Context Navigation

← Previous Change
Next Change →

Changeset 988 for vendor/current/source4/heimdal/kdc

Timestamp:

Nov 24, 2016, 1:14:11 PM (9 years ago)

Author:

Silvan Scherrer

Message:

Samba Server: update vendor to version 4.4.3

Location:

vendor/current/source4/heimdal/kdc

Files:

: 12 edited

default_config.c (modified) (9 diffs)
digest.c (modified) (41 diffs)
kdc.h (modified) (1 diff)
kerberos5.c (modified) (32 diffs)
krb5tgs.c (modified) (61 diffs)
kx509.c (modified) (2 diffs)
log.c (modified) (1 diff)
misc.c (modified) (6 diffs)
pkinit.c (modified) (46 diffs)
process.c (modified) (8 diffs)
windc.c (modified) (4 diffs)
windc_plugin.h (modified) (1 diff)

Legend:

: Unmodified
: Added
: Removed

vendor/current/source4/heimdal/kdc/default_config.c

-              r740
+              r988
     c->kdc_warn_pwexpire = 0;
     c->encode_as_rep_as_tgs_rep = FALSE;
+    c->as_use_strongest_session_key = FALSE;
+    c->preauth_use_strongest_session_key = FALSE;
+    c->tgs_use_strongest_session_key = FALSE;
+    c->use_strongest_server_key = TRUE;
     c->check_ticket_addresses = TRUE;
     c->allow_null_ticket_addresses = TRUE;
     c->allow_anonymous = FALSE;
     c->trpolicy = TRPOLICY_ALWAYS_CHECK;
-    c->enable_v4 = FALSE;
-    c->enable_kaserver = FALSE;
-    c->enable_524 = FALSE;
-    c->enable_v4_cross_realm = FALSE;
     c->enable_pkinit = FALSE;
     c->pkinit_princ_in_cert = TRUE;
 …
                                      c->require_preauth,
                                      "kdc", "require-preauth", NULL);
-    c->enable_v4 =
-        krb5_config_get_bool_default(context, NULL,
-                                     c->enable_v4,
-                                     "kdc", "enable-kerberos4", NULL);
-    c->enable_v4_cross_realm =
-        krb5_config_get_bool_default(context, NULL,
-                                     c->enable_v4_cross_realm,
-                                     "kdc",
-                                     "enable-kerberos4-cross-realm", NULL);
-    c->enable_524 =
-        krb5_config_get_bool_default(context, NULL,
-                                     c->enable_v4,
-                                     "kdc", "enable-524", NULL);
 #ifdef DIGEST
     c->enable_digest =
 …
+    }
 #endif
+    c->as_use_strongest_session_key =
+        krb5_config_get_bool_default(context, NULL,
+                                     c->as_use_strongest_session_key,
+                                     "kdc",
+                                     "as-use-strongest-session-key", NULL);
+    c->preauth_use_strongest_session_key =
+        krb5_config_get_bool_default(context, NULL,
+                                     c->preauth_use_strongest_session_key,
+                                     "kdc",
+                                     "preauth-use-strongest-session-key", NULL);
+    c->tgs_use_strongest_session_key =
+        krb5_config_get_bool_default(context, NULL,
+                                     c->tgs_use_strongest_session_key,
+                                     "kdc",
+                                     "tgs-use-strongest-session-key", NULL);
+    c->use_strongest_server_key =
+        krb5_config_get_bool_default(context, NULL,
+                                     c->use_strongest_server_key,
+                                     "kdc",
+                                     "use-strongest-server-key", NULL);
     c->check_ticket_addresses =
 …
+    }
+    {
-        const char *p;
-        p = krb5_config_get_string (context, NULL,
-                                    "kdc",
-                                    "v4-realm",
-                                    NULL);
-        if(p != NULL) {
-            c->v4_realm = strdup(p);
-            if (c->v4_realm == NULL)
-                krb5_errx(context, 1, "out of memory");
-        } else {
-            c->v4_realm = NULL;
+        }
+    }
-    c->enable_kaserver =
-        krb5_config_get_bool_default(context,
-                                     NULL,
-                                     c->enable_kaserver,
-                                     "kdc", "enable-kaserver", NULL);
     c->encode_as_rep_as_tgs_rep =
         krb5_config_get_bool_default(context, NULL,
 …
     c->pkinit_kdc_identity =
+    c->pkinit_kdc_identity =
         krb5_config_get_string(context, NULL,
                                "kdc", "pkinit_identity", NULL);
 …
         krb5_config_get_strings(context, NULL,
                                 "kdc", "pkinit_revoke", NULL);
     c->pkinit_kdc_ocsp_file =
+    c->pkinit_kdc_ocsp_file =
         krb5_config_get_string(context, NULL,
                                "kdc", "pkinit_kdc_ocsp", NULL);
 …
     if (config->pkinit_kdc_identity == NULL) {
         if (config->pkinit_kdc_friendly_name == NULL)
             config->pkinit_kdc_friendly_name =
+            config->pkinit_kdc_friendly_name =
                 strdup("O=System Identity,CN=com.apple.kerberos.kdc");
         config->pkinit_kdc_identity = strdup("KEYCHAIN:");
 …
         if (config->pkinit_kdc_identity == NULL)
             krb5_errx(context, 1, "pkinit enabled but no identity");
         if (config->pkinit_kdc_anchors == NULL)
             krb5_errx(context, 1, "pkinit enabled but no X509 anchors");
 …
     return 0;
 #endif /* PKINIT */
+}
+}

vendor/current/source4/heimdal/kdc/digest.c

-              r740
+              r988
+    {
         krb5_principal principal = NULL;
         const char *p, *r;
+        const char *p, *rr;
         ret = krb5_ticket_get_server(context, ticket, &principal);
 …
             goto out;
+        }
         r = krb5_principal_get_realm(context, principal);
         if (r == NULL) {
+        rr = krb5_principal_get_realm(context, principal);
+        if (rr == NULL) {
             krb5_free_principal(context, principal);
             goto out;
+        }
         if (strcmp(p, r) != 0) {
+        if (strcmp(p, rr) != 0) {
             krb5_free_principal(context, principal);
             goto out;
 …
     if (ret)
         goto out;
     ret = decode_DigestReqInner(buf.data, buf.length, &ireq, NULL);
     krb5_data_free(&buf);
 …
             r.u.initReply.nonce = s;
+        }
         ret = krb5_store_stringz(sp, r.u.initReply.nonce);
         if (ret) {
 …
         if (ret)
             goto out;
         ASN1_MALLOC_ENCODE(Checksum, buf.data, buf.length, &res, &size, ret);
         free_Checksum(&res);
 …
             goto out;
+        }
         ret = krb5_storage_to_data(sp, &buf);
         if (ret) {
 …
             goto out;
+        }
         /*
          * CHAP does the checksum of the raw nonce, but do it for all
 …
+        {
             ssize_t ssize;
             ssize = hex_decode(ireq.u.digestRequest.serverNonce,
                                serverNonce.data, serverNonce.length);
 …
             unsigned char *p = serverNonce.data;
             uint32_t t;
             if (serverNonce.length < 4) {
                 ret = EINVAL;
 …
             unsigned char md[MD5_DIGEST_LENGTH];
             char *mdx;
             char id;
+            char idx;
             if ((config->digests_allowed & CHAP_MD5) == 0) {
 …
                 goto out;
+            }
             if (hex_decode(*ireq.u.digestRequest.identifier, &id, 1) != 1) {
+            if (hex_decode(*ireq.u.digestRequest.identifier, &idx, 1) != 1) {
                 ret = EINVAL;
                 krb5_set_error_message(context, ret, "failed to decode identifier");
                 goto out;
+            }
             ret = get_password_entry(context, config,
                                      ireq.u.digestRequest.username,
 …
             EVP_DigestInit_ex(ctx, EVP_md5(), NULL);
             EVP_DigestUpdate(ctx, &id, 1);
+            EVP_DigestUpdate(ctx, &idx, 1);
             EVP_DigestUpdate(ctx, password, strlen(password));
             EVP_DigestUpdate(ctx, serverNonce.data, serverNonce.length);
 …
             if (ireq.u.digestRequest.realm == NULL)
                 goto out;
             ret = get_password_entry(context, config,
                                      ireq.u.digestRequest.username,
 …
             EVP_DigestUpdate(ctx, password, strlen(password));
             EVP_DigestFinal_ex(ctx, md, NULL);
             EVP_DigestInit_ex(ctx, EVP_md5(), NULL);
             EVP_DigestUpdate(ctx, md, sizeof(md));
 …
                 goto failed;
+            }
             EVP_DigestInit_ex(ctx, EVP_md5(), NULL);
             EVP_DigestUpdate(ctx,
 …
             EVP_DigestUpdate(ctx, *ireq.u.digestRequest.uri,
                        strlen(*ireq.u.digestRequest.uri));
             /* conf|int */
             if (strcmp(ireq.u.digestRequest.digest, "clear") != 0) {
 …
                 EVP_DigestUpdate(ctx, conf_zeros, sizeof(conf_zeros) - 1);
+            }
             EVP_DigestFinal_ex(ctx, md, NULL);
 …
             struct ntlm_buf answer;
             Key *key = NULL;
             EVP_MD_CTX *ctx;
+            EVP_MD_CTX *ctp;
             if ((config->digests_allowed & MS_CHAP_V2) == 0) {
 …
                                        "MS-CHAP-V2 clientNonce missing");
                 goto failed;
+            }
+            }
             if (serverNonce.length != 16) {
                 ret = EINVAL;
 …
                 username++;
             ctx = EVP_MD_CTX_create();
+            ctp = EVP_MD_CTX_create();
             /* ChallangeHash */
             EVP_DigestInit_ex(ctx, EVP_sha1(), NULL);
+            EVP_DigestInit_ex(ctp, EVP_sha1(), NULL);
+            {
                 ssize_t ssize;
                 krb5_data clientNonce;
                 clientNonce.length = strlen(*ireq.u.digestRequest.clientNonce);
                 clientNonce.data = malloc(clientNonce.length);
 …
                     krb5_set_error_message(context, ret,
                                            "malloc: out of memory");
                     EVP_MD_CTX_destroy(ctx);
+                    EVP_MD_CTX_destroy(ctp);
                     goto out;
+                }
 …
                     krb5_set_error_message(context, ret,
                                            "Failed to decode clientNonce");
                     EVP_MD_CTX_destroy(ctx);
+                    EVP_MD_CTX_destroy(ctp);
                     goto out;
+                }
                 EVP_DigestUpdate(ctx, clientNonce.data, ssize);
+                EVP_DigestUpdate(ctp, clientNonce.data, ssize);
                 free(clientNonce.data);
+            }
             EVP_DigestUpdate(ctx, serverNonce.data, serverNonce.length);
             EVP_DigestUpdate(ctx, username, strlen(username));
             EVP_DigestFinal_ex(ctx, challange, NULL);
             EVP_MD_CTX_destroy(ctx);
+            EVP_DigestUpdate(ctp, serverNonce.data, serverNonce.length);
+            EVP_DigestUpdate(ctp, username, strlen(username));
+            EVP_DigestFinal_ex(ctp, challange, NULL);
+            EVP_MD_CTX_destroy(ctp);
             /* NtPasswordHash */
 …
             if (ret)
                 goto failed;
             ret = _kdc_db_fetch(context, config, clientprincipal,
                                 HDB_F_GET_CLIENT, NULL, NULL, &user);
 …
                 goto failed;
+            }
             hex_encode(answer.data, answer.length, &mdx);
             if (mdx == NULL) {
 …
             if (r.u.response.success) {
                 unsigned char hashhash[MD4_DIGEST_LENGTH];
                 EVP_MD_CTX *ctx;
                 ctx = EVP_MD_CTX_create();
+                EVP_MD_CTX *ctxp;
+                ctxp = EVP_MD_CTX_create();
                 /* hashhash */
+                {
                     EVP_DigestInit_ex(ctx, EVP_md4(), NULL);
                     EVP_DigestUpdate(ctx,
+                    EVP_DigestInit_ex(ctxp, EVP_md4(), NULL);
+                    EVP_DigestUpdate(ctxp,
                                      key->key.keyvalue.data,
                                      key->key.keyvalue.length);
                     EVP_DigestFinal_ex(ctx, hashhash, NULL);
+                    EVP_DigestFinal_ex(ctxp, hashhash, NULL);
+                }
                 /* GenerateAuthenticatorResponse */
                 EVP_DigestInit_ex(ctx, EVP_sha1(), NULL);
                 EVP_DigestUpdate(ctx, hashhash, sizeof(hashhash));
                 EVP_DigestUpdate(ctx, answer.data, answer.length);
                 EVP_DigestUpdate(ctx, ms_chap_v2_magic1,
+                EVP_DigestInit_ex(ctxp, EVP_sha1(), NULL);
+                EVP_DigestUpdate(ctxp, hashhash, sizeof(hashhash));
+                EVP_DigestUpdate(ctxp, answer.data, answer.length);
+                EVP_DigestUpdate(ctxp, ms_chap_v2_magic1,
                                  sizeof(ms_chap_v2_magic1));
                 EVP_DigestFinal_ex(ctx, md, NULL);
                 EVP_DigestInit_ex(ctx, EVP_sha1(), NULL);
                 EVP_DigestUpdate(ctx, md, sizeof(md));
                 EVP_DigestUpdate(ctx, challange, 8);
                 EVP_DigestUpdate(ctx, ms_chap_v2_magic2,
+                EVP_DigestFinal_ex(ctxp, md, NULL);
+                EVP_DigestInit_ex(ctxp, EVP_sha1(), NULL);
+                EVP_DigestUpdate(ctxp, md, sizeof(md));
+                EVP_DigestUpdate(ctxp, challange, 8);
+                EVP_DigestUpdate(ctxp, ms_chap_v2_magic2,
                                  sizeof(ms_chap_v2_magic2));
                 EVP_DigestFinal_ex(ctx, md, NULL);
+                EVP_DigestFinal_ex(ctxp, md, NULL);
                 r.u.response.rsp = calloc(1, sizeof(*r.u.response.rsp));
 …
                     free(answer.data);
                     krb5_clear_error_message(context);
                     EVP_MD_CTX_destroy(ctx);
+                    EVP_MD_CTX_destroy(ctxp);
                     ret = ENOMEM;
                     goto out;
 …
                     free(answer.data);
                     krb5_clear_error_message(context);
                     EVP_MD_CTX_destroy(ctx);
+                    EVP_MD_CTX_destroy(ctxp);
                     ret = ENOMEM;
                     goto out;
 …
                 /* get_master, rfc 3079 3.4 */
                 EVP_DigestInit_ex(ctx, EVP_sha1(), NULL);
                 EVP_DigestUpdate(ctx, hashhash, 16);
                 EVP_DigestUpdate(ctx, answer.data, answer.length);
                 EVP_DigestUpdate(ctx, ms_rfc3079_magic1,
+                EVP_DigestInit_ex(ctxp, EVP_sha1(), NULL);
+                EVP_DigestUpdate(ctxp, hashhash, 16);
+                EVP_DigestUpdate(ctxp, answer.data, answer.length);
+                EVP_DigestUpdate(ctxp, ms_rfc3079_magic1,
                                  sizeof(ms_rfc3079_magic1));
                 EVP_DigestFinal_ex(ctx, md, NULL);
+                EVP_DigestFinal_ex(ctxp, md, NULL);
                 free(answer.data);
                 EVP_MD_CTX_destroy(ctx);
+                EVP_MD_CTX_destroy(ctxp);
                 r.u.response.session_key =
 …
             goto out;
+        }
         ret = krb5_storage_write(sp, r.u.ntlmInitReply.challange.data, 8);
         if (ret != 8) {
 …
         Key *key = NULL;
         int version;
         r.element = choice_DigestRepInner_ntlmResponse;
         r.u.ntlmResponse.success = 0;
 …
             goto out;
+        }
         ret = krb5_storage_read(sp, challange, sizeof(challange));
         if (ret != sizeof(challange)) {
 …
                 unsigned char sessionhash[MD5_DIGEST_LENGTH];
                 EVP_MD_CTX *ctx;
                 if ((config->digests_allowed & NTLM_V1_SESSION) == 0) {
                     kdc_log(context, config, 0, "NTLM v1-session not allowed");
 …
                     goto failed;
+                }
                 ctx = EVP_MD_CTX_create();
 …
+                }
+            }
             ret = heim_ntlm_calculate_ntlm1(key->key.keyvalue.data,
                                             key->key.keyvalue.length,
 …
                 goto failed;
+            }
             if (ireq.u.ntlmRequest.ntlm.length != answer.length ||
                 memcmp(ireq.u.ntlmRequest.ntlm.data, answer.data, answer.length) != 0)
 …
             EVP_CIPHER_CTX rc4;
             size_t len;
             if ((flags & NTLM_NEG_KEYEX) == 0) {
                 ret = EINVAL;
 …
                 goto failed;
+            }
             len = ireq.u.ntlmRequest.sessionkey->length;
             if (len != sizeof(masterkey)){
 …
                 goto failed;
+            }
             EVP_CIPHER_CTX_init(&rc4);
 …
                        sizeof(masterkey));
             EVP_CIPHER_CTX_cleanup(&rc4);
             r.u.ntlmResponse.sessionkey =
                 malloc(sizeof(*r.u.ntlmResponse.sessionkey));
 …
                 goto out;
+            }
             ret = krb5_data_copy(r.u.ntlmResponse.sessionkey,
                                  masterkey, sizeof(masterkey));
 …
             goto out;
+        }
         kdc_log(context, config, 0, "Digest failed with: %s", s);

vendor/current/source4/heimdal/kdc/kdc.h

-              r740
+              r988
     krb5_boolean encode_as_rep_as_tgs_rep; /* bug compatibility */
+    krb5_boolean as_use_strongest_session_key;
+    krb5_boolean preauth_use_strongest_session_key;
+    krb5_boolean tgs_use_strongest_session_key;
+    krb5_boolean use_strongest_server_key;
     krb5_boolean check_ticket_addresses;
     krb5_boolean allow_null_ticket_addresses;
     krb5_boolean allow_anonymous;
     enum krb5_kdc_trpolicy trpolicy;
-    char *v4_realm;
-    krb5_boolean enable_v4;
-    krb5_boolean enable_v4_cross_realm;
-    krb5_boolean enable_v4_per_principal;
-    krb5_boolean enable_kaserver;
-    krb5_boolean enable_524;
     krb5_boolean enable_pkinit;

vendor/current/source4/heimdal/kdc/kerberos5.c

-              r740
+              r988
         return NULL;
     while(*start < req->padata->len){
+    while((size_t)*start < req->padata->len){
         (*start)++;
         if(req->padata->val[*start - 1].padata_type == type)
+        if(req->padata->val[*start - 1].padata_type == (unsigned)type)
             return &req->padata->val[*start - 1];
+    }
 …
 krb5_error_code
+_kdc_find_etype(krb5_context context, const hdb_entry_ex *princ,
+_kdc_find_etype(krb5_context context, krb5_boolean use_strongest_session_key,
+                krb5_boolean is_preauth, hdb_entry_ex *princ,
                 krb5_enctype *etypes, unsigned len,
+                Key **ret_key)
+{
+                krb5_enctype *ret_enctype, Key **ret_key)
+{
+    krb5_error_code ret;
+    krb5_salt def_salt;
+    krb5_enctype enctype = ETYPE_NULL;
+    Key *key;
     int i;
+    krb5_error_code ret = KRB5KDC_ERR_ETYPE_NOSUPP;
+    krb5_salt def_salt;
+    krb5_get_pw_salt (context, princ->entry.principal, &def_salt);
+    for(i = 0; ret != 0 && i < len ; i++) {
+        Key *key = NULL;
+        if (krb5_enctype_valid(context, etypes[i]) != 0 &&
+            !_kdc_is_weak_exception(princ->entry.principal, etypes[i]))
+            continue;
+        while (hdb_next_enctype2key(context, &princ->entry, etypes[i], &key) == 0) {
+            if (key->key.keyvalue.length == 0) {
+                ret = KRB5KDC_ERR_NULL_KEY;
+    /* We'll want to avoid keys with v4 salted keys in the pre-auth case... */
+    ret = krb5_get_pw_salt(context, princ->entry.principal, &def_salt);
+    if (ret)
+        return ret;
+    ret = KRB5KDC_ERR_ETYPE_NOSUPP;
+    if (use_strongest_session_key) {
+        const krb5_enctype *p;
+        krb5_enctype clientbest = ETYPE_NULL;
+        int j;
+        /*
+         * Pick the strongest key that the KDC, target service, and
+         * client all support, using the local cryptosystem enctype
+         * list in strongest-to-weakest order to drive the search.
+         *
+         * This is not what RFC4120 says to do, but it encourages
+         * adoption of stronger enctypes.  This doesn't play well with
+         * clients that have multiple Kerberos client implementations
+         * available with different supported enctype lists.
+         */
+        /* drive the search with local supported enctypes list */
+        p = krb5_kerberos_enctypes(context);
+        for (i = 0; p[i] != ETYPE_NULL && enctype == ETYPE_NULL; i++) {
+            if (krb5_enctype_valid(context, p[i]) != 0)
                 continue;
+            /* check that the client supports it too */
+            for (j = 0; j < len && enctype == ETYPE_NULL; j++) {
+                if (p[i] != etypes[j])
+                    continue;
+                /* save best of union of { client, crypto system } */
+                if (clientbest == ETYPE_NULL)
+                    clientbest = p[i];
+                /* check target princ support */
+                ret = hdb_enctype2key(context, &princ->entry, p[i], &key);
+                if (ret)
+                    continue;
+                if (is_preauth && !is_default_salt_p(&def_salt, key))
+                    continue;
+                enctype = p[i];
+            }
+            *ret_key   = key;
+            ret = 0;
+            if (is_default_salt_p(&def_salt, key)) {
+                krb5_free_salt (context, def_salt);
+                return ret;
+        }
+        if (clientbest != ETYPE_NULL && enctype == ETYPE_NULL)
+            enctype = clientbest;
+        else if (enctype == ETYPE_NULL)
+            ret = KRB5KDC_ERR_ETYPE_NOSUPP;
+        if (ret == 0 && ret_enctype != NULL)
+            *ret_enctype = enctype;
+        if (ret == 0 && ret_key != NULL)
+            *ret_key = key;
+    } else {
+        /*
+         * Pick the first key from the client's enctype list that is
+         * supported by the cryptosystem and by the given principal.
+         *
+         * RFC4120 says we SHOULD pick the first _strong_ key from the
+         * client's list... not the first key...  If the admin disallows
+         * weak enctypes in krb5.conf and selects this key selection
+         * algorithm, then we get exactly what RFC4120 says.
+         */
+        for(key = NULL, i = 0; ret != 0 && i < len; i++, key = NULL) {
+            if (krb5_enctype_valid(context, etypes[i]) != 0 &&
+                !_kdc_is_weak_exception(princ->entry.principal, etypes[i]))
+                continue;
+            while (hdb_next_enctype2key(context, &princ->entry, etypes[i], &key) == 0) {
+                if (key->key.keyvalue.length == 0) {
+                    ret = KRB5KDC_ERR_NULL_KEY;
+                    continue;
+                }
+                if (ret_key != NULL)
+                    *ret_key = key;
+                if (ret_enctype != NULL)
+                    *ret_enctype = etypes[i];
+                ret = 0;
+                if (is_preauth && is_default_salt_p(&def_salt, key))
+                    goto out;
+            }
+        }
+    }
+out:
     krb5_free_salt (context, def_salt);
     return ret;
 …
     struct rk_strpool *p = NULL;
     char *str;
     int i;
+    size_t i;
     for (i = 0; i < padata->len; i++) {
         switch(padata->val[i].padata_type) {
 …
     if (p == NULL)
         p = rk_strpoolprintf(p, "none");
     str = rk_strpoolcollect(p);
     kdc_log(context, config, 0, "Client sent patypes: %s", str);
 …
     unsigned char *buf;
     size_t buf_size;
     size_t len;
+    size_t len = 0;
     krb5_error_code ret;
     krb5_crypto crypto;
 …
     struct rk_strpool *p;
     char *str;
     int i;
+    size_t i;
     p = rk_strpoolprintf(NULL, "%s", "Client supported enctypes: ");
 …
             kdc_log(context, config, 0,
                     "Client (%s) is locked out", client_name);
             return KRB5KDC_ERR_POLICY;
+            return KRB5KDC_ERR_CLIENT_REVOKED;
+        }
 …
             return KRB5KDC_ERR_POLICY;
+        }
         if(!client->flags.client){
             kdc_log(context, config, 0,
 …
             return KRB5KDC_ERR_POLICY;
+        }
         if (client->valid_start && *client->valid_start > kdc_time) {
             char starttime_str[100];
 …
             return KRB5KDC_ERR_CLIENT_NOTYET;
+        }
         if (client->valid_end && *client->valid_end < kdc_time) {
             char endtime_str[100];
 …
             return KRB5KDC_ERR_NAME_EXP;
+        }
         if (client->pw_end && *client->pw_end < kdc_time
             && (server_ex == NULL || !server_ex->entry.flags.change_pw)) {
 …
     krb5_boolean result;
     krb5_boolean only_netbios = TRUE;
     int i;
+    size_t i;
     if(config->check_ticket_addresses == 0)
 …
     Key *ckey, *skey;
     EncryptionKey *reply_key = NULL, session_key;
     int flags = 0;
+    int flags = HDB_F_FOR_AS_REQ;
 #ifdef PKINIT
     pk_client_params *pkp = NULL;
 …
+        }
     } else if (b->kdc_options.request_anonymous) {
         kdc_log(context, config, 0,
+        kdc_log(context, config, 0,
                 "Request for a anonymous ticket with non "
                 "anonymous client name: %s", client_name);
 …
         kdc_log(context, config, 5, "client %s does not have secrets at this KDC, need to proxy", client_name);
         goto out;
+    } else if (ret == HDB_ERR_WRONG_REALM) {
+        char *fixed_client_name = NULL;
+        ret = krb5_unparse_name(context, client->entry.principal,
+                                &fixed_client_name);
+        if (ret) {
+            goto out;
+        }
+        kdc_log(context, config, 0, "WRONG_REALM - %s -> %s",
+                client_name, fixed_client_name);
+        free(fixed_client_name);
+        ret = krb5_mk_error_ext(context,
+                                KRB5_KDC_ERR_WRONG_REALM,
+                                NULL, /* e_text */
+                                NULL, /* e_data */
+                                server_princ,
+                                NULL, /* client_name */
+                                &client->entry.principal->realm,
+                                NULL, /* client_time */
+                                NULL, /* client_usec */
+                                reply);
+        goto out;
     } else if(ret){
         const char *msg = krb5_get_error_message(context, ret);
 …
     /*
      * Select a session enctype from the list of the crypto systems
      * supported enctype, is supported by the client and is one of the
      * enctype of the enctype of the krbtgt.
+     * Select a session enctype from the list of the crypto system
+     * supported enctypes that is supported by the client and is one of
+     * the enctype of the enctype of the service (likely krbtgt).
+     *
      * The later is used as a hint what enctype all KDC are supporting
      * to make sure a newer version of KDC wont generate a session
      * enctype that and older version of a KDC in the same realm can't
+     * The latter is used as a hint of what enctypes all KDC support,
+     * to make sure a newer version of KDC won't generate a session
+     * enctype that an older version of a KDC in the same realm can't
      * decrypt.
+     *
+     * But if the KDC admin is paranoid and doesn't want to have "no
+     */
+    ret = _kdc_find_etype(context, config->as_use_strongest_session_key, FALSE,
+                          client, b->etype.val, b->etype.len, &sessionetype,
+                          NULL);
+    if (ret) {
+        kdc_log(context, config, 0,
+                "Client (%s) from %s has no common enctypes with KDC "
+                "to use for the session key",
+                client_name, from);
+        goto out;
+    }
+    /*
+     * But if the KDC admin is paranoid and doesn't want to have "not
      * the best" enctypes on the krbtgt, lets save the best pick from
      * the client list and hope that that will work for any other
      * KDCs.
      */
+    {
-        const krb5_enctype *p;
-        krb5_enctype clientbest = ETYPE_NULL;
-        int i, j;
-        p = krb5_kerberos_enctypes(context);
-        sessionetype = ETYPE_NULL;
-        for (i = 0; p[i] != ETYPE_NULL && sessionetype == ETYPE_NULL; i++) {
-            if (krb5_enctype_valid(context, p[i]) != 0)
-                continue;
-            for (j = 0; j < b->etype.len && sessionetype == ETYPE_NULL; j++) {
-                Key *dummy;
-                /* check with client */
-                if (p[i] != b->etype.val[j])
-                    continue;
-                /* save best of union of { client, crypto system } */
-                if (clientbest == ETYPE_NULL)
-                    clientbest = p[i];
-                /* check with krbtgt */
-                ret = hdb_enctype2key(context, &server->entry, p[i], &dummy);
-                if (ret)
-                    continue;
-                sessionetype = p[i];
+            }
+        }
-        /* if krbtgt had no shared keys with client, pick clients best */
-        if (clientbest != ETYPE_NULL && sessionetype == ETYPE_NULL) {
-            sessionetype = clientbest;
-        } else if (sessionetype == ETYPE_NULL) {
-            kdc_log(context, config, 0,
-                    "Client (%s) from %s has no common enctypes with KDC"
-                    "to use for the session key",
-                    client_name, from);
-            goto out;
+        }
+    }
     /*
 …
             ret = _kdc_pk_check_client(context,
                                        config,
                                        clientdb,
+                                       clientdb,
                                        client,
                                        pkp,
 …
                     "impersonate principal";
                 _kdc_pk_free_client_param(context, pkp);
                 kdc_log(context, config, 0, "%s", e_text);
                 pkp = NULL;
 …
     ts_enc:
 #endif
+        if (client->entry.flags.locked_out) {
+            ret = KRB5KDC_ERR_CLIENT_REVOKED;
+            kdc_log(context, config, 0,
+                    "Client (%s) is locked out", client_name);
+            goto out;
+        }
         kdc_log(context, config, 5, "Looking for ENC-TS pa-data -- %s",
                 client_name);
 …
             Key *pa_key;
             char *str;
             found_pa = 1;
             if (b->kdc_options.request_anonymous) {
                 ret = KRB5KRB_AP_ERR_BAD_INTEGRITY;
 …
                 goto out;
+            }
             ret = hdb_enctype2key(context, &client->entry,
                                   enc_data.etype, &pa_key);
 …
             if (abs(kdc_time - p.patimestamp) > context->max_skew) {
                 char client_time[100];
                 krb5_format_time(context, p.patimestamp,
                                  client_time, sizeof(client_time), TRUE);
 …
          * If there is a client key, send ETYPE_INFO{,2}
          */
+        ret = _kdc_find_etype(context, client, b->etype.val, b->etype.len,
+                              &ckey);
+        ret = _kdc_find_etype(context,
+                              config->preauth_use_strongest_session_key, TRUE,
+                              client, b->etype.val, b->etype.len, NULL, &ckey);
         if (ret == 0) {
 …
+            }
+        }
         ASN1_MALLOC_ENCODE(METHOD_DATA, buf, len, &method_data, &len, ret);
         free_METHOD_DATA(&method_data);
 …
         goto out;
+    }
-    if (clientdb->hdb_auth_status)
-        (clientdb->hdb_auth_status)(context, clientdb, client,
-                                    HDB_AUTH_SUCCESS);
     /*
 …
     if(ret)
         goto out;
+    if (clientdb->hdb_auth_status)
+        (clientdb->hdb_auth_status)(context, clientdb, client,
+                                    HDB_AUTH_SUCCESS);
     /*
 …
         time_t start;
         time_t t;
         start = et.authtime = kdc_time;
 …
         goto out;
-    /* Add signing of alias referral */
-    if (f.canonicalize) {
-        PA_ClientCanonicalized canon;
-        krb5_data data;
-        PA_DATA pa;
-        krb5_crypto crypto;
-        size_t len;
-        memset(&canon, 0, sizeof(canon));
-        canon.names.requested_name = *b->cname;
-        canon.names.mapped_name = client->entry.principal->name;
-        ASN1_MALLOC_ENCODE(PA_ClientCanonicalizedNames, data.data, data.length,
-                           &canon.names, &len, ret);
-        if (ret)
-            goto out;
-        if (data.length != len)
-            krb5_abortx(context, "internal asn.1 error");
-        /* sign using "returned session key" */
-        ret = krb5_crypto_init(context, &et.key, 0, &crypto);
-        if (ret) {
-            free(data.data);
-            goto out;
+        }
-        ret = krb5_create_checksum(context, crypto,
-                                   KRB5_KU_CANONICALIZED_NAMES, 0,
-                                   data.data, data.length,
-                                   &canon.canon_checksum);
-        free(data.data);
-        krb5_crypto_destroy(context, crypto);
-        if (ret)
-            goto out;
-        ASN1_MALLOC_ENCODE(PA_ClientCanonicalized, data.data, data.length,
-                           &canon, &len, ret);
-        free_Checksum(&canon.canon_checksum);
-        if (ret)
-            goto out;
-        if (data.length != len)
-            krb5_abortx(context, "internal asn.1 error");
-        pa.padata_type = KRB5_PADATA_CLIENT_CANONICALIZED;
-        pa.padata_value = data;
-        ret = add_METHOD_DATA(rep.padata, &pa);
-        free(data.data);
-        if (ret)
-            goto out;
+    }
     if (rep.padata->len == 0) {
         free(rep.padata);
 …
 out:
     free_AS_REP(&rep);
     if(ret != 0 && ret != HDB_ERR_NOT_FOUND_HERE){
+    if(ret != 0 && ret != HDB_ERR_NOT_FOUND_HERE && reply->length == 0) {
         krb5_mk_error(context,
                       ret,
 …
+{
     krb5_error_code ret;
     size_t size;
+    size_t size = 0;
     if (tkt->authorization_data == NULL) {
 …
+        }
+    }
     /* add the entry to the last element */
+    {
 …
         if (ade.ad_data.length != size)
             krb5_abortx(context, "internal asn.1 encoder error");
         ret = add_AuthorizationData(tkt->authorization_data, &ade);
         der_free_octet_string(&ade.ad_data);

vendor/current/source4/heimdal/kdc/krb5tgs.c

-              r740
+              r988
     krb5_error_code ret;
     int pos;
     if (ad == NULL || ad->len == 0)
         return KRB5KDC_ERR_PADATA_TYPE_NOSUPP;
 …
     krb5_data data;
     krb5_crypto crypto = NULL;
     size_t size;
+    size_t size = 0;
     if (server && principals) {
 …
+    {
         KRB5SignedPathData spd;
         spd.client = client;
         spd.authtime = tkt->authtime;
         spd.delegated = principals;
         spd.method_data = NULL;
         ASN1_MALLOC_ENCODE(KRB5SignedPathData, data.data, data.length,
                            &spd, &size, ret);
 …
         KRB5SignedPathData spd;
         KRB5SignedPath sp;
         size_t size;
+        size_t size = 0;
         ret = decode_KRB5SignedPath(data.data, data.length, &sp, NULL);
 …
           krb5_kdc_configuration *config,
           const krb5_principal client_principal,
+          const krb5_principal delegated_proxy_principal,
           hdb_entry_ex *client,
           hdb_entry_ex *server,
           hdb_entry_ex *krbtgt,
           const EncryptionKey *server_key,
           const EncryptionKey *krbtgt_check_key,
+          const EncryptionKey *server_check_key,
+          const EncryptionKey *server_sign_key,
           const EncryptionKey *krbtgt_sign_key,
           EncTicketPart *tkt,
 …
                 ret = krb5_pac_verify(context, pac, tkt->authtime,
                                       client_principal,
                                       krbtgt_check_key, NULL);
+                                      server_check_key, NULL);
                 if (ret) {
                     krb5_pac_free(context, pac);
 …
                 ret = _kdc_pac_verify(context, client_principal,
+                                      delegated_proxy_principal,
                                       client, server, krbtgt, &pac, &signed_pac);
                 if (ret) {
 …
                     ret = _krb5_pac_sign(context, pac, tkt->authtime,
                                          client_principal,
                                          server_key, krbtgt_sign_key, rspac);
+                                         server_sign_key, krbtgt_sign_key, rspac);
+                }
                 krb5_pac_free(context, pac);
                 return ret;
+            }
 …
+{
     KDCOptions f = b->kdc_options;
     if(f.validate){
         if(!tgt->flags.invalid || tgt->starttime == NULL){
 …
     if(tgt->flags.forwarded)
         et->flags.forwarded = 1;
     if(f.proxiable){
         if(!tgt->flags.proxiable){
 …
         if (et->renew_till != NULL)
             et->endtime = min(*et->renew_till, et->endtime);
+    }
+    }
 #if 0
 …
                              HDB *clientdb,
                              hdb_entry_ex *client,
+                             krb5_const_principal server)
+                             hdb_entry_ex *server,
+                             krb5_const_principal target)
+{
     const HDB_Ext_Constrained_delegation_acl *acl;
     krb5_error_code ret;
+    int i;
+    /* if client delegates to itself, that ok */
+    if (krb5_principal_compare(context, client->entry.principal, server) == TRUE)
+        return 0;
+    size_t i;
+    /*
+     * constrained_delegation (S4U2Proxy) only works within
+     * the same realm. We use the already canonicalized version
+     * of the principals here, while "target" is the principal
+     * provided by the client.
+     */
+    if(!krb5_realm_compare(context, client->entry.principal, server->entry.principal)) {
+        ret = KRB5KDC_ERR_BADOPTION;
+        kdc_log(context, config, 0,
+            "Bad request for constrained delegation");
+        return ret;
+    }
     if (clientdb->hdb_check_constrained_delegation) {
         ret = clientdb->hdb_check_constrained_delegation(context, clientdb, client, server);
+        ret = clientdb->hdb_check_constrained_delegation(context, clientdb, client, target);
         if (ret == 0)
             return 0;
     } else {
+        /* if client delegates to itself, that ok */
+        if (krb5_principal_compare(context, client->entry.principal, server->entry.principal) == TRUE)
+            return 0;
         ret = hdb_entry_get_ConstrainedDelegACL(&client->entry, &acl);
         if (ret) {
 …
             return ret;
+        }
         if (acl) {
             for (i = 0; i < acl->len; i++) {
                 if (krb5_principal_compare(context, server, &acl->val[i]) == TRUE)
+                if (krb5_principal_compare(context, target, &acl->val[i]) == TRUE)
                     return 0;
+            }
 …
     char **realms, **tmp;
     unsigned int num_realms;
     int i;
+    size_t i;
     switch (tr->tr_type) {
 …
         *et.renew_till = et.authtime + renew;
+    }
     if(et.renew_till){
         *et.renew_till = min(*et.renew_till, *tgt->renew_till);
 …
             goto out;
+    }
     if (auth_data) {
         unsigned int i = 0;
 …
     if (ret)
         goto out;
     et.crealm = tgt->crealm;
+    et.crealm = tgt_name->realm;
     et.cname = tgt_name->name;
     ek.key = et.key;
     /* MIT must have at least one last_req */
 …
+{
     krb5_authenticator auth;
     size_t len;
+    size_t len = 0;
     unsigned char *buf;
     size_t buf_size;
 …
         goto out;
+    }
     /* XXX should not re-encode this */
     ASN1_MALLOC_ENCODE(KDC_REQ_BODY, buf, buf_size, b, &len, ret);
 …
     return new_realm;
+}
 static krb5_boolean
 …
     if (server->name.name_string.len == 1)
         name = server->name.name_string.val[0];
+    else if (server->name.name_string.len > 1)
+    else if (server->name.name_string.len == 3) {
+        /*
+          This is used to give referrals for the
+          E3514235-4B06-11D1-AB04-00C04FC2DCD2/NTDSGUID/DNSDOMAIN
+          SPN form, which is used for inter-domain communication in AD
+         */
+        name = server->name.name_string.val[2];
+        kdc_log(context, config, 0, "Giving 3 part referral for %s", name);
+        *realms = malloc(sizeof(char *)*2);
+        if (*realms == NULL) {
+            krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
+            return FALSE;
+        }
+        (*realms)[0] = strdup(name);
+        (*realms)[1] = NULL;
+        return TRUE;
+    } else if (server->name.name_string.len > 1)
         name = server->name.name_string.val[1];
     else
 …
                   int *rk_is_subkey)
+{
+    static char failed[] = "<unparse_name failed>";
     krb5_ap_req ap_req;
     krb5_error_code ret;
 …
         ret = krb5_unparse_name(context, princ, &p);
         if (ret != 0)
             p = "<unparse_name failed>";
+            p = failed;
         krb5_free_principal(context, princ);
         kdc_log(context, config, 5, "Ticket-granting ticket account %s does not have secrets at this KDC, need to proxy", p);
 …
         ret = krb5_unparse_name(context, princ, &p);
         if (ret != 0)
             p = "<unparse_name failed>";
+            p = failed;
         krb5_free_principal(context, princ);
         kdc_log(context, config, 0,
 …
         krb5_free_principal(context, princ);
         if (ret != 0)
             p = "<unparse_name failed>";
+            p = failed;
         kdc_log(context, config, 0,
                 "Ticket kvno = %d, DB kvno = %d (%s)",
 …
                               ticket,
                               KRB5_KU_TGS_REQ_AUTH);
     krb5_free_principal(context, princ);
     if(ret) {
 …
                       const PrincipalName *requested_principal,
                       krb5_data *outdata)
+{
+{
     PA_ServerReferralData ref;
     krb5_error_code ret;
     EncryptedData ed;
     krb5_data data;
     size_t size;
+    size_t size = 0;
     memset(&ref, 0, sizeof(ref));
 …
+{
     krb5_error_code ret;
+    krb5_principal cp = NULL, sp = NULL;
+    krb5_principal client_principal = NULL;
+    krb5_principal cp = NULL, sp = NULL, tp = NULL, dp = NULL;
     krb5_principal krbtgt_principal = NULL;
     char *spn = NULL, *cpn = NULL;
+    char *spn = NULL, *cpn = NULL, *tpn = NULL, *dpn = NULL;
     hdb_entry_ex *server = NULL, *client = NULL, *s4u2self_impersonated_client = NULL;
     HDB *clientdb, *s4u2self_impersonated_clientdb;
 …
     Key *tkey_check;
     Key *tkey_sign;
+    int flags = HDB_F_FOR_TGS_REQ;
     memset(&sessionkey, 0, sizeof(sessionkey));
 …
     s = b->sname;
     r = b->realm;
+    if (b->kdc_options.canonicalize)
+        flags |= HDB_F_CANON;
     if(b->kdc_options.enc_tkt_in_skey){
 …
         krb5_principal p;
         Key *uukey;
         if(b->additional_tickets == NULL ||
            b->additional_tickets->len == 0){
 …
     _krb5_principalname2krb5_principal(context, &sp, *s, r);
     ret = krb5_unparse_name(context, sp, &spn);
+    ret = krb5_unparse_name(context, sp, &spn);
     if (ret)
         goto out;
 …
 server_lookup:
     ret = _kdc_db_fetch(context, config, sp, HDB_F_GET_SERVER | HDB_F_CANON,
+    ret = _kdc_db_fetch(context, config, sp, HDB_F_GET_SERVER | flags,
                         NULL, NULL, &server);
 …
         kdc_log(context, config, 5, "target %s does not have secrets at this KDC, need to proxy", sp);
         goto out;
+    } else if (ret == HDB_ERR_WRONG_REALM) {
+        if (ref_realm)
+            free(ref_realm);
+        ref_realm = strdup(server->entry.principal->realm);
+        if (ref_realm == NULL) {
+            ret = ENOMEM;
+            goto out;
+        }
+        kdc_log(context, config, 5,
+                "Returning a referral to realm %s for "
+                "server %s.",
+                ref_realm, spn);
+        krb5_free_principal(context, sp);
+        sp = NULL;
+        free(spn);
+        spn = NULL;
+        ret = krb5_make_principal(context, &sp, r, KRB5_TGS_NAME,
+                                  ref_realm, NULL);
+        if (ret)
+            goto out;
+        ret = krb5_unparse_name(context, sp, &spn);
+        if (ret)
+            goto out;
+        goto server_lookup;
     } else if(ret){
         const char *new_rlm, *msg;
 …
                     krb5_make_principal(context, &sp, r,
                                         KRB5_TGS_NAME, new_rlm, NULL);
                     ret = krb5_unparse_name(context, sp, &spn);
+                    ret = krb5_unparse_name(context, sp, &spn);
                     if (ret)
                         goto out;
 …
         if(b->kdc_options.enc_tkt_in_skey) {
             int i;
+            size_t i;
             ekey = &adtkt.key;
             for(i = 0; i < b->etype.len; i++)
 …
         } else {
             Key *skey;
+            ret = _kdc_find_etype(context, server,
+                                  b->etype.val, b->etype.len, &skey);
+            ret = _kdc_find_etype(context,
+                                  config->tgs_use_strongest_session_key, FALSE,
+                                  server, b->etype.val, b->etype.len, NULL,
+                                  &skey);
             if(ret) {
                 kdc_log(context, config, 0,
 …
             kvno = server->entry.kvno;
+        }
         ret = krb5_generate_random_keyblock(context, etype, &sessionkey);
         if (ret)
 …
      * sign check may have been on an old kvno, and the server may
      * have been an incoming trust) */
     ret = krb5_make_principal(context, &krbtgt_principal,
+    ret = krb5_make_principal(context, &krbtgt_principal,
                               krb5_principal_get_comp_string(context,
                                                              krbtgt->entry.principal,
 ),
                               KRB5_TGS_NAME,
+                              KRB5_TGS_NAME,
                               krb5_principal_get_comp_string(context,
                                                              krbtgt->entry.principal,
 …
     if (ret) {
         krb5_error_code ret2;
         char *tpn, *tpn2;
         ret = krb5_unparse_name(context, krbtgt->entry.principal, &tpn);
         ret2 = krb5_unparse_name(context, krbtgt->entry.principal, &tpn2);
+        char *ktpn, *ktpn2;
+        ret = krb5_unparse_name(context, krbtgt->entry.principal, &ktpn);
+        ret2 = krb5_unparse_name(context, krbtgt_principal, &ktpn2);
         kdc_log(context, config, 0,
                 "Request with wrong krbtgt: %s, %s not found in our database",
                 (ret == 0) ? tpn : "<unknown>", (ret2 == 0) ? tpn2 : "<unknown>");
+                (ret == 0) ? ktpn : "<unknown>", (ret2 == 0) ? ktpn2 : "<unknown>");
         if(ret == 0)
             free(tpn);
+            free(ktpn);
         if(ret2 == 0)
             free(tpn2);
+            free(ktpn2);
         ret = KRB5KRB_AP_ERR_NOT_US;
         goto out;
 …
     if (strcmp(krb5_principal_get_realm(context, server->entry.principal),
                krb5_principal_get_realm(context, krbtgt_out->entry.principal)) != 0) {
         char *tpn;
         ret = krb5_unparse_name(context, krbtgt_out->entry.principal, &tpn);
+        char *ktpn;
+        ret = krb5_unparse_name(context, krbtgt_out->entry.principal, &ktpn);
         kdc_log(context, config, 0,
                 "Request with wrong krbtgt: %s",
                 (ret == 0) ? tpn : "<unknown>");
+                (ret == 0) ? ktpn : "<unknown>");
         if(ret == 0)
             free(tpn);
+            free(ktpn);
         ret = KRB5KRB_AP_ERR_NOT_US;
+    }
 …
+    }
     ret = _kdc_db_fetch(context, config, cp, HDB_F_GET_CLIENT | HDB_F_CANON,
+    ret = _kdc_db_fetch(context, config, cp, HDB_F_GET_CLIENT | flags,
                         NULL, &clientdb, &client);
     if(ret == HDB_ERR_NOT_FOUND_HERE) {
 …
+    }
+    ret = check_PAC(context, config, cp,
+                    client, server, krbtgt, ekey, &tkey_check->key, &tkey_sign->key,
+    ret = check_PAC(context, config, cp, NULL,
+                    client, server, krbtgt,
+                    &tkey_check->key,
+                    ekey, &tkey_sign->key,
                     tgt, &rspac, &signedpath);
     if (ret) {
 …
      */
+    client_principal = cp;
+    /* by default the tgt principal matches the client principal */
+    tp = cp;
+    tpn = cpn;
     if (client) {
 …
             krb5_data datack;
             PA_S4U2Self self;
-            char *selfcpn = NULL;
             const char *str;
 …
             ret = _krb5_principalname2krb5_principal(context,
                                                      &client_principal,
+                                                     &tp,
                                                      self.name,
                                                      self.realm);
 …
                 goto out;
             ret = krb5_unparse_name(context, client_principal, &selfcpn);
+            ret = krb5_unparse_name(context, tp, &tpn);
             if (ret)
                 goto out;
 …
                 krb5_pac p = NULL;
                 krb5_data_free(&rspac);
                 ret = _kdc_db_fetch(context, config, client_principal, HDB_F_GET_CLIENT | HDB_F_CANON,
+                ret = _kdc_db_fetch(context, config, tp, HDB_F_GET_CLIENT | flags,
                                     NULL, &s4u2self_impersonated_clientdb, &s4u2self_impersonated_client);
                 if (ret) {
 …
                         ret = KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN;
                     msg = krb5_get_error_message(context, ret);
+                    kdc_log(context, config, 1, "S2U4Self principal to impersonate %s not found in database: %s", cpn, msg);
+                    kdc_log(context, config, 1,
+                            "S2U4Self principal to impersonate %s not found in database: %s",
+                            tpn, msg);
                     krb5_free_error_message(context, msg);
                     goto out;
 …
                 if (ret) {
                     kdc_log(context, config, 0, "PAC generation failed for -- %s",
                             selfcpn);
+                            tpn);
                     goto out;
+                }
 …
                     if (ret) {
                         kdc_log(context, config, 0, "PAC signing failed for -- %s",
                                 selfcpn);
+                                tpn);
                         goto out;
+                    }
 …
                         "to impersonate to service "
                         "(tried for user %s to service %s)",
+                        cpn, selfcpn, spn);
+                free(selfcpn);
+                        cpn, tpn, spn);
                 goto out;
+            }
 …
+            }
             kdc_log(context, config, 0, "s4u2self %s impersonating %s to "
+                    "service %s %s", cpn, selfcpn, spn, str);
+            free(selfcpn);
+                    "service %s %s", cpn, tpn, spn, str);
+        }
+    }
 …
         Key *clientkey;
         Ticket *t;
-        char *str;
         /*
 …
+        }
+        ret = _krb5_principalname2krb5_principal(context,
+                                                 &tp,
+                                                 adtkt.cname,
+                                                 adtkt.crealm);
+        if (ret)
+            goto out;
+        ret = krb5_unparse_name(context, tp, &tpn);
+        if (ret)
+            goto out;
+        ret = _krb5_principalname2krb5_principal(context,
+                                                 &dp,
+                                                 t->sname,
+                                                 t->realm);
+        if (ret)
+            goto out;
+        ret = krb5_unparse_name(context, dp, &dpn);
+        if (ret)
+            goto out;
         /* check that ticket is valid */
         if (adtkt.flags.forwardable == 0) {
             kdc_log(context, config, 0,
                     "Missing forwardable flag on ticket for "
+                    "constrained delegation from %s to %s ", cpn, spn);
+                    "constrained delegation from %s (%s) as %s to %s ",
+                    cpn, dpn, tpn, spn);
             ret = KRB5KDC_ERR_BADOPTION;
             goto out;
+        }
         ret = check_constrained_delegation(context, config, clientdb,
                                            client, sp);
+        ret = check_constrained_delegation(context, config, clientdb,
+                                           client, server, sp);
         if (ret) {
             kdc_log(context, config, 0,
+                    "constrained delegation from %s to %s not allowed",
+                    cpn, spn);
+            goto out;
+        }
+        ret = _krb5_principalname2krb5_principal(context,
+                                                 &client_principal,
+                                                 adtkt.cname,
+                                                 adtkt.crealm);
+        if (ret)
+            goto out;
+        ret = krb5_unparse_name(context, client_principal, &str);
+        if (ret)
+            goto out;
+        ret = verify_flags(context, config, &adtkt, str);
+                    "constrained delegation from %s (%s) as %s to %s not allowed",
+                    cpn, dpn, tpn, spn);
+            goto out;
+        }
+        ret = verify_flags(context, config, &adtkt, tpn);
         if (ret) {
+            free(str);
+            goto out;
+        }
+        krb5_data_free(&rspac);
+        /*
+         * generate the PAC for the user.
+         *
+         * TODO: pass in t->sname and t->realm and build
+         * a S4U_DELEGATION_INFO blob to the PAC.
+         */
+        ret = check_PAC(context, config, tp, dp,
+                        client, server, krbtgt,
+                        &clientkey->key,
+                        ekey, &tkey_sign->key,
+                        &adtkt, &rspac, &ad_signedpath);
+        if (ret) {
+            const char *msg = krb5_get_error_message(context, ret);
+            kdc_log(context, config, 0,
+                    "Verify delegated PAC failed to %s for client"
+                    "%s (%s) as %s from %s with %s",
+                    spn, cpn, dpn, tpn, from, msg);
+            krb5_free_error_message(context, msg);
             goto out;
+        }
 …
                                    NULL,
                                    &ad_signedpath);
-        if (ret == 0 && !ad_signedpath)
-            ret = KRB5KDC_ERR_BADOPTION;
         if (ret) {
             const char *msg = krb5_get_error_message(context, ret);
             kdc_log(context, config, 0,
                     "KRB5SignedPath check from service %s failed "
                     "for delegation to %s for client %s "
+                    "for delegation to %s for client %s (%s)"
                     "from %s failed with %s",
                     spn, str, cpn, from, msg);
+                    spn, tpn, dpn, cpn, from, msg);
             krb5_free_error_message(context, msg);
+            free(str);
+            goto out;
+        }
+        if (!ad_signedpath) {
+            ret = KRB5KDC_ERR_BADOPTION;
+            kdc_log(context, config, 0,
+                    "Ticket not signed with PAC nor SignedPath service %s failed "
+                    "for delegation to %s for client %s (%s)"
+                    "from %s",
+                    spn, tpn, dpn, cpn, from);
             goto out;
+        }
         kdc_log(context, config, 0, "constrained delegation for %s "
+                "from %s to %s", str, cpn, spn);
+        free(str);
+                "from %s (%s) to %s", tpn, cpn, dpn, spn);
+    }
 …
         goto out;
+    }
     /*
      * If this is an referral, add server referral data to the
 …
                          config,
                          b,
                          client_principal,
+                         tp,
                          tgt,
                          replykey,
 …
                          e_text,
                          reply);
 out:
+    if (tpn != cpn)
+            free(tpn);
     free(spn);
     free(cpn);
+    if (dpn)
+        free(dpn);
     krb5_data_free(&rspac);
     krb5_free_keyblock_contents(context, &sessionkey);
 …
         _kdc_free_ent(context, s4u2self_impersonated_client);
     if (client_principal && client_principal != cp)
         krb5_free_principal(context, client_principal);
+    if (tp && tp != cp)
+        krb5_free_principal(context, tp);
     if (cp)
         krb5_free_principal(context, cp);
+    if (dp)
+        krb5_free_principal(context, dp);
     if (sp)
         krb5_free_principal(context, sp);
 …
     if(tgs_req == NULL){
         ret = KRB5KDC_ERR_PADATA_TYPE_NOSUPP;
         kdc_log(context, config, 0,
                 "TGS-REQ from %s without PA-TGS-REQ", from);

vendor/current/source4/heimdal/kdc/kx509.c

-              r740
+              r988
     if (ret)
         goto out;
     return 0;
 out:
 …
                 goto out;
+            }
             ret = KRB5KDC_ERR_SERVER_NOMATCH;
             krb5_set_error_message(context, ret,

vendor/current/source4/heimdal/kdc/log.c

-              r740
+              r988
         krb5_config_free_strings(s);
     }else {
+        char *s;
+        asprintf(&s, "0-1/FILE:%s/%s", hdb_db_dir(context), KDC_LOG_FILE);
+        krb5_addlog_dest(context, config->logf, s);
+        free(s);
+        char *ss;
+        if (asprintf(&ss, "0-1/FILE:%s/%s", hdb_db_dir(context),
+            KDC_LOG_FILE) < 0)
+            err(1, NULL);
+        krb5_addlog_dest(context, config->logf, ss);
+        free(ss);
+    }
     krb5_set_warn_dest(context, config->logf);

vendor/current/source4/heimdal/kdc/misc.c

-              r740
+              r988
               krb5_const_principal principal,
               unsigned flags,
               krb5int32 *kvno_ptr,
+              krb5uint32 *kvno_ptr,
               HDB **db,
               hdb_entry_ex **h)
 …
     int i;
     unsigned kvno = 0;
+    krb5_principal enterprise_principal = NULL;
+    krb5_const_principal princ;
+    *h = NULL;
     if (kvno_ptr) {
 …
+    }
+    ent = calloc (1, sizeof (*ent));
+    if (ent == NULL) {
+        krb5_set_error_message(context, ENOMEM, "malloc: out of memory");
+        return ENOMEM;
+    ent = calloc(1, sizeof (*ent));
+    if (ent == NULL)
+        return krb5_enomem(context);
+    if (principal->name.name_type == KRB5_NT_ENTERPRISE_PRINCIPAL) {
+        if (principal->name.name_string.len != 1) {
+            ret = KRB5_PARSE_MALFORMED;
+            krb5_set_error_message(context, ret,
+                                   "malformed request: "
+                                   "enterprise name with %d name components",
+                                   principal->name.name_string.len);
+            goto out;
+        }
+        ret = krb5_parse_name(context, principal->name.name_string.val[0],
+                              &enterprise_principal);
+        if (ret)
+            goto out;
+    }
+    for(i = 0; i < config->num_db; i++) {
+        krb5_principal enterprise_principal = NULL;
+        if (!(config->db[i]->hdb_capability_flags & HDB_CAP_F_HANDLE_ENTERPRISE_PRINCIPAL)
+            && principal->name.name_type == KRB5_NT_ENTERPRISE_PRINCIPAL) {
+            if (principal->name.name_string.len != 1) {
+                ret = KRB5_PARSE_MALFORMED;
+                krb5_set_error_message(context, ret,
+                                       "malformed request: "
+                                       "enterprise name with %d name components",
+                                       principal->name.name_string.len);
+                free(ent);
+                return ret;
+            }
+            ret = krb5_parse_name(context, principal->name.name_string.val[0],
+                                  &enterprise_principal);
+            if (ret) {
+                free(ent);
+                return ret;
+            }
+            principal = enterprise_principal;
+        }
+    for (i = 0; i < config->num_db; i++) {
         ret = config->db[i]->hdb_open(context, config->db[i], O_RDONLY, 0);
         if (ret) {
 …
+        }
+        princ = principal;
+        if (!(config->db[i]->hdb_capability_flags & HDB_CAP_F_HANDLE_ENTERPRISE_PRINCIPAL) && enterprise_principal)
+            princ = enterprise_principal;
         ret = config->db[i]->hdb_fetch_kvno(context,
                                             config->db[i],
                                             principal,
+                                            princ,
                                             flags | HDB_F_DECRYPT,
                                             kvno,
                                             ent);
+        config->db[i]->hdb_close(context, config->db[i]);
+        krb5_free_principal(context, enterprise_principal);
+        config->db[i]->hdb_close(context, config->db[i]);
+        if(ret == 0) {
+        switch (ret) {
+        case HDB_ERR_WRONG_REALM:
+            /*
+             * the ent->entry.principal just contains hints for the client
+             * to retry. This is important for enterprise principal routing
+             * between trusts.
+             */
+            /* fall through */
+        case 0:
             if (db)
                 *db = config->db[i];
             *h = ent;
+            return 0;
+            ent = NULL;
+            goto out;
+        case HDB_ERR_NOENTRY:
+            /* Check the other databases */
+            continue;
+        default:
+            /*
+             * This is really important, because errors like
+             * HDB_ERR_NOT_FOUND_HERE (used to indicate to Samba that
+             * the RODC on which this code is running does not have
+             * the key we need, and so a proxy to the KDC is required)
+             * have specific meaning, and need to be propogated up.
+             */
+            goto out;
+        }
+    }
+    if (ret == HDB_ERR_NOENTRY) {
+        krb5_set_error_message(context, ret, "no such entry found in hdb");
+    }
+out:
+    krb5_free_principal(context, enterprise_principal);
     free(ent);
-    krb5_set_error_message(context, ret,
-                           "no such entry found in hdb");
     return ret;
+}
 …
                        Key **key)
+{
-    const krb5_enctype *p;
     krb5_error_code ret;
     int i;
+    p = krb5_kerberos_enctypes(context);
+    if (config->use_strongest_server_key) {
+        const krb5_enctype *p = krb5_kerberos_enctypes(context);
+    for (i = 0; p[i] != ETYPE_NULL; i++) {
+        if (krb5_enctype_valid(context, p[i]) != 0)
+            continue;
+        ret = hdb_enctype2key(context, &h->entry, p[i], key);
+        if (ret == 0) {
+            *enctype = p[i];
+        for (i = 0; p[i] != ETYPE_NULL; i++) {
+            if (krb5_enctype_valid(context, p[i]) != 0)
+                continue;
+            ret = hdb_enctype2key(context, &h->entry, p[i], key);
+            if (ret != 0)
+                continue;
+            if (enctype != NULL)
+                *enctype = p[i];
+            return 0;
+        }
+    } else {
+        *key = NULL;
+        for (i = 0; i < h->entry.keys.len; i++) {
+            if (krb5_enctype_valid(context, h->entry.keys.val[i].key.keytype)
+                != 0)
+                continue;
+            ret = hdb_enctype2key(context, &h->entry,
+                h->entry.keys.val[i].key.keytype, key);
+            if (ret != 0)
+                continue;
+            if (enctype != NULL)
+                *enctype = (*key)->key.keytype;
             return 0;
+        }
 …
     krb5_set_error_message(context, EINVAL,
                            "No valid kerberos key found for %s", name);
     return EINVAL;
+    return EINVAL; /* XXX */
+}

vendor/current/source4/heimdal/kdc/pkinit.c

-              r740
+              r988
     size_t buf_size;
     krb5_error_code ret;
     size_t len;
+    size_t len = 0;
     krb5_timestamp now;
     Checksum checksum;
 …
         return ret;
+    }
     if (a->paChecksum == NULL) {
         krb5_clear_error_message(context);
 …
         if (!DH_generate_key(client_params->u.dh.key)) {
             ret = KRB5KRB_ERR_GENERIC;
             krb5_set_error_message(context, ret,
+            krb5_set_error_message(context, ret,
                                    "Can't generate Diffie-Hellman keys");
             goto out;
 …
         dh_gen_keylen = DH_compute_key(dh_gen_key,client_params->u.dh.public_key, client_params->u.dh.key);
         if (dh_gen_keylen == -1) {
+        if (dh_gen_keylen == (size_t)-1) {
             ret = KRB5KRB_ERR_GENERIC;
             krb5_set_error_message(context, ret,
 …
+        }
         dh_gen_keylen = ECDH_compute_key(dh_gen_key, size,
+        dh_gen_keylen = ECDH_compute_key(dh_gen_key, size,
                                          EC_KEY_get0_public_key(client_params->u.ecdh.public_key),
                                          client_params->u.ecdh.key, NULL);
 …
     } else {
         ret = KRB5KRB_ERR_GENERIC;
         krb5_set_error_message(context, ret,
+        krb5_set_error_message(context, ret,
                                "Diffie-Hellman not selected keys");
         goto out;
 …
+    }
     ret = hx509_certs_merge(context->hx509ctx, trust_anchors,
+    ret = hx509_certs_merge(context->hx509ctx, trust_anchors,
                             kdc_identity->anchors);
     if (ret) {
 …
         hx509_cert cert;
         unsigned int i;
         for (i = 0; i < pc->len; i++) {
             ret = hx509_cert_init_data(context->hx509ctx,
 …
         if (req->req_body.kdc_options.request_anonymous) {
             ret = KRB5_KDC_ERR_PUBLIC_KEY_ENCRYPTION_NOT_SUPPORTED;
             krb5_set_error_message(context, ret,
+            krb5_set_error_message(context, ret,
                                    "Anon not supported in RSA mode");
             goto out;
 …
             goto out;
+        }
         ret = hx509_cms_unwrap_ContentInfo(&r.signed_auth_pack,
                                            &contentInfoOid,
 …
             goto out;
+        }
         /* XXX look at r.kdcPkId */
         if (r.trustedCertifiers) {
 …
             if (ret) {
                 krb5_set_error_message(context, ret,
                                        "Can't allocate client anchors: %d",
+                                       "Can't allocate client anchors: %d",
                                        ret);
                 goto out;
+            }
             /*
+            /*
              * If the client sent more then 10 EDI, don't bother
              * looking more then 10 of performance reasons.
 …
                     goto out;
+                }
                 ret = decode_IssuerAndSerialNumber(edi->val[i].issuerAndSerialNumber->data,
                                                    edi->val[i].issuerAndSerialNumber->length,
 …
         goto out;
+    }
     if (!have_data) {
         ret = KRB5KRB_ERR_GENERIC;
 …
             free_AuthPack(&ap);
             ret = KRB5_KDC_ERR_PUBLIC_KEY_ENCRYPTION_NOT_SUPPORTED;
             krb5_set_error_message(context, ret,
+            krb5_set_error_message(context, ret,
                                    "Anon not supported in RSA mode");
             goto out;
 …
             goto out;
+        }
         if (ap.supportedCMSTypes) {
             ret = hx509_peer_info_set_cms_algs(context->hx509ctx,
 …
     if (ret) {
         _kdc_pk_free_client_param(context, cp);
     } else
+    } else
         *ret_params = cp;
     return ret;
 …
     krb5_error_code ret;
     krb5_data buf, signed_data;
     size_t size;
+    size_t size = 0;
     int do_win2k = 0;
 …
     default:
         krb5_abortx(context, "internal pkinit error");
+    }
+    }
     if (do_win2k) {
 …
+        }
         kp.nonce = cp->nonce;
         ASN1_MALLOC_ENCODE(ReplyKeyPack_Win2k,
                            buf.data, buf.length,
 …
             goto out;
+        }
         ret = krb5_crypto_destroy(context, ascrypto);
         if (ret) {
 …
         hx509_query *q;
         hx509_cert cert;
         ret = hx509_query_alloc(context->hx509ctx, &q);
         if (ret)
             goto out;
         hx509_query_match_option(q, HX509_QUERY_OPTION_PRIVATE_KEY);
         if (config->pkinit_kdc_friendly_name)
             hx509_query_match_friendly_name(q, config->pkinit_kdc_friendly_name);
         ret = hx509_certs_find(context->hx509ctx,
                                kdc_identity->certs,
 …
         if (ret)
             goto out;
         ret = hx509_cms_create_signed_1(context->hx509ctx,
 ,
 …
         *kdc_cert = NULL;
+    }
     krb5_data_free(&buf);
     krb5_data_free(&signed_data);
 …
     hx509_cert cert;
     hx509_query *q;
     size_t size;
+    size_t size = 0;
     memset(&contentinfo, 0, sizeof(contentinfo));
 …
         if (ret)
             return ret;
         ASN1_MALLOC_ENCODE(DHPublicKey, buf.data, buf.length, &i, &size, ret);
         der_free_heim_integer(&i);
 …
         if (buf.length != size)
             krb5_abortx(context, "Internal ASN.1 encoder error");
         dh_info.subjectPublicKey.length = buf.length * 8;
         dh_info.subjectPublicKey.data = buf.data;
 …
         krb5_abortx(context, "no keyex selected ?");
     dh_info.nonce = cp->nonce;
 …
     if (ret)
         goto out;
     hx509_query_match_option(q, HX509_QUERY_OPTION_PRIVATE_KEY);
     if (config->pkinit_kdc_friendly_name)
         hx509_query_match_friendly_name(q, config->pkinit_kdc_friendly_name);
     ret = hx509_certs_find(context->hx509ctx,
                            kdc_identity->certs,
 …
     if (ret)
         goto out;
     ret = hx509_cms_create_signed_1(context->hx509ctx,
 ,
 …
+{
     krb5_error_code ret;
     void *buf;
     size_t len, size;
+    void *buf = NULL;
+    size_t len = 0, size = 0;
     krb5_enctype enctype;
     int pa_type;
     hx509_cert kdc_cert = NULL;
     int i;
+    size_t i;
     if (!config->enable_pkinit) {
 …
                                    "No valid enctype available from client");
             goto out;
+        }
+        }
         enctype = req->req_body.etype.val[i];
     } else
 …
                 krb5_abortx(context, "Internal ASN.1 encoder error");
             ret = krb5_generate_random_keyblock(context, sessionetype,
+            ret = krb5_generate_random_keyblock(context, sessionetype,
                                                 sessionkey);
             if (ret) {
 …
             /* XXX KRB-FX-CF2 */
             ret = krb5_generate_random_keyblock(context, sessionetype,
+            ret = krb5_generate_random_keyblock(context, sessionetype,
                                                 sessionkey);
             if (ret) {
 …
         pa_type = KRB5_PADATA_PK_AS_REP_19;
         rep.element = choice_PA_PK_AS_REP_encKeyPack;
+        rep.element = choice_PA_PK_AS_REP_Win2k_encKeyPack;
         ret = krb5_generate_random_keyblock(context, enctype,
 …
             krb5_abortx(context, "Internal ASN.1 encoder error");
         ret = krb5_generate_random_keyblock(context, sessionetype,
+        ret = krb5_generate_random_keyblock(context, sessionetype,
                                             sessionkey);
         if (ret) {
 …
                 goto out_ocsp;
+            }
             ret = krb5_data_alloc(&ocsp.data, sb.st_size);
             if (ret) {
 …
+{
     hx509_octet_string_list list;
+    int ret, i, found = 0;
+    int ret, found = 0;
+    size_t i;
     memset(&list, 0 , sizeof(list));
 …
         ret = clientdb->hdb_check_pkinit_ms_upn_match(context, clientdb, client, principal);
     } else {
         /*
          * This is very wrong, but will do for a fallback
          */
         strupr(principal->realm);
         if (krb5_principal_compare(context, principal, client->entry.principal) == FALSE)
             ret = KRB5_KDC_ERR_CLIENT_NAME_MISMATCH;
 …
     krb5_error_code ret;
     hx509_name name;
     int i;
+    size_t i;
     if (cp->cert == NULL) {
 …
     if (ret == 0 && pc) {
         hx509_cert cert;
         unsigned int i;
         for (i = 0; i < pc->len; i++) {
+        size_t j;
+        for (j = 0; j < pc->len; j++) {
             ret = hx509_cert_init_data(context->hx509ctx,
                                        pc->val[i].cert.data,
                                        pc->val[i].cert.length,
+                                       pc->val[j].cert.data,
+                                       pc->val[j].cert.length,
                                        &cert);
             if (ret)
 …
                                context->hx509ctx,
                                cp->cert,
                                clientdb,
+                               clientdb,
                                client);
         if (ret == 0) {
 …
     krb5_error_code ret;
     krb5_data data;
     size_t size;
+    size_t size = 0;
     memset(&cas, 0, sizeof(cas));
 …
     fclose(f);
+}
 /*
+ *
 …
         hx509_query *q;
         hx509_cert cert;
         ret = hx509_query_alloc(context->hx509ctx, &q);
         if (ret) {
 …
             return ENOMEM;
+        }
         hx509_query_match_option(q, HX509_QUERY_OPTION_PRIVATE_KEY);
         if (config->pkinit_kdc_friendly_name)
             hx509_query_match_friendly_name(q, config->pkinit_kdc_friendly_name);
         ret = hx509_certs_find(context->hx509ctx,
                                kdc_identity->certs,

vendor/current/source4/heimdal/kdc/process.c

-              r740
+              r988
+}
 static krb5_error_code
+static krb5_error_code
 kdc_as_req(krb5_context context,
            krb5_kdc_configuration *config,
 …
 static krb5_error_code
+static krb5_error_code
 kdc_tgs_req(krb5_context context,
             krb5_kdc_configuration *config,
 …
     if (ret)
         return ret;
     *claim = 1;
     ret = _kdc_tgs_rep(context, config, &req, reply,
+    ret = _kdc_tgs_rep(context, config, &req, reply,
                        from, addr, datagram_reply);
     free_TGS_REQ(&req);
 …
 #ifdef DIGEST
 static krb5_error_code
+static krb5_error_code
 kdc_digest(krb5_context context,
            krb5_kdc_configuration *config,
 …
 #ifdef KX509
 static krb5_error_code
+static krb5_error_code
 kdc_kx509(krb5_context context,
           krb5_kdc_configuration *config,
 …
     krb5_data req_buffer;
     int claim = 0;
     req_buffer.data = buf;
     req_buffer.length = len;
 …
     krb5_data req_buffer;
     int claim = 0;
     req_buffer.data = buf;
     req_buffer.length = len;
 …
             return ret;
+    }
     return -1;
+}

vendor/current/source4/heimdal/kdc/windc.c

-              r740
+              r988
         if (windcft->minor_version < KRB5_WINDC_PLUGIN_MINOR)
             continue;
         (*windcft->init)(context, &windcctx);
         break;
 …
 _kdc_pac_verify(krb5_context context,
                 const krb5_principal client_principal,
+                const krb5_principal delegated_proxy_principal,
                 hdb_entry_ex *client,
                 hdb_entry_ex *server,
 …
     ret = windcft->pac_verify(windcctx, context,
+                              client_principal, client, server, krbtgt, pac);
+                              client_principal,
+                              delegated_proxy_principal,
+                              client, server, krbtgt, pac);
     if (ret == 0)
         *verified = 1;
 …
                                    req->msg_type == krb_as_req);
     return (windcft->client_access)(windcctx,
                                     context, config,
                                     client_ex, client_name,
                                     server_ex, server_name,
+    return (windcft->client_access)(windcctx,
+                                    context, config,
+                                    client_ex, client_name,
+                                    server_ex, server_name,
                                     req, e_data);
+}

vendor/current/source4/heimdal/kdc/windc_plugin.h

-              r740
+              r988
 typedef krb5_error_code
 (*krb5plugin_windc_pac_verify)(void *, krb5_context,
+                               const krb5_principal,
+                               struct hdb_entry_ex *,
+                               struct hdb_entry_ex *,
+                               struct hdb_entry_ex *,
+                               const krb5_principal, /* new ticket client */
+                               const krb5_principal, /* delegation proxy */
+                               struct hdb_entry_ex *,/* client */
+                               struct hdb_entry_ex *,/* server */
+                               struct hdb_entry_ex *,/* krbtgt */
                                krb5_pac *);
 typedef krb5_error_code
 (*krb5plugin_windc_client_access)(
         void *, krb5_context,
+        void *, krb5_context,
         krb5_kdc_configuration *config,
         hdb_entry_ex *, const char *,
         hdb_entry_ex *, const char *,
+        hdb_entry_ex *, const char *,
+        hdb_entry_ex *, const char *,
         KDC_REQ *, krb5_data *);
 #define KRB5_WINDC_PLUGING_MINOR                4
 #define KRB5_WINDC_PLUGIN_MINOR                 4
+#define KRB5_WINDC_PLUGIN_MINOR                 6
+#define KRB5_WINDC_PLUGING_MINOR KRB5_WINDC_PLUGIN_MINOR
 typedef struct krb5plugin_windc_ftable {

Note: See TracChangeset for help on using the changeset viewer.

Download in other formats: