
GSSAPI state, rather than calling them in the unprivileged process, which
can't load teh GSSAPI libraries and doesn't have the GSSAPI state

ctxt may be NULL when using privsep, so either avoid using it to get the oid
(if we already have it stashed in a local variable) or use GSS_C_NO_OID
instead

remove explicit call to gss_initialize(); instead, we make sure the
unprivileged child process doesn't call any mechanism-specific GSSAPI
functions (i.e., gss_display_status() and gss_indicate_mechs()) so
mechglue library doesn't need to initialize other GSSAPI libraries in
the unprivileged child process

add an explicit call to gss_initialize() at sshd startup when using mechglue
because otherwise, we'll have problems initializing later on if
privilege separation is enabled

add support for GssapiKeyExchange option on the client side

in userauth_gssapi(), try each supported GSSAPI mechanism

if gss_accept_sec_context() fails with a packet to send back to the client,
send the GSS packet first before sending the SSH failure message rather
than the other way around so the client will handle the GSS packet before
tearing down its GSS context

  o Bump to 1.5.

  o add note about customizing $GL/etc/ssh.

use GSS_GSI as index into supported_mechs[], not GSI

debug message cleanup:
- removed superfluous display_gssapi_status() function; ssh_gssapi_error()
  is better
- if fail to set GSI username from credentials, write debug message that
  says so with GSSAPI error text following, so it's clear what's going on
  and the GSSAPI errors may not indicate a failure (i.e., Kerberos can
  still work)

if gss_export_cred() returns X509_USER_DELEG_PROXY, set X509_USER_PROXY
env var instead, because that's what GSI programs look for

merged get_gsi_cred() into get_gsi_name(), since that's the only place
it's used

changes for gssapi mechglue support:
- rename get_gssapi_cred() to get_gsi_cred() and get_gss_our_name() to
  get_gsi_name() and try to force the GSI mechanism, because these functions
  (for getting the grid-mapfile name for implicit username mapping) are
  GSI specific; this needs more work
- fix debug messages to not assume only one gssapi mechanism
- only tell server about those gssapi oids for which we have valid creds
- prefer GSI over Kerberos GSSAPI mech, because we can only choose one
  and we can always do regular (non-GSSAPI) Kerberos auth later

pass in mechanism OID to ssh_gssapi_send_error() so mechglue can know
which GSSAPI library to use to call gss_display_status()

pass in mechanism OID to gss_display_status() so mechglue can route the
call to the correct underyling mechanism library

  o Update to version 1.4.

fix buffer overflow

  o Update to version 1.3.

bug fix: logic in unlink() test for removing cred file was wrong