r20640: Commit part 2/2
authorAndrew Bartlett <abartlet@samba.org>
Wed, 10 Jan 2007 01:57:32 +0000 (01:57 +0000)
committerGerald (Jerry) Carter <jerry@samba.org>
Wed, 10 Oct 2007 19:37:20 +0000 (14:37 -0500)
Update Heimdal to match current lorikeet-heimdal.  This includes
integrated PAC hooks, so Samba doesn't have to handle this any more.

This also brings in the PKINIT code, hence so many new files.

Andrew Bartlett
(This used to be commit 351f7040f7bb73b9a60b22b564686f7c2f98a729)

176 files changed:
source4/heimdal/cf/check-var.m4
source4/heimdal/kdc/digest.c
source4/heimdal/kdc/headers.h
source4/heimdal/kdc/kdc-private.h
source4/heimdal/kdc/kdc.h
source4/heimdal/kdc/kdc_locl.h
source4/heimdal/kdc/kerberos5.c
source4/heimdal/kdc/krb5tgs.c
source4/heimdal/kdc/kx509.c [new file with mode: 0644]
source4/heimdal/kdc/pkinit.c
source4/heimdal/kdc/process.c
source4/heimdal/kdc/windc.c [new file with mode: 0644]
source4/heimdal/kdc/windc_plugin.h [new file with mode: 0644]
source4/heimdal/lib/asn1/asn1-common.h
source4/heimdal/lib/asn1/der-protos.h
source4/heimdal/lib/asn1/der_copy.c
source4/heimdal/lib/asn1/der_format.c
source4/heimdal/lib/asn1/der_free.c
source4/heimdal/lib/asn1/der_get.c
source4/heimdal/lib/asn1/der_length.c
source4/heimdal/lib/asn1/der_put.c
source4/heimdal/lib/asn1/digest.asn1
source4/heimdal/lib/asn1/gen.c
source4/heimdal/lib/asn1/gen_copy.c
source4/heimdal/lib/asn1/gen_decode.c
source4/heimdal/lib/asn1/gen_encode.c
source4/heimdal/lib/asn1/gen_free.c
source4/heimdal/lib/asn1/gen_length.c
source4/heimdal/lib/asn1/k5.asn1
source4/heimdal/lib/asn1/kx509.asn1 [new file with mode: 0644]
source4/heimdal/lib/asn1/lex.l
source4/heimdal/lib/asn1/parse.c
source4/heimdal/lib/asn1/parse.y
source4/heimdal/lib/asn1/rfc2459.asn1
source4/heimdal/lib/asn1/symbol.h
source4/heimdal/lib/com_err/lex.c
source4/heimdal/lib/com_err/parse.c
source4/heimdal/lib/com_err/parse.h
source4/heimdal/lib/des/bn.c [new file with mode: 0644]
source4/heimdal/lib/des/dh-imath.c [new file with mode: 0644]
source4/heimdal/lib/des/dh.c [new file with mode: 0644]
source4/heimdal/lib/des/dsa.c [new file with mode: 0644]
source4/heimdal/lib/des/engine.c [new file with mode: 0644]
source4/heimdal/lib/des/imath/LICENSE [new file with mode: 0644]
source4/heimdal/lib/des/imath/imath.c [new file with mode: 0755]
source4/heimdal/lib/des/imath/imath.h [new file with mode: 0755]
source4/heimdal/lib/des/imath/iprime.c [new file with mode: 0755]
source4/heimdal/lib/des/imath/iprime.h [new file with mode: 0755]
source4/heimdal/lib/des/pkcs12.c [new file with mode: 0644]
source4/heimdal/lib/des/resource.h [new file with mode: 0644]
source4/heimdal/lib/des/rsa-imath.c [new file with mode: 0644]
source4/heimdal/lib/des/rsa.c [new file with mode: 0644]
source4/heimdal/lib/des/rsa.h
source4/heimdal/lib/gssapi/gssapi/gssapi.h
source4/heimdal/lib/gssapi/gssapi_mech.h
source4/heimdal/lib/gssapi/krb5/accept_sec_context.c
source4/heimdal/lib/gssapi/krb5/acquire_cred.c
source4/heimdal/lib/gssapi/krb5/add_cred.c
source4/heimdal/lib/gssapi/krb5/address_to_krb5addr.c
source4/heimdal/lib/gssapi/krb5/arcfour.c
source4/heimdal/lib/gssapi/krb5/cfx.c
source4/heimdal/lib/gssapi/krb5/cfx.h
source4/heimdal/lib/gssapi/krb5/compare_name.c
source4/heimdal/lib/gssapi/krb5/compat.c
source4/heimdal/lib/gssapi/krb5/context_time.c
source4/heimdal/lib/gssapi/krb5/copy_ccache.c
source4/heimdal/lib/gssapi/krb5/delete_sec_context.c
source4/heimdal/lib/gssapi/krb5/display_name.c
source4/heimdal/lib/gssapi/krb5/display_status.c
source4/heimdal/lib/gssapi/krb5/duplicate_name.c
source4/heimdal/lib/gssapi/krb5/export_name.c
source4/heimdal/lib/gssapi/krb5/export_sec_context.c
source4/heimdal/lib/gssapi/krb5/external.c
source4/heimdal/lib/gssapi/krb5/get_mic.c
source4/heimdal/lib/gssapi/krb5/gsskrb5-private.h
source4/heimdal/lib/gssapi/krb5/gsskrb5_locl.h
source4/heimdal/lib/gssapi/krb5/import_name.c
source4/heimdal/lib/gssapi/krb5/import_sec_context.c
source4/heimdal/lib/gssapi/krb5/init.c
source4/heimdal/lib/gssapi/krb5/init_sec_context.c
source4/heimdal/lib/gssapi/krb5/inquire_context.c
source4/heimdal/lib/gssapi/krb5/inquire_cred.c
source4/heimdal/lib/gssapi/krb5/inquire_cred_by_oid.c
source4/heimdal/lib/gssapi/krb5/inquire_sec_context_by_oid.c
source4/heimdal/lib/gssapi/krb5/process_context_token.c
source4/heimdal/lib/gssapi/krb5/release_cred.c
source4/heimdal/lib/gssapi/krb5/release_name.c
source4/heimdal/lib/gssapi/krb5/set_cred_option.c
source4/heimdal/lib/gssapi/krb5/set_sec_context_option.c
source4/heimdal/lib/gssapi/krb5/unwrap.c
source4/heimdal/lib/gssapi/krb5/verify_mic.c
source4/heimdal/lib/gssapi/krb5/wrap.c
source4/heimdal/lib/gssapi/mech/gss_accept_sec_context.c
source4/heimdal/lib/gssapi/mech/gss_init_sec_context.c
source4/heimdal/lib/gssapi/mech/gss_mech_switch.c
source4/heimdal/lib/gssapi/mech/gss_set_cred_option.c
source4/heimdal/lib/gssapi/mech/gss_utils.c
source4/heimdal/lib/gssapi/mech/utils.h
source4/heimdal/lib/gssapi/spnego/accept_sec_context.c
source4/heimdal/lib/gssapi/spnego/compat.c
source4/heimdal/lib/gssapi/spnego/context_stubs.c
source4/heimdal/lib/gssapi/spnego/init_sec_context.c
source4/heimdal/lib/gssapi/spnego/spnego-private.h
source4/heimdal/lib/gssapi/spnego/spnego.asn1
source4/heimdal/lib/gssapi/spnego/spnego_locl.h
source4/heimdal/lib/hdb/hdb.c
source4/heimdal/lib/hdb/hdb.h
source4/heimdal/lib/hx509/asn1_id_pkix_ocsp.x [new file with mode: 0644]
source4/heimdal/lib/hx509/asn1_id_pkix_ocsp_basic.x [new file with mode: 0644]
source4/heimdal/lib/hx509/asn1_id_pkix_ocsp_nonce.x [new file with mode: 0644]
source4/heimdal/lib/hx509/ca.c [new file with mode: 0644]
source4/heimdal/lib/hx509/cert.c [new file with mode: 0644]
source4/heimdal/lib/hx509/cms.c [new file with mode: 0644]
source4/heimdal/lib/hx509/collector.c [new file with mode: 0644]
source4/heimdal/lib/hx509/crmf.asn1 [new file with mode: 0644]
source4/heimdal/lib/hx509/crypto.c [new file with mode: 0644]
source4/heimdal/lib/hx509/error.c [new file with mode: 0644]
source4/heimdal/lib/hx509/file.c [new file with mode: 0644]
source4/heimdal/lib/hx509/hx509-protos.h [new file with mode: 0644]
source4/heimdal/lib/hx509/hx509.h [new file with mode: 0644]
source4/heimdal/lib/hx509/hx509_err.c [new file with mode: 0644]
source4/heimdal/lib/hx509/hx509_err.et [new file with mode: 0644]
source4/heimdal/lib/hx509/hx_locl.h [new file with mode: 0644]
source4/heimdal/lib/hx509/keyset.c [new file with mode: 0644]
source4/heimdal/lib/hx509/ks_dir.c [new file with mode: 0644]
source4/heimdal/lib/hx509/ks_file.c [new file with mode: 0644]
source4/heimdal/lib/hx509/ks_mem.c [new file with mode: 0644]
source4/heimdal/lib/hx509/ks_null.c [new file with mode: 0644]
source4/heimdal/lib/hx509/ks_p11.c [new file with mode: 0644]
source4/heimdal/lib/hx509/ks_p12.c [new file with mode: 0644]
source4/heimdal/lib/hx509/lock.c [new file with mode: 0644]
source4/heimdal/lib/hx509/name.c [new file with mode: 0644]
source4/heimdal/lib/hx509/ocsp.asn1 [new file with mode: 0644]
source4/heimdal/lib/hx509/peer.c [new file with mode: 0644]
source4/heimdal/lib/hx509/pkcs10.asn1 [new file with mode: 0644]
source4/heimdal/lib/hx509/print.c [new file with mode: 0644]
source4/heimdal/lib/hx509/req.c [new file with mode: 0644]
source4/heimdal/lib/hx509/revoke.c [new file with mode: 0644]
source4/heimdal/lib/hx509/test_name.c [new file with mode: 0644]
source4/heimdal/lib/krb5/acache.c
source4/heimdal/lib/krb5/config_file.c
source4/heimdal/lib/krb5/context.c
source4/heimdal/lib/krb5/crypto.c
source4/heimdal/lib/krb5/fcache.c
source4/heimdal/lib/krb5/get_cred.c
source4/heimdal/lib/krb5/init_creds.c
source4/heimdal/lib/krb5/init_creds_pw.c
source4/heimdal/lib/krb5/krb5-private.h
source4/heimdal/lib/krb5/krb5-protos.h
source4/heimdal/lib/krb5/krb5.h
source4/heimdal/lib/krb5/krb5_locl.h
source4/heimdal/lib/krb5/krbhst.c
source4/heimdal/lib/krb5/log.c
source4/heimdal/lib/krb5/mit_glue.c
source4/heimdal/lib/krb5/mk_req_ext.c
source4/heimdal/lib/krb5/pac.c [new file with mode: 0644]
source4/heimdal/lib/krb5/pkinit.c
source4/heimdal/lib/krb5/plugin.c
source4/heimdal/lib/krb5/principal.c
source4/heimdal/lib/krb5/rd_req.c
source4/heimdal/lib/krb5/store.c
source4/heimdal/lib/krb5/ticket.c
source4/heimdal/lib/krb5/warn.c
source4/heimdal/lib/ntlm/heimntlm-protos.h [new file with mode: 0644]
source4/heimdal/lib/ntlm/heimntlm.h [new file with mode: 0644]
source4/heimdal/lib/ntlm/ntlm.c [new file with mode: 0644]
source4/heimdal/lib/roken/closefrom.c [new file with mode: 0644]
source4/heimdal/lib/roken/dumpdata.c [new file with mode: 0644]
source4/heimdal/lib/roken/erealloc.c [new file with mode: 0644]
source4/heimdal/lib/roken/parse_bytes.h [new file with mode: 0644]
source4/heimdal/lib/roken/resolve.c
source4/heimdal/lib/roken/simple_exec.c [new file with mode: 0644]
source4/heimdal/lib/roken/strcollect.c [new file with mode: 0644]
source4/heimdal/lib/roken/vis.c
source4/heimdal/lib/roken/vis.hin
source4/heimdal/lib/vers/print_version.c

index 41401f6dd93b3e34f55c352b62038c09da67d02a..b33b5c6e285c6559746384bfbb40ef6bf63a07a4 100644 (file)
@@ -23,3 +23,5 @@ if test "$ac_foo" = yes; then
 fi
 ])
 
+AC_WARNING_ENABLE([obsolete])
+AU_DEFUN([AC_CHECK_VAR], [rk_CHECK_VAR([$2], [$1])], [foo])
index a5517fb89635294f22353472315e0fdb670f7358..2c012a2ead53c1f43ef0d448a88f539f5f3db869 100644 (file)
  */
 
 #include "kdc_locl.h"
-#include <digest_asn1.h>
 #include <hex.h>
 
-RCSID("$Id: digest.c,v 1.7 2006/10/22 20:11:44 lha Exp $");
+RCSID("$Id: digest.c,v 1.19 2006/12/28 17:03:51 lha Exp $");
+
+#define CHAP_MD5       0x10
+#define DIGEST_MD5     0x08
+#define NTLM_V2                0x04
+#define NTLM_V1_SESSION        0x02
+#define NTLM_V1                0x01
+
+const struct units _kdc_digestunits[] = {
+       {"chap-md5",            1U << 4},
+       {"digest-md5",          1U << 3},
+       {"ntlm-v2",             1U << 2},
+       {"ntlm-v1-session",     1U << 1},
+       {"ntlm-v1",             1U << 0},
+       {NULL,  0}
+};
+
+
+static krb5_error_code
+get_digest_key(krb5_context context,
+              krb5_kdc_configuration *config,
+              hdb_entry_ex *server,
+              krb5_crypto *crypto)
+{
+    krb5_error_code ret;
+    krb5_enctype enctype;
+    Key *key;
+    
+    ret = _kdc_get_preferred_key(context,
+                                config,
+                                server,
+                                "digest-service",
+                                &enctype,
+                                &key);
+    if (ret)
+       return ret;
+    return krb5_crypto_init(context, &key->key, 0, crypto);
+}
+
+/*
+ *
+ */
+
+static char *
+get_ntlm_targetname(krb5_context context,
+                   hdb_entry_ex *client)
+{
+    char *targetname, *p;
+
+    targetname = strdup(krb5_principal_get_realm(context,
+                                                client->entry.principal));
+    if (targetname == NULL)
+       return NULL;
+
+    p = strchr(targetname, '.');
+    if (p)
+       *p = '\0';
+
+    strupr(targetname);
+    return targetname;
+}
+
+static krb5_error_code
+fill_targetinfo(krb5_context context,
+               char *targetname,
+               hdb_entry_ex *client,
+               krb5_data *data)
+{
+    struct ntlm_targetinfo ti;
+    krb5_error_code ret;
+    struct ntlm_buf d;
+    krb5_principal p;
+    const char *str;
+
+    memset(&ti, 0, sizeof(ti));
+
+    ti.domainname = targetname;
+    p = client->entry.principal;
+    str = krb5_principal_get_comp_string(context, p, 0);
+    if (str != NULL && 
+       (strcmp("host", str) == 0 || 
+        strcmp("ftp", str) == 0 ||
+        strcmp("imap", str) == 0 ||
+        strcmp("pop", str) == 0 ||
+        strcmp("smtp", str)))
+    {
+       str = krb5_principal_get_comp_string(context, p, 1);
+       ti.dnsservername = rk_UNCONST(str);
+    }
+    
+    ret = heim_ntlm_encode_targetinfo(&ti, 1, &d);
+    if (ret)
+       return ret;
+
+    data->data = d.data;
+    data->length = d.length;
+
+    return 0;
+}
+
+
+/*
+ *
+ */
 
 krb5_error_code
 _kdc_do_digest(krb5_context context, 
@@ -57,11 +159,13 @@ _kdc_do_digest(krb5_context context,
     krb5_storage *sp = NULL;
     Checksum res;
     hdb_entry_ex *server = NULL, *user = NULL;
-    char *password = NULL;
+    hdb_entry_ex *client = NULL;
+    char *client_name = NULL, *password = NULL;
     krb5_data serverNonce;
 
     if(!config->enable_digest) {
-       kdc_log(context, config, 0, "Rejected digest request from %s", from);
+       kdc_log(context, config, 0, 
+               "Rejected digest request (disabled) from %s", from);
        return KRB5KDC_ERR_POLICY;
     }
 
@@ -125,6 +229,7 @@ _kdc_do_digest(krb5_context context,
            krb5_free_principal(context, principal);
            goto out;
        }
+       krb5_clear_error_string(context);
 
        ret = _kdc_db_fetch(context, config, principal,
                            HDB_F_GET_SERVER, NULL, &server);
@@ -137,12 +242,17 @@ _kdc_do_digest(krb5_context context,
     /* check the client is allowed to do digest auth */
     {
        krb5_principal principal = NULL;
-       hdb_entry_ex *client;
 
        ret = krb5_ticket_get_client(context, ticket, &principal);
        if (ret)
            goto out;
 
+       ret = krb5_unparse_name(context, principal, &client_name);
+       if (ret) {
+           krb5_free_principal(context, principal);
+           goto out;
+       }
+
        ret = _kdc_db_fetch(context, config, principal,
                            HDB_F_GET_CLIENT, NULL, &client);
        krb5_free_principal(context, principal);
@@ -150,13 +260,15 @@ _kdc_do_digest(krb5_context context,
            goto out;
 
        if (client->entry.flags.allow_digest == 0) {
+           kdc_log(context, config, 0, 
+                   "Client %s tried to use digest "
+                   "but is not allowed to", 
+                   client_name);
            krb5_set_error_string(context, 
                                  "Client is not permitted to use digest");
            ret = KRB5KDC_ERR_POLICY;
-           _kdc_free_ent (context, client);
            goto out;
        }
-       _kdc_free_ent (context, client);
     }
 
     /* unpack request */
@@ -192,6 +304,9 @@ _kdc_do_digest(krb5_context context,
        goto out;
     }
 
+    kdc_log(context, config, 0, "Valid digest request from %s (%s)", 
+           client_name, from);
+
     /*
      * Process the inner request
      */
@@ -289,22 +404,9 @@ _kdc_do_digest(krb5_context context,
            goto out;
        }
 
-       {
-           Key *key;
-           krb5_enctype enctype;
-
-           ret = _kdc_get_preferred_key(context,
-                                        config,
-                                        server,
-                                        "digest-service",
-                                        &enctype,
-                                        &key);
-           if (ret)
-               goto out;
-           ret = krb5_crypto_init(context, &key->key, 0, &crypto);
-           if (ret)
-               goto out;
-       }
+       ret = get_digest_key(context, config, server, &crypto);
+       if (ret)
+           goto out;
 
        ret = krb5_create_checksum(context,
                                   crypto,
@@ -337,6 +439,9 @@ _kdc_do_digest(krb5_context context,
            goto out;
        }
 
+       kdc_log(context, config, 0, "Digest %s init request successful from %s",
+               ireq.u.init.type, from);
+
        break;
     }
     case choice_DigestReqInner_digestRequest: {
@@ -349,7 +454,11 @@ _kdc_do_digest(krb5_context context,
            krb5_set_error_string(context, "out of memory");
            goto out;
        }
-       krb5_store_stringz(sp, ireq.u.digestRequest.type);
+       ret = krb5_store_stringz(sp, ireq.u.digestRequest.type);
+       if (ret) {
+           krb5_clear_error_string(context);
+           goto out;
+       }
 
        krb5_store_stringz(sp, ireq.u.digestRequest.serverNonce);
        if (ireq.u.digestRequest.identifier) {
@@ -421,22 +530,9 @@ _kdc_do_digest(krb5_context context,
            serverNonce.length = ssize;
        }
 
-       {
-           Key *key;
-           krb5_enctype enctype;
-
-           ret = _kdc_get_preferred_key(context,
-                                        config,
-                                        server,
-                                        "digest-service",
-                                        &enctype,
-                                        &key);
-           if (ret)
-               goto out;
-           ret = krb5_crypto_init(context, &key->key, 0, &crypto);
-           if (ret)
-               goto out;
-       }
+       ret = get_digest_key(context, config, server, &crypto);
+       if (ret)
+           goto out;
 
        ret = krb5_verify_checksum(context, crypto, 
                                   KRB5_KU_DIGEST_OPAQUE,
@@ -493,6 +589,11 @@ _kdc_do_digest(krb5_context context,
            unsigned char md[MD5_DIGEST_LENGTH];
            char id;
 
+           if ((config->digests_allowed & CHAP_MD5) == 0) {
+               kdc_log(context, config, 0, "Digest CHAP MD5 not allowed");
+               goto out;
+           }
+
            if (ireq.u.digestRequest.identifier == NULL) {
                krb5_set_error_string(context, "Identifier missing "
                                      "from CHAP request");
@@ -524,6 +625,11 @@ _kdc_do_digest(krb5_context context,
            unsigned char md[MD5_DIGEST_LENGTH];
            char *A1, *A2;
 
+           if ((config->digests_allowed & DIGEST_MD5) == 0) {
+               kdc_log(context, config, 0, "Digest SASL MD5 not allowed");
+               goto out;
+           }
+
            if (ireq.u.digestRequest.nonceCount == NULL) 
                goto out;
            if (ireq.u.digestRequest.clientNonce == NULL) 
@@ -627,6 +733,358 @@ _kdc_do_digest(krb5_context context,
            r.u.error.code = EINVAL;
        }
 
+       kdc_log(context, config, 0, "Digest %s request successful %s",
+               ireq.u.digestRequest.type, from);
+
+       break;
+    }
+    case choice_DigestReqInner_ntlmInit:
+
+       if ((config->digests_allowed & (NTLM_V1|NTLM_V1_SESSION|NTLM_V2)) == 0) {
+           kdc_log(context, config, 0, "NTLM not allowed");
+           goto out;
+       }
+
+
+       r.element = choice_DigestRepInner_ntlmInitReply;
+
+       r.u.ntlmInitReply.flags = NTLM_NEG_UNICODE;
+
+       if ((ireq.u.ntlmInit.flags & NTLM_NEG_UNICODE) == 0) {
+           kdc_log(context, config, 0, "NTLM client have no unicode");
+           goto out;
+       }
+
+       if (ireq.u.ntlmInit.flags & NTLM_NEG_NTLM)
+           r.u.ntlmInitReply.flags |= NTLM_NEG_NTLM;
+       else {
+           kdc_log(context, config, 0, "NTLM client doesn't support NTLM");
+           goto out;
+       }
+
+       r.u.ntlmInitReply.flags |= 
+           NTLM_NEG_TARGET_DOMAIN |
+           NTLM_ENC_128;
+
+#define ALL \
+       NTLM_NEG_SIGN| \
+       NTLM_NEG_SEAL| \
+       NTLM_NEG_ALWAYS_SIGN| \
+       NTLM_NEG_NTLM2_SESSION| \
+       NTLM_NEG_KEYEX
+
+       r.u.ntlmInitReply.flags |= (ireq.u.ntlmInit.flags & (ALL));
+
+#undef ALL
+
+       r.u.ntlmInitReply.targetname = 
+           get_ntlm_targetname(context, client);
+       if (r.u.ntlmInitReply.targetname == NULL) {
+           krb5_set_error_string(context, "out of memory");
+           ret = ENOMEM;
+           goto out;
+       }
+       r.u.ntlmInitReply.challange.data = malloc(8);
+       if (r.u.ntlmInitReply.challange.data == NULL) {
+           krb5_set_error_string(context, "out of memory");
+           ret = ENOMEM;
+           goto out;
+       }
+       r.u.ntlmInitReply.challange.length = 8;
+       if (RAND_bytes(r.u.ntlmInitReply.challange.data,
+                      r.u.ntlmInitReply.challange.length) != 1) 
+       {
+           krb5_set_error_string(context, "out of random error");
+           ret = ENOMEM;
+           goto out;
+       }
+       /* XXX fix targetinfo */
+       ALLOC(r.u.ntlmInitReply.targetinfo);
+       if (r.u.ntlmInitReply.targetinfo == NULL) {
+           krb5_set_error_string(context, "out of memory");
+           ret = ENOMEM;
+           goto out;
+       }
+
+       ret = fill_targetinfo(context,
+                             r.u.ntlmInitReply.targetname,
+                             client,
+                             r.u.ntlmInitReply.targetinfo);
+       if (ret) {
+           krb5_set_error_string(context, "out of memory");
+           ret = ENOMEM;
+           goto out;
+       }
+
+       /* 
+        * Save data encryted in opaque for the second part of the
+        * ntlm authentication
+        */
+       sp = krb5_storage_emem();
+       if (sp == NULL) {
+           ret = ENOMEM;
+           krb5_set_error_string(context, "out of memory");
+           goto out;
+       }
+       
+       ret = krb5_storage_write(sp, r.u.ntlmInitReply.challange.data, 8);
+       if (ret != 8) {
+           ret = ENOMEM;
+           krb5_set_error_string(context, "storage write challange");
+           goto out;
+       }
+       ret = krb5_store_uint32(sp, r.u.ntlmInitReply.flags);
+       if (ret) {
+           krb5_clear_error_string(context);
+           goto out;
+       }
+
+       ret = krb5_storage_to_data(sp, &buf);
+       if (ret) {
+           krb5_clear_error_string(context);
+           goto out;
+       }
+
+       ret = get_digest_key(context, config, server, &crypto);
+       if (ret)
+           goto out;
+
+       ret = krb5_encrypt(context, crypto, KRB5_KU_DIGEST_OPAQUE,
+                          buf.data, buf.length, &r.u.ntlmInitReply.opaque);
+       krb5_data_free(&buf);
+       krb5_crypto_destroy(context, crypto);
+       crypto = NULL;
+       if (ret)
+           goto out;
+
+       kdc_log(context, config, 0, "NTLM init from %s", from);
+
+       break;
+
+    case choice_DigestReqInner_ntlmRequest: {
+       krb5_principal clientprincipal;
+       unsigned char sessionkey[16];
+       unsigned char challange[8];
+       uint32_t flags;
+       Key *key = NULL;
+       int version;
+           
+       r.element = choice_DigestRepInner_ntlmResponse;
+       r.u.ntlmResponse.success = 0;
+       r.u.ntlmResponse.flags = 0;
+       r.u.ntlmResponse.sessionkey = NULL;
+       r.u.ntlmResponse.tickets = NULL;
+
+       /* get username */
+       ret = krb5_parse_name(context,
+                             ireq.u.ntlmRequest.username,
+                             &clientprincipal);
+       if (ret)
+           goto out;
+
+       ret = _kdc_db_fetch(context, config, clientprincipal,
+                           HDB_F_GET_CLIENT, NULL, &user);
+       krb5_free_principal(context, clientprincipal);
+       if (ret) {
+           krb5_set_error_string(context, "NTLM user %s not in database",
+                                 ireq.u.ntlmRequest.username);
+           goto out;
+       }
+
+       ret = get_digest_key(context, config, server, &crypto);
+       if (ret)
+           goto out;
+
+       ret = krb5_decrypt(context, crypto, KRB5_KU_DIGEST_OPAQUE,
+                          ireq.u.ntlmRequest.opaque.data,
+                          ireq.u.ntlmRequest.opaque.length, &buf);
+       krb5_crypto_destroy(context, crypto);
+       crypto = NULL;
+       if (ret)
+           goto out;
+
+       sp = krb5_storage_from_data(&buf);
+       if (sp == NULL) {
+           ret = ENOMEM;
+           krb5_set_error_string(context, "out of memory");
+           goto out;
+       }
+       
+       ret = krb5_storage_read(sp, challange, sizeof(challange));
+       if (ret != sizeof(challange)) {
+           krb5_set_error_string(context, "NTLM storage read challange");
+           ret = ENOMEM;
+           goto out;
+       }
+       ret = krb5_ret_uint32(sp, &flags);
+       if (ret) {
+           krb5_set_error_string(context, "NTLM storage read flags");
+           goto out;
+       }
+       krb5_data_free(&buf);
+
+       if ((flags & NTLM_NEG_NTLM) == 0) {
+           ret = EINVAL;
+           krb5_set_error_string(context, "NTLM not negotiated");
+           goto out;
+       }
+
+       ret = hdb_enctype2key(context, &user->entry, 
+                             ETYPE_ARCFOUR_HMAC_MD5, &key);
+       if (ret) {
+           krb5_set_error_string(context, "NTLM missing arcfour key");
+           goto out;
+       }
+
+       /* check if this is NTLMv2 */
+       if (ireq.u.ntlmRequest.ntlm.length != 24) {
+           struct ntlm_buf infotarget, answer;
+           char *targetname;
+
+           if ((config->digests_allowed & NTLM_V2) == 0) {
+               kdc_log(context, config, 0, "NTLM v2 not allowed");
+               goto out;
+           }
+
+           version = 2;
+
+           targetname = get_ntlm_targetname(context, client);
+           if (targetname == NULL) {
+               krb5_set_error_string(context, "out of memory");
+               ret = ENOMEM;
+               goto out;
+           }
+
+           answer.length = ireq.u.ntlmRequest.ntlm.length;
+           answer.data = ireq.u.ntlmRequest.ntlm.data;
+
+           ret = heim_ntlm_verify_ntlm2(key->key.keyvalue.data,
+                                        key->key.keyvalue.length,
+                                        ireq.u.ntlmRequest.username,
+                                        targetname,
+                                        0,
+                                        challange,
+                                        &answer,
+                                        &infotarget,
+                                        sessionkey);
+           free(targetname);
+           if (ret) {
+               krb5_set_error_string(context, "NTLM v2 verify failed");
+               goto out;
+           }
+
+           /* XXX verify infotarget matches client (checksum ?) */
+
+           free(infotarget.data);
+           /* */
+
+       } else {
+           struct ntlm_buf answer;
+
+           version = 1;
+
+           if (flags & NTLM_NEG_NTLM2_SESSION) {
+               char sessionhash[MD5_DIGEST_LENGTH];
+               MD5_CTX md5ctx;
+               
+               if ((config->digests_allowed & NTLM_V1_SESSION) == 0) {
+                   kdc_log(context, config, 0, "NTLM v1-session not allowed");
+                   goto out;
+               }
+
+               if (ireq.u.ntlmRequest.lm.length != 24) {
+                   krb5_set_error_string(context, "LM hash have wrong length "
+                                         "for NTLM session key");
+                   ret = EINVAL;
+                   goto out;
+               }
+               
+               MD5_Init(&md5ctx);
+               MD5_Update(&md5ctx, challange, sizeof(challange));
+               MD5_Update(&md5ctx, ireq.u.ntlmRequest.lm.data, 8);
+               MD5_Final(sessionhash, &md5ctx);
+               memcpy(challange, sessionhash, sizeof(challange));
+           } else {
+               if ((config->digests_allowed & NTLM_V1) == 0) {
+                   kdc_log(context, config, 0, "NTLM v1 not allowed");
+                   goto out;
+               }
+           }
+           
+           ret = heim_ntlm_calculate_ntlm1(key->key.keyvalue.data,
+                                           key->key.keyvalue.length,
+                                           challange, &answer);
+           if (ret) {
+               krb5_set_error_string(context, "NTLM missing arcfour key");
+               goto out;
+           }
+           
+           if (ireq.u.ntlmRequest.ntlm.length != answer.length ||
+               memcmp(ireq.u.ntlmRequest.ntlm.data, answer.data, answer.length) != 0)
+           {
+               free(answer.data);
+               ret = EINVAL;
+               krb5_set_error_string(context, "NTLM hash mismatch");
+               goto out;
+           }
+           free(answer.data);
+
+           {
+               MD4_CTX ctx;
+
+               MD4_Init(&ctx);
+               MD4_Update(&ctx, 
+                          key->key.keyvalue.data, key->key.keyvalue.length);
+               MD4_Final(sessionkey, &ctx);
+           }
+       }
+
+       if (ireq.u.ntlmRequest.sessionkey) {
+           unsigned char masterkey[MD4_DIGEST_LENGTH];
+           RC4_KEY rc4;
+           size_t len;
+           
+           if ((flags & NTLM_NEG_KEYEX) == 0) {
+               krb5_set_error_string(context,
+                                     "NTLM client failed to neg key "
+                                     "exchange but still sent key");
+               goto out;
+           }
+           
+           len = ireq.u.ntlmRequest.sessionkey->length;
+           if (len != sizeof(masterkey)){
+               krb5_set_error_string(context,
+                                     "NTLM master key wrong length: %lu",
+                                     (unsigned long)len);
+               goto out;
+           }
+           
+           RC4_set_key(&rc4, sizeof(sessionkey), sessionkey);
+           
+           RC4(&rc4, sizeof(masterkey),
+               ireq.u.ntlmRequest.sessionkey->data, 
+               masterkey);
+           memset(&rc4, 0, sizeof(rc4));
+           
+           r.u.ntlmResponse.sessionkey = 
+               malloc(sizeof(*r.u.ntlmResponse.sessionkey));
+           if (r.u.ntlmResponse.sessionkey == NULL) {
+               krb5_set_error_string(context, "out of memory");
+               goto out;
+           }
+           
+           ret = krb5_data_copy(r.u.ntlmResponse.sessionkey,
+                                masterkey, sizeof(masterkey));
+           if (ret) {
+               krb5_set_error_string(context, "out of memory");
+               goto out;
+           }
+       }
+
+       r.u.ntlmResponse.success = 1;
+       kdc_log(context, config, 0, "NTLM version %d successful for %s",
+               version, ireq.u.ntlmRequest.username);
+
        break;
     }
     default:
@@ -698,10 +1156,14 @@ out:
        _kdc_free_ent (context, user);
     if (server)
        _kdc_free_ent (context, server);
+    if (client)
+       _kdc_free_ent (context, client);
     if (password) {
        memset(password, 0, strlen(password));
        free (password);
     }
+    if (client_name)
+       free (client_name);
     krb5_data_free(&buf);
     krb5_data_free(&serverNonce);
     free_DigestREP(&rep);
index 87d713b076f0c0a18a8374a1f84bc0381659f130..56ddc8090b64b1a7b6a3e94b67158fcf017f3f89 100644 (file)
@@ -32,7 +32,7 @@
  */
 
 /* 
- * $Id: headers.h,v 1.18 2006/10/17 02:22:17 lha Exp $ 
+ * $Id: headers.h,v 1.22 2007/01/04 00:15:34 lha Exp $ 
  */
 
 #ifndef __HEADERS_H__
@@ -72,6 +72,9 @@
 #ifdef HAVE_ARPA_INET_H
 #include <arpa/inet.h>
 #endif
+#ifdef HAVE_SYS_WAIT_H
+#include <sys/wait.h>
+#endif
 #ifdef HAVE_NETDB_H
 #include <netdb.h>
 #endif
 #include <krb5.h>
 #include <krb5_locl.h>
 #include <digest_asn1.h>
+#include <kx509_asn1.h>
 #include <hdb.h>
 #include <hdb_err.h>
 #include <der.h>
 
+#include <heimntlm.h>
+#include <windc_plugin.h>
+
 #undef ALLOC
 #define ALLOC(X) ((X) = malloc(sizeof(*(X))))
 #undef ALLOC_SEQ
index 6d4fd2a29ba12151ab138c8f62a2a93b39b0abfd..d896bd10e9988be4c3800a9657aadf2d8c632943 100644 (file)
@@ -14,6 +14,13 @@ _kdc_add_KRB5SignedPath (
        KRB5SignedPathPrincipals */*principals*/,
        EncTicketPart */*tkt*/);
 
+krb5_error_code
+_kdc_add_inital_verified_cas (
+       krb5_context /*context*/,
+       krb5_kdc_configuration */*config*/,
+       pk_client_params */*params*/,
+       EncTicketPart */*tkt*/);
+
 krb5_error_code
 _kdc_as_rep (
        krb5_context /*context*/,
@@ -89,6 +96,15 @@ _kdc_do_kaserver (
        const char */*from*/,
        struct sockaddr_in */*addr*/);
 
+krb5_error_code
+_kdc_do_kx509 (
+       krb5_context /*context*/,
+       krb5_kdc_configuration */*config*/,
+       const Kx509Request */*req*/,
+       krb5_data */*reply*/,
+       const char */*from*/,
+       struct sockaddr */*addr*/);
+
 krb5_error_code
 _kdc_do_version4 (
        krb5_context /*context*/,
@@ -182,6 +198,20 @@ _kdc_maybe_version4 (
        unsigned char */*buf*/,
        int /*len*/);
 
+krb5_error_code
+_kdc_pac_generate (
+       krb5_context /*context*/,
+       hdb_entry_ex */*client*/,
+       krb5_pac */*pac*/);
+
+krb5_error_code
+_kdc_pac_verify (
+       krb5_context /*context*/,
+       const krb5_principal /*client_principal*/,
+       hdb_entry_ex */*client*/,
+       hdb_entry_ex */*server*/,
+       krb5_pac */*pac*/);
+
 krb5_error_code
 _kdc_pk_check_client (
        krb5_context /*context*/,
@@ -230,6 +260,30 @@ _kdc_tgs_rep (
        KDC_REQ */*req*/,
        krb5_data */*data*/,
        const char */*from*/,
-       struct sockaddr */*from_addr*/);
+       struct sockaddr */*from_addr*/,
+       int /*datagram_reply*/);
+
+krb5_error_code
+_kdc_tkt_add_if_relevant_ad (
+       krb5_context /*context*/,
+       EncTicketPart */*tkt*/,
+       int /*type*/,
+       const krb5_data */*data*/);
+
+krb5_error_code
+_kdc_try_kx509_request (
+       void */*ptr*/,
+       size_t /*len*/,
+       Kx509Request */*req*/,
+       size_t */*size*/);
+
+krb5_error_code
+_kdc_windc_client_access (
+       krb5_context /*context*/,
+       struct hdb_entry_ex */*client*/,
+       KDC_REQ */*req*/);
+
+krb5_error_code
+_kdc_windc_init (krb5_context /*context*/);
 
 #endif /* __kdc_private_h__ */
index 043b6de47d2269d96cf10eacbab32904bcb77cf3..ea9eb7125e504d86b02463082f2afb5723c53429 100644 (file)
@@ -35,7 +35,7 @@
  */
 
 /* 
- * $Id: kdc.h,v 1.9 2006/10/09 15:34:07 lha Exp $ 
+ * $Id: kdc.h,v 1.11 2006/12/28 21:06:56 lha Exp $ 
  */
 
 #ifndef __KDC_H__
@@ -81,8 +81,12 @@ typedef struct krb5_kdc_configuration {
     int pkinit_dh_min_bits;
 
     int enable_digest;
+    int digests_allowed;
+
     size_t max_datagram_reply_length;
 
+    int enable_kx509;
+
 } krb5_kdc_configuration;
 
 #include <kdc-protos.h>
index ca8672c062d5ad5e4ea420adfb90ba2b6864cca3..ed3010b673f6a13de2f8f80512246c3963eb0cc8 100644 (file)
@@ -32,7 +32,7 @@
  */
 
 /* 
- * $Id: kdc_locl.h,v 1.74 2005/12/12 12:23:33 lha Exp $ 
+ * $Id: kdc_locl.h,v 1.76 2006/12/26 17:18:14 lha Exp $ 
  */
 
 #ifndef __KDC_LOCL_H__
@@ -55,6 +55,8 @@ extern int enable_http;
 
 extern int detach_from_console;
 
+extern const struct units _kdc_digestunits[];
+
 #define _PATH_KDC_CONF         HDB_DB_DIR "/kdc.conf"
 #define DEFAULT_LOG_DEST       "0-1/FILE:" HDB_DB_DIR "/kdc.log"
 
index dd88e2ea503e858d784e934160c24ee1f998d76a..bf727ee739535b99c2817e1ff124d451e7e0a248 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "kdc_locl.h"
 
-RCSID("$Id: kerberos5.c,v 1.225 2006/11/10 03:36:32 lha Exp $");
+RCSID("$Id: kerberos5.c,v 1.231 2007/01/04 13:27:27 lha Exp $");
 
 #define MAX_TIME ((time_t)((1U << 31) - 1))
 
@@ -634,6 +634,69 @@ get_pa_etype_info2(krb5_context context,
     return 0;
 }
 
+/*
+ *
+ */
+
+static void
+log_as_req(krb5_context context,
+          krb5_kdc_configuration *config,
+          krb5_enctype cetype,
+          krb5_enctype setype,
+          const KDC_REQ_BODY *b)
+{
+    krb5_error_code ret;
+    struct rk_strpool *p = NULL;
+    char *str;
+    int i;
+    
+    for (i = 0; i < b->etype.len; i++) {
+       ret = krb5_enctype_to_string(context, b->etype.val[i], &str);
+       if (ret == 0) {
+           p = rk_strpoolprintf(p, "%s", str);
+           free(str);
+       } else
+           p = rk_strpoolprintf(p, "%d", b->etype.val[i]);
+       if (p && i + 1 < b->etype.len)
+           p = rk_strpoolprintf(p, ", ");
+       if (p == NULL) {
+           kdc_log(context, config, 0, "out of memory");
+           return;
+       }
+    }
+    if (p == NULL)
+       p = rk_strpoolprintf(p, "no encryption types");
+    
+    str = rk_strpoolcollect(p);
+    kdc_log(context, config, 0, "Client supported enctypes: %s", str);
+    free(str);
+
+    {
+       char *cet;
+       char *set;
+
+       ret = krb5_enctype_to_string(context, cetype, &cet);
+       if(ret == 0) {
+           ret = krb5_enctype_to_string(context, setype, &set);
+           if (ret == 0) {
+               kdc_log(context, config, 5, "Using %s/%s", cet, set);
+               free(set);
+           }
+           free(cet);
+       }
+       if (ret != 0)
+           kdc_log(context, config, 5, "Using e-types %d/%d", cetype, setype);
+    }
+    
+    {
+       char str[128];
+       unparse_flags(KDCOptions2int(b->kdc_options), asn1_KDCOptions_units(), 
+                     str, sizeof(str));
+       if(*str)
+           kdc_log(context, config, 2, "Requested flags: %s", str);
+    }
+}
+
 /*
  * verify the flags on `client' and `server', returning 0
  * if they are OK and generating an error messages and returning
@@ -798,6 +861,39 @@ _kdc_check_addresses(krb5_context context,
     return result;
 }
 
+/*
+ *
+ */
+
+static krb5_boolean
+send_pac_p(krb5_context context, KDC_REQ *req)
+{
+    krb5_error_code ret;
+    PA_PAC_REQUEST pacreq;
+    PA_DATA *pa;
+    int i = 0;
+    
+    pa = _kdc_find_padata(req, &i, KRB5_PADATA_PA_PAC_REQUEST);
+    if (pa == NULL)
+       return TRUE;
+
+    ret = decode_PA_PAC_REQUEST(pa->padata_value.data,
+                               pa->padata_value.length,
+                               &pacreq,
+                               NULL);
+    if (ret)
+       return TRUE;
+    i = pacreq.include_pac;
+    free_PA_PAC_REQUEST(&pacreq);
+    if (i == 0)
+       return FALSE;
+    return TRUE;
+}
+
+/*
+ *
+ */
+
 krb5_error_code
 _kdc_as_rep(krb5_context context, 
            krb5_kdc_configuration *config,
@@ -882,6 +978,10 @@ _kdc_as_rep(krb5_context context,
        goto out;
     }
 
+    ret = _kdc_windc_client_access(context, client, req);
+    if(ret)
+       goto out;
+
     ret = _kdc_check_flags(context, config, 
                           client, client_name,
                           server, server_name,
@@ -889,13 +989,6 @@ _kdc_as_rep(krb5_context context,
     if(ret)
        goto out;
 
-    if (client->check_client_access) {
-       ret = client->check_client_access(context, client, 
-                                         b->addresses);
-       if(ret)
-           goto out;
-    }
-
     memset(&et, 0, sizeof(et));
     memset(&ek, 0, sizeof(ek));
 
@@ -1224,57 +1317,7 @@ _kdc_as_rep(krb5_context context,
        }
     }
 
-    {
-       struct rk_strpool *p = NULL;
-       char *str;
-       int i;
-
-       for (i = 0; i < b->etype.len; i++) {
-           ret = krb5_enctype_to_string(context, b->etype.val[i], &str);
-           if (ret == 0) {
-               p = rk_strpoolprintf(p, "%s", str);
-               free(str);
-           } else
-               p = rk_strpoolprintf(p, "%d", b->etype.val[i]);
-           if (p && i + 1 < b->etype.len)
-               p = rk_strpoolprintf(p, ", ");
-           if (p == NULL) {
-               kdc_log(context, config, 0, "out of memory");
-               goto out;
-           }
-       }
-       if (p == NULL)
-           p = rk_strpoolprintf(p, "no encryption types");
-
-       str = rk_strpoolcollect(p);
-       kdc_log(context, config, 0, "Client supported enctypes: %s", str);
-       free(str);
-    }
-    {
-       char *cet;
-       char *set;
-
-       ret = krb5_enctype_to_string(context, cetype, &cet);
-       if(ret == 0) {
-           ret = krb5_enctype_to_string(context, setype, &set);
-           if (ret == 0) {
-               kdc_log(context, config, 5, "Using %s/%s", cet, set);
-               free(set);
-           }
-           free(cet);
-       }
-       if (ret != 0)
-           kdc_log(context, config, 5, "Using e-types %d/%d", cetype, setype);
-    }
-    
-    {
-       char str[128];
-       unparse_flags(KDCOptions2int(f), asn1_KDCOptions_units(), 
-                     str, sizeof(str));
-       if(*str)
-           kdc_log(context, config, 2, "Requested flags: %s", str);
-    }
-    
+    log_as_req(context, config, cetype, setype, b);
 
     if(f.renew || f.validate || f.proxy || f.forwarded || f.enc_tkt_in_skey
        || (f.request_anonymous && !config->allow_anonymous)) {
@@ -1330,7 +1373,9 @@ _kdc_as_rep(krb5_context context,
        goto out;
     }
 
-    krb5_generate_random_keyblock(context, sessionetype, &et.key);
+    ret = krb5_generate_random_keyblock(context, sessionetype, &et.key);
+    if (ret)
+       goto out;
     copy_PrincipalName(&rep.cname, &et.cname);
     copy_Realm(&rep.crealm, &et.crealm);
     
@@ -1469,6 +1514,12 @@ _kdc_as_rep(krb5_context context,
                                  &reply_key, rep.padata);
        if (ret)
            goto out;
+       ret = _kdc_add_inital_verified_cas(context,
+                                          config,
+                                          pkp,
+                                          &et);
+       if (ret)
+           goto out;
     }
 #endif
 
@@ -1479,16 +1530,37 @@ _kdc_as_rep(krb5_context context,
        rep.padata = NULL;
     }
 
-    /* Add the PAC, via a HDB abstraction */
-    if (client->authz_data_as_req) {
-           ret = client->authz_data_as_req(context, client, 
-                                           req->padata, 
-                                           et.authtime,
-                                           &skey->key,
-                                           &et.key,
-                                           &et.authorization_data);
-           if (ret) 
-                   goto out;
+    /* Add the PAC */
+    if (send_pac_p(context, req)) {
+       krb5_pac p = NULL;
+       krb5_data data;
+
+       ret = _kdc_pac_generate(context, client, &p);
+       if (ret) {
+           kdc_log(context, config, 0, "PAC generation failed for -- %s", 
+                   client_name);
+           goto out;
+       }
+       if (p != NULL) {
+           ret = _krb5_pac_sign(context, p, et.authtime,
+                                client->entry.principal,
+                                &skey->key, /* Server key */ 
+                                &skey->key, /* FIXME: should be krbtgt key */
+                                &data);
+           krb5_pac_free(context, p);
+           if (ret) {
+               kdc_log(context, config, 0, "PAC signing failed for -- %s", 
+                       client_name);
+               goto out;
+           }
+
+           ret = _kdc_tkt_add_if_relevant_ad(context, &et,
+                                             KRB5_AUTHDATA_WIN2K_PAC,
+                                             &data);
+           krb5_data_free(&data);
+           if (ret)
+               goto out;
+       }
     }
 
     _kdc_log_timestamp(context, config, "AS-REQ", et.authtime, et.starttime, 
@@ -1552,3 +1624,64 @@ out2:
        _kdc_free_ent(context, server);
     return ret;
 }
+
+/*
+ * Add the AuthorizationData `data´ of `type´ to the last element in
+ * the sequence of authorization_data in `tkt´ wrapped in an IF_RELEVANT
+ */
+
+krb5_error_code
+_kdc_tkt_add_if_relevant_ad(krb5_context context,
+                           EncTicketPart *tkt,
+                           int type,
+                           const krb5_data *data)
+{
+    krb5_error_code ret;
+    size_t size;
+
+    if (tkt->authorization_data == NULL) {
+       tkt->authorization_data = calloc(1, sizeof(*tkt->authorization_data));
+       if (tkt->authorization_data == NULL) {
+           krb5_set_error_string(context, "out of memory");
+           return ENOMEM;
+       }
+    }
+       
+    /* add the entry to the last element */
+    {
+       AuthorizationData ad = { 0, NULL };
+       AuthorizationDataElement ade;
+
+       ade.ad_type = type;
+       ade.ad_data = *data;
+
+       ret = add_AuthorizationData(&ad, &ade);
+       if (ret) {
+           krb5_set_error_string(context, "add AuthorizationData failed");
+           return ret;
+       }
+
+       ade.ad_type = KRB5_AUTHDATA_IF_RELEVANT;
+
+       ASN1_MALLOC_ENCODE(AuthorizationData, 
+                          ade.ad_data.data, ade.ad_data.length, 
+                          &ad, &size, ret);
+       free_AuthorizationData(&ad);
+       if (ret) {
+           krb5_set_error_string(context, "ASN.1 encode of "
+                                 "AuthorizationData failed");
+           return ret;
+       }
+       if (ade.ad_data.length != size)
+           krb5_abortx(context, "internal asn.1 encoder error");
+       
+       ret = add_AuthorizationData(tkt->authorization_data, &ade);
+       der_free_octet_string(&ade.ad_data);
+       if (ret) {
+           krb5_set_error_string(context, "add AuthorizationData failed");
+           return ret;
+       }
+    }
+
+    return 0;
+}
index dcf29eb6e9867f068e37b6e713ad64f09f89a649..a056839e5f3751a5a7034b429b34e89389b422cd 100644 (file)
@@ -1,5 +1,5 @@
 /*
- * Copyright (c) 1997-2006 Kungliga Tekniska Högskolan
+ * Copyright (c) 1997-2006 Kungliga Tekniska Högskolan
  * (Royal Institute of Technology, Stockholm, Sweden). 
  * All rights reserved. 
  *
@@ -33,7 +33,7 @@
 
 #include "kdc_locl.h"
 
-RCSID("$Id: krb5tgs.c,v 1.16 2006/10/22 15:54:37 lha Exp $");
+RCSID("$Id: krb5tgs.c,v 1.25 2007/01/04 12:49:45 lha Exp $");
 
 /*
  * return the realm of a krbtgt-ticket or NULL
@@ -119,7 +119,7 @@ _kdc_add_KRB5SignedPath(krb5_context context,
     if (server && principals) {
        ret = add_KRB5SignedPathPrincipals(principals, server);
        if (ret)
-           goto out;
+           return ret;
     }
 
     {
@@ -131,7 +131,7 @@ _kdc_add_KRB5SignedPath(krb5_context context,
        ASN1_MALLOC_ENCODE(KRB5SignedPathData, data.data, data.length,
                           &spd, &size, ret);
        if (ret)
-           goto out;
+           return ret;
        if (data.length != size)
            krb5_abortx(context, "internal asn.1 encoder error");
     }
@@ -159,12 +159,12 @@ _kdc_add_KRB5SignedPath(krb5_context context,
     krb5_crypto_destroy(context, crypto);
     free(data.data);
     if (ret)
-       goto out;
+       return ret;
 
     ASN1_MALLOC_ENCODE(KRB5SignedPath, data.data, data.length, &sp, &size, ret);
     free_Checksum(&sp.cksum);
     if (ret)
-       goto out;
+       return ret;
     if (data.length != size)
        krb5_abortx(context, "internal asn.1 encoder error");
 
@@ -174,46 +174,11 @@ _kdc_add_KRB5SignedPath(krb5_context context,
      * authorization data field.
      */
 
-    if (tkt->authorization_data == NULL) {
-       tkt->authorization_data = calloc(1, sizeof(*tkt->authorization_data));
-       if (tkt->authorization_data == NULL) {
-           ret = ENOMEM;
-           goto out;
-       }
-    }
-
-    /* add the entry to the last element */
-    {
-       AuthorizationData ad = { 0, NULL };
-       AuthorizationDataElement ade;
-
-       ade.ad_type = KRB5_AUTHDATA_SIGNTICKET;
-       ade.ad_data = data;
-
-       ret = add_AuthorizationData(&ad, &ade);
-       krb5_data_free(&data);
-       if (ret)
-           return ret;
-
-       ASN1_MALLOC_ENCODE(AuthorizationData, data.data, data.length, 
-                          &ad, &size, ret);
-       free_AuthorizationData(&ad);
-       if (ret)
-           return ret;
-       if (data.length != size)
-           krb5_abortx(context, "internal asn.1 encoder error");
-       
-       ade.ad_type = KRB5_AUTHDATA_IF_RELEVANT;
-       ade.ad_data = data;
-
-       ret = add_AuthorizationData(tkt->authorization_data, &ade);
-       krb5_data_free(&data);
-       if (ret)
-           return ret;
-    }
+    ret = _kdc_tkt_add_if_relevant_ad(context, tkt,
+                                     KRB5_AUTHDATA_SIGNTICKET, &data);
+    krb5_data_free(&data);
 
-out:
-    return 0;
+    return ret;
 }
 
 static krb5_error_code
@@ -307,6 +272,87 @@ check_KRB5SignedPath(krb5_context context,
     return 0;
 }
 
+/*
+ *
+ */
+
+static krb5_error_code
+check_PAC(krb5_context context,
+         krb5_kdc_configuration *config,
+         const krb5_principal client_principal,
+         hdb_entry_ex *client,
+         hdb_entry_ex *server,
+         const EncryptionKey *server_key,
+         const EncryptionKey *krbtgt_key,
+         EncTicketPart *tkt,
+         krb5_data *rspac,
+         int *require_signedpath)
+{
+    AuthorizationData *ad = tkt->authorization_data;
+    unsigned i, j;
+    krb5_error_code ret;
+
+    if (ad == NULL || ad->len == 0)
+       return 0;
+
+    for (i = 0; i < ad->len; i++) {
+       AuthorizationData child;
+
+       if (ad->val[i].ad_type != KRB5_AUTHDATA_IF_RELEVANT)
+           continue;
+
+       ret = decode_AuthorizationData(ad->val[i].ad_data.data,
+                                      ad->val[i].ad_data.length,
+                                      &child,
+                                      NULL);
+       if (ret) {
+           krb5_set_error_string(context, "Failed to decode "
+                                 "IF_RELEVANT with %d", ret);
+           return ret;
+       }
+       for (j = 0; j < child.len; j++) {
+
+           if (child.val[j].ad_type == KRB5_AUTHDATA_WIN2K_PAC) {
+               krb5_pac pac;
+
+               /* Found PAC */
+               ret = krb5_pac_parse(context,
+                                    child.val[j].ad_data.data,
+                                    child.val[j].ad_data.length,
+                                    &pac);
+               free_AuthorizationData(&child);
+               if (ret)
+                   return ret;
+
+               ret = krb5_pac_verify(context, pac, tkt->authtime, 
+                                     client_principal,
+                                     krbtgt_key, NULL);
+               if (ret) {
+                   krb5_pac_free(context, pac);
+                   return ret;
+               }
+
+               ret = _kdc_pac_verify(context, client_principal, 
+                                     client, server, &pac);
+               if (ret) {
+                   krb5_pac_free(context, pac);
+                   return ret;
+               }
+               *require_signedpath = 0;
+
+               ret = _krb5_pac_sign(context, pac, tkt->authtime,
+                                    client_principal,
+                                    server_key, krbtgt_key, rspac);
+
+               krb5_pac_free(context, pac);
+
+               return ret;
+           }
+       }
+       free_AuthorizationData(&child);
+    }
+    return 0;
+}
 
 /*
  *
@@ -610,9 +656,10 @@ tgs_make_reply(krb5_context context,
               KDC_REQ_BODY *b, 
               krb5_const_principal tgt_name,
               const EncTicketPart *tgt, 
-              const EncTicketPart *adtkt, 
+              const EncryptionKey *ekey,
+              const krb5_keyblock *sessionkey,
+              krb5_kvno kvno,
               AuthorizationData *auth_data,
-              krb5_ticket *tgs_ticket,
               hdb_entry_ex *server, 
               const char *server_name, 
               hdb_entry_ex *client, 
@@ -620,7 +667,7 @@ tgs_make_reply(krb5_context context,
               hdb_entry_ex *krbtgt,
               krb5_enctype krbtgt_etype,
               KRB5SignedPathPrincipals *spp,
-              EncryptionKey *tgtkey,
+              const krb5_data *rspac,
               const char **e_text,
               krb5_data *reply)
 {
@@ -629,32 +676,6 @@ tgs_make_reply(krb5_context context,
     EncTicketPart et;
     KDCOptions f = b->kdc_options;
     krb5_error_code ret;
-    krb5_enctype etype;
-    Key *skey;
-    const EncryptionKey *ekey;
-    AuthorizationData *new_auth_data = NULL;
-    
-    if(adtkt) {
-       int i;
-       ekey = &adtkt->key;
-       for(i = 0; i < b->etype.len; i++)
-           if (b->etype.val[i] == adtkt->key.keytype)
-               break;
-       if(i == b->etype.len) {
-           krb5_clear_error_string(context);
-           return KRB5KDC_ERR_ETYPE_NOSUPP;
-       }
-       etype = b->etype.val[i];
-    }else{
-       ret = _kdc_find_etype(context, server, b->etype.val, b->etype.len,
-                             &skey, &etype);
-       if(ret) {
-           kdc_log(context, config, 0, 
-                   "Server (%s) has no support for etypes", server_name);
-           return ret;
-       }
-       ekey = &skey->key;
-    }
     
     memset(&rep, 0, sizeof(rep));
     memset(&et, 0, sizeof(et));
@@ -768,26 +789,47 @@ tgs_make_reply(krb5_context context,
     et.flags.anonymous   = tgt->flags.anonymous;
     et.flags.ok_as_delegate = server->entry.flags.ok_as_delegate;
            
-    
-    krb5_generate_random_keyblock(context, etype, &et.key);
-
-    if (server->authz_data_tgs_req) {
-           ret = server->authz_data_tgs_req(context, server,
-                                            client_principal, 
-                                            tgs_ticket->ticket.authorization_data,
-                                            tgs_ticket->ticket.authtime,
-                                            tgtkey,
-                                            ekey, 
-                                            &et.key, 
-                                            &new_auth_data);
-           if (ret) {
-                   new_auth_data = NULL;
+    if (auth_data) {
+       /* XXX Check enc-authorization-data */
+       et.authorization_data = calloc(1, sizeof(*et.authorization_data));
+       if (et.authorization_data == NULL) {
+           ret = ENOMEM;
+           goto out;
+       }
+       ret = copy_AuthorizationData(auth_data, et.authorization_data);
+       if (ret)
+           goto out;
+
+       /* Filter out type KRB5SignedPath */
+       ret = find_KRB5SignedPath(context, et.authorization_data, NULL);
+       if (ret == 0) {
+           if (et.authorization_data->len == 1) {
+               free_AuthorizationData(et.authorization_data);
+               free(et.authorization_data);
+               et.authorization_data = NULL;
+           } else {
+               AuthorizationData *ad = et.authorization_data;
+               free_AuthorizationDataElement(&ad->val[ad->len - 1]);
+               ad->len--;
            }
+       }
     }
 
-    /* XXX Check enc-authorization-data */
-    et.authorization_data = new_auth_data;
+    if(rspac->length) {
+       /*
+        * No not need to filter out the any PAC from the
+        * auth_data since its signed by the KDC.
+        */
+       ret = _kdc_tkt_add_if_relevant_ad(context, &et,
+                                         KRB5_AUTHDATA_WIN2K_PAC,
+                                         rspac);
+       if (ret)
+           goto out;
+    }
 
+    ret = krb5_copy_keyblock_contents(context, sessionkey, &et.key);
+    if (ret)
+       goto out;
     et.crealm = tgt->crealm;
     et.cname = tgt_name->name;
            
@@ -795,6 +837,10 @@ tgs_make_reply(krb5_context context,
     /* MIT must have at least one last_req */
     ek.last_req.len = 1;
     ek.last_req.val = calloc(1, sizeof(*ek.last_req.val));
+    if (ek.last_req.val == NULL) {
+       ret = ENOMEM;
+       goto out;
+    }
     ek.nonce = b->nonce;
     ek.flags = et.flags;
     ek.authtime = et.authtime;
@@ -817,7 +863,7 @@ tgs_make_reply(krb5_context context,
                                          krbtgt,
                                          krbtgt_etype,
                                          NULL,
-                                         NULL,
+                                         spp,
                                          &et);
            if (ret)
                goto out;
@@ -835,8 +881,8 @@ tgs_make_reply(krb5_context context,
        etype list, even if we don't want a session key with
        DES3? */
     ret = _kdc_encode_reply(context, config, 
-                           &rep, &et, &ek, etype,
-                           adtkt ? 0 : server->entry.kvno, 
+                           &rep, &et, &ek, et.key.keytype,
+                           kvno, 
                            ekey, 0, &tgt->key, e_text, reply);
 out:
     free_TGS_REP(&rep);
@@ -973,8 +1019,7 @@ tgs_parse_request(krb5_context context,
                  const struct sockaddr *from_addr,
                  time_t **csec,
                  int **cusec,
-                 AuthorizationData **auth_data,
-                 EncryptionKey **tgtkey)
+                 AuthorizationData **auth_data)
 {
     krb5_ap_req ap_req;
     krb5_error_code ret;
@@ -1060,8 +1105,6 @@ tgs_parse_request(krb5_context context,
        ret = KRB5KRB_AP_ERR_BADKEYVER;
        goto out;
     }
-
-    *tgtkey = &tkey->key;
     
     if (b->kdc_options.validate)
        verify_ap_req_flags = KRB5_VERIFY_AP_REQ_IGNORE_INVALID;
@@ -1201,8 +1244,8 @@ tgs_build_reply(krb5_context context,
                const char *from,
                const char **e_text,
                AuthorizationData *auth_data,
-               EncryptionKey *tgtkey,
-       const struct sockaddr *from_addr)
+               const struct sockaddr *from_addr,
+               int datagram_reply)
 {
     krb5_error_code ret;
     krb5_principal cp = NULL, sp = NULL;
@@ -1211,6 +1254,10 @@ tgs_build_reply(krb5_context context,
     hdb_entry_ex *server = NULL, *client = NULL;
     EncTicketPart *tgt = &ticket->ticket;
     KRB5SignedPathPrincipals *spp = NULL;
+    const EncryptionKey *ekey;
+    krb5_keyblock sessionkey;
+    krb5_kvno kvno;
+    krb5_data rspac;
 
     PrincipalName *s;
     Realm r;
@@ -1219,7 +1266,9 @@ tgs_build_reply(krb5_context context,
     char opt_str[128];
     int require_signedpath = 0;
 
+    memset(&sessionkey, 0, sizeof(sessionkey));
     memset(&adtkt, 0, sizeof(adtkt));
+    krb5_data_zero(&rspac);
 
     s = b->sname;
     r = b->realm;
@@ -1436,7 +1485,7 @@ server_lookup:
 
            ret = krb5_verify_checksum(context,
                                       crypto,
-                                      KRB5_KU_TGS_IMPERSONATE,
+                                      KRB5_KU_OTHER_CKSUM,
                                       datack.data, 
                                       datack.length, 
                                       &self.cksum);
@@ -1617,6 +1666,67 @@ server_lookup:
        goto out;
     }
        
+    /*
+     * Select enctype, return key and kvno.
+     */
+
+    {
+       krb5_enctype etype;
+
+       if(b->kdc_options.enc_tkt_in_skey) {
+           int i;
+           ekey = &adtkt.key;
+           for(i = 0; i < b->etype.len; i++)
+               if (b->etype.val[i] == adtkt.key.keytype)
+                   break;
+           if(i == b->etype.len) {
+               krb5_clear_error_string(context);
+               return KRB5KDC_ERR_ETYPE_NOSUPP;
+           }
+           etype = b->etype.val[i];
+           kvno = 0;
+       } else {
+           Key *skey;
+           
+           ret = _kdc_find_etype(context, server, b->etype.val, b->etype.len,
+                                 &skey, &etype);
+           if(ret) {
+               kdc_log(context, config, 0, 
+                       "Server (%s) has no support for etypes", spp);
+               return ret;
+           }
+           ekey = &skey->key;
+           kvno = server->entry.kvno;
+       }
+       
+       ret = krb5_generate_random_keyblock(context, etype, &sessionkey);
+       if (ret)
+           goto out;
+    }
+
+    /* check PAC if there is one */
+    {
+       Key *tkey;
+
+       ret = hdb_enctype2key(context, &krbtgt->entry, 
+                             krbtgt_etype, &tkey);
+       if(ret) {
+           kdc_log(context, config, 0,
+                   "Failed to find key for krbtgt PAC check");
+           goto out;
+       }
+
+       ret = check_PAC(context, config, client_principal, 
+                       client, server, ekey, &tkey->key, 
+                       tgt, &rspac, &require_signedpath);
+       if (ret) {
+           kdc_log(context, config, 0,
+                   "check_PAC check failed for %s (%s) from %s with %s",
+                   spn, cpn, from, krb5_get_err_text(context, ret));
+           goto out;
+       }
+    }
+
     /* also check the krbtgt for signature */
     ret = check_KRB5SignedPath(context,
                               config,
@@ -1640,9 +1750,10 @@ server_lookup:
                         b, 
                         client_principal,
                         tgt, 
-                        b->kdc_options.enc_tkt_in_skey ? &adtkt : NULL, 
+                        ekey,
+                        &sessionkey,
+                        kvno,
                         auth_data,
-                        ticket,
                         server, 
                         spn,
                         client, 
@@ -1650,7 +1761,7 @@ server_lookup:
                         krbtgt, 
                         krbtgt_etype,
                         spp,
-                        tgtkey,
+                        &rspac,
                         e_text,
                         reply);
        
@@ -1658,6 +1769,8 @@ out:
     free(spn);
     free(cpn);
            
+    krb5_data_free(&rspac);
+    krb5_free_keyblock_contents(context, &sessionkey);
     if(server)
        _kdc_free_ent(context, server);
     if(client)
@@ -1685,7 +1798,8 @@ _kdc_tgs_rep(krb5_context context,
             KDC_REQ *req, 
             krb5_data *data,
             const char *from,
-            struct sockaddr *from_addr)
+            struct sockaddr *from_addr,
+            int datagram_reply)
 {
     AuthorizationData *auth_data = NULL;
     krb5_error_code ret;
@@ -1696,8 +1810,6 @@ _kdc_tgs_rep(krb5_context context,
     krb5_ticket *ticket = NULL;
     const char *e_text = NULL;
     krb5_enctype krbtgt_etype = ETYPE_NULL;
-    EncryptionKey *tgtkey = NULL;
-
 
     time_t *csec = NULL;
     int *cusec = NULL;
@@ -1726,8 +1838,7 @@ _kdc_tgs_rep(krb5_context context,
                            &e_text,
                            from, from_addr,
                            &csec, &cusec,
-                           &auth_data,                           
-                           &tgtkey);
+                           &auth_data);
     if (ret) {
        kdc_log(context, config, 0, 
                "Failed parsing TGS-REQ from %s", from);
@@ -1745,14 +1856,21 @@ _kdc_tgs_rep(krb5_context context,
                          from,
                          &e_text,
                          auth_data,
-                         tgtkey,
-                         from_addr);
+                         from_addr,
+                         datagram_reply);
     if (ret) {
        kdc_log(context, config, 0, 
                "Failed building TGS-REP to %s", from);
        goto out;
     }
 
+    /* */
+    if (datagram_reply && data->length > config->max_datagram_reply_length) {
+       krb5_data_free(data);
+       ret = KRB5KRB_ERR_RESPONSE_TOO_BIG;
+       e_text = "Reply packet too large";
+    }
+
 out:
     if(ret && data->data == NULL){
        krb5_mk_error(context,
diff --git a/source4/heimdal/kdc/kx509.c b/source4/heimdal/kdc/kx509.c
new file mode 100644 (file)
index 0000000..d817338
--- /dev/null
@@ -0,0 +1,370 @@
+/*
+ * Copyright (c) 2006 Kungliga Tekniska Högskolan
+ * (Royal Institute of Technology, Stockholm, Sweden). 
+ * All rights reserved. 
+ *
+ * Redistribution and use in source and binary forms, with or without 
+ * modification, are permitted provided that the following conditions 
+ * are met: 
+ *
+ * 1. Redistributions of source code must retain the above copyright 
+ *    notice, this list of conditions and the following disclaimer. 
+ *
+ * 2. Redistributions in binary form must reproduce the above copyright 
+ *    notice, this list of conditions and the following disclaimer in the 
+ *    documentation and/or other materials provided with the distribution. 
+ *
+ * 3. Neither the name of the Institute nor the names of its contributors 
+ *    may be used to endorse or promote products derived from this software 
+ *    without specific prior written permission. 
+ *
+ * THIS SOFTWARE IS PROVIDED BY THE INSTITUTE AND CONTRIBUTORS ``AS IS'' AND 
+ * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE 
+ * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE 
+ * ARE DISCLAIMED.  IN NO EVENT SHALL THE INSTITUTE OR CONTRIBUTORS BE LIABLE 
+ * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL 
+ * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 
+ * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 
+ * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT 
+ * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 
+ * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 
+ * SUCH DAMAGE. 
+ */
+
+#include "kdc_locl.h"
+#include <hex.h>
+
+RCSID("$Id: kx509.c,v 1.1 2006/12/28 21:03:53 lha Exp $");
+
+/*
+ *
+ */
+
+krb5_error_code
+_kdc_try_kx509_request(void *ptr, size_t len, Kx509Request *req, size_t *size)
+{
+    if (len < 4)
+       return -1;
+    if (memcmp("\x00\x00\x02\x00", ptr, 4) != 0)
+       return -1;
+    return decode_Kx509Request(((unsigned char *)ptr) + 4, len - 4, req, size);
+}
+
+/*
+ *
+ */
+
+static const char version_2_0[4] = {0 , 0, 2, 0};
+
+static krb5_error_code
+verify_req_hash(krb5_context context, 
+               const Kx509Request *req,
+               krb5_keyblock *key)
+{
+    unsigned char digest[SHA_DIGEST_LENGTH];
+    HMAC_CTX ctx;
+    
+    if (req->pk_hash.length != sizeof(digest)) {
+       krb5_set_error_string(context, "pk-hash have wrong length: %lu",
+                             (unsigned long)req->pk_hash.length);
+       return KRB5KDC_ERR_PREAUTH_FAILED;
+    }
+
+    HMAC_CTX_init(&ctx);
+    HMAC_Init_ex(&ctx, 
+                key->keyvalue.data, key->keyvalue.length, 
+                EVP_sha1(), NULL);
+    if (sizeof(digest) != HMAC_size(&ctx))
+       krb5_abortx(context, "runtime error, hmac buffer wrong size in kx509");
+    HMAC_Update(&ctx, version_2_0, sizeof(version_2_0));
+    HMAC_Update(&ctx, req->pk_key.data, req->pk_key.length);
+    HMAC_Final(&ctx, digest, 0);
+    HMAC_CTX_cleanup(&ctx);
+
+    if (memcmp(req->pk_hash.data, digest, sizeof(digest)) != 0) {
+       krb5_set_error_string(context, "pk-hash is not correct");
+       return KRB5KDC_ERR_PREAUTH_FAILED;
+    }
+    return 0;
+}
+
+static krb5_error_code
+calculate_reply_hash(krb5_context context,
+                    krb5_keyblock *key,
+                    Kx509Response *rep)
+{
+    HMAC_CTX ctx;
+    
+    HMAC_CTX_init(&ctx);
+
+    HMAC_Init_ex(&ctx, 
+                key->keyvalue.data, key->keyvalue.length, 
+                EVP_sha1(), NULL);
+    rep->hash->length = HMAC_size(&ctx);
+    rep->hash->data = malloc(rep->hash->length);
+    if (rep->hash->data == NULL) {
+       HMAC_CTX_cleanup(&ctx);
+       krb5_set_error_string(context, "out of memory");
+       return ENOMEM;
+    }
+
+    HMAC_Update(&ctx, version_2_0, sizeof(version_2_0));
+    if (rep->error_code) {
+       int32_t t = *rep->error_code;
+       do {
+           unsigned char p = (t & 0xff);
+           HMAC_Update(&ctx, &p, 1);
+           t >>= 8;
+       } while (t);
+    }
+    if (rep->certificate)
+       HMAC_Update(&ctx, rep->certificate->data, rep->certificate->length);
+    if (rep->e_text)
+       HMAC_Update(&ctx, *rep->e_text, strlen(*rep->e_text));
+
+    HMAC_Final(&ctx, rep->hash->data, 0);
+    HMAC_CTX_cleanup(&ctx);
+
+    return 0;
+}
+
+/*
+ * Build a certifate for `principal´ that will expire at `endtime´.
+ */
+
+static krb5_error_code
+build_certificate(krb5_context context, 
+                 krb5_kdc_configuration *config,
+                 const krb5_data *key,
+                 time_t endtime,
+                 krb5_principal principal,
+                 krb5_data *certificate)
+{
+    /* XXX write code here to generate certificates */
+    FILE *in, *out;
+    krb5_error_code ret;
+    const char *program;
+    char *str, *strkey;
+    char tstr[64];
+    pid_t pid;
+
+    snprintf(tstr, sizeof(tstr), "%lu", (unsigned long)endtime);
+
+    ret = base64_encode(key->data, key->length, &strkey);
+    if (ret < 0) {
+       krb5_set_error_string(context, "failed to base64 encode key");
+       return ENOMEM;
+    }
+
+    program = krb5_config_get_string(context,
+                                    NULL,
+                                    "kdc",
+                                    "kx509_cert_program",
+                                    NULL);
+    if (program == NULL) {
+       free(strkey);
+       krb5_set_error_string(context, "no certificate program configured");
+       return ENOENT;
+    }
+
+    ret = krb5_unparse_name(context, principal, &str);
+    if (ret) {
+       free(strkey);
+       return ret;
+    }
+
+    pid = pipe_execv(&in, &out, NULL, program, str, tstr, NULL);
+    free(str);
+    if (pid <= 0) {
+       free(strkey);
+       krb5_set_error_string(context, 
+                             "Failed to run the cert program %s",
+                             program);
+       return ret;
+    }
+    fprintf(in, "%s\n", strkey);
+    fclose(in);
+    free(strkey);
+
+    {
+       unsigned buf[1024 * 10];
+       size_t len;
+
+       len = fread(buf, 1, sizeof(buf), out);
+       fclose(out);
+       if(len == 0) {
+           krb5_set_error_string(context, 
+                                 "Certificate program returned no data");
+           return KRB5KDC_ERR_PREAUTH_FAILED;
+       }
+       ret = krb5_data_copy(certificate, buf, len);
+       if (ret) {
+           krb5_set_error_string(context, "Failed To copy certificate");
+           return ret;
+       }
+    }
+    kill(pid, SIGKILL);
+    waitpid(pid, NULL, 0);
+    return 0;
+}
+
+/*
+ *
+ */
+
+krb5_error_code
+_kdc_do_kx509(krb5_context context, 
+             krb5_kdc_configuration *config,
+             const Kx509Request *req, krb5_data *reply,
+             const char *from, struct sockaddr *addr)
+{
+    krb5_error_code ret;
+    krb5_ticket *ticket = NULL;
+    krb5_flags ap_req_options;
+    krb5_auth_context ac = NULL;
+    krb5_keytab id = NULL;
+    krb5_principal sprincipal = NULL, cprincipal = NULL;
+    char *cname = NULL;
+    Kx509Response rep;
+    size_t size;
+    krb5_keyblock *key = NULL;
+
+    krb5_data_zero(reply);
+    memset(&rep, 0, sizeof(rep));
+
+    if(!config->enable_kx509) {
+       kdc_log(context, config, 0, 
+               "Rejected kx509 request (disabled) from %s", from);
+       return KRB5KDC_ERR_POLICY;
+    }
+
+    kdc_log(context, config, 0, "Kx509 request from %s", from);
+
+    ret = krb5_kt_resolve(context, "HDB:", &id);
+    if (ret) {
+       kdc_log(context, config, 0, "Can't open database for digest");
+       goto out;
+    }
+
+    ret = krb5_rd_req(context, 
+                     &ac,
+                     &req->authenticator,
+                     NULL,
+                     id,
+                     &ap_req_options,
+                     &ticket);
+    if (ret)
+       goto out;
+
+    ret = krb5_ticket_get_client(context, ticket, &cprincipal);
+    if (ret)
+       goto out;
+
+    ret = krb5_unparse_name(context, cprincipal, &cname);
+    if (ret)
+       goto out;
+    
+    /* verify server principal */
+
+    ret = krb5_sname_to_principal(context, NULL, "kca_service",
+                                 KRB5_NT_UNKNOWN, &sprincipal);
+    if (ret)
+       goto out;
+
+    {
+       krb5_principal principal = NULL;
+
+       ret = krb5_ticket_get_server(context, ticket, &principal);
+       if (ret)
+           goto out;
+
+       ret = krb5_principal_compare(context, sprincipal, principal);
+       krb5_free_principal(context, principal);
+       if (ret != TRUE) {
+           ret = KRB5KDC_ERR_SERVER_NOMATCH;
+           krb5_set_error_string(context, 
+                                 "User %s used wrong Kx509 service principal",
+                                 cname);
+           goto out;
+       }
+    }
+    
+    ret = krb5_auth_con_getkey(context, ac, &key);
+    if (ret || key == NULL) {
+       krb5_set_error_string(context, "Kx509 can't get session key");
+       goto out;
+    }
+    
+    ret = verify_req_hash(context, req, key);
+    if (ret)
+       goto out;
+
+    ALLOC(rep.certificate);
+    if (rep.certificate == NULL)
+       goto out;
+    krb5_data_zero(rep.certificate);
+    ALLOC(rep.hash);
+    if (rep.hash == NULL)
+       goto out;
+    krb5_data_zero(rep.hash);
+
+    ret = build_certificate(context, config, &req->pk_key, 
+                           krb5_ticket_get_endtime(context, ticket),
+                           cprincipal, rep.certificate);
+    if (ret)
+       goto out;
+
+    ret = calculate_reply_hash(context, key, &rep);
+    if (ret)
+       goto out;
+
+    /*
+     * Encode reply, [ version | Kx509Response ]
+     */
+
+    {
+       krb5_data data;
+
+       ASN1_MALLOC_ENCODE(Kx509Response, data.data, data.length, &rep,
+                          &size, ret);
+       if (ret) {
+           krb5_set_error_string(context, "Failed to encode kx509 reply");
+           goto out;
+       }
+       if (size != data.length)
+           krb5_abortx(context, "ASN1 internal error");
+
+       ret = krb5_data_alloc(reply, data.length + sizeof(version_2_0));
+       if (ret) {
+           free(data.data);
+           goto out;
+       }
+       memcpy(reply->data, version_2_0, sizeof(version_2_0));
+       memcpy(((unsigned char *)reply->data) + sizeof(version_2_0),
+              data.data, data.length);
+       free(data.data);
+    }
+
+    kdc_log(context, config, 0, "Successful Kx509 request for %s", cname);
+
+out:
+    if (ac)
+       krb5_auth_con_free(context, ac);
+    if (ret)
+       krb5_warn(context, ret, "Kx509 request from %s failed", from);
+    if (ticket)
+       krb5_free_ticket(context, ticket);
+    if (id)
+       krb5_kt_close(context, id);
+    if (sprincipal)
+       krb5_free_principal(context, sprincipal);
+    if (cprincipal)
+       krb5_free_principal(context, cprincipal);
+    if (key)
+       krb5_free_keyblock (context, key);
+    if (cname)
+       free(cname);
+    free_Kx509Response(&rep);
+
+    return 0;
+}
index 6657ab7c4484c7fff46dee72f1b6de55da2cb0a8..418a38d0307ab2b3969332c0cdf3b5725e20e9eb 100755 (executable)
@@ -1,5 +1,5 @@
 /*
- * Copyright (c) 2003 - 2005 Kungliga Tekniska Högskolan
+ * Copyright (c) 2003 - 2006 Kungliga Tekniska Högskolan
  * (Royal Institute of Technology, Stockholm, Sweden). 
  * All rights reserved. 
  *
@@ -33,7 +33,7 @@
 
 #include "kdc_locl.h"
 
-RCSID("$Id: pkinit.c,v 1.74 2006/11/10 03:37:43 lha Exp $");
+RCSID("$Id: pkinit.c,v 1.86 2007/01/04 12:54:09 lha Exp $");
 
 #ifdef PKINIT
 
@@ -68,6 +68,8 @@ struct pk_client_params {
     DH *dh;
     EncryptionKey reply_key;
     char *dh_group_name;
+    hx509_peer_info peer;
+    hx509_certs client_anchors;
 };
 
 struct pk_principal_mapping {
@@ -180,6 +182,10 @@ _kdc_pk_free_client_param(krb5_context context,
     krb5_free_keyblock_contents(context, &client_params->reply_key);
     if (client_params->dh_group_name)
        free(client_params->dh_group_name);
+    if (client_params->peer)
+       hx509_peer_info_free(client_params->peer);
+    if (client_params->client_anchors)
+       hx509_certs_free(&client_params->client_anchors);
     memset(client_params, 0, sizeof(*client_params));
     free(client_params);
 }
@@ -302,8 +308,10 @@ get_dh_param(krb5_context context,
     ret = _krb5_dh_group_ok(context, config->pkinit_dh_min_bits, 
                            &dhparam.p, &dhparam.g, &dhparam.q, moduli,
                            &client_params->dh_group_name);
-    if (ret)
+    if (ret) {
+       /* XXX send back proposal of better group */
        goto out;
+    }
 
     dh = DH_new();
     if (dh == NULL) {
@@ -354,64 +362,6 @@ get_dh_param(krb5_context context,
     return ret;
 }
 
-#if 0
-/* 
- * XXX We only need this function if there are several certs for the
- * KDC to choose from, and right now, we can't handle that so punt for
- * now.
- *
- * If client has sent a list of CA's trusted by him, make sure our
- * CA is in the list.
- *
- */
-
-static void
-verify_trusted_ca(PA_PK_AS_REQ_19 *r)
-{
-
-    if (r.trustedCertifiers != NULL) {
-       X509_NAME *kdc_issuer;
-       X509 *kdc_cert;
-
-       kdc_cert = sk_X509_value(kdc_identity->cert, 0);
-       kdc_issuer = X509_get_issuer_name(kdc_cert);
-     
-       /* XXX will work for heirarchical CA's ? */
-       /* XXX also serial_number should be compared */
-
-       ret = KRB5_KDC_ERR_KDC_NOT_TRUSTED;
-       for (i = 0; i < r.trustedCertifiers->len; i++) {
-           TrustedCA_19 *ca = &r.trustedCertifiers->val[i];
-
-           switch (ca->element) {
-           case choice_TrustedCA_19_caName: {
-               X509_NAME *name;
-               unsigned char *p;
-
-               p = ca->u.caName.data;
-               name = d2i_X509_NAME(NULL, &p, ca->u.caName.length);
-               if (name == NULL) /* XXX should this be a failure instead ? */
-                   break;
-               if (X509_NAME_cmp(name, kdc_issuer) == 0)
-                   ret = 0;
-               X509_NAME_free(name);
-               break;
-           }
-           case choice_TrustedCA_19_issuerAndSerial:
-               /* IssuerAndSerialNumber issuerAndSerial */
-               break;
-           default:
-               break;
-           }
-           if (ret == 0)
-               break;
-       }
-       if (ret)
-           goto out;
-    }
-}
-#endif /* 0 */
-
 krb5_error_code
 _kdc_pk_rd_padata(krb5_context context,
                  krb5_kdc_configuration *config,
@@ -483,7 +433,61 @@ _kdc_pk_rd_padata(krb5_context context,
            goto out;
        }
        
-       /* XXX look at r.trustedCertifiers and r.kdcPkId */
+       /* XXX look at r.kdcPkId */
+       if (r.trustedCertifiers) {
+           ExternalPrincipalIdentifiers *edi = r.trustedCertifiers;
+           unsigned int i;
+
+           ret = hx509_certs_init(kdc_identity->hx509ctx,
+                                  "MEMORY:client-anchors",
+                                  0, NULL,
+                                  &client_params->client_anchors);
+           if (ret) {
+               krb5_set_error_string(context, "Can't allocate client anchors: %d", ret);
+               goto out;
+
+           }
+           for (i = 0; i < edi->len; i++) {
+               IssuerAndSerialNumber iasn;
+               hx509_query *q;
+               hx509_cert cert;
+               size_t size;
+
+               if (edi->val[i].issuerAndSerialNumber == NULL)
+                   continue;
+
+               ret = hx509_query_alloc(kdc_identity->hx509ctx, &q);
+               if (ret) {
+                   krb5_set_error_string(context, 
+                                         "Failed to allocate hx509_query");
+                   goto out;
+               }
+               
+               ret = decode_IssuerAndSerialNumber(edi->val[i].issuerAndSerialNumber->data,
+                                                  edi->val[i].issuerAndSerialNumber->length,
+                                                  &iasn,
+                                                  &size);
+               if (ret || size != 0) {
+                   hx509_query_free(kdc_identity->hx509ctx, q);
+                   continue;
+               }
+               ret = hx509_query_match_issuer_serial(q, &iasn.issuer, &iasn.serialNumber);
+               free_IssuerAndSerialNumber(&iasn);
+               if (ret)
+                   continue;
+
+               ret = hx509_certs_find(kdc_identity->hx509ctx,
+                                      kdc_identity->certs,
+                                      q,
+                                      &cert);
+               hx509_query_free(kdc_identity->hx509ctx, q);
+               if (ret)
+                   continue;
+               hx509_certs_add(kdc_identity->hx509ctx, 
+                               client_params->client_anchors, cert);
+               hx509_cert_free(cert);
+           }
+       }
 
        ret = hx509_cms_unwrap_ContentInfo(&r.signedAuthPack,
                                           &contentInfoOid,
@@ -611,6 +615,23 @@ _kdc_pk_rd_padata(krb5_context context,
                goto out;
            }
        }
+
+       if (ap.supportedCMSTypes) {
+           ret = hx509_peer_info_alloc(kdc_identity->hx509ctx,
+                                       &client_params->peer);
+           if (ret) {
+               free_AuthPack(&ap);
+               goto out;
+           }
+           ret = hx509_peer_info_set_cms_algs(kdc_identity->hx509ctx,
+                                              client_params->peer,
+                                              ap.supportedCMSTypes->val,
+                                              ap.supportedCMSTypes->len);
+           if (ret) {
+               free_AuthPack(&ap);
+               goto out;
+           }
+       }
        free_AuthPack(&ap);
     } else
        krb5_abortx(context, "internal pkinit error");
@@ -752,7 +773,8 @@ pk_mk_pa_reply_enckey(krb5_context context,
                                        buf.length,
                                        NULL,
                                        cert,
-                                       kdc_identity->anchors,
+                                       client_params->peer,
+                                       client_params->client_anchors,
                                        kdc_identity->certpool,
                                        &signed_data);
        hx509_cert_free(cert);
@@ -864,7 +886,8 @@ pk_mk_pa_reply_dh(krb5_context context,
                                        buf.length,
                                        NULL,
                                        cert,
-                                       kdc_identity->anchors,
+                                       client_params->peer,
+                                       client_params->client_anchors,
                                        kdc_identity->certpool,
                                        &signed_data);
        *kdc_cert = cert;
@@ -948,8 +971,12 @@ _kdc_pk_mk_pa_reply(krb5_context context,
 
            rep.element = choice_PA_PK_AS_REP_encKeyPack;
 
-           krb5_generate_random_keyblock(context, enctype, 
-                                         &client_params->reply_key);
+           ret = krb5_generate_random_keyblock(context, enctype, 
+                                               &client_params->reply_key);
+           if (ret) {
+               free_PA_PK_AS_REP(&rep);
+               goto out;
+           }
            ret = pk_mk_pa_reply_enckey(context,
                                        client_params,
                                        req,
@@ -1039,8 +1066,12 @@ _kdc_pk_mk_pa_reply(krb5_context context,
        pa_type = KRB5_PADATA_PK_AS_REP_19;
        rep.element = choice_PA_PK_AS_REP_encKeyPack;
 
-       krb5_generate_random_keyblock(context, enctype, 
-                                     &client_params->reply_key);
+       ret = krb5_generate_random_keyblock(context, enctype, 
+                                           &client_params->reply_key);
+       if (ret) {
+           free_PA_PK_AS_REP_Win2k(&rep);
+           goto out;
+       }
        ret = pk_mk_pa_reply_enckey(context,
                                    client_params,
                                    req,
@@ -1337,6 +1368,35 @@ add_principal_mapping(krb5_context context,
    return 0;
 }
 
+krb5_error_code
+_kdc_add_inital_verified_cas(krb5_context context,
+                            krb5_kdc_configuration *config,
+                            pk_client_params *params,
+                            EncTicketPart *tkt)
+{
+    AD_INITIAL_VERIFIED_CAS cas;
+    krb5_error_code ret;
+    krb5_data data;
+    size_t size;
+
+    memset(&cas, 0, sizeof(cas));
+    
+    /* XXX add CAs to cas here */
+
+    ASN1_MALLOC_ENCODE(AD_INITIAL_VERIFIED_CAS, data.data, data.length,
+                      &cas, &size, ret);
+    if (ret)
+       return ret;
+    if (data.length != size)
+       krb5_abortx(context, "internal asn.1 encoder error");
+
+    ret = _kdc_tkt_add_if_relevant_ad(context, tkt, 
+                                     ad_initial_verified_cas, &data);
+    krb5_data_free(&data);
+    return ret;
+}
+
+
 
 krb5_error_code
 _kdc_pk_initialize(krb5_context context,
@@ -1372,7 +1432,7 @@ _kdc_pk_initialize(krb5_context context,
                           NULL,
                           NULL);
     if (ret) {
-       krb5_warn(context, ret, "PKINIT: failed to load");
+       krb5_warn(context, ret, "PKINIT: ");
        config->enable_pkinit = 0;
        return ret;
     }
@@ -1411,7 +1471,7 @@ _kdc_pk_initialize(krb5_context context,
                                       NULL,
                                       FALSE,
                                       "kdc",
-                                      "pki-allow-proxy-certificate",
+                                      "pkinit_allow_proxy_certificate",
                                       NULL);
     _krb5_pk_allow_proxy_certificate(kdc_identity, ret);
 
@@ -1419,7 +1479,7 @@ _kdc_pk_initialize(krb5_context context,
                                          NULL,
                                          HDB_DB_DIR "/pki-mapping",
                                          "kdc",
-                                         "pki-mappings-file",
+                                         "pkinit_mappings_file",
                                          NULL);
     f = fopen(file, "r");
     if (f == NULL) {
index ed5cb3d651330c046fad37e7fb1059260770f247..a64efaa05ddd216d7898fa7170ff0fa8b265dbe7 100644 (file)
@@ -34,7 +34,7 @@
 
 #include "kdc_locl.h"
 
-RCSID("$Id: process.c,v 1.5 2006/10/09 15:37:39 lha Exp $");
+RCSID("$Id: process.c,v 1.7 2006/12/28 21:09:35 lha Exp $");
 
 /*
  * handle the request in `buf, len', from `addr' (or `from' as a string),
@@ -55,6 +55,7 @@ krb5_kdc_process_request(krb5_context context,
     KDC_REQ req;
     Ticket ticket;
     DigestREQ digestreq;
+    Kx509Request kx509req;
     krb5_error_code ret;
     size_t i;
 
@@ -70,7 +71,7 @@ krb5_kdc_process_request(krb5_context context,
        free_AS_REQ(&req);
        return ret;
     }else if(decode_TGS_REQ(buf, len, &req, &i) == 0){
-       ret = _kdc_tgs_rep(context, config, &req, reply, from, addr);
+       ret = _kdc_tgs_rep(context, config, &req, reply, from, addr, datagram_reply);
        free_TGS_REQ(&req);
        return ret;
     }else if(decode_Ticket(buf, len, &ticket, &i) == 0){
@@ -81,6 +82,10 @@ krb5_kdc_process_request(krb5_context context,
        ret = _kdc_do_digest(context, config, &digestreq, reply, from, addr);
        free_DigestREQ(&digestreq);
        return ret;
+    } else if (_kdc_try_kx509_request(buf, len, &kx509req, &i) == 0) {
+       ret = _kdc_do_kx509(context, config, &kx509req, reply, from, addr);
+       free_Kx509Request(&kx509req);
+       return ret;
     } else if(_kdc_maybe_version4(buf, len)){
        *prependlength = FALSE; /* elbitapmoc sdrawkcab XXX */
        _kdc_do_version4(context, config, buf, len, reply, from, 
@@ -128,7 +133,7 @@ krb5_kdc_process_krb5_request(krb5_context context,
        free_AS_REQ(&req);
        return ret;
     }else if(decode_TGS_REQ(buf, len, &req, &i) == 0){
-       ret = _kdc_tgs_rep(context, config, &req, reply, from, addr);
+       ret = _kdc_tgs_rep(context, config, &req, reply, from, addr, datagram_reply);
        free_TGS_REQ(&req);
        return ret;
     }
diff --git a/source4/heimdal/kdc/windc.c b/source4/heimdal/kdc/windc.c
new file mode 100644 (file)
index 0000000..41e4ad1
--- /dev/null
@@ -0,0 +1,108 @@
+/*
+ * Copyright (c) 2007 Kungliga Tekniska Högskolan
+ * (Royal Institute of Technology, Stockholm, Sweden). 
+ * All rights reserved. 
+ *
+ * Redistribution and use in source and binary forms, with or without 
+ * modification, are permitted provided that the following conditions 
+ * are met: 
+ *
+ * 1. Redistributions of source code must retain the above copyright 
+ *    notice, this list of conditions and the following disclaimer. 
+ *
+ * 2. Redistributions in binary form must reproduce the above copyright 
+ *    notice, this list of conditions and the following disclaimer in the 
+ *    documentation and/or other materials provided with the distribution. 
+ *
+ * 3. Neither the name of the Institute nor the names of its contributors 
+ *    may be used to endorse or promote products derived from this software 
+ *    without specific prior written permission. 
+ *
+ * THIS SOFTWARE IS PROVIDED BY THE INSTITUTE AND CONTRIBUTORS ``AS IS'' AND 
+ * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE 
+ * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE 
+ * ARE DISCLAIMED.  IN NO EVENT SHALL THE INSTITUTE OR CONTRIBUTORS BE LIABLE 
+ * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL 
+ * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 
+ * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 
+ * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT 
+ * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 
+ * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 
+ * SUCH DAMAGE. 
+ */
+
+#include "kdc_locl.h"
+
+RCSID("$Id: windc.c,v 1.3 2007/01/04 11:10:06 lha Exp $");
+
+static krb5plugin_windc_ftable *windcft;
+static void *windcctx;
+
+/*
+ * Pick the first WINDC module that we find.
+ */
+
+krb5_error_code
+_kdc_windc_init(krb5_context context)
+{
+    struct krb5_plugin *list = NULL, *e;
+    krb5_error_code ret;
+
+    ret = _krb5_plugin_find(context, PLUGIN_TYPE_DATA, "windc", &list);
+    if(ret != 0 || list == NULL)
+       return 0;
+
+    for (e = list; e != NULL; e = _krb5_plugin_get_next(e)) {
+
+       windcft = _krb5_plugin_get_symbol(e);
+       if (windcft->minor_version < KRB5_WINDC_PLUGING_MINOR)
+           continue;
+       
+       (*windcft->init)(context, &windcctx);
+       break;
+    }
+    if (e == NULL) {
+       _krb5_plugin_free(list);
+       krb5_set_error_string(context, "Did not find any WINDC plugin");
+       windcft = NULL;
+       return ENOENT;
+    }
+
+    return 0;
+}
+
+
+krb5_error_code 
+_kdc_pac_generate(krb5_context context,
+                 hdb_entry_ex *client, 
+                 krb5_pac *pac)
+{
+    *pac = NULL;
+    if (windcft == NULL)
+       return 0;
+    return (windcft->pac_generate)(windcctx, context, client, pac);
+}
+
+krb5_error_code 
+_kdc_pac_verify(krb5_context context, 
+               const krb5_principal client_principal,
+               hdb_entry_ex *client,
+               hdb_entry_ex *server,
+               krb5_pac *pac)
+{
+    if (windcft == NULL) {
+       krb5_set_error_string(context, "Can't verify WINDC, no function");
+       return EINVAL;
+    }
+    return (windcft->pac_verify)(windcctx, context, client_principal, client, server, pac);
+}
+
+krb5_error_code
+_kdc_windc_client_access(krb5_context context,
+                        struct hdb_entry_ex *client,
+                        KDC_REQ *req)
+{
+    if (windcft == NULL)
+       return 0;
+    return (windcft->client_access)(windcctx, context, client, req);
+}
diff --git a/source4/heimdal/kdc/windc_plugin.h b/source4/heimdal/kdc/windc_plugin.h
new file mode 100644 (file)
index 0000000..a3b7534
--- /dev/null
@@ -0,0 +1,80 @@
+/*
+ * Copyright (c) 2006 Kungliga Tekniska Högskolan
+ * (Royal Institute of Technology, Stockholm, Sweden). 
+ * All rights reserved. 
+ *
+ * Redistribution and use in source and binary forms, with or without 
+ * modification, are permitted provided that the following conditions 
+ * are met: 
+ *
+ * 1. Redistributions of source code must retain the above copyright 
+ *    notice, this list of conditions and the following disclaimer. 
+ *
+ * 2. Redistributions in binary form must reproduce the above copyright 
+ *    notice, this list of conditions and the following disclaimer in the 
+ *    documentation and/or other materials provided with the distribution. 
+ *
+ * 3. Neither the name of the Institute nor the names of its contributors 
+ *    may be used to endorse or promote products derived from this software 
+ *    without specific prior written permission. 
+ *
+ * THIS SOFTWARE IS PROVIDED BY THE INSTITUTE AND CONTRIBUTORS ``AS IS'' AND 
+ * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE 
+ * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE 
+ * ARE DISCLAIMED.  IN NO EVENT SHALL THE INSTITUTE OR CONTRIBUTORS BE LIABLE 
+ * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL 
+ * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 
+ * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 
+ * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT 
+ * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 
+ * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 
+ * SUCH DAMAGE. 
+ */
+
+/* $Id: windc_plugin.h,v 1.2 2007/01/04 11:13:51 lha Exp $ */
+
+#ifndef HEIMDAL_KRB5_PAC_PLUGIN_H
+#define HEIMDAL_KRB5_PAC_PLUGIN_H 1
+
+#include <krb5.h>
+
+/*
+ * The PAC generate function should allocate a krb5_pac using
+ * krb5_pac_init and fill in the PAC structure for the principal using
+ * krb5_pac_add_buffer.
+ *
+ * The PAC verify function should verify all components in the PAC
+ * using krb5_pac_get_types and krb5_pac_get_buffer for all types.
+ *
+ * Check client access function check if the client is authorized.
+ */
+
+struct hdb_entry_ex;
+
+typedef krb5_error_code 
+(*krb5plugin_windc_pac_generate)(void *, krb5_context,
+                                struct hdb_entry_ex *, krb5_pac *);
+
+typedef krb5_error_code 
+(*krb5plugin_windc_pac_verify)(void *, krb5_context,
+                              const krb5_principal,
+                              struct hdb_entry_ex *,  struct hdb_entry_ex *, krb5_pac *);
+
+typedef krb5_error_code 
+(*krb5plugin_windc_client_access)(
+    void *, krb5_context, struct hdb_entry_ex *, KDC_REQ *);
+
+
+#define KRB5_WINDC_PLUGING_MINOR               2
+
+typedef struct krb5plugin_windc_ftable {
+    int                        minor_version;
+    krb5_error_code    (*init)(krb5_context, void **);
+    void               (*fini)(void *);
+    krb5plugin_windc_pac_generate      pac_generate;
+    krb5plugin_windc_pac_verify                pac_verify;
+    krb5plugin_windc_client_access     client_access;
+} krb5plugin_windc_ftable;
+
+#endif /* HEIMDAL_KRB5_PAC_PLUGIN_H */
+
index ab06ae79dd630d02670386744f71d584c906fe4b..5f09cd6794650750cdc658c03c07e4de4e659365 100644 (file)
@@ -1,4 +1,4 @@
-/* $Id: asn1-common.h,v 1.6 2006/10/14 05:09:47 lha Exp $ */
+/* $Id: asn1-common.h,v 1.7 2006/12/28 17:14:10 lha Exp $ */
 
 #include <stddef.h>
 #include <time.h>
@@ -32,6 +32,7 @@ typedef struct heim_universal_string {
     uint32_t *data;
 } heim_universal_string;
 
+typedef char *heim_visible_string;
 
 typedef struct heim_oid {
     size_t length;
index 3aee392c962a3c58a28e992c25683f4255e71f37..7bfe02ebb44987ec7ec2f14ef92007e9d24da78d 100644 (file)
@@ -82,6 +82,11 @@ der_copy_utf8string (
        const heim_utf8_string */*from*/,
        heim_utf8_string */*to*/);
 
+int
+der_copy_visible_string (
+       const heim_visible_string */*from*/,
+       heim_visible_string */*to*/);
+
 void
 der_free_bit_string (heim_bit_string */*k*/);
 
@@ -112,6 +117,9 @@ der_free_universal_string (heim_universal_string */*k*/);
 void
 der_free_utf8string (heim_utf8_string */*str*/);
 
+void
+der_free_visible_string (heim_visible_string */*str*/);
+
 int
 der_get_bit_string (
        const unsigned char */*p*/,
@@ -251,6 +259,13 @@ der_get_utf8string (
        heim_utf8_string */*str*/,
        size_t */*size*/);
 
+int
+der_get_visible_string (
+       const unsigned char */*p*/,
+       size_t /*len*/,
+       heim_visible_string */*str*/,
+       size_t */*size*/);
+
 int
 der_heim_bit_string_cmp (
        const heim_bit_string */*p*/,
@@ -332,6 +347,9 @@ der_length_utctime (const time_t */*t*/);
 size_t
 der_length_utf8string (const heim_utf8_string */*data*/);
 
+size_t
+der_length_visible_string (const heim_visible_string */*data*/);
+
 int
 der_match_tag (
        const unsigned char */*p*/,
@@ -504,6 +522,13 @@ der_put_utf8string (
        const heim_utf8_string */*str*/,
        size_t */*size*/);
 
+int
+der_put_visible_string (
+       unsigned char */*p*/,
+       size_t /*len*/,
+       const heim_visible_string */*str*/,
+       size_t */*size*/);
+
 int
 encode_heim_any (
        unsigned char */*p*/,
index 96eea9c6d7c99416346417624b6223c3d04ecdce..15e7b817a04ba4d9ef0eb47f283371548303ce41 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "der_locl.h"
 
-RCSID("$Id: der_copy.c,v 1.16 2006/10/14 05:30:02 lha Exp $");
+RCSID("$Id: der_copy.c,v 1.17 2006/12/28 17:14:17 lha Exp $");
 
 int
 der_copy_general_string (const heim_general_string *from, 
@@ -88,6 +88,13 @@ der_copy_universal_string (const heim_universal_string *from,
     return 0;
 }
 
+int
+der_copy_visible_string (const heim_visible_string *from, 
+                        heim_visible_string *to)
+{
+    return der_copy_general_string(from, to);
+}
+
 int
 der_copy_octet_string (const heim_octet_string *from, heim_octet_string *to)
 {
index 9655269356d6a7716aa9ff21fd2ef97d004906cd..32cf23cb39b665e98e4e7805e7b588389dcd2d0b 100644 (file)
@@ -34,7 +34,7 @@
 #include "der_locl.h"
 #include <hex.h>
 
-RCSID("$Id: der_format.c,v 1.6 2006/10/21 18:24:15 lha Exp $");
+RCSID("$Id: der_format.c,v 1.8 2006/11/27 10:32:21 lha Exp $");
 
 int
 der_parse_hex_heim_integer (const char *p, heim_integer *data)
@@ -110,10 +110,13 @@ der_print_heim_oid (const heim_oid *oid, char delim, char **str)
     struct rk_strpool *p = NULL;
     int i;
 
+    if (oid->length == 0)
+       return EINVAL;
+
     for (i = 0; i < oid->length ; i++) {
-       p = rk_strpoolprintf(p, "%d%s", 
-                            oid->components[i],
-                            i < oid->length - 1 ? " " : "");
+       p = rk_strpoolprintf(p, "%d", oid->components[i]);
+       if (p && i < oid->length - 1)
+           p = rk_strpoolprintf(p, "%c", delim);
        if (p == NULL) {
            *str = NULL;
            return ENOMEM;
index c3a6a17fff730923cee5c3f0d4f34d196ea101b0..6827486d9f7720d44b5955d889e83760982746f7 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "der_locl.h"
 
-RCSID("$Id: der_free.c,v 1.13 2006/10/14 05:30:47 lha Exp $");
+RCSID("$Id: der_free.c,v 1.14 2006/12/28 17:14:21 lha Exp $");
 
 void
 der_free_general_string (heim_general_string *str)
@@ -79,6 +79,13 @@ der_free_universal_string (heim_universal_string *k)
     k->length = 0;
 }
 
+void
+der_free_visible_string (heim_visible_string *str)
+{
+    free(*str);
+    *str = NULL;
+}
+
 void
 der_free_octet_string (heim_octet_string *k)
 {
index 7808fa81651d7099bf6d633aeef41336d5e8b482..a1ed23f10bce13f4300ef8f237dbf8c9a0566b9e 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "der_locl.h"
 
-RCSID("$Id: der_get.c,v 1.50 2006/10/19 16:27:44 lha Exp $");
+RCSID("$Id: der_get.c,v 1.51 2006/12/28 17:14:25 lha Exp $");
 
 #include <version.h>
 
@@ -214,6 +214,13 @@ der_get_universal_string (const unsigned char *p, size_t len,
     return 0;
 }
 
+int
+der_get_visible_string (const unsigned char *p, size_t len, 
+                       heim_visible_string *str, size_t *size)
+{
+    return der_get_general_string(p, len, str, size);
+}
+
 int
 der_get_octet_string (const unsigned char *p, size_t len, 
                      heim_octet_string *data, size_t *size)
index 9b2e9f09981c981feddfd215e5017feccc3809fc..93cabe466c1e6cc05883feb050b15f6bfc0dc60e 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "der_locl.h"
 
-RCSID("$Id: der_length.c,v 1.19 2006/10/14 05:26:06 lha Exp $");
+RCSID("$Id: der_length.c,v 1.20 2006/12/28 17:14:28 lha Exp $");
 
 size_t
 _heim_len_unsigned (unsigned val)
@@ -166,6 +166,12 @@ der_length_universal_string (const heim_universal_string *data)
     return data->length * 4;
 }
 
+size_t
+der_length_visible_string (const heim_visible_string *data)
+{
+    return strlen(*data);
+}
+
 size_t
 der_length_octet_string (const heim_octet_string *k)
 {
index b006f233ca62ab8ab9395fc74c8bf61837501782..9ed8f21906e76f1987ca8be10ebff7de850ebddd 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "der_locl.h"
 
-RCSID("$Id: der_put.c,v 1.33 2005/07/12 06:27:23 lha Exp $");
+RCSID("$Id: der_put.c,v 1.34 2006/12/28 17:14:33 lha Exp $");
 
 /*
  * All encoding functions take a pointer `p' to first position in
@@ -230,6 +230,13 @@ der_put_universal_string (unsigned char *p, size_t len,
     return 0;
 }
 
+int
+der_put_visible_string (unsigned char *p, size_t len, 
+                        const heim_visible_string *str, size_t *size)
+{
+    return der_put_general_string(p, len, str, size);
+}
+
 int
 der_put_octet_string (unsigned char *p, size_t len, 
                      const heim_octet_string *data, size_t *size)
index 1f8f18b5cd946f5f4d70dfa88da4cc29dafeb5a0..92bfb232343a5162bc39a3a2f75669582ba7cd16 100644 (file)
@@ -1,4 +1,4 @@
--- $Id: digest.asn1,v 1.9 2006/08/25 11:57:54 lha Exp $
+-- $Id: digest.asn1,v 1.10 2006/12/15 19:13:39 lha Exp $
 
 DIGEST DEFINITIONS ::=
 BEGIN
@@ -58,9 +58,43 @@ DigestResponse ::= SEQUENCE  {
     hash-a1            [3] OCTET STRING OPTIONAL
 }
 
+NTLMInit ::= SEQUENCE {
+    flags              [0] INTEGER (0..4294967295),
+    hostname           [1] UTF8String OPTIONAL,
+    domain             [1] UTF8String OPTIONAL
+}
+
+NTLMInitReply ::= SEQUENCE {
+    flags              [0] INTEGER (0..4294967295),
+    opaque             [1] OCTET STRING,
+    targetname         [2] UTF8String,
+    challange          [3] OCTET STRING,
+    targetinfo         [4] OCTET STRING OPTIONAL
+}
+
+NTLMRequest ::= SEQUENCE {
+    flags              [0] INTEGER (0..4294967295),
+    opaque             [1] OCTET STRING,
+    username           [2] UTF8String,
+    targetname         [3] UTF8String,
+    targetinfo         [4] OCTET STRING OPTIONAL,
+    lm                 [5] OCTET STRING,
+    ntlm               [6] OCTET STRING,
+    sessionkey         [7] OCTET STRING OPTIONAL
+}
+
+NTLMResponse ::= SEQUENCE {
+    success            [0] BOOLEAN,
+    flags              [1] INTEGER (0..4294967295),
+    sessionkey         [2] OCTET STRING OPTIONAL,
+    tickets            [3] SEQUENCE OF OCTET STRING OPTIONAL
+}
+
 DigestReqInner ::= CHOICE {
     init               [0] DigestInit,
-    digestRequest      [1] DigestRequest
+    digestRequest      [1] DigestRequest,
+    ntlmInit           [2] NTLMInit,
+    ntlmRequest                [3] NTLMRequest
 }
 
 DigestREQ ::= [APPLICATION 128] SEQUENCE {
@@ -71,7 +105,9 @@ DigestREQ ::= [APPLICATION 128] SEQUENCE {
 DigestRepInner ::= CHOICE {
     error              [0] DigestError,
     initReply          [1] DigestInitReply,
-    response           [2] DigestResponse
+    response           [2] DigestResponse,
+    ntlmInitReply      [3] NTLMInitReply,
+    ntlmResponse       [4] NTLMResponse
 }
 
 DigestREP ::= [APPLICATION 129] SEQUENCE {
index c3af316c888aaa4c14ba8e82316ed016f48d3c45..3bb9022be85db9338c7eab7f832394df861512b3 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "gen_locl.h"
 
-RCSID("$Id: gen.c,v 1.69 2006/10/14 05:11:52 lha Exp $");
+RCSID("$Id: gen.c,v 1.70 2006/12/28 17:14:37 lha Exp $");
 
 FILE *headerfile, *codefile, *logfile;
 
@@ -135,6 +135,9 @@ init_generate (const char *filename, const char *base)
             "  size_t length;\n"
             "  uint32_t *data;\n"
             "} heim_universal_string;\n\n");
+    fprintf (headerfile,
+            "typedef char *heim_visible_string;\n\n"
+            );
     fprintf (headerfile,
             "typedef struct heim_oid {\n"
             "  size_t length;\n"
@@ -504,6 +507,10 @@ define_asn1 (int level, Type *t)
        space(level);
        fprintf (headerfile, "UniversalString");
        break;
+    case TVisibleString:
+       space(level);
+       fprintf (headerfile, "VisibleString");
+       break;
     case TOID :
        space(level);
        fprintf(headerfile, "OBJECT IDENTIFIER");
@@ -736,6 +743,10 @@ define_type (int level, const char *name, Type *t, int typedefp, int preservep)
        space(level);
        fprintf (headerfile, "heim_universal_string %s;\n", name);
        break;
+    case TVisibleString:
+       space(level);
+       fprintf (headerfile, "heim_visible_string %s;\n", name);
+       break;
     case TOID :
        space(level);
        fprintf (headerfile, "heim_oid %s;\n", name);
index 9455f33c6f360a7ca1c88baae9da92bef3010a97..95646d0a3c8f70e8819e63dd0107dde4557593e0 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "gen_locl.h"
 
-RCSID("$Id: gen_copy.c,v 1.18 2006/10/14 05:34:19 lha Exp $");
+RCSID("$Id: gen_copy.c,v 1.19 2006/12/28 17:14:42 lha Exp $");
 
 static int used_fail;
 
@@ -202,6 +202,9 @@ copy_type (const char *from, const char *to, const Type *t, int preserve)
     case TUniversalString:
        copy_primitive ("universal_string", from, to);
        break;
+    case TVisibleString:
+       copy_primitive ("visible_string", from, to);
+       break;
     case TTag:
        copy_type (from, to, t->subtype, preserve);
        break;
index 193dab40e1a4e5ced8b1ec5ef35b69a3cd79e155..19ddbb46db67f1fc46cfbd7087873c685b4d5ffc 100644 (file)
@@ -1,5 +1,5 @@
 /*
- * Copyright (c) 1997 - 2005 Kungliga Tekniska Högskolan
+ * Copyright (c) 1997 - 2006 Kungliga Tekniska Högskolan
  * (Royal Institute of Technology, Stockholm, Sweden). 
  * All rights reserved. 
  *
@@ -34,7 +34,7 @@
 #include "gen_locl.h"
 #include "lex.h"
 
-RCSID("$Id: gen_decode.c,v 1.30 2006/09/24 09:13:12 lha Exp $");
+RCSID("$Id: gen_decode.c,v 1.32 2006/12/29 17:30:32 lha Exp $");
 
 static void
 decode_primitive (const char *typename, const char *name, const char *forwstr)
@@ -74,6 +74,7 @@ is_primitive_type(int type)
     case TIA5String:
     case TBMPString:
     case TUniversalString:
+    case TVisibleString:
     case TNull:
        return 1;
     default:
@@ -191,6 +192,11 @@ find_tag (const Type *t,
        *ty  = PRIM;
        *tag = UT_UniversalString;
        break;
+    case TVisibleString:
+       *cl  = ASN1_C_UNIV;
+       *ty  = PRIM;
+       *tag = UT_VisibleString;
+       break;
     default:
        abort();
     }
@@ -580,6 +586,9 @@ decode_type (const char *name, const Type *t, int optional,
     case TUniversalString:
        decode_primitive ("universal_string", name, forwstr);
        break;
+    case TVisibleString:
+       decode_primitive ("visible_string", name, forwstr);
+       break;
     case TNull:
        fprintf (codefile, "/* NULL */\n");
        break;
@@ -620,6 +629,7 @@ generate_type_decode (const Symbol *s)
     case TIA5String:
     case TBMPString:
     case TUniversalString:
+    case TVisibleString:
     case TUTCTime:
     case TNull:
     case TEnumerated:
index 4099fbf643331002168ff91bf36596106e729da5..bc2aff86e5dd085c4ce9da8aa43b1cdb05645d77 100644 (file)
@@ -1,5 +1,5 @@
 /*
- * Copyright (c) 1997 - 2005 Kungliga Tekniska Högskolan
+ * Copyright (c) 1997 - 2006 Kungliga Tekniska Högskolan
  * (Royal Institute of Technology, Stockholm, Sweden). 
  * All rights reserved. 
  *
@@ -33,7 +33,7 @@
 
 #include "gen_locl.h"
 
-RCSID("$Id: gen_encode.c,v 1.19 2005/08/23 11:52:16 lha Exp $");
+RCSID("$Id: gen_encode.c,v 1.22 2006/12/29 17:30:03 lha Exp $");
 
 static void
 encode_primitive (const char *typename, const char *name)
@@ -151,7 +151,6 @@ encode_type (const char *name, const Type *t, const char *tmpstr)
     case TBitString: {
        Member *m;
        int pos;
-       int rest;
 
        if (ASN1_TAILQ_EMPTY(t->members)) {
            encode_primitive("bit_string", name);
@@ -163,6 +162,7 @@ encode_type (const char *name, const Type *t, const char *tmpstr)
                 "unsigned char c = 0;\n");
        if (!rfc1510_bitstring)
            fprintf (codefile,
+                    "int rest = 0;\n"
                     "int bit_set = 0;\n");
 #if 0
        pos = t->members->prev->val;
@@ -181,9 +181,7 @@ encode_type (const char *name, const Type *t, const char *tmpstr)
        if (rfc1510_bitstring) {
            if (pos < 31)
                pos = 31;
-           rest = 7 - (pos % 8);
-       } else
-           rest = 0;
+       }
 
        ASN1_TAILQ_FOREACH_REVERSE(m, t->members, memhead, members) {
            while (m->val / 8 < pos / 8) {
@@ -192,20 +190,27 @@ encode_type (const char *name, const Type *t, const char *tmpstr)
                             "if (c != 0 || bit_set) {\n");
                fprintf (codefile,
                         "if (len < 1) return ASN1_OVERFLOW;\n"
-                        "*p-- = c; len--; ret++;\n"
-                        "c = 0;\n");
+                        "*p-- = c; len--; ret++;\n");
                if (!rfc1510_bitstring)
                    fprintf (codefile,
+                            "if (!bit_set) {\n"
+                            "rest = 0;\n"
+                            "while(c) { \n"
+                            "if (c & 1) break;\n"
+                            "c = c >> 1;\n"
+                            "rest++;\n"
+                            "}\n"
                             "bit_set = 1;\n"
+                            "}\n"
                             "}\n");
+               fprintf (codefile,
+                        "c = 0;\n");
                pos -= 8;
            }
            fprintf (codefile,
                     "if((%s)->%s) {\n"
                     "c |= 1<<%d;\n", 
                     name, m->gen_name, 7 - m->val % 8);
-           if (!rfc1510_bitstring)
-               rest = 7 - m->val % 8;
            fprintf (codefile,
                     "}\n");
        }
@@ -218,15 +223,25 @@ encode_type (const char *name, const Type *t, const char *tmpstr)
                 "*p-- = c; len--; ret++;\n");
        if (!rfc1510_bitstring)
            fprintf (codefile,
+                    "if (!bit_set) {\n"
+                    "rest = 0;\n"
+                    "if(c) { \n"
+                    "while(c) { \n"
+                    "if (c & 1) break;\n"
+                    "c = c >> 1;\n"
+                    "rest++;\n"
+                    "}\n"
+                    "}\n"
+                    "}\n"
                     "}\n");
-       
+
        fprintf (codefile, 
                 "if (len < 1) return ASN1_OVERFLOW;\n"
-                "*p-- = %d;\n"
+                "*p-- = %s;\n"
                 "len -= 1;\n"
                 "ret += 1;\n"
                 "}\n\n",
-                rest);
+                rfc1510_bitstring ? "0" : "rest");
        constructed = 0;
        break;
     }
@@ -467,6 +482,10 @@ encode_type (const char *name, const Type *t, const char *tmpstr)
        encode_primitive ("universal_string", name);
        constructed = 0;
        break;
+    case TVisibleString:
+       encode_primitive ("visible_string", name);
+       constructed = 0;
+       break;
     case TNull:
        fprintf (codefile, "/* NULL */\n");
        constructed = 0;
@@ -503,6 +522,7 @@ generate_type_encode (const Symbol *s)
     case TIA5String:
     case TBMPString:
     case TUniversalString:
+    case TVisibleString:
     case TNull:
     case TBitString:
     case TEnumerated:
index 2b143bf81898250057f7a622c00f427a9a8ac112..26e02e39dd4937ff73880649d8f9e4f3e070eadd 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "gen_locl.h"
 
-RCSID("$Id: gen_free.c,v 1.16 2006/10/14 05:33:58 lha Exp $");
+RCSID("$Id: gen_free.c,v 1.17 2006/12/28 17:14:54 lha Exp $");
 
 static void
 free_primitive (const char *typename, const char *name)
@@ -160,6 +160,9 @@ free_type (const char *name, const Type *t, int preserve)
     case TUniversalString:
        free_primitive ("universal_string", name);
        break;
+    case TVisibleString:
+       free_primitive ("visible_string", name);
+       break;
     case TTag:
        free_type (name, t->subtype, preserve);
        break;
index 0c92225b9248a17ac376ff8df2bf444f6f91db1f..7f9dc7257b98f9f2efcf3073271ef0b9e6916600 100644 (file)
@@ -33,7 +33,7 @@
 
 #include "gen_locl.h"
 
-RCSID("$Id: gen_length.c,v 1.21 2006/10/14 05:28:28 lha Exp $");
+RCSID("$Id: gen_length.c,v 1.22 2006/12/28 17:14:57 lha Exp $");
 
 static void
 length_primitive (const char *typename,
@@ -238,6 +238,9 @@ length_type (const char *name, const Type *t,
     case TUniversalString:
        length_primitive ("universal_string", name, variable);
        break;
+    case TVisibleString:
+       length_primitive ("visible_string", name, variable);
+       break;
     case TNull:
        fprintf (codefile, "/* NULL */\n");
        break;
index 3f501f0592c2e6e63610f2d5394ec39feb505726..a86df38a999175a06c88bfdfcf37d0586ff5db10 100644 (file)
@@ -1,4 +1,4 @@
--- $Id: k5.asn1,v 1.50 2006/09/11 13:28:59 lha Exp $
+-- $Id: k5.asn1,v 1.51 2006/11/21 05:17:47 lha Exp $
 
 KERBEROS5 DEFINITIONS ::=
 BEGIN
@@ -70,11 +70,11 @@ PADATA-TYPE ::= INTEGER {
        KRB5-PADATA-TD-REQ-NONCE(107),          -- INTEGER
        KRB5-PADATA-TD-REQ-SEQ(108),            -- INTEGER
        KRB5-PADATA-PA-PAC-REQUEST(128),        -- jbrezak@exchange.microsoft.com
-       KRB5-PADATA-PK-AS-09-BINDING(132),      -- client send this to 
+       KRB5-PADATA-S4U2SELF(129),
+       KRB5-PADATA-PK-AS-09-BINDING(132)       -- client send this to 
                                                -- tell KDC that is supports 
                                                -- the asCheckSum in the
                                                --  PK-AS-REP
-       KRB5-PADATA-S4U2SELF(-17)
 }
 
 AUTHDATA-TYPE ::= INTEGER {
diff --git a/source4/heimdal/lib/asn1/kx509.asn1 b/source4/heimdal/lib/asn1/kx509.asn1
new file mode 100644 (file)
index 0000000..9706b06
--- /dev/null
@@ -0,0 +1,20 @@
+-- $Id: kx509.asn1,v 1.1 2006/12/28 21:05:23 lha Exp $
+
+KX509 DEFINITIONS ::=
+BEGIN
+
+Kx509Request ::= SEQUENCE {
+       authenticator OCTET STRING,
+       pk-hash OCTET STRING,
+       pk-key OCTET STRING
+}
+
+Kx509Response ::= SEQUENCE {
+       error-code[0]   INTEGER (-2147483648..2147483647)
+             OPTIONAL -- DEFAULT 0 --,
+       hash[1]         OCTET STRING OPTIONAL,
+       certificate[2]  OCTET STRING OPTIONAL,
+       e-text[3]       VisibleString OPTIONAL
+}
+
+END
index 4b2c5af0621a944ab2196af36d0e4c9ce0cbe64b..6ec7b67bb9cdd65fdd2eb2ccdd072d366ebba9a3 100644 (file)
@@ -32,7 +32,7 @@
  * SUCH DAMAGE. 
  */
 
-/* $Id: lex.l,v 1.27 2005/09/13 18:17:16 lha Exp $ */
+/* $Id: lex.l,v 1.31 2006/10/21 11:57:22 lha Exp $ */
 
 #ifdef HAVE_CONFIG_H
 #include <config.h>
@@ -58,6 +58,12 @@ static void unterminated(const char *, unsigned);
 
 %}
 
+/* This is for broken old lexes (solaris 10 and hpux) */
+%e 2000
+%p 5000
+%a 5000
+%n 1000
+%o 10000
 
 %%
 ABSENT                 { return kw_ABSENT; }
index 29d13ed68d2341c215c9c34697e0d3cd223874bc..fc9f195e1f44751101f9ff1bfc0bd0ca85c24f94 100644 (file)
 #include "gen_locl.h"
 #include "der.h"
 
-RCSID("$Id: parse.y,v 1.28 2006/04/28 10:51:35 lha Exp $");
+RCSID("$Id: parse.y,v 1.29 2006/12/28 17:15:02 lha Exp $");
 
 static Type *new_type (Typetype t);
 static struct constraint_spec *new_constraint_spec(enum ctype);
@@ -466,16 +466,16 @@ union yyalloc
 /* YYFINAL -- State number of the termination state. */
 #define YYFINAL  4
 /* YYLAST -- Last index in YYTABLE.  */
-#define YYLAST   168
+#define YYLAST   169
 
 /* YYNTOKENS -- Number of terminals. */
 #define YYNTOKENS  98
 /* YYNNTS -- Number of nonterminals. */
 #define YYNNTS  67
 /* YYNRULES -- Number of rules. */
-#define YYNRULES  130
+#define YYNRULES  131
 /* YYNRULES -- Number of states. */
-#define YYNSTATES  201
+#define YYNSTATES  202
 
 /* YYTRANSLATE(YYLEX) -- Bison symbol number corresponding to YYLEX.  */
 #define YYUNDEFTOK  2
@@ -538,11 +538,11 @@ static const unsigned short int yyprhs[] =
      167,   171,   176,   180,   184,   189,   191,   193,   195,   197,
      199,   202,   206,   208,   210,   212,   215,   219,   225,   230,
      234,   239,   240,   242,   244,   246,   247,   249,   251,   256,
-     258,   260,   262,   264,   266,   268,   270,   272,   276,   280,
-     283,   285,   288,   292,   294,   298,   303,   305,   306,   310,
-     311,   314,   319,   321,   323,   325,   327,   329,   331,   333,
+     258,   260,   262,   264,   266,   268,   270,   272,   274,   278,
+     282,   285,   287,   290,   294,   296,   300,   305,   307,   308,
+     312,   313,   316,   321,   323,   325,   327,   329,   331,   333,
      335,   337,   339,   341,   343,   345,   347,   349,   351,   353,
-     355
+     355,   357
 };
 
 /* YYRHS -- A `-1'-separated list of the rules' RHS. */
@@ -574,16 +574,16 @@ static const short int yyrhs[] =
      139,   141,   111,    -1,    96,   140,    89,    97,    -1,    -1,
       76,    -1,     6,    -1,    60,    -1,    -1,    27,    -1,    38,
       -1,    86,   111,    84,   154,    -1,   144,    -1,    33,    -1,
-      78,    -1,    61,    -1,    36,    -1,    10,    -1,    79,    -1,
-     147,    -1,   145,    91,   147,    -1,   145,    91,    85,    -1,
-      86,   111,    -1,   146,    -1,   146,    54,    -1,   146,    20,
-     154,    -1,   149,    -1,   148,    91,   149,    -1,    86,    92,
-      89,    93,    -1,   151,    -1,    -1,    94,   152,    95,    -1,
-      -1,   153,   152,    -1,    86,    92,    89,    93,    -1,    86,
-      -1,    89,    -1,   155,    -1,   156,    -1,   160,    -1,   159,
-      -1,   161,    -1,   164,    -1,   163,    -1,   157,    -1,   158,
-      -1,    86,    -1,    88,    -1,    71,    -1,    31,    -1,   162,
-      -1,    89,    -1,    49,    -1,   151,    -1
+      78,    -1,    61,    -1,    81,    -1,    36,    -1,    10,    -1,
+      79,    -1,   147,    -1,   145,    91,   147,    -1,   145,    91,
+      85,    -1,    86,   111,    -1,   146,    -1,   146,    54,    -1,
+     146,    20,   154,    -1,   149,    -1,   148,    91,   149,    -1,
+      86,    92,    89,    93,    -1,   151,    -1,    -1,    94,   152,
+      95,    -1,    -1,   153,   152,    -1,    86,    92,    89,    93,
+      -1,    86,    -1,    89,    -1,   155,    -1,   156,    -1,   160,
+      -1,   159,    -1,   161,    -1,   164,    -1,   163,    -1,   157,
+      -1,   158,    -1,    86,    -1,    88,    -1,    71,    -1,    31,
+      -1,   162,    -1,    89,    -1,    49,    -1,   151,    -1
 };
 
 /* YYRLINE[YYN] -- source line where rule number YYN was defined.  */
@@ -598,11 +598,11 @@ static const unsigned short int yyrline[] =
      456,   464,   470,   478,   486,   493,   494,   497,   508,   513,
      520,   536,   542,   545,   546,   549,   555,   563,   573,   579,
      592,   601,   604,   608,   612,   619,   622,   626,   633,   644,
-     647,   652,   657,   662,   667,   672,   680,   686,   691,   702,
-     713,   719,   725,   733,   739,   746,   759,   760,   763,   770,
-     773,   784,   788,   799,   805,   806,   809,   810,   811,   812,
-     813,   816,   819,   822,   833,   841,   847,   855,   863,   866,
-     871
+     647,   652,   657,   662,   667,   672,   677,   685,   691,   696,
+     707,   718,   724,   730,   738,   744,   751,   764,   765,   768,
+     775,   778,   789,   793,   804,   810,   811,   814,   815,   816,
+     817,   818,   821,   824,   827,   838,   846,   852,   860,   868,
+     871,   876
 };
 #endif
 
@@ -682,11 +682,11 @@ static const unsigned char yyr1[] =
      125,   126,   126,   127,   128,   129,   129,   130,   131,   131,
      132,   133,   134,   135,   135,   136,   136,   136,   137,   138,
      139,   140,   140,   140,   140,   141,   141,   141,   142,   143,
-     144,   144,   144,   144,   144,   144,   145,   145,   145,   146,
-     147,   147,   147,   148,   148,   149,   150,   150,   151,   152,
-     152,   153,   153,   153,   154,   154,   155,   155,   155,   155,
-     155,   156,   157,   158,   159,   160,   160,   161,   162,   163,
-     164
+     144,   144,   144,   144,   144,   144,   144,   145,   145,   145,
+     146,   147,   147,   147,   148,   148,   149,   150,   150,   151,
+     152,   152,   153,   153,   153,   154,   154,   155,   155,   155,
+     155,   155,   156,   157,   158,   159,   160,   160,   161,   162,
+     163,   164
 };
 
 /* YYR2[YYN] -- Number of symbols composing right hand side of rule YYN.  */
@@ -701,11 +701,11 @@ static const unsigned char yyr2[] =
        3,     4,     3,     3,     4,     1,     1,     1,     1,     1,
        2,     3,     1,     1,     1,     2,     3,     5,     4,     3,
        4,     0,     1,     1,     1,     0,     1,     1,     4,     1,
-       1,     1,     1,     1,     1,     1,     1,     3,     3,     2,
-       1,     2,     3,     1,     3,     4,     1,     0,     3,     0,
-       2,     4,     1,     1,     1,     1,     1,     1,     1,     1,
+       1,     1,     1,     1,     1,     1,     1,     1,     3,     3,
+       2,     1,     2,     3,     1,     3,     4,     1,     0,     3,
+       0,     2,     4,     1,     1,     1,     1,     1,     1,     1,
        1,     1,     1,     1,     1,     1,     1,     1,     1,     1,
-       1
+       1,     1
 };
 
 /* YYDEFACT[STATE-NAME] -- Default rule to reduce with in state
@@ -716,76 +716,76 @@ static const unsigned char yydefact[] =
        0,     0,     0,     6,     1,     0,     0,     0,     8,     5,
        3,     4,     0,     0,     7,     0,    10,    14,     0,     0,
       23,     0,    13,    15,     0,     2,     0,     9,    18,    20,
-      21,     0,    11,    16,     0,     0,    94,    42,     0,     0,
-      90,    68,    93,    44,    57,     0,     0,    92,     0,     0,
-      69,    91,    95,     0,    67,    81,     0,    25,    29,    33,
-      32,    28,    35,    36,    34,    37,    38,    39,    40,    31,
-      26,    65,    66,    27,    41,    85,    30,    89,    19,    22,
-     107,    53,     0,     0,     0,     0,    45,    55,    56,     0,
-       0,     0,     0,    24,    83,    84,    82,     0,     0,     0,
-      70,    86,    87,     0,   109,    17,   106,     0,     0,     0,
-     100,    96,     0,    52,    47,     0,   126,   129,   125,   123,
-     124,   128,   130,     0,   114,   115,   121,   122,   117,   116,
-     118,   127,   120,   119,     0,    60,    59,     0,    63,    62,
-       0,     0,    88,     0,     0,     0,     0,    72,    73,    74,
-      79,   112,   113,     0,   109,     0,     0,   103,    99,     0,
-      64,     0,   101,     0,     0,    51,     0,    46,    58,    61,
-      80,     0,    75,     0,    71,     0,   108,   110,     0,     0,
-      54,    98,    97,   102,     0,    49,    48,     0,     0,     0,
-      76,     0,     0,   104,    50,    43,    78,     0,   111,   105,
-      77
+      21,     0,    11,    16,     0,     0,    95,    42,     0,     0,
+      90,    68,    94,    44,    57,     0,     0,    92,     0,     0,
+      69,    91,    96,    93,     0,    67,    81,     0,    25,    29,
+      33,    32,    28,    35,    36,    34,    37,    38,    39,    40,
+      31,    26,    65,    66,    27,    41,    85,    30,    89,    19,
+      22,   108,    53,     0,     0,     0,     0,    45,    55,    56,
+       0,     0,     0,     0,    24,    83,    84,    82,     0,     0,
+       0,    70,    86,    87,     0,   110,    17,   107,     0,     0,
+       0,   101,    97,     0,    52,    47,     0,   127,   130,   126,
+     124,   125,   129,   131,     0,   115,   116,   122,   123,   118,
+     117,   119,   128,   121,   120,     0,    60,    59,     0,    63,
+      62,     0,     0,    88,     0,     0,     0,     0,    72,    73,
+      74,    79,   113,   114,     0,   110,     0,     0,   104,   100,
+       0,    64,     0,   102,     0,     0,    51,     0,    46,    58,
+      61,    80,     0,    75,     0,    71,     0,   109,   111,     0,
+       0,    54,    99,    98,   103,     0,    49,    48,     0,     0,
+       0,    76,     0,     0,   105,    50,    43,    78,     0,   112,
+     106,    77
 };
 
 /* YYDEFGOTO[NTERM-NUM]. */
 static const short int yydefgoto[] =
 {
       -1,     2,     8,    13,    18,    19,    21,    22,    23,    27,
-      28,    24,    29,    56,    57,    58,    86,    59,   113,   114,
-      60,   115,    61,    62,    63,    64,    65,    66,    67,    68,
-      69,    70,    71,    72,    73,   100,   146,   147,   148,   149,
-      74,    75,    97,   103,    30,    76,    77,   109,   110,   111,
-     156,   157,   105,   122,   153,   154,   123,   124,   125,   126,
-     127,   128,   129,   130,   131,   132,   133
+      28,    24,    29,    57,    58,    59,    87,    60,   114,   115,
+      61,   116,    62,    63,    64,    65,    66,    67,    68,    69,
+      70,    71,    72,    73,    74,   101,   147,   148,   149,   150,
+      75,    76,    98,   104,    30,    77,    78,   110,   111,   112,
+     157,   158,   106,   123,   154,   155,   124,   125,   126,   127,
+     128,   129,   130,   131,   132,   133,   134
 };
 
 /* YYPACT[STATE-NUM] -- Index in YYTABLE of the portion describing
    STATE-NUM.  */
-#define YYPACT_NINF -99
+#define YYPACT_NINF -100
 static const short int yypact[] =
 {
-     -46,    20,    13,    21,   -99,    11,    23,    25,    54,   -99,
-     -99,   -99,    58,     6,   -99,    90,   -34,    15,    80,    19,
-      16,    18,    15,   -99,    74,   -99,    -7,   -99,    19,   -99,
-     -99,    15,   -99,   -99,    24,    42,   -99,   -99,    17,    26,
-     -99,   -99,   -99,   -73,   -99,    76,    50,   -99,   -45,   -44,
-     -99,   -99,   -99,    51,   -99,     4,   -67,   -99,   -99,   -99,
-     -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,
-     -99,   -99,   -99,   -99,   -99,   -16,   -99,   -99,   -99,   -99,
-      27,    28,    33,    37,    47,    37,   -99,   -99,   -99,    51,
-     -72,    51,   -71,    22,   -99,   -99,   -99,    35,    47,    12,
-     -99,   -99,   -99,    51,     2,   -99,   -99,    39,    51,   -75,
-      -8,   -99,    34,    36,   -99,    43,   -99,   -99,   -99,   -99,
-     -99,   -99,   -99,    48,   -99,   -99,   -99,   -99,   -99,   -99,
-     -99,   -99,   -99,   -99,   -57,    22,   -99,   -48,    22,   -99,
-     -22,    45,   -99,   120,    51,   122,    46,   -99,   -99,   -99,
-      22,    52,   -99,    53,     2,    57,    -9,   -99,    22,   -53,
-     -99,    47,   -99,    56,   -19,   -99,    47,   -99,   -99,   -99,
-     -99,    49,   -18,    47,   -99,    61,   -99,   -99,    62,    39,
-     -99,   -99,   -99,   -99,    59,   -99,   -99,    60,    63,   128,
-     -99,    64,    66,   -99,   -99,   -99,   -99,    47,   -99,   -99,
-     -99
+     -65,    19,    33,     5,  -100,   -29,   -17,    11,    53,  -100,
+    -100,  -100,    47,    13,  -100,    90,   -34,    18,    81,    20,
+      16,    21,    18,  -100,    76,  -100,    -7,  -100,    20,  -100,
+    -100,    18,  -100,  -100,    23,    43,  -100,  -100,    24,    25,
+    -100,  -100,  -100,    -4,  -100,    77,    46,  -100,   -48,   -45,
+    -100,  -100,  -100,  -100,    51,  -100,     4,   -64,  -100,  -100,
+    -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,
+    -100,  -100,  -100,  -100,  -100,  -100,   -16,  -100,  -100,  -100,
+    -100,    26,    27,    31,    36,    52,    36,  -100,  -100,  -100,
+      51,   -71,    51,   -70,    32,  -100,  -100,  -100,    37,    52,
+      12,  -100,  -100,  -100,    51,   -39,  -100,  -100,    39,    51,
+     -78,    -6,  -100,    35,    40,  -100,    38,  -100,  -100,  -100,
+    -100,  -100,  -100,  -100,    56,  -100,  -100,  -100,  -100,  -100,
+    -100,  -100,  -100,  -100,  -100,   -72,    32,  -100,   -57,    32,
+    -100,   -36,    45,  -100,   122,    51,   123,    50,  -100,  -100,
+    -100,    32,    44,  -100,    49,   -39,    57,   -22,  -100,    32,
+     -19,  -100,    52,  -100,    59,    10,  -100,    52,  -100,  -100,
+    -100,  -100,    58,   -14,    52,  -100,    61,  -100,  -100,    62,
+      39,  -100,  -100,  -100,  -100,    60,  -100,  -100,    63,    64,
+     133,  -100,    65,    67,  -100,  -100,  -100,  -100,    52,  -100,
+    -100,  -100
 };
 
 /* YYPGOTO[NTERM-NUM].  */
-static const yysigned_char yypgoto[] =
+static const short int yypgoto[] =
 {
-     -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,   124,   126,
-     -99,   125,   -99,   -52,   -99,   -99,   -99,   -99,    70,    -4,
-     -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,
-     -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,   -99,
-     -99,   -99,   -99,   -99,   -99,   -99,   -99,   -37,   -99,     3,
-     -99,   -15,   -99,    81,     9,   -99,   -98,   -99,   -99,   -99,
-     -99,   -99,   -99,   -99,     5,   -99,   -99
+    -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,   132,   127,
+    -100,   126,  -100,   -53,  -100,  -100,  -100,  -100,    75,    -3,
+    -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,
+    -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,  -100,
+    -100,  -100,  -100,  -100,  -100,  -100,  -100,     0,  -100,     3,
+    -100,   -15,  -100,    83,    14,  -100,   -99,  -100,  -100,  -100,
+    -100,  -100,  -100,  -100,     2,  -100,  -100
 };
 
 /* YYTABLE[YYPACT[STATE-NUM]].  What to do in state STATE-NUM.  If
@@ -795,44 +795,44 @@ static const yysigned_char yypgoto[] =
 #define YYTABLE_NINF -13
 static const short int yytable[] =
 {
-     142,    93,    35,    36,    37,   189,    17,    38,    89,    91,
-      94,   101,   161,     4,   108,   108,   159,    98,    39,    84,
-     160,    85,   102,   136,   139,    99,    40,    41,     5,    42,
-     143,   144,   181,   108,   164,   145,    43,   135,   167,   138,
-       1,     3,    44,   159,    45,    46,   162,   168,     6,    90,
-      92,   150,   -12,   137,    47,   140,   158,    48,    49,     7,
-      35,    36,    37,   183,    95,    38,   185,   112,   187,   159,
-      50,    51,    52,   169,    99,   190,    39,    53,   116,    54,
-      96,     9,   179,    12,    40,    41,   180,    42,   151,    55,
-      15,   152,   172,    10,    43,    11,   117,    14,    16,   200,
-      44,    20,    45,    46,    25,    26,    34,    31,    32,    81,
-      80,    82,    47,    87,    99,    48,    49,    88,   118,   108,
-      83,   104,   107,   112,   141,   155,   163,   164,    50,    51,
-      52,   166,   171,   119,   173,   120,   121,    54,   165,   174,
-     197,   104,   170,   188,   175,   121,    33,    55,   176,   178,
-     191,   192,   194,   195,    78,   134,    79,   198,   196,   199,
-     186,   106,   182,   177,   193,     0,     0,     0,   184
+     143,    94,    35,    36,    37,    90,    17,    38,    92,   190,
+      95,   102,     5,   160,   162,   109,   109,   161,    39,   165,
+      99,     1,   103,   168,   137,   140,    40,    41,   100,    42,
+     144,   145,     6,     4,   160,   146,    43,   136,   169,   139,
+       3,     9,    44,     7,    45,    46,    91,   152,   163,    93,
+     153,   151,   -12,    10,    47,   160,   159,    48,    49,   170,
+      35,    36,    37,   184,    96,    38,   182,   109,   188,   180,
+      50,    51,    52,   181,    53,   191,    39,    54,   100,    55,
+      97,    11,    12,   117,    40,    41,    14,    42,    85,    56,
+      86,   138,   173,   141,    43,   186,   113,    15,    16,   201,
+      44,   118,    45,    46,    20,    25,    26,    31,    34,    81,
+      82,    32,    47,    89,    88,    48,    49,   109,    83,    84,
+     105,   108,   113,   119,   100,   156,   142,   164,    50,    51,
+      52,   165,    53,   166,   172,   174,   176,    55,   120,   167,
+     121,   122,   171,   175,   177,   198,   105,    56,   122,   179,
+     192,   193,   189,   195,    33,    79,   196,    80,   199,   197,
+     200,   135,   187,   183,   107,   194,   185,     0,     0,   178
 };
 
 static const short int yycheck[] =
 {
-      98,    53,     9,    10,    11,    23,    40,    14,    53,    53,
-       6,    27,    20,     0,    86,    86,    91,    84,    25,    92,
-      95,    94,    38,    95,    95,    92,    33,    34,     7,    36,
-      18,    19,    85,    86,    91,    23,    43,    89,    95,    91,
-      86,    21,    49,    91,    51,    52,    54,    95,    27,    94,
-      94,   103,    86,    90,    61,    92,   108,    64,    65,    38,
-       9,    10,    11,   161,    60,    14,    85,    86,   166,    91,
-      77,    78,    79,    95,    92,   173,    25,    84,    31,    86,
-      76,    70,    91,    29,    33,    34,    95,    36,    86,    96,
-      84,    89,   144,    70,    43,    70,    49,    39,     8,   197,
-      49,    86,    51,    52,    24,    86,    32,    91,    90,    67,
-      86,    94,    61,    37,    92,    64,    65,    67,    71,    86,
-      94,    94,    94,    86,    89,    86,    92,    91,    77,    78,
-      79,    83,    12,    86,    12,    88,    89,    86,    95,    93,
-      12,    94,    97,    94,    92,    89,    22,    96,    95,    92,
-      89,    89,    93,    93,    28,    85,    31,    93,    95,    93,
-     164,    80,   159,   154,   179,    -1,    -1,    -1,   163
+      99,    54,     9,    10,    11,    53,    40,    14,    53,    23,
+       6,    27,     7,    91,    20,    86,    86,    95,    25,    91,
+      84,    86,    38,    95,    95,    95,    33,    34,    92,    36,
+      18,    19,    27,     0,    91,    23,    43,    90,    95,    92,
+      21,    70,    49,    38,    51,    52,    94,    86,    54,    94,
+      89,   104,    86,    70,    61,    91,   109,    64,    65,    95,
+       9,    10,    11,   162,    60,    14,    85,    86,   167,    91,
+      77,    78,    79,    95,    81,   174,    25,    84,    92,    86,
+      76,    70,    29,    31,    33,    34,    39,    36,    92,    96,
+      94,    91,   145,    93,    43,    85,    86,    84,     8,   198,
+      49,    49,    51,    52,    86,    24,    86,    91,    32,    86,
+      67,    90,    61,    67,    37,    64,    65,    86,    94,    94,
+      94,    94,    86,    71,    92,    86,    89,    92,    77,    78,
+      79,    91,    81,    95,    12,    12,    92,    86,    86,    83,
+      88,    89,    97,    93,    95,    12,    94,    96,    89,    92,
+      89,    89,    94,    93,    22,    28,    93,    31,    93,    95,
+      93,    86,   165,   160,    81,   180,   164,    -1,    -1,   155
 };
 
 /* YYSTOS[STATE-NUM] -- The (internal number of the) accessing
@@ -844,22 +844,22 @@ static const unsigned char yystos[] =
       86,   104,   105,   106,   109,    24,    86,   107,   108,   110,
      142,    91,    90,   106,    32,     9,    10,    11,    14,    25,
       33,    34,    36,    43,    49,    51,    52,    61,    64,    65,
-      77,    78,    79,    84,    86,    96,   111,   112,   113,   115,
-     118,   120,   121,   122,   123,   124,   125,   126,   127,   128,
-     129,   130,   131,   132,   138,   139,   143,   144,   107,   109,
-      86,    67,    94,    94,    92,    94,   114,    37,    67,    53,
-      94,    53,    94,   111,     6,    60,    76,   140,    84,    92,
-     133,    27,    38,   141,    94,   150,   151,    94,    86,   145,
-     146,   147,    86,   116,   117,   119,    31,    49,    71,    86,
-      88,    89,   151,   154,   155,   156,   157,   158,   159,   160,
-     161,   162,   163,   164,   116,   111,    95,   145,   111,    95,
-     145,    89,   154,    18,    19,    23,   134,   135,   136,   137,
-     111,    86,    89,   152,   153,    86,   148,   149,   111,    91,
-      95,    20,    54,    92,    91,    95,    83,    95,    95,    95,
-      97,    12,   111,    12,    93,    92,    95,   152,    92,    91,
-      95,    85,   147,   154,   162,    85,   117,   154,    94,    23,
-     154,    89,    89,   149,    93,    93,    95,    12,    93,    93,
-     154
+      77,    78,    79,    81,    84,    86,    96,   111,   112,   113,
+     115,   118,   120,   121,   122,   123,   124,   125,   126,   127,
+     128,   129,   130,   131,   132,   138,   139,   143,   144,   107,
+     109,    86,    67,    94,    94,    92,    94,   114,    37,    67,
+      53,    94,    53,    94,   111,     6,    60,    76,   140,    84,
+      92,   133,    27,    38,   141,    94,   150,   151,    94,    86,
+     145,   146,   147,    86,   116,   117,   119,    31,    49,    71,
+      86,    88,    89,   151,   154,   155,   156,   157,   158,   159,
+     160,   161,   162,   163,   164,   116,   111,    95,   145,   111,
+      95,   145,    89,   154,    18,    19,    23,   134,   135,   136,
+     137,   111,    86,    89,   152,   153,    86,   148,   149,   111,
+      91,    95,    20,    54,    92,    91,    95,    83,    95,    95,
+      95,    97,    12,   111,    12,    93,    92,    95,   152,    92,
+      91,    95,    85,   147,   154,   162,    85,   117,   154,    94,
+      23,   154,    89,    89,   149,    93,    93,    95,    12,    93,
+      93,   154
 };
 
 #define yyerrok                (yyerrstatus = 0)
@@ -1987,29 +1987,37 @@ yyreduce:
   case 93:
 #line 663 "parse.y"
     {
-                       (yyval.type) = new_tag(ASN1_C_UNIV, UT_IA5String, 
-                                    TE_EXPLICIT, new_type(TIA5String));
+                       (yyval.type) = new_tag(ASN1_C_UNIV, UT_VisibleString, 
+                                    TE_EXPLICIT, new_type(TVisibleString));
                }
     break;
 
   case 94:
 #line 668 "parse.y"
     {
-                       (yyval.type) = new_tag(ASN1_C_UNIV, UT_BMPString, 
-                                    TE_EXPLICIT, new_type(TBMPString));
+                       (yyval.type) = new_tag(ASN1_C_UNIV, UT_IA5String, 
+                                    TE_EXPLICIT, new_type(TIA5String));
                }
     break;
 
   case 95:
 #line 673 "parse.y"
+    {
+                       (yyval.type) = new_tag(ASN1_C_UNIV, UT_BMPString, 
+                                    TE_EXPLICIT, new_type(TBMPString));
+               }
+    break;
+
+  case 96:
+#line 678 "parse.y"
     {
                        (yyval.type) = new_tag(ASN1_C_UNIV, UT_UniversalString, 
                                     TE_EXPLICIT, new_type(TUniversalString));
                }
     break;
 
-  case 96:
-#line 681 "parse.y"
+  case 97:
+#line 686 "parse.y"
     {
                        (yyval.members) = emalloc(sizeof(*(yyval.members)));
                        ASN1_TAILQ_INIT((yyval.members));
@@ -2017,16 +2025,16 @@ yyreduce:
                }
     break;
 
-  case 97:
-#line 687 "parse.y"
+  case 98:
+#line 692 "parse.y"
     {
                        ASN1_TAILQ_INSERT_TAIL((yyvsp[-2].members), (yyvsp[0].member), members);
                        (yyval.members) = (yyvsp[-2].members);
                }
     break;
 
-  case 98:
-#line 692 "parse.y"
+  case 99:
+#line 697 "parse.y"
     {
                        struct member *m = ecalloc(1, sizeof(*m));
                        m->name = estrdup("...");
@@ -2037,8 +2045,8 @@ yyreduce:
                }
     break;
 
-  case 99:
-#line 703 "parse.y"
+  case 100:
+#line 708 "parse.y"
     {
                  (yyval.member) = emalloc(sizeof(*(yyval.member)));
                  (yyval.member)->name = (yyvsp[-1].name);
@@ -2049,8 +2057,8 @@ yyreduce:
                }
     break;
 
-  case 100:
-#line 714 "parse.y"
+  case 101:
+#line 719 "parse.y"
     {
                        (yyval.member) = (yyvsp[0].member);
                        (yyval.member)->optional = 0;
@@ -2058,8 +2066,8 @@ yyreduce:
                }
     break;
 
-  case 101:
-#line 720 "parse.y"
+  case 102:
+#line 725 "parse.y"
     {
                        (yyval.member) = (yyvsp[-1].member);
                        (yyval.member)->optional = 1;
@@ -2067,8 +2075,8 @@ yyreduce:
                }
     break;
 
-  case 102:
-#line 726 "parse.y"
+  case 103:
+#line 731 "parse.y"
     {
                        (yyval.member) = (yyvsp[-2].member);
                        (yyval.member)->optional = 0;
@@ -2076,8 +2084,8 @@ yyreduce:
                }
     break;
 
-  case 103:
-#line 734 "parse.y"
+  case 104:
+#line 739 "parse.y"
     {
                        (yyval.members) = emalloc(sizeof(*(yyval.members)));
                        ASN1_TAILQ_INIT((yyval.members));
@@ -2085,16 +2093,16 @@ yyreduce:
                }
     break;
 
-  case 104:
-#line 740 "parse.y"
+  case 105:
+#line 745 "parse.y"
     {
                        ASN1_TAILQ_INSERT_TAIL((yyvsp[-2].members), (yyvsp[0].member), members);
                        (yyval.members) = (yyvsp[-2].members);
                }
     break;
 
-  case 105:
-#line 747 "parse.y"
+  case 106:
+#line 752 "parse.y"
     {
                  (yyval.member) = emalloc(sizeof(*(yyval.member)));
                  (yyval.member)->name = (yyvsp[-3].name);
@@ -2107,27 +2115,27 @@ yyreduce:
                }
     break;
 
-  case 107:
-#line 760 "parse.y"
+  case 108:
+#line 765 "parse.y"
     { (yyval.objid) = NULL; }
     break;
 
-  case 108:
-#line 764 "parse.y"
+  case 109:
+#line 769 "parse.y"
     {
                        (yyval.objid) = (yyvsp[-1].objid);
                }
     break;
 
-  case 109:
-#line 770 "parse.y"
+  case 110:
+#line 775 "parse.y"
     {
                        (yyval.objid) = NULL;
                }
     break;
 
-  case 110:
-#line 774 "parse.y"
+  case 111:
+#line 779 "parse.y"
     {
                        if ((yyvsp[0].objid)) {
                                (yyval.objid) = (yyvsp[0].objid);
@@ -2138,15 +2146,15 @@ yyreduce:
                }
     break;
 
-  case 111:
-#line 785 "parse.y"
+  case 112:
+#line 790 "parse.y"
     {
                        (yyval.objid) = new_objid((yyvsp[-3].name), (yyvsp[-1].constant));
                }
     break;
 
-  case 112:
-#line 789 "parse.y"
+  case 113:
+#line 794 "parse.y"
     {
                    Symbol *s = addsym((yyvsp[0].name));
                    if(s->stype != SValue ||
@@ -2159,15 +2167,15 @@ yyreduce:
                }
     break;
 
-  case 113:
-#line 800 "parse.y"
+  case 114:
+#line 805 "parse.y"
     {
                    (yyval.objid) = new_objid(NULL, (yyvsp[0].constant));
                }
     break;
 
-  case 123:
-#line 823 "parse.y"
+  case 124:
+#line 828 "parse.y"
     {
                        Symbol *s = addsym((yyvsp[0].name));
                        if(s->stype != SValue)
@@ -2178,8 +2186,8 @@ yyreduce:
                }
     break;
 
-  case 124:
-#line 834 "parse.y"
+  case 125:
+#line 839 "parse.y"
     {
                        (yyval.value) = emalloc(sizeof(*(yyval.value)));
                        (yyval.value)->type = stringvalue;
@@ -2187,8 +2195,8 @@ yyreduce:
                }
     break;
 
-  case 125:
-#line 842 "parse.y"
+  case 126:
+#line 847 "parse.y"
     {
                        (yyval.value) = emalloc(sizeof(*(yyval.value)));
                        (yyval.value)->type = booleanvalue;
@@ -2196,8 +2204,8 @@ yyreduce:
                }
     break;
 
-  case 126:
-#line 848 "parse.y"
+  case 127:
+#line 853 "parse.y"
     {
                        (yyval.value) = emalloc(sizeof(*(yyval.value)));
                        (yyval.value)->type = booleanvalue;
@@ -2205,8 +2213,8 @@ yyreduce:
                }
     break;
 
-  case 127:
-#line 856 "parse.y"
+  case 128:
+#line 861 "parse.y"
     {
                        (yyval.value) = emalloc(sizeof(*(yyval.value)));
                        (yyval.value)->type = integervalue;
@@ -2214,14 +2222,14 @@ yyreduce:
                }
     break;
 
-  case 129:
-#line 867 "parse.y"
+  case 130:
+#line 872 "parse.y"
     {
                }
     break;
 
-  case 130:
-#line 872 "parse.y"
+  case 131:
+#line 877 "parse.y"
     {
                        (yyval.value) = emalloc(sizeof(*(yyval.value)));
                        (yyval.value)->type = objectidentifiervalue;
@@ -2234,7 +2242,7 @@ yyreduce:
     }
 
 /* Line 1126 of yacc.c.  */
-#line 2238 "parse.c"
+#line 2246 "parse.c"
 \f
   yyvsp -= yylen;
   yyssp -= yylen;
@@ -2502,7 +2510,7 @@ yyreturn:
 }
 
 
-#line 879 "parse.y"
+#line 884 "parse.y"
 
 
 void
index 223847828476502ead6ea7e0f66882315d189bd1..029cef9f0f420bbad8e26fe7562fac7b3c82fe54 100644 (file)
@@ -31,7 +31,7 @@
  * SUCH DAMAGE. 
  */
 
-/* $Id: parse.y,v 1.27 2005/12/14 09:44:36 lha Exp $ */
+/* $Id: parse.y,v 1.29 2006/12/28 17:15:02 lha Exp $ */
 
 %{
 #ifdef HAVE_CONFIG_H
@@ -45,7 +45,7 @@
 #include "gen_locl.h"
 #include "der.h"
 
-RCSID("$Id: parse.y,v 1.27 2005/12/14 09:44:36 lha Exp $");
+RCSID("$Id: parse.y,v 1.29 2006/12/28 17:15:02 lha Exp $");
 
 static Type *new_type (Typetype t);
 static struct constraint_spec *new_constraint_spec(enum ctype);
@@ -537,8 +537,10 @@ Constraint : '(' ConstraintSpec ')'
                {
                    $$ = $2;
                }
+               ;
 
 ConstraintSpec : GeneralConstraint
+               ;
 
 GeneralConstraint: ContentsConstraint
                | UserDefinedConstraint
@@ -657,6 +659,11 @@ RestrictedCharactedStringType: kw_GeneralString
                        $$ = new_tag(ASN1_C_UNIV, UT_PrintableString, 
                                     TE_EXPLICIT, new_type(TPrintableString));
                }
+               | kw_VisibleString
+               {
+                       $$ = new_tag(ASN1_C_UNIV, UT_VisibleString, 
+                                    TE_EXPLICIT, new_type(TVisibleString));
+               }
                | kw_IA5String
                {
                        $$ = new_tag(ASN1_C_UNIV, UT_IA5String, 
index eebbc3211b90f9469d3d7da5a8080eb351bd7b16..430674a5ee8c79644737f325e5d0297941e9f508 100644 (file)
@@ -406,13 +406,31 @@ CRLReason ::= ENUMERATED {
        aACompromise           (10)
 }
 
+id-pkix OBJECT IDENTIFIER ::= { iso(1) identified-organization(3)
+            dod(6) internet(1) security(5) mechanisms(5) pkix(7) }
+
+id-pkix-on OBJECT IDENTIFIER ::= { id-pkix 8 }
+id-pkix-on-dnsSRV OBJECT IDENTIFIER ::= { id-pkix-on 7 }
+
+id-pkix-kp OBJECT IDENTIFIER ::= { id-pkix 3 }
+id-pkix-kp-serverAuth OBJECT IDENTIFIER ::= { id-pkix-kp 1 }
+id-pkix-kp-clientAuth OBJECT IDENTIFIER ::= { id-pkix-kp 2 }
+id-pkix-kp-emailProtection OBJECT IDENTIFIER ::= { id-pkix-kp 4 }
+id-pkix-kp-timeStamping OBJECT IDENTIFIER ::= { id-pkix-kp 8 }
+id-pkix-kp-OCSPSigning OBJECT IDENTIFIER ::= { id-pkix-kp 9 }
+
 -- RFC 3820 Proxy Certificate Profile
 
-id-pkix-pe OBJECT IDENTIFIER ::= { iso(1) identified-organization(3)
-            dod(6) internet(1) security(5) mechanisms(5) pkix(7) 1 }
+id-pkix-pe OBJECT IDENTIFIER ::= { id-pkix 1 }
 
 id-pe-proxyCertInfo OBJECT IDENTIFIER ::= { id-pkix-pe 14 }
 
+id-pkix-ppl  OBJECT IDENTIFIER ::= { id-pkix 21 }
+
+id-pkix-ppl-anyLanguage     OBJECT IDENTIFIER ::= { id-pkix-ppl 0 }
+id-pkix-ppl-inheritAll      OBJECT IDENTIFIER ::= { id-pkix-ppl 1 }
+id-pkix-ppl-independent     OBJECT IDENTIFIER ::= { id-pkix-ppl 2 }
+
 ProxyPolicy ::= SEQUENCE {
        policyLanguage          OBJECT IDENTIFIER,
        policy                  OCTET STRING OPTIONAL
index 93a6e019bd600cdf976d54bd5cf830abf8351347..436bd043a18a8c43e2e9ae6290f8e4484aa15f7b 100644 (file)
@@ -31,7 +31,7 @@
  * SUCH DAMAGE. 
  */
 
-/* $Id: symbol.h,v 1.13 2005/12/06 19:59:52 lha Exp $ */
+/* $Id: symbol.h,v 1.14 2006/12/28 17:15:05 lha Exp $ */
 
 #ifndef _SYMBOL_H
 #define _SYMBOL_H
@@ -60,7 +60,8 @@ enum typetype {
     TUTCTime, 
     TUTF8String,
     TBMPString,
-    TUniversalString
+    TUniversalString,
+    TVisibleString
 };
 
 typedef enum typetype Typetype;
index 30b44d0c192d2268279151ddc2c9ee4cf1832916..8b7113baa2f8e5d79c4d3a23458a5d7cd0cd9f00 100644 (file)
@@ -1,7 +1,8 @@
-/* A lexical scanner generated by flex */
+#include "config.h"
+/* A lexical scanner generated by flex*/
 
 /* Scanner skeleton version:
- * $Header: /cvs/root/flex/flex/skel.c,v 1.2 2004/05/07 00:28:17 jkh Exp $
+ * $Header: /home/daffy/u0/vern/flex/RCS/flex.skl,v 2.91 96/09/10 16:58:48 vern Exp $
  */
 
 #define FLEX_SCANNER
@@ -9,6 +10,7 @@
 #define YY_FLEX_MINOR_VERSION 5
 
 #include <stdio.h>
+#include <unistd.h>
 
 
 /* cfront 1.2 defines "c_plusplus" instead of "__cplusplus" */
@@ -22,7 +24,6 @@
 #ifdef __cplusplus
 
 #include <stdlib.h>
-#include <unistd.h>
 
 /* Use prototypes in function declarations. */
 #define YY_USE_PROTOS
@@ -134,6 +135,15 @@ extern FILE *yyin, *yyout;
 
 #define unput(c) yyunput( c, yytext_ptr )
 
+/* Some routines like yy_flex_realloc() are emitted as static but are
+   not called by all lexers. This generates warnings in some compilers,
+   notably GCC. Arrange to suppress these. */
+#ifdef __GNUC__
+#define YY_MAY_BE_UNUSED __attribute__((unused))
+#else
+#define YY_MAY_BE_UNUSED
+#endif
+
 /* The following is because we cannot portably get our hands on size_t
  * (without autoconf's help, which isn't available because we want
  * flex-generated scanners to compile on their own).
@@ -240,7 +250,7 @@ YY_BUFFER_STATE yy_scan_string YY_PROTO(( yyconst char *yy_str ));
 YY_BUFFER_STATE yy_scan_bytes YY_PROTO(( yyconst char *bytes, int len ));
 
 static void *yy_flex_alloc YY_PROTO(( yy_size_t ));
-static void *yy_flex_realloc YY_PROTO(( void *, yy_size_t ));
+static void *yy_flex_realloc YY_PROTO(( void *, yy_size_t )) YY_MAY_BE_UNUSED;
 static void yy_flex_free YY_PROTO(( void * ));
 
 #define yy_new_buffer yy_create_buffer
@@ -385,9 +395,9 @@ static char *yy_last_accepting_cpos;
 #define YY_MORE_ADJ 0
 #define YY_RESTORE_YY_MORE_OFFSET
 char *yytext;
-#line 1 "../../../lib/com_err/lex.l"
+#line 1 "lex.l"
 #define INITIAL 0
-#line 2 "../../../lib/com_err/lex.l"
+#line 2 "lex.l"
 /*
  * Copyright (c) 1998 - 2000 Kungliga Tekniska Högskolan
  * (Royal Institute of Technology, Stockholm, Sweden). 
@@ -442,7 +452,7 @@ static int getstring(void);
 
 #undef ECHO
 
-#line 446 "lex.c"
+#line 455 "lex.yy.c"
 
 /* Macros after this point can all be overridden by user definitions in
  * section 1.
@@ -590,12 +600,12 @@ YY_MALLOC_DECL
 YY_DECL
        {
        register yy_state_type yy_current_state;
-       register char *yy_cp, *yy_bp;
+       register char *yy_cp = NULL, *yy_bp = NULL;
        register int yy_act;
 
-#line 59 "../../../lib/com_err/lex.l"
+#line 59 "lex.l"
 
-#line 599 "lex.c"
+#line 608 "lex.yy.c"
 
        if ( yy_init )
                {
@@ -680,85 +690,85 @@ do_action:        /* This label is used only to access EOF actions. */
 
 case 1:
 YY_RULE_SETUP
-#line 60 "../../../lib/com_err/lex.l"
+#line 60 "lex.l"
 { return ET; }
        YY_BREAK
 case 2:
 YY_RULE_SETUP
-#line 61 "../../../lib/com_err/lex.l"
+#line 61 "lex.l"
 { return ET; }
        YY_BREAK
 case 3:
 YY_RULE_SETUP
-#line 62 "../../../lib/com_err/lex.l"
+#line 62 "lex.l"
 { return EC; }
        YY_BREAK
 case 4:
 YY_RULE_SETUP
-#line 63 "../../../lib/com_err/lex.l"
+#line 63 "lex.l"
 { return EC; }
        YY_BREAK
 case 5:
 YY_RULE_SETUP
-#line 64 "../../../lib/com_err/lex.l"
+#line 64 "lex.l"
 { return PREFIX; }
        YY_BREAK
 case 6:
 YY_RULE_SETUP
-#line 65 "../../../lib/com_err/lex.l"
+#line 65 "lex.l"
 { return INDEX; }
        YY_BREAK
 case 7:
 YY_RULE_SETUP
-#line 66 "../../../lib/com_err/lex.l"
+#line 66 "lex.l"
 { return ID; }
        YY_BREAK
 case 8:
 YY_RULE_SETUP
-#line 67 "../../../lib/com_err/lex.l"
+#line 67 "lex.l"
 { return END; }
        YY_BREAK
 case 9:
 YY_RULE_SETUP
-#line 68 "../../../lib/com_err/lex.l"
+#line 68 "lex.l"
 { yylval.number = atoi(yytext); return NUMBER; }
        YY_BREAK
 case 10:
 YY_RULE_SETUP
-#line 69 "../../../lib/com_err/lex.l"
+#line 69 "lex.l"
 ;
        YY_BREAK
 case 11:
 YY_RULE_SETUP
-#line 70 "../../../lib/com_err/lex.l"
+#line 70 "lex.l"
 ;
        YY_BREAK
 case 12:
 YY_RULE_SETUP
-#line 71 "../../../lib/com_err/lex.l"
+#line 71 "lex.l"
 { lineno++; }
        YY_BREAK
 case 13:
 YY_RULE_SETUP
-#line 72 "../../../lib/com_err/lex.l"
+#line 72 "lex.l"
 { return getstring(); }
        YY_BREAK
 case 14:
 YY_RULE_SETUP
-#line 73 "../../../lib/com_err/lex.l"
+#line 73 "lex.l"
 { yylval.string = strdup(yytext); return STRING; }
        YY_BREAK
 case 15:
 YY_RULE_SETUP
-#line 74 "../../../lib/com_err/lex.l"
+#line 74 "lex.l"
 { return *yytext; }
        YY_BREAK
 case 16:
 YY_RULE_SETUP
-#line 75 "../../../lib/com_err/lex.l"
+#line 75 "lex.l"
 ECHO;
        YY_BREAK
-#line 762 "lex.c"
+#line 771 "lex.yy.c"
 case YY_STATE_EOF(INITIAL):
        yyterminate();
 
@@ -1140,6 +1150,7 @@ register char *yy_bp;
 #endif /* ifndef YY_NO_UNPUT */
 
 
+#ifndef YY_NO_INPUT
 #ifdef __cplusplus
 static int yyinput()
 #else
@@ -1211,7 +1222,7 @@ static int input()
 
        return c;
        }
-
+#endif /* YY_NO_INPUT */
 
 #ifdef YY_USE_PROTOS
 void yyrestart( FILE *input_file )
@@ -1322,11 +1333,6 @@ YY_BUFFER_STATE b;
        }
 
 
-#ifndef YY_ALWAYS_INTERACTIVE
-#ifndef YY_NEVER_INTERACTIVE
-extern int isatty YY_PROTO(( int ));
-#endif
-#endif
 
 #ifdef YY_USE_PROTOS
 void yy_init_buffer( YY_BUFFER_STATE b, FILE *file )
@@ -1644,7 +1650,7 @@ int main()
        return 0;
        }
 #endif
-#line 75 "../../../lib/com_err/lex.l"
+#line 75 "lex.l"
 
 
 #ifndef yywrap /* XXX */
index a7160a4d42fe5a4ec6c6504866c7e973fcf2aba4..4cef0c492d74a5f67628c65e592a342e3dc72faf 100644 (file)
@@ -1,19 +1,86 @@
+/* A Bison parser, made by GNU Bison 2.1.  */
 
-/*  A Bison parser, made from ../../../lib/com_err/parse.y
-    by GNU Bison version 1.28  */
+/* Skeleton parser for Yacc-like parsing with Bison,
+   Copyright (C) 1984, 1989, 1990, 2000, 2001, 2002, 2003, 2004, 2005 Free Software Foundation, Inc.
 
-#define YYBISON 1  /* Identify Bison output.  */
+   This program is free software; you can redistribute it and/or modify
+   it under the terms of the GNU General Public License as published by
+   the Free Software Foundation; either version 2, or (at your option)
+   any later version.
+
+   This program is distributed in the hope that it will be useful,
+   but WITHOUT ANY WARRANTY; without even the implied warranty of
+   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+   GNU General Public License for more details.
+
+   You should have received a copy of the GNU General Public License
+   along with this program; if not, write to the Free Software
+   Foundation, Inc., 51 Franklin Street, Fifth Floor,
+   Boston, MA 02110-1301, USA.  */
+
+/* As a special exception, when this file is copied by Bison into a
+   Bison output file, you may use that output file without restriction.
+   This special exception was added by the Free Software Foundation
+   in version 1.24 of Bison.  */
+
+/* Written by Richard Stallman by simplifying the original so called
+   ``semantic'' parser.  */
+
+/* All symbols defined below should begin with yy or YY, to avoid
+   infringing on user name space.  This should be done even for local
+   variables, as they might otherwise be expanded by user macros.
+   There are some unavoidable exceptions within include files to
+   define necessary library symbols; they are noted "INFRINGES ON
+   USER NAME SPACE" below.  */
+
+/* Identify Bison output.  */
+#define YYBISON 1
+
+/* Bison version.  */
+#define YYBISON_VERSION "2.1"
+
+/* Skeleton name.  */
+#define YYSKELETON_NAME "yacc.c"
 
-#define        ET      257
-#define        INDEX   258
-#define        PREFIX  259
-#define        EC      260
-#define        ID      261
-#define        END     262
-#define        STRING  263
-#define        NUMBER  264
+/* Pure parsers.  */
+#define YYPURE 0
 
-#line 1 "../../../lib/com_err/parse.y"
+/* Using locations.  */
+#define YYLSP_NEEDED 0
+
+
+
+/* Tokens.  */
+#ifndef YYTOKENTYPE
+# define YYTOKENTYPE
+   /* Put the tokens into the symbol table, so that GDB and other debuggers
+      know about them.  */
+   enum yytokentype {
+     ET = 258,
+     INDEX = 259,
+     PREFIX = 260,
+     EC = 261,
+     ID = 262,
+     END = 263,
+     STRING = 264,
+     NUMBER = 265
+   };
+#endif
+/* Tokens.  */
+#define ET 258
+#define INDEX 259
+#define PREFIX 260
+#define EC 261
+#define ID 262
+#define END 263
+#define STRING 264
+#define NUMBER 265
+
+
+
+
+/* Copy the first part of user declarations.  */
+#line 1 "parse.y"
 
 /*
  * Copyright (c) 1998 - 2000 Kungliga Tekniska Högskolan
@@ -65,425 +132,834 @@ extern char *yytext;
 #endif
 
 
-#line 53 "../../../lib/com_err/parse.y"
-typedef union {
+
+/* Enabling traces.  */
+#ifndef YYDEBUG
+# define YYDEBUG 0
+#endif
+
+/* Enabling verbose error messages.  */
+#ifdef YYERROR_VERBOSE
+# undef YYERROR_VERBOSE
+# define YYERROR_VERBOSE 1
+#else
+# define YYERROR_VERBOSE 0
+#endif
+
+/* Enabling the token table.  */
+#ifndef YYTOKEN_TABLE
+# define YYTOKEN_TABLE 0
+#endif
+
+#if ! defined (YYSTYPE) && ! defined (YYSTYPE_IS_DECLARED)
+#line 53 "parse.y"
+typedef union YYSTYPE {
   char *string;
   int number;
 } YYSTYPE;
-#include <stdio.h>
-
-#ifndef __cplusplus
-#ifndef __STDC__
-#define const
-#endif
+/* Line 196 of yacc.c.  */
+#line 162 "$base.c"
+# define yystype YYSTYPE /* obsolescent; will be withdrawn */
+# define YYSTYPE_IS_DECLARED 1
+# define YYSTYPE_IS_TRIVIAL 1
 #endif
 
 
 
-#define        YYFINAL         24
-#define        YYFLAG          -32768
-#define        YYNTBASE        12
-
-#define YYTRANSLATE(x) ((unsigned)(x) <= 264 ? yytranslate[x] : 18)
-
-static const char yytranslate[] = {     0,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,    11,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
-     2,     2,     2,     2,     2,     1,     3,     4,     5,     6,
-     7,     8,     9,    10
-};
+/* Copy the second part of user declarations.  */
 
-#if YYDEBUG != 0
-static const short yyprhs[] = {     0,
-     0,     1,     4,     7,     9,    12,    15,    19,    21,    24,
-    27,    30,    32,    37
-};
 
-static const short yyrhs[] = {    -1,
-    13,    16,     0,    14,    15,     0,    15,     0,     7,     9,
-     0,     3,     9,     0,     3,     9,     9,     0,    17,     0,
-    16,    17,     0,     4,    10,     0,     5,     9,     0,     5,
-     0,     6,     9,    11,     9,     0,     8,     0
-};
+/* Line 219 of yacc.c.  */
+#line 174 "$base.c"
 
+#if ! defined (YYSIZE_T) && defined (__SIZE_TYPE__)
+# define YYSIZE_T __SIZE_TYPE__
+#endif
+#if ! defined (YYSIZE_T) && defined (size_t)
+# define YYSIZE_T size_t
+#endif
+#if ! defined (YYSIZE_T) && (defined (__STDC__) || defined (__cplusplus))
+# include <stddef.h> /* INFRINGES ON USER NAME SPACE */
+# define YYSIZE_T size_t
+#endif
+#if ! defined (YYSIZE_T)
+# define YYSIZE_T unsigned int
 #endif
 
-#if YYDEBUG != 0
-static const short yyrline[] = { 0,
-    64,    65,    68,    69,    72,    78,    84,    93,    94,    97,
-   101,   109,   116,   136
-};
+#ifndef YY_
+# if YYENABLE_NLS
+#  if ENABLE_NLS
+#   include <libintl.h> /* INFRINGES ON USER NAME SPACE */
+#   define YY_(msgid) dgettext ("bison-runtime", msgid)
+#  endif
+# endif
+# ifndef YY_
+#  define YY_(msgid) msgid
+# endif
 #endif
 
+#if ! defined (yyoverflow) || YYERROR_VERBOSE
+
+/* The parser invokes alloca or malloc; define the necessary symbols.  */
+
+# ifdef YYSTACK_USE_ALLOCA
+#  if YYSTACK_USE_ALLOCA
+#   ifdef __GNUC__
+#    define YYSTACK_ALLOC __builtin_alloca
+#   else
+#    define YYSTACK_ALLOC alloca
+#    if defined (__STDC__) || defined (__cplusplus)
+#     include <stdlib.h> /* INFRINGES ON USER NAME SPACE */
+#     define YYINCLUDED_STDLIB_H
+#    endif
+#   endif
+#  endif
+# endif
+
+# ifdef YYSTACK_ALLOC
+   /* Pacify GCC's `empty if-body' warning. */
+#  define YYSTACK_FREE(Ptr) do { /* empty */; } while (0)
+#  ifndef YYSTACK_ALLOC_MAXIMUM
+    /* The OS might guarantee only one guard page at the bottom of the stack,
+       and a page size can be as small as 4096 bytes.  So we cannot safely
+       invoke alloca (N) if N exceeds 4096.  Use a slightly smaller number
+       to allow for a few compiler-allocated temporary stack slots.  */
+#   define YYSTACK_ALLOC_MAXIMUM 4032 /* reasonable circa 2005 */
+#  endif
+# else
+#  define YYSTACK_ALLOC YYMALLOC
+#  define YYSTACK_FREE YYFREE
+#  ifndef YYSTACK_ALLOC_MAXIMUM
+#   define YYSTACK_ALLOC_MAXIMUM ((YYSIZE_T) -1)
+#  endif
+#  ifdef __cplusplus
+extern "C" {
+#  endif
+#  ifndef YYMALLOC
+#   define YYMALLOC malloc
+#   if (! defined (malloc) && ! defined (YYINCLUDED_STDLIB_H) \
+       && (defined (__STDC__) || defined (__cplusplus)))
+void *malloc (YYSIZE_T); /* INFRINGES ON USER NAME SPACE */
+#   endif
+#  endif
+#  ifndef YYFREE
+#   define YYFREE free
+#   if (! defined (free) && ! defined (YYINCLUDED_STDLIB_H) \
+       && (defined (__STDC__) || defined (__cplusplus)))
+void free (void *); /* INFRINGES ON USER NAME SPACE */
+#   endif
+#  endif
+#  ifdef __cplusplus
+}
+#  endif
+# endif
+#endif /* ! defined (yyoverflow) || YYERROR_VERBOSE */
 
-#if YYDEBUG != 0 || defined (YYERROR_VERBOSE)
 
-static const char * const yytname[] = {   "$","error","$undefined.","ET","INDEX",
-"PREFIX","EC","ID","END","STRING","NUMBER","','","file","header","id","et","statements",
-"statement", NULL
-};
+#if (! defined (yyoverflow) \
+     && (! defined (__cplusplus) \
+        || (defined (YYSTYPE_IS_TRIVIAL) && YYSTYPE_IS_TRIVIAL)))
+
+/* A type that is properly aligned for any stack member.  */
+union yyalloc
+{
+  short int yyss;
+  YYSTYPE yyvs;
+  };
+
+/* The size of the maximum gap between one aligned stack and the next.  */
+# define YYSTACK_GAP_MAXIMUM (sizeof (union yyalloc) - 1)
+
+/* The size of an array large to enough to hold all stacks, each with
+   N elements.  */
+# define YYSTACK_BYTES(N) \
+     ((N) * (sizeof (short int) + sizeof (YYSTYPE))                    \
+      + YYSTACK_GAP_MAXIMUM)
+
+/* Copy COUNT objects from FROM to TO.  The source and destination do
+   not overlap.  */
+# ifndef YYCOPY
+#  if defined (__GNUC__) && 1 < __GNUC__
+#   define YYCOPY(To, From, Count) \
+      __builtin_memcpy (To, From, (Count) * sizeof (*(From)))
+#  else
+#   define YYCOPY(To, From, Count)             \
+      do                                       \
+       {                                       \
+         YYSIZE_T yyi;                         \
+         for (yyi = 0; yyi < (Count); yyi++)   \
+           (To)[yyi] = (From)[yyi];            \
+       }                                       \
+      while (0)
+#  endif
+# endif
+
+/* Relocate STACK from its old location to the new one.  The
+   local variables YYSIZE and YYSTACKSIZE give the old and new number of
+   elements in the stack, and YYPTR gives the new location of the
+   stack.  Advance YYPTR to a properly aligned location for the next
+   stack.  */
+# define YYSTACK_RELOCATE(Stack)                                       \
+    do                                                                 \
+      {                                                                        \
+       YYSIZE_T yynewbytes;                                            \
+       YYCOPY (&yyptr->Stack, Stack, yysize);                          \
+       Stack = &yyptr->Stack;                                          \
+       yynewbytes = yystacksize * sizeof (*Stack) + YYSTACK_GAP_MAXIMUM; \
+       yyptr += yynewbytes / sizeof (*yyptr);                          \
+      }                                                                        \
+    while (0)
+
 #endif
 
-static const short yyr1[] = {     0,
-    12,    12,    13,    13,    14,    15,    15,    16,    16,    17,
-    17,    17,    17,    17
-};
+#if defined (__STDC__) || defined (__cplusplus)
+   typedef signed char yysigned_char;
+#else
+   typedef short int yysigned_char;
+#endif
 
-static const short yyr2[] = {     0,
-     0,     2,     2,     1,     2,     2,     3,     1,     2,     2,
-     2,     1,     4,     1
+/* YYFINAL -- State number of the termination state. */
+#define YYFINAL  9
+/* YYLAST -- Last index in YYTABLE.  */
+#define YYLAST   23
+
+/* YYNTOKENS -- Number of terminals. */
+#define YYNTOKENS  12
+/* YYNNTS -- Number of nonterminals. */
+#define YYNNTS  7
+/* YYNRULES -- Number of rules. */
+#define YYNRULES  15
+/* YYNRULES -- Number of states. */
+#define YYNSTATES  24
+
+/* YYTRANSLATE(YYLEX) -- Bison symbol number corresponding to YYLEX.  */
+#define YYUNDEFTOK  2
+#define YYMAXUTOK   265
+
+#define YYTRANSLATE(YYX)                                               \
+  ((unsigned int) (YYX) <= YYMAXUTOK ? yytranslate[YYX] : YYUNDEFTOK)
+
+/* YYTRANSLATE[YYLEX] -- Bison symbol number corresponding to YYLEX.  */
+static const unsigned char yytranslate[] =
+{
+       0,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,    11,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     2,     2,     2,     2,
+       2,     2,     2,     2,     2,     2,     1,     2,     3,     4,
+       5,     6,     7,     8,     9,    10
 };
 
-static const short yydefact[] = {     1,
-     0,     0,     0,     0,     4,     6,     5,     0,    12,     0,
-    14,     2,     8,     3,     7,    10,    11,     0,     9,     0,
-    13,     0,     0,     0
+#if YYDEBUG
+/* YYPRHS[YYN] -- Index of the first RHS symbol of rule number YYN in
+   YYRHS.  */
+static const unsigned char yyprhs[] =
+{
+       0,     0,     3,     4,     7,    10,    12,    15,    18,    22,
+      24,    27,    30,    33,    35,    40
 };
 
-static const short yydefgoto[] = {    22,
-     3,     4,     5,    12,    13
+/* YYRHS -- A `-1'-separated list of the rules' RHS. */
+static const yysigned_char yyrhs[] =
+{
+      13,     0,    -1,    -1,    14,    17,    -1,    15,    16,    -1,
+      16,    -1,     7,     9,    -1,     3,     9,    -1,     3,     9,
+       9,    -1,    18,    -1,    17,    18,    -1,     4,    10,    -1,
+       5,     9,    -1,     5,    -1,     6,     9,    11,     9,    -1,
+       8,    -1
 };
 
-static const short yypact[] = {     0,
-    -3,    -1,    -4,     2,-32768,     1,-32768,     3,     5,     6,
--32768,    -4,-32768,-32768,-32768,-32768,-32768,    -2,-32768,     7,
--32768,    11,    12,-32768
+/* YYRLINE[YYN] -- source line where rule number YYN was defined.  */
+static const unsigned char yyrline[] =
+{
+       0,    64,    64,    65,    68,    69,    72,    78,    84,    93,
+      94,    97,   101,   109,   116,   136
 };
+#endif
 
-static const short yypgoto[] = {-32768,
--32768,-32768,    13,-32768,     8
+#if YYDEBUG || YYERROR_VERBOSE || YYTOKEN_TABLE
+/* YYTNAME[SYMBOL-NUM] -- String name of the symbol SYMBOL-NUM.
+   First, the terminals, then, starting at YYNTOKENS, nonterminals. */
+static const char *const yytname[] =
+{
+  "$end", "error", "$undefined", "ET", "INDEX", "PREFIX", "EC", "ID",
+  "END", "STRING", "NUMBER", "','", "$accept", "file", "header", "id",
+  "et", "statements", "statement", 0
 };
+#endif
 
+# ifdef YYPRINT
+/* YYTOKNUM[YYLEX-NUM] -- Internal token number corresponding to
+   token YYLEX-NUM.  */
+static const unsigned short int yytoknum[] =
+{
+       0,   256,   257,   258,   259,   260,   261,   262,   263,   264,
+     265,    44
+};
+# endif
 
-#define        YYLAST          20
-
-
-static const short yytable[] = {     8,
-     9,    10,     1,    11,     1,     6,     2,     7,    20,    15,
-    23,    24,    16,    17,    18,    21,    14,     0,     0,    19
+/* YYR1[YYN] -- Symbol number of symbol that rule YYN derives.  */
+static const unsigned char yyr1[] =
+{
+       0,    12,    13,    13,    14,    14,    15,    16,    16,    17,
+      17,    18,    18,    18,    18,    18
 };
 
-static const short yycheck[] = {     4,
-     5,     6,     3,     8,     3,     9,     7,     9,    11,     9,
-     0,     0,    10,     9,     9,     9,     4,    -1,    -1,    12
+/* YYR2[YYN] -- Number of symbols composing right hand side of rule YYN.  */
+static const unsigned char yyr2[] =
+{
+       0,     2,     0,     2,     2,     1,     2,     2,     3,     1,
+       2,     2,     2,     1,     4,     1
 };
-/* -*-C-*-  Note some compilers choke on comments on `#line' lines.  */
-#line 3 "/usr/share/bison.simple"
-/* This file comes from bison-1.28.  */
 
-/* Skeleton output parser for bison,
-   Copyright (C) 1984, 1989, 1990 Free Software Foundation, Inc.
+/* YYDEFACT[STATE-NAME] -- Default rule to reduce with in state
+   STATE-NUM when YYTABLE doesn't specify something else to do.  Zero
+   means the default is an error.  */
+static const unsigned char yydefact[] =
+{
+       2,     0,     0,     0,     0,     0,     5,     7,     6,     1,
+       0,    13,     0,    15,     3,     9,     4,     8,    11,    12,
+       0,    10,     0,    14
+};
 
-   This program is free software; you can redistribute it and/or modify
-   it under the terms of the GNU General Public License as published by
-   the Free Software Foundation; either version 2, or (at your option)
-   any later version.
+/* YYDEFGOTO[NTERM-NUM]. */
+static const yysigned_char yydefgoto[] =
+{
+      -1,     3,     4,     5,     6,    14,    15
+};
 
-   This program is distributed in the hope that it will be useful,
-   but WITHOUT ANY WARRANTY; without even the implied warranty of
-   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
-   GNU General Public License for more details.
+/* YYPACT[STATE-NUM] -- Index in YYTABLE of the portion describing
+   STATE-NUM.  */
+#define YYPACT_NINF -5
+static const yysigned_char yypact[] =
+{
+       0,    -3,    -1,     5,    -4,     6,    -5,     1,    -5,    -5,
+       2,     4,     7,    -5,    -4,    -5,    -5,    -5,    -5,    -5,
+       3,    -5,     8,    -5
+};
 
-   You should have received a copy of the GNU General Public License
-   along with this program; if not, write to the Free Software
-   Foundation, Inc., 59 Temple Place - Suite 330,
-   Boston, MA 02111-1307, USA.  */
+/* YYPGOTO[NTERM-NUM].  */
+static const yysigned_char yypgoto[] =
+{
+      -5,    -5,    -5,    -5,    10,    -5,     9
+};
 
-/* As a special exception, when this file is copied by Bison into a
-   Bison output file, you may use that output file without restriction.
-   This special exception was added by the Free Software Foundation
-   in version 1.24 of Bison.  */
+/* YYTABLE[YYPACT[STATE-NUM]].  What to do in state STATE-NUM.  If
+   positive, shift that token.  If negative, reduce the rule which
+   number is the opposite.  If zero, do what YYDEFACT says.
+   If YYTABLE_NINF, syntax error.  */
+#define YYTABLE_NINF -1
+static const unsigned char yytable[] =
+{
+      10,    11,    12,     1,    13,     9,     7,     2,     8,     1,
+      17,     0,    18,    19,    22,    16,    20,    23,     0,     0,
+       0,     0,     0,    21
+};
 
-/* This is the parser code that is written into each bison parser
-  when the %semantic_parser declaration is not specified in the grammar.
-  It was written by Richard Stallman by simplifying the hairy parser
-  used when %semantic_parser is specified.  */
-
-#ifndef YYSTACK_USE_ALLOCA
-#ifdef alloca
-#define YYSTACK_USE_ALLOCA
-#else /* alloca not defined */
-#ifdef __GNUC__
-#define YYSTACK_USE_ALLOCA
-#define alloca __builtin_alloca
-#else /* not GNU C.  */
-#if (!defined (__STDC__) && defined (sparc)) || defined (__sparc__) || defined (__sparc) || defined (__sgi) || (defined (__sun) && defined (__i386))
-#define YYSTACK_USE_ALLOCA
-#include <alloca.h>
-#else /* not sparc */
-/* We think this test detects Watcom and Microsoft C.  */
-/* This used to test MSDOS, but that is a bad idea
-   since that symbol is in the user namespace.  */
-#if (defined (_MSDOS) || defined (_MSDOS_)) && !defined (__TURBOC__)
-#if 0 /* No need for malloc.h, which pollutes the namespace;
-        instead, just don't use alloca.  */
-#include <malloc.h>
-#endif
-#else /* not MSDOS, or __TURBOC__ */
-#if defined(_AIX)
-/* I don't know what this was needed for, but it pollutes the namespace.
-   So I turned it off.   rms, 2 May 1997.  */
-/* #include <malloc.h>  */
- #pragma alloca
-#define YYSTACK_USE_ALLOCA
-#else /* not MSDOS, or __TURBOC__, or _AIX */
-#if 0
-#ifdef __hpux /* haible@ilog.fr says this works for HPUX 9.05 and up,
-                and on HPUX 10.  Eventually we can turn this on.  */
-#define YYSTACK_USE_ALLOCA
-#define alloca __builtin_alloca
-#endif /* __hpux */
-#endif
-#endif /* not _AIX */
-#endif /* not MSDOS, or __TURBOC__ */
-#endif /* not sparc */
-#endif /* not GNU C */
-#endif /* alloca not defined */
-#endif /* YYSTACK_USE_ALLOCA not defined */
-
-#ifdef YYSTACK_USE_ALLOCA
-#define YYSTACK_ALLOC alloca
-#else
-#define YYSTACK_ALLOC malloc
-#endif
+static const yysigned_char yycheck[] =
+{
+       4,     5,     6,     3,     8,     0,     9,     7,     9,     3,
+       9,    -1,    10,     9,    11,     5,     9,     9,    -1,    -1,
+      -1,    -1,    -1,    14
+};
 
-/* Note: there must be only one dollar sign in this file.
-   It is replaced by the list of actions, each action
-   as one case of the switch.  */
+/* YYSTOS[STATE-NUM] -- The (internal number of the) accessing
+   symbol of state STATE-NUM.  */
+static const unsigned char yystos[] =
+{
+       0,     3,     7,    13,    14,    15,    16,     9,     9,     0,
+       4,     5,     6,     8,    17,    18,    16,     9,    10,     9,
+       9,    18,    11,     9
+};
 
 #define yyerrok                (yyerrstatus = 0)
 #define yyclearin      (yychar = YYEMPTY)
-#define YYEMPTY                -2
+#define YYEMPTY                (-2)
 #define YYEOF          0
+
 #define YYACCEPT       goto yyacceptlab
-#define YYABORT        goto yyabortlab
-#define YYERROR                goto yyerrlab1
-/* Like YYERROR except do call yyerror.
-   This remains here temporarily to ease the
-   transition to the new meaning of YYERROR, for GCC.
+#define YYABORT                goto yyabortlab
+#define YYERROR                goto yyerrorlab
+
+
+/* Like YYERROR except do call yyerror.  This remains here temporarily
+   to ease the transition to the new meaning of YYERROR, for GCC.
    Once GCC version 2 has supplanted version 1, this can go.  */
+
 #define YYFAIL         goto yyerrlab
+
 #define YYRECOVERING()  (!!yyerrstatus)
-#define YYBACKUP(token, value) \
+
+#define YYBACKUP(Token, Value)                                 \
 do                                                             \
   if (yychar == YYEMPTY && yylen == 1)                         \
-    { yychar = (token), yylval = (value);                      \
-      yychar1 = YYTRANSLATE (yychar);                          \
+    {                                                          \
+      yychar = (Token);                                                \
+      yylval = (Value);                                                \
+      yytoken = YYTRANSLATE (yychar);                          \
       YYPOPSTACK;                                              \
       goto yybackup;                                           \
     }                                                          \
   else                                                         \
-    { yyerror ("syntax error: cannot back up"); YYERROR; }     \
+    {                                                          \
+      yyerror (YY_("syntax error: cannot back up")); \
+      YYERROR;                                                 \
+    }                                                          \
 while (0)
 
+
 #define YYTERROR       1
 #define YYERRCODE      256
 
-#ifndef YYPURE
-#define YYLEX          yylex()
+
+/* YYLLOC_DEFAULT -- Set CURRENT to span from RHS[1] to RHS[N].
+   If N is 0, then set CURRENT to the empty location which ends
+   the previous symbol: RHS[0] (always defined).  */
+
+#define YYRHSLOC(Rhs, K) ((Rhs)[K])
+#ifndef YYLLOC_DEFAULT
+# define YYLLOC_DEFAULT(Current, Rhs, N)                               \
+    do                                                                 \
+      if (N)                                                           \
+       {                                                               \
+         (Current).first_line   = YYRHSLOC (Rhs, 1).first_line;        \
+         (Current).first_column = YYRHSLOC (Rhs, 1).first_column;      \
+         (Current).last_line    = YYRHSLOC (Rhs, N).last_line;         \
+         (Current).last_column  = YYRHSLOC (Rhs, N).last_column;       \
+       }                                                               \
+      else                                                             \
+       {                                                               \
+         (Current).first_line   = (Current).last_line   =              \
+           YYRHSLOC (Rhs, 0).last_line;                                \
+         (Current).first_column = (Current).last_column =              \
+           YYRHSLOC (Rhs, 0).last_column;                              \
+       }                                                               \
+    while (0)
 #endif
 
-#ifdef YYPURE
-#ifdef YYLSP_NEEDED
-#ifdef YYLEX_PARAM
-#define YYLEX          yylex(&yylval, &yylloc, YYLEX_PARAM)
-#else
-#define YYLEX          yylex(&yylval, &yylloc)
+
+/* YY_LOCATION_PRINT -- Print the location on the stream.
+   This macro was not mandated originally: define only if we know
+   we won't break user code: when these are the locations we know.  */
+
+#ifndef YY_LOCATION_PRINT
+# if YYLTYPE_IS_TRIVIAL
+#  define YY_LOCATION_PRINT(File, Loc)                 \
+     fprintf (File, "%d.%d-%d.%d",                     \
+              (Loc).first_line, (Loc).first_column,    \
+              (Loc).last_line,  (Loc).last_column)
+# else
+#  define YY_LOCATION_PRINT(File, Loc) ((void) 0)
+# endif
 #endif
-#else /* not YYLSP_NEEDED */
+
+
+/* YYLEX -- calling `yylex' with the right arguments.  */
+
 #ifdef YYLEX_PARAM
-#define YYLEX          yylex(&yylval, YYLEX_PARAM)
+# define YYLEX yylex (YYLEX_PARAM)
 #else
-#define YYLEX          yylex(&yylval)
+# define YYLEX yylex ()
 #endif
-#endif /* not YYLSP_NEEDED */
+
+/* Enable debugging if requested.  */
+#if YYDEBUG
+
+# ifndef YYFPRINTF
+#  include <stdio.h> /* INFRINGES ON USER NAME SPACE */
+#  define YYFPRINTF fprintf
+# endif
+
+# define YYDPRINTF(Args)                       \
+do {                                           \
+  if (yydebug)                                 \
+    YYFPRINTF Args;                            \
+} while (0)
+
+# define YY_SYMBOL_PRINT(Title, Type, Value, Location)         \
+do {                                                           \
+  if (yydebug)                                                 \
+    {                                                          \
+      YYFPRINTF (stderr, "%s ", Title);                                \
+      yysymprint (stderr,                                      \
+                  Type, Value);        \
+      YYFPRINTF (stderr, "\n");                                        \
+    }                                                          \
+} while (0)
+
+/*------------------------------------------------------------------.
+| yy_stack_print -- Print the state stack from its BOTTOM up to its |
+| TOP (included).                                                   |
+`------------------------------------------------------------------*/
+
+#if defined (__STDC__) || defined (__cplusplus)
+static void
+yy_stack_print (short int *bottom, short int *top)
+#else
+static void
+yy_stack_print (bottom, top)
+    short int *bottom;
+    short int *top;
 #endif
+{
+  YYFPRINTF (stderr, "Stack now");
+  for (/* Nothing. */; bottom <= top; ++bottom)
+    YYFPRINTF (stderr, " %d", *bottom);
+  YYFPRINTF (stderr, "\n");
+}
 
-/* If nonreentrant, generate the variables here */
+# define YY_STACK_PRINT(Bottom, Top)                           \
+do {                                                           \
+  if (yydebug)                                                 \
+    yy_stack_print ((Bottom), (Top));                          \
+} while (0)
 
-#ifndef YYPURE
 
-int    yychar;                 /*  the lookahead symbol                */
-YYSTYPE        yylval;                 /*  the semantic value of the           */
-                               /*  lookahead symbol                    */
+/*------------------------------------------------.
+| Report that the YYRULE is going to be reduced.  |
+`------------------------------------------------*/
 
-#ifdef YYLSP_NEEDED
-YYLTYPE yylloc;                        /*  location data for the lookahead     */
-                               /*  symbol                              */
+#if defined (__STDC__) || defined (__cplusplus)
+static void
+yy_reduce_print (int yyrule)
+#else
+static void
+yy_reduce_print (yyrule)
+    int yyrule;
 #endif
+{
+  int yyi;
+  unsigned long int yylno = yyrline[yyrule];
+  YYFPRINTF (stderr, "Reducing stack by rule %d (line %lu), ",
+             yyrule - 1, yylno);
+  /* Print the symbols being reduced, and their result.  */
+  for (yyi = yyprhs[yyrule]; 0 <= yyrhs[yyi]; yyi++)
+    YYFPRINTF (stderr, "%s ", yytname[yyrhs[yyi]]);
+  YYFPRINTF (stderr, "-> %s\n", yytname[yyr1[yyrule]]);
+}
 
-int yynerrs;                   /*  number of parse errors so far       */
-#endif  /* not YYPURE */
+# define YY_REDUCE_PRINT(Rule)         \
+do {                                   \
+  if (yydebug)                         \
+    yy_reduce_print (Rule);            \
+} while (0)
 
-#if YYDEBUG != 0
-int yydebug;                   /*  nonzero means print parse trace     */
-/* Since this is uninitialized, it does not stop multiple parsers
-   from coexisting.  */
-#endif
+/* Nonzero means print parse trace.  It is left uninitialized so that
+   multiple parsers can coexist.  */
+int yydebug;
+#else /* !YYDEBUG */
+# define YYDPRINTF(Args)
+# define YY_SYMBOL_PRINT(Title, Type, Value, Location)
+# define YY_STACK_PRINT(Bottom, Top)
+# define YY_REDUCE_PRINT(Rule)
+#endif /* !YYDEBUG */
 
-/*  YYINITDEPTH indicates the initial size of the parser's stacks      */
 
+/* YYINITDEPTH -- initial size of the parser's stacks.  */
 #ifndef        YYINITDEPTH
-#define YYINITDEPTH 200
+# define YYINITDEPTH 200
 #endif
 
-/*  YYMAXDEPTH is the maximum size the stacks can grow to
-    (effective only if the built-in stack extension method is used).  */
+/* YYMAXDEPTH -- maximum size the stacks can grow to (effective only
+   if the built-in stack extension method is used).
 
-#if YYMAXDEPTH == 0
-#undef YYMAXDEPTH
-#endif
+   Do not make this value too large; the results are undefined if
+   YYSTACK_ALLOC_MAXIMUM < YYSTACK_BYTES (YYMAXDEPTH)
+   evaluated with infinite-precision integer arithmetic.  */
 
 #ifndef YYMAXDEPTH
-#define YYMAXDEPTH 10000
+# define YYMAXDEPTH 10000
 #endif
+
 \f
-/* Define __yy_memcpy.  Note that the size argument
-   should be passed with type unsigned int, because that is what the non-GCC
-   definitions require.  With GCC, __builtin_memcpy takes an arg
-   of type size_t, but it can handle unsigned int.  */
-
-#if __GNUC__ > 1               /* GNU C and GNU C++ define this.  */
-#define __yy_memcpy(TO,FROM,COUNT)     __builtin_memcpy(TO,FROM,COUNT)
-#else                          /* not GNU C or C++ */
-#ifndef __cplusplus
-
-/* This is the most reliable way to avoid incompatibilities
-   in available built-in functions on various systems.  */
-static void
-__yy_memcpy (to, from, count)
-     char *to;
-     char *from;
-     unsigned int count;
+
+#if YYERROR_VERBOSE
+
+# ifndef yystrlen
+#  if defined (__GLIBC__) && defined (_STRING_H)
+#   define yystrlen strlen
+#  else
+/* Return the length of YYSTR.  */
+static YYSIZE_T
+#   if defined (__STDC__) || defined (__cplusplus)
+yystrlen (const char *yystr)
+#   else
+yystrlen (yystr)
+     const char *yystr;
+#   endif
 {
-  register char *f = from;
-  register char *t = to;
-  register int i = count;
+  const char *yys = yystr;
 
-  while (i-- > 0)
-    *t++ = *f++;
+  while (*yys++ != '\0')
+    continue;
+
+  return yys - yystr - 1;
 }
+#  endif
+# endif
+
+# ifndef yystpcpy
+#  if defined (__GLIBC__) && defined (_STRING_H) && defined (_GNU_SOURCE)
+#   define yystpcpy stpcpy
+#  else
+/* Copy YYSRC to YYDEST, returning the address of the terminating '\0' in
+   YYDEST.  */
+static char *
+#   if defined (__STDC__) || defined (__cplusplus)
+yystpcpy (char *yydest, const char *yysrc)
+#   else
+yystpcpy (yydest, yysrc)
+     char *yydest;
+     const char *yysrc;
+#   endif
+{
+  char *yyd = yydest;
+  const char *yys = yysrc;
 
-#else /* __cplusplus */
+  while ((*yyd++ = *yys++) != '\0')
+    continue;
 
-/* This is the most reliable way to avoid incompatibilities
-   in available built-in functions on various systems.  */
-static void
-__yy_memcpy (char *to, char *from, unsigned int count)
+  return yyd - 1;
+}
+#  endif
+# endif
+
+# ifndef yytnamerr
+/* Copy to YYRES the contents of YYSTR after stripping away unnecessary
+   quotes and backslashes, so that it's suitable for yyerror.  The
+   heuristic is that double-quoting is unnecessary unless the string
+   contains an apostrophe, a comma, or backslash (other than
+   backslash-backslash).  YYSTR is taken from yytname.  If YYRES is
+   null, do not copy; instead, return the length of what the result
+   would have been.  */
+static YYSIZE_T
+yytnamerr (char *yyres, const char *yystr)
 {
-  register char *t = to;
-  register char *f = from;
-  register int i = count;
+  if (*yystr == '"')
+    {
+      size_t yyn = 0;
+      char const *yyp = yystr;
+
+      for (;;)
+       switch (*++yyp)
+         {
+         case '\'':
+         case ',':
+           goto do_not_strip_quotes;
+
+         case '\\':
+           if (*++yyp != '\\')
+             goto do_not_strip_quotes;
+           /* Fall through.  */
+         default:
+           if (yyres)
+             yyres[yyn] = *yyp;
+           yyn++;
+           break;
+
+         case '"':
+           if (yyres)
+             yyres[yyn] = '\0';
+           return yyn;
+         }
+    do_not_strip_quotes: ;
+    }
+
+  if (! yyres)
+    return yystrlen (yystr);
 
-  while (i-- > 0)
-    *t++ = *f++;
+  return yystpcpy (yyres, yystr) - yyres;
 }
+# endif
+
+#endif /* YYERROR_VERBOSE */
+
+\f
+
+#if YYDEBUG
+/*--------------------------------.
+| Print this symbol on YYOUTPUT.  |
+`--------------------------------*/
 
+#if defined (__STDC__) || defined (__cplusplus)
+static void
+yysymprint (FILE *yyoutput, int yytype, YYSTYPE *yyvaluep)
+#else
+static void
+yysymprint (yyoutput, yytype, yyvaluep)
+    FILE *yyoutput;
+    int yytype;
+    YYSTYPE *yyvaluep;
 #endif
+{
+  /* Pacify ``unused variable'' warnings.  */
+  (void) yyvaluep;
+
+  if (yytype < YYNTOKENS)
+    YYFPRINTF (yyoutput, "token %s (", yytname[yytype]);
+  else
+    YYFPRINTF (yyoutput, "nterm %s (", yytname[yytype]);
+
+
+# ifdef YYPRINT
+  if (yytype < YYNTOKENS)
+    YYPRINT (yyoutput, yytoknum[yytype], *yyvaluep);
+# endif
+  switch (yytype)
+    {
+      default:
+        break;
+    }
+  YYFPRINTF (yyoutput, ")");
+}
+
+#endif /* ! YYDEBUG */
+/*-----------------------------------------------.
+| Release the memory associated to this symbol.  |
+`-----------------------------------------------*/
+
+#if defined (__STDC__) || defined (__cplusplus)
+static void
+yydestruct (const char *yymsg, int yytype, YYSTYPE *yyvaluep)
+#else
+static void
+yydestruct (yymsg, yytype, yyvaluep)
+    const char *yymsg;
+    int yytype;
+    YYSTYPE *yyvaluep;
 #endif
+{
+  /* Pacify ``unused variable'' warnings.  */
+  (void) yyvaluep;
+
+  if (!yymsg)
+    yymsg = "Deleting";
+  YY_SYMBOL_PRINT (yymsg, yytype, yyvaluep, yylocationp);
+
+  switch (yytype)
+    {
+
+      default:
+        break;
+    }
+}
 \f
-#line 217 "/usr/share/bison.simple"
 
-/* The user can define YYPARSE_PARAM as the name of an argument to be passed
-   into yyparse.  The argument should have type void *.
-   It should actually point to an object.
-   Grammar actions can access the variable by casting it
-   to the proper pointer type.  */
+/* Prevent warnings from -Wmissing-prototypes.  */
 
 #ifdef YYPARSE_PARAM
-#ifdef __cplusplus
-#define YYPARSE_PARAM_ARG void *YYPARSE_PARAM
-#define YYPARSE_PARAM_DECL
-#else /* not __cplusplus */
-#define YYPARSE_PARAM_ARG YYPARSE_PARAM
-#define YYPARSE_PARAM_DECL void *YYPARSE_PARAM;
-#endif /* not __cplusplus */
-#else /* not YYPARSE_PARAM */
-#define YYPARSE_PARAM_ARG
-#define YYPARSE_PARAM_DECL
-#endif /* not YYPARSE_PARAM */
-
-/* Prevent warning if -Wstrict-prototypes.  */
-#ifdef __GNUC__
-#ifdef YYPARSE_PARAM
-int yyparse (void *);
-#else
+# if defined (__STDC__) || defined (__cplusplus)
+int yyparse (void *YYPARSE_PARAM);
+# else
+int yyparse ();
+# endif
+#else /* ! YYPARSE_PARAM */
+#if defined (__STDC__) || defined (__cplusplus)
 int yyparse (void);
+#else
+int yyparse ();
 #endif
-#endif
+#endif /* ! YYPARSE_PARAM */
+
+
+
+/* The look-ahead symbol.  */
+int yychar;
+
+/* The semantic value of the look-ahead symbol.  */
+YYSTYPE yylval;
+
+/* Number of syntax errors so far.  */
+int yynerrs;
 
+
+
+/*----------.
+| yyparse.  |
+`----------*/
+
+#ifdef YYPARSE_PARAM
+# if defined (__STDC__) || defined (__cplusplus)
+int yyparse (void *YYPARSE_PARAM)
+# else
+int yyparse (YYPARSE_PARAM)
+  void *YYPARSE_PARAM;
+# endif
+#else /* ! YYPARSE_PARAM */
+#if defined (__STDC__) || defined (__cplusplus)
+int
+yyparse (void)
+#else
 int
-yyparse(YYPARSE_PARAM_ARG)
-     YYPARSE_PARAM_DECL
+yyparse ()
+
+#endif
+#endif
 {
-  register int yystate;
-  register int yyn;
-  register short *yyssp;
-  register YYSTYPE *yyvsp;
-  int yyerrstatus;     /*  number of tokens to shift before error messages enabled */
-  int yychar1 = 0;             /*  lookahead token as an internal (translated) token number */
+  
+  int yystate;
+  int yyn;
+  int yyresult;
+  /* Number of tokens to shift before error messages enabled.  */
+  int yyerrstatus;
+  /* Look-ahead token as an internal (translated) token number.  */
+  int yytoken = 0;
 
-  short        yyssa[YYINITDEPTH];     /*  the state stack                     */
-  YYSTYPE yyvsa[YYINITDEPTH];  /*  the semantic value stack            */
+  /* Three stacks and their tools:
+     `yyss': related to states,
+     `yyvs': related to semantic values,
+     `yyls': related to locations.
+
+     Refer to the stacks thru separate pointers, to allow yyoverflow
+     to reallocate them elsewhere.  */
+
+  /* The state stack.  */
+  short int yyssa[YYINITDEPTH];
+  short int *yyss = yyssa;
+  short int *yyssp;
+
+  /* The semantic value stack.  */
+  YYSTYPE yyvsa[YYINITDEPTH];
+  YYSTYPE *yyvs = yyvsa;
+  YYSTYPE *yyvsp;
 
-  short *yyss = yyssa;         /*  refer to the stacks thru separate pointers */
-  YYSTYPE *yyvs = yyvsa;       /*  to allow yyoverflow to reallocate them elsewhere */
 
-#ifdef YYLSP_NEEDED
-  YYLTYPE yylsa[YYINITDEPTH];  /*  the location stack                  */
-  YYLTYPE *yyls = yylsa;
-  YYLTYPE *yylsp;
 
-#define YYPOPSTACK   (yyvsp--, yyssp--, yylsp--)
-#else
 #define YYPOPSTACK   (yyvsp--, yyssp--)
-#endif
 
-  int yystacksize = YYINITDEPTH;
-  int yyfree_stacks = 0;
+  YYSIZE_T yystacksize = YYINITDEPTH;
 
-#ifdef YYPURE
-  int yychar;
-  YYSTYPE yylval;
-  int yynerrs;
-#ifdef YYLSP_NEEDED
-  YYLTYPE yylloc;
-#endif
-#endif
+  /* The variables used to return semantic value and location from the
+     action routines.  */
+  YYSTYPE yyval;
 
-  YYSTYPE yyval;               /*  the variable used to return         */
-                               /*  semantic values from the action     */
-                               /*  routines                            */
 
+  /* When reducing, the number of symbols on the RHS of the reduced
+     rule.  */
   int yylen;
 
-#if YYDEBUG != 0
-  if (yydebug)
-    fprintf(stderr, "Starting parse\n");
-#endif
+  YYDPRINTF ((stderr, "Starting parse\n"));
 
   yystate = 0;
   yyerrstatus = 0;
@@ -495,295 +971,251 @@ yyparse(YYPARSE_PARAM_ARG)
      so that they stay on the same level as the state stack.
      The wasted elements are never initialized.  */
 
-  yyssp = yyss - 1;
+  yyssp = yyss;
   yyvsp = yyvs;
-#ifdef YYLSP_NEEDED
-  yylsp = yyls;
-#endif
 
-/* Push a new state, which is found in  yystate  .  */
-/* In all cases, when you get here, the value and location stacks
-   have just been pushed. so pushing a state here evens the stacks.  */
-yynewstate:
+  goto yysetstate;
 
-  *++yyssp = yystate;
+/*------------------------------------------------------------.
+| yynewstate -- Push a new state, which is found in yystate.  |
+`------------------------------------------------------------*/
+ yynewstate:
+  /* In all cases, when you get here, the value and location stacks
+     have just been pushed. so pushing a state here evens the stacks.
+     */
+  yyssp++;
 
-  if (yyssp >= yyss + yystacksize - 1)
-    {
-      /* Give user a chance to reallocate the stack */
-      /* Use copies of these so that the &'s don't force the real ones into memory. */
-      YYSTYPE *yyvs1 = yyvs;
-      short *yyss1 = yyss;
-#ifdef YYLSP_NEEDED
-      YYLTYPE *yyls1 = yyls;
-#endif
+ yysetstate:
+  *yyssp = yystate;
 
+  if (yyss + yystacksize - 1 <= yyssp)
+    {
       /* Get the current used size of the three stacks, in elements.  */
-      int size = yyssp - yyss + 1;
+      YYSIZE_T yysize = yyssp - yyss + 1;
 
 #ifdef yyoverflow
-      /* Each stack pointer address is followed by the size of
-        the data in use in that stack, in bytes.  */
-#ifdef YYLSP_NEEDED
-      /* This used to be a conditional around just the two extra args,
-        but that might be undefined if yyoverflow is a macro.  */
-      yyoverflow("parser stack overflow",
-                &yyss1, size * sizeof (*yyssp),
-                &yyvs1, size * sizeof (*yyvsp),
-                &yyls1, size * sizeof (*yylsp),
-                &yystacksize);
-#else
-      yyoverflow("parser stack overflow",
-                &yyss1, size * sizeof (*yyssp),
-                &yyvs1, size * sizeof (*yyvsp),
-                &yystacksize);
-#endif
-
-      yyss = yyss1; yyvs = yyvs1;
-#ifdef YYLSP_NEEDED
-      yyls = yyls1;
-#endif
+      {
+       /* Give user a chance to reallocate the stack. Use copies of
+          these so that the &'s don't force the real ones into
+          memory.  */
+       YYSTYPE *yyvs1 = yyvs;
+       short int *yyss1 = yyss;
+
+
+       /* Each stack pointer address is followed by the size of the
+          data in use in that stack, in bytes.  This used to be a
+          conditional around just the two extra args, but that might
+          be undefined if yyoverflow is a macro.  */
+       yyoverflow (YY_("memory exhausted"),
+                   &yyss1, yysize * sizeof (*yyssp),
+                   &yyvs1, yysize * sizeof (*yyvsp),
+
+                   &yystacksize);
+
+       yyss = yyss1;
+       yyvs = yyvs1;
+      }
 #else /* no yyoverflow */
+# ifndef YYSTACK_RELOCATE
+      goto yyexhaustedlab;
+# else
       /* Extend the stack our own way.  */
-      if (yystacksize >= YYMAXDEPTH)
-       {
-         yyerror("parser stack overflow");
-         if (yyfree_stacks)
-           {
-             free (yyss);
-             free (yyvs);
-#ifdef YYLSP_NEEDED
-             free (yyls);
-#endif
-           }
-         return 2;
-       }
+      if (YYMAXDEPTH <= yystacksize)
+       goto yyexhaustedlab;
       yystacksize *= 2;
-      if (yystacksize > YYMAXDEPTH)
+      if (YYMAXDEPTH < yystacksize)
        yystacksize = YYMAXDEPTH;
-#ifndef YYSTACK_USE_ALLOCA
-      yyfree_stacks = 1;
-#endif
-      yyss = (short *) YYSTACK_ALLOC (yystacksize * sizeof (*yyssp));
-      __yy_memcpy ((char *)yyss, (char *)yyss1,
-                  size * (unsigned int) sizeof (*yyssp));
-      yyvs = (YYSTYPE *) YYSTACK_ALLOC (yystacksize * sizeof (*yyvsp));
-      __yy_memcpy ((char *)yyvs, (char *)yyvs1,
-                  size * (unsigned int) sizeof (*yyvsp));
-#ifdef YYLSP_NEEDED
-      yyls = (YYLTYPE *) YYSTACK_ALLOC (yystacksize * sizeof (*yylsp));
-      __yy_memcpy ((char *)yyls, (char *)yyls1,
-                  size * (unsigned int) sizeof (*yylsp));
-#endif
+
+      {
+       short int *yyss1 = yyss;
+       union yyalloc *yyptr =
+         (union yyalloc *) YYSTACK_ALLOC (YYSTACK_BYTES (yystacksize));
+       if (! yyptr)
+         goto yyexhaustedlab;
+       YYSTACK_RELOCATE (yyss);
+       YYSTACK_RELOCATE (yyvs);
+
+#  undef YYSTACK_RELOCATE
+       if (yyss1 != yyssa)
+         YYSTACK_FREE (yyss1);
+      }
+# endif
 #endif /* no yyoverflow */
 
-      yyssp = yyss + size - 1;
-      yyvsp = yyvs + size - 1;
-#ifdef YYLSP_NEEDED
-      yylsp = yyls + size - 1;
-#endif
+      yyssp = yyss + yysize - 1;
+      yyvsp = yyvs + yysize - 1;
 
-#if YYDEBUG != 0
-      if (yydebug)
-       fprintf(stderr, "Stack size increased to %d\n", yystacksize);
-#endif
 
-      if (yyssp >= yyss + yystacksize - 1)
+      YYDPRINTF ((stderr, "Stack size increased to %lu\n",
+                 (unsigned long int) yystacksize));
+
+      if (yyss + yystacksize - 1 <= yyssp)
        YYABORT;
     }
 
-#if YYDEBUG != 0
-  if (yydebug)
-    fprintf(stderr, "Entering state %d\n", yystate);
-#endif
+  YYDPRINTF ((stderr, "Entering state %d\n", yystate));
 
   goto yybackup;
- yybackup:
+
+/*-----------.
+| yybackup.  |
+`-----------*/
+yybackup:
 
 /* Do appropriate processing given the current state.  */
-/* Read a lookahead token if we need one and don't already have one.  */
+/* Read a look-ahead token if we need one and don't already have one.  */
 /* yyresume: */
 
-  /* First try to decide what to do without reference to lookahead token.  */
+  /* First try to decide what to do without reference to look-ahead token.  */
 
   yyn = yypact[yystate];
-  if (yyn == YYFLAG)
+  if (yyn == YYPACT_NINF)
     goto yydefault;
 
-  /* Not known => get a lookahead token if don't already have one.  */
-
-  /* yychar is either YYEMPTY or YYEOF
-     or a valid token in external form.  */
+  /* Not known => get a look-ahead token if don't already have one.  */
 
+  /* YYCHAR is either YYEMPTY or YYEOF or a valid look-ahead symbol.  */
   if (yychar == YYEMPTY)
     {
-#if YYDEBUG != 0
-      if (yydebug)
-       fprintf(stderr, "Reading a token: ");
-#endif
+      YYDPRINTF ((stderr, "Reading a token: "));
       yychar = YYLEX;
     }
 
-  /* Convert token to internal form (in yychar1) for indexing tables with */
-
-  if (yychar <= 0)             /* This means end of input. */
+  if (yychar <= YYEOF)
     {
-      yychar1 = 0;
-      yychar = YYEOF;          /* Don't call YYLEX any more */
-
-#if YYDEBUG != 0
-      if (yydebug)
-       fprintf(stderr, "Now at end of input.\n");
-#endif
+      yychar = yytoken = YYEOF;
+      YYDPRINTF ((stderr, "Now at end of input.\n"));
     }
   else
     {
-      yychar1 = YYTRANSLATE(yychar);
-
-#if YYDEBUG != 0
-      if (yydebug)
-       {
-         fprintf (stderr, "Next token is %d (%s", yychar, yytname[yychar1]);
-         /* Give the individual parser a way to print the precise meaning
-            of a token, for further debugging info.  */
-#ifdef YYPRINT
-         YYPRINT (stderr, yychar, yylval);
-#endif
-         fprintf (stderr, ")\n");
-       }
-#endif
+      yytoken = YYTRANSLATE (yychar);
+      YY_SYMBOL_PRINT ("Next token is", yytoken, &yylval, &yylloc);
     }
 
-  yyn += yychar1;
-  if (yyn < 0 || yyn > YYLAST || yycheck[yyn] != yychar1)
+  /* If the proper action on seeing token YYTOKEN is to reduce or to
+     detect an error, take that action.  */
+  yyn += yytoken;
+  if (yyn < 0 || YYLAST < yyn || yycheck[yyn] != yytoken)
     goto yydefault;
-
   yyn = yytable[yyn];
-
-  /* yyn is what to do for this token type in this state.
-     Negative => reduce, -yyn is rule number.
-     Positive => shift, yyn is new state.
-       New state is final state => don't bother to shift,
-       just return success.
-     0, or most negative number => error.  */
-
-  if (yyn < 0)
+  if (yyn <= 0)
     {
-      if (yyn == YYFLAG)
+      if (yyn == 0 || yyn == YYTABLE_NINF)
        goto yyerrlab;
       yyn = -yyn;
       goto yyreduce;
     }
-  else if (yyn == 0)
-    goto yyerrlab;
 
   if (yyn == YYFINAL)
     YYACCEPT;
 
-  /* Shift the lookahead token.  */
-
-#if YYDEBUG != 0
-  if (yydebug)
-    fprintf(stderr, "Shifting token %d (%s), ", yychar, yytname[yychar1]);
-#endif
+  /* Shift the look-ahead token.  */
+  YY_SYMBOL_PRINT ("Shifting", yytoken, &yylval, &yylloc);
 
   /* Discard the token being shifted unless it is eof.  */
   if (yychar != YYEOF)
     yychar = YYEMPTY;
 
   *++yyvsp = yylval;
-#ifdef YYLSP_NEEDED
-  *++yylsp = yylloc;
-#endif
 
-  /* count tokens shifted since error; after three, turn off error status.  */
-  if (yyerrstatus) yyerrstatus--;
+
+  /* Count tokens shifted since error; after three, turn off error
+     status.  */
+  if (yyerrstatus)
+    yyerrstatus--;
 
   yystate = yyn;
   goto yynewstate;
 
-/* Do the default action for the current state.  */
-yydefault:
 
+/*-----------------------------------------------------------.
+| yydefault -- do the default action for the current state.  |
+`-----------------------------------------------------------*/
+yydefault:
   yyn = yydefact[yystate];
   if (yyn == 0)
     goto yyerrlab;
+  goto yyreduce;
+
 
-/* Do a reduction.  yyn is the number of a rule to reduce with.  */
+/*-----------------------------.
+| yyreduce -- Do a reduction.  |
+`-----------------------------*/
 yyreduce:
+  /* yyn is the number of a rule to reduce with.  */
   yylen = yyr2[yyn];
-  if (yylen > 0)
-    yyval = yyvsp[1-yylen]; /* implement default value of the action */
 
-#if YYDEBUG != 0
-  if (yydebug)
-    {
-      int i;
+  /* If YYLEN is nonzero, implement the default value of the action:
+     `$$ = $1'.
 
-      fprintf (stderr, "Reducing via rule %d (line %d), ",
-              yyn, yyrline[yyn]);
+     Otherwise, the following line sets YYVAL to garbage.
+     This behavior is undocumented and Bison
+     users should not rely upon it.  Assigning to YYVAL
+     unconditionally makes the parser a bit smaller, and it avoids a
+     GCC warning that YYVAL may be used uninitialized.  */
+  yyval = yyvsp[1-yylen];
 
-      /* Print the symbols being reduced, and their result.  */
-      for (i = yyprhs[yyn]; yyrhs[i] > 0; i++)
-       fprintf (stderr, "%s ", yytname[yyrhs[i]]);
-      fprintf (stderr, " -> %s\n", yytname[yyr1[yyn]]);
-    }
-#endif
 
+  YY_REDUCE_PRINT (yyn);
+  switch (yyn)
+    {
+        case 6:
+#line 73 "parse.y"
+    {
+                   id_str = (yyvsp[0].string);
+               }
+    break;
 
-  switch (yyn) {
+  case 7:
+#line 79 "parse.y"
+    {
+                   base_id = name2number((yyvsp[0].string));
+                   strlcpy(name, (yyvsp[0].string), sizeof(name));
+                   free((yyvsp[0].string));
+               }
+    break;
 
-case 5:
-#line 73 "../../../lib/com_err/parse.y"
-{
-                   id_str = yyvsp[0].string;
-               ;
-    break;}
-case 6:
-#line 79 "../../../lib/com_err/parse.y"
-{
-                   base_id = name2number(yyvsp[0].string);
-                   strlcpy(name, yyvsp[0].string, sizeof(name));
-                   free(yyvsp[0].string);
-               ;
-    break;}
-case 7:
-#line 85 "../../../lib/com_err/parse.y"
-{
-                   base_id = name2number(yyvsp[-1].string);
-                   strlcpy(name, yyvsp[0].string, sizeof(name));
-                   free(yyvsp[-1].string);
-                   free(yyvsp[0].string);
-               ;
-    break;}
-case 10:
-#line 98 "../../../lib/com_err/parse.y"
-{
-                       number = yyvsp[0].number;
-               ;
-    break;}
-case 11:
-#line 102 "../../../lib/com_err/parse.y"
-{
+  case 8:
+#line 85 "parse.y"
+    {
+                   base_id = name2number((yyvsp[-1].string));
+                   strlcpy(name, (yyvsp[0].string), sizeof(name));
+                   free((yyvsp[-1].string));
+                   free((yyvsp[0].string));
+               }
+    break;
+
+  case 11:
+#line 98 "parse.y"
+    {
+                       number = (yyvsp[0].number);
+               }
+    break;
+
+  case 12:
+#line 102 "parse.y"
+    {
                    free(prefix);
-                   asprintf (&prefix, "%s_", yyvsp[0].string);
+                   asprintf (&prefix, "%s_", (yyvsp[0].string));
                    if (prefix == NULL)
                        errx(1, "malloc");
-                   free(yyvsp[0].string);
-               ;
-    break;}
-case 12:
-#line 110 "../../../lib/com_err/parse.y"
-{
+                   free((yyvsp[0].string));
+               }
+    break;
+
+  case 13:
+#line 110 "parse.y"
+    {
                    prefix = realloc(prefix, 1);
                    if (prefix == NULL)
                        errx(1, "malloc");
                    *prefix = '\0';
-               ;
-    break;}
-case 13:
-#line 117 "../../../lib/com_err/parse.y"
-{
+               }
+    break;
+
+  case 14:
+#line 117 "parse.y"
+    {
                    struct error_code *ec = malloc(sizeof(*ec));
                    
                    if (ec == NULL)
@@ -792,246 +1224,299 @@ case 13:
                    ec->next = NULL;
                    ec->number = number;
                    if(prefix && *prefix != '\0') {
-                       asprintf (&ec->name, "%s%s", prefix, yyvsp[-2].string);
+                       asprintf (&ec->name, "%s%s", prefix, (yyvsp[-2].string));
                        if (ec->name == NULL)
                            errx(1, "malloc");
-                       free(yyvsp[-2].string);
+                       free((yyvsp[-2].string));
                    } else
-                       ec->name = yyvsp[-2].string;
-                   ec->string = yyvsp[0].string;
+                       ec->name = (yyvsp[-2].string);
+                   ec->string = (yyvsp[0].string);
                    APPEND(codes, ec);
                    number++;
-               ;
-    break;}
-case 14:
-#line 137 "../../../lib/com_err/parse.y"
-{
+               }
+    break;
+
+  case 15:
+#line 137 "parse.y"
+    {
                        YYACCEPT;
-               ;
-    break;}
-}
-   /* the action file gets copied in in place of this dollarsign */
-#line 543 "/usr/share/bison.simple"
+               }
+    break;
+
+
+      default: break;
+    }
+
+/* Line 1126 of yacc.c.  */
+#line 1252 "$base.c"
 \f
   yyvsp -= yylen;
   yyssp -= yylen;
-#ifdef YYLSP_NEEDED
-  yylsp -= yylen;
-#endif
 
-#if YYDEBUG != 0
-  if (yydebug)
-    {
-      short *ssp1 = yyss - 1;
-      fprintf (stderr, "state stack now");
-      while (ssp1 != yyssp)
-       fprintf (stderr, " %d", *++ssp1);
-      fprintf (stderr, "\n");
-    }
-#endif
+
+  YY_STACK_PRINT (yyss, yyssp);
 
   *++yyvsp = yyval;
 
-#ifdef YYLSP_NEEDED
-  yylsp++;
-  if (yylen == 0)
-    {
-      yylsp->first_line = yylloc.first_line;
-      yylsp->first_column = yylloc.first_column;
-      yylsp->last_line = (yylsp-1)->last_line;
-      yylsp->last_column = (yylsp-1)->last_column;
-      yylsp->text = 0;
-    }
-  else
-    {
-      yylsp->last_line = (yylsp+yylen-1)->last_line;
-      yylsp->last_column = (yylsp+yylen-1)->last_column;
-    }
-#endif
 
-  /* Now "shift" the result of the reduction.
-     Determine what state that goes to,
-     based on the state we popped back to
-     and the rule number reduced by.  */
+  /* Now `shift' the result of the reduction.  Determine what state
+     that goes to, based on the state we popped back to and the rule
+     number reduced by.  */
 
   yyn = yyr1[yyn];
 
-  yystate = yypgoto[yyn - YYNTBASE] + *yyssp;
-  if (yystate >= 0 && yystate <= YYLAST && yycheck[yystate] == *yyssp)
+  yystate = yypgoto[yyn - YYNTOKENS] + *yyssp;
+  if (0 <= yystate && yystate <= YYLAST && yycheck[yystate] == *yyssp)
     yystate = yytable[yystate];
   else
-    yystate = yydefgoto[yyn - YYNTBASE];
+    yystate = yydefgoto[yyn - YYNTOKENS];
 
   goto yynewstate;
 
-yyerrlab:   /* here on detecting error */
 
-  if (! yyerrstatus)
-    /* If not already recovering from an error, report this error.  */
+/*------------------------------------.
+| yyerrlab -- here on detecting error |
+`------------------------------------*/
+yyerrlab:
+  /* If not already recovering from an error, report this error.  */
+  if (!yyerrstatus)
     {
       ++yynerrs;
-
-#ifdef YYERROR_VERBOSE
+#if YYERROR_VERBOSE
       yyn = yypact[yystate];
 
-      if (yyn > YYFLAG && yyn < YYLAST)
+      if (YYPACT_NINF < yyn && yyn < YYLAST)
        {
-         int size = 0;
-         char *msg;
-         int x, count;
-
-         count = 0;
-         /* Start X at -yyn if nec to avoid negative indexes in yycheck.  */
-         for (x = (yyn < 0 ? -yyn : 0);
-              x < (sizeof(yytname) / sizeof(char *)); x++)
-           if (yycheck[x + yyn] == x)
-             size += strlen(yytname[x]) + 15, count++;
-         msg = (char *) malloc(size + 15);
-         if (msg != 0)
-           {
-             strcpy(msg, "parse error");
+         int yytype = YYTRANSLATE (yychar);
+         YYSIZE_T yysize0 = yytnamerr (0, yytname[yytype]);
+         YYSIZE_T yysize = yysize0;
+         YYSIZE_T yysize1;
+         int yysize_overflow = 0;
+         char *yymsg = 0;
+#        define YYERROR_VERBOSE_ARGS_MAXIMUM 5
+         char const *yyarg[YYERROR_VERBOSE_ARGS_MAXIMUM];
+         int yyx;
 
-             if (count < 5)
+#if 0
+         /* This is so xgettext sees the translatable formats that are
+            constructed on the fly.  */
+         YY_("syntax error, unexpected %s");
+         YY_("syntax error, unexpected %s, expecting %s");
+         YY_("syntax error, unexpected %s, expecting %s or %s");
+         YY_("syntax error, unexpected %s, expecting %s or %s or %s");
+         YY_("syntax error, unexpected %s, expecting %s or %s or %s or %s");
+#endif
+         char *yyfmt;
+         char const *yyf;
+         static char const yyunexpected[] = "syntax error, unexpected %s";
+         static char const yyexpecting[] = ", expecting %s";
+         static char const yyor[] = " or %s";
+         char yyformat[sizeof yyunexpected
+                       + sizeof yyexpecting - 1
+                       + ((YYERROR_VERBOSE_ARGS_MAXIMUM - 2)
+                          * (sizeof yyor - 1))];
+         char const *yyprefix = yyexpecting;
+
+         /* Start YYX at -YYN if negative to avoid negative indexes in
+            YYCHECK.  */
+         int yyxbegin = yyn < 0 ? -yyn : 0;
+
+         /* Stay within bounds of both yycheck and yytname.  */
+         int yychecklim = YYLAST - yyn;
+         int yyxend = yychecklim < YYNTOKENS ? yychecklim : YYNTOKENS;
+         int yycount = 1;
+
+         yyarg[0] = yytname[yytype];
+         yyfmt = yystpcpy (yyformat, yyunexpected);
+
+         for (yyx = yyxbegin; yyx < yyxend; ++yyx)
+           if (yycheck[yyx + yyn] == yyx && yyx != YYTERROR)
+             {
+               if (yycount == YYERROR_VERBOSE_ARGS_MAXIMUM)
+                 {
+                   yycount = 1;
+                   yysize = yysize0;
+                   yyformat[sizeof yyunexpected - 1] = '\0';
+                   break;
+                 }
+               yyarg[yycount++] = yytname[yyx];
+               yysize1 = yysize + yytnamerr (0, yytname[yyx]);
+               yysize_overflow |= yysize1 < yysize;
+               yysize = yysize1;
+               yyfmt = yystpcpy (yyfmt, yyprefix);
+               yyprefix = yyor;
+             }
+
+         yyf = YY_(yyformat);
+         yysize1 = yysize + yystrlen (yyf);
+         yysize_overflow |= yysize1 < yysize;
+         yysize = yysize1;
+
+         if (!yysize_overflow && yysize <= YYSTACK_ALLOC_MAXIMUM)
+           yymsg = (char *) YYSTACK_ALLOC (yysize);
+         if (yymsg)
+           {
+             /* Avoid sprintf, as that infringes on the user's name space.
+                Don't have undefined behavior even if the translation
+                produced a string with the wrong number of "%s"s.  */
+             char *yyp = yymsg;
+             int yyi = 0;
+             while ((*yyp = *yyf))
                {
-                 count = 0;
-                 for (x = (yyn < 0 ? -yyn : 0);
-                      x < (sizeof(yytname) / sizeof(char *)); x++)
-                   if (yycheck[x + yyn] == x)
-                     {
-                       strcat(msg, count == 0 ? ", expecting `" : " or `");
-                       strcat(msg, yytname[x]);
-                       strcat(msg, "'");
-                       count++;
-                     }
+                 if (*yyp == '%' && yyf[1] == 's' && yyi < yycount)
+                   {
+                     yyp += yytnamerr (yyp, yyarg[yyi++]);
+                     yyf += 2;
+                   }
+                 else
+                   {
+                     yyp++;
+                     yyf++;
+                   }
                }
-             yyerror(msg);
-             free(msg);
+             yyerror (yymsg);
+             YYSTACK_FREE (yymsg);
            }
          else
-           yyerror ("parse error; also virtual memory exceeded");
+           {
+             yyerror (YY_("syntax error"));
+             goto yyexhaustedlab;
+           }
        }
       else
 #endif /* YYERROR_VERBOSE */
-       yyerror("parse error");
+       yyerror (YY_("syntax error"));
     }
 
-  goto yyerrlab1;
-yyerrlab1:   /* here on error raised explicitly by an action */
+
 
   if (yyerrstatus == 3)
     {
-      /* if just tried and failed to reuse lookahead token after an error, discard it.  */
-
-      /* return failure if at end of input */
-      if (yychar == YYEOF)
-       YYABORT;
-
-#if YYDEBUG != 0
-      if (yydebug)
-       fprintf(stderr, "Discarding token %d (%s).\n", yychar, yytname[yychar1]);
-#endif
-
-      yychar = YYEMPTY;
+      /* If just tried and failed to reuse look-ahead token after an
+        error, discard it.  */
+
+      if (yychar <= YYEOF)
+        {
+         /* Return failure if at end of input.  */
+         if (yychar == YYEOF)
+           YYABORT;
+        }
+      else
+       {
+         yydestruct ("Error: discarding", yytoken, &yylval);
+         yychar = YYEMPTY;
+       }
     }
 
-  /* Else will try to reuse lookahead token
-     after shifting the error token.  */
+  /* Else will try to reuse look-ahead token after shifting the error
+     token.  */
+  goto yyerrlab1;
 
-  yyerrstatus = 3;             /* Each real token shifted decrements this */
 
-  goto yyerrhandle;
+/*---------------------------------------------------.
+| yyerrorlab -- error raised explicitly by YYERROR.  |
+`---------------------------------------------------*/
+yyerrorlab:
 
-yyerrdefault:  /* current state does not do anything special for the error token. */
+  /* Pacify compilers like GCC when the user code never invokes
+     YYERROR and the label yyerrorlab therefore never appears in user
+     code.  */
+  if (0)
+     goto yyerrorlab;
 
-#if 0
-  /* This is wrong; only states that explicitly want error tokens
-     should shift them.  */
-  yyn = yydefact[yystate];  /* If its default is to accept any token, ok.  Otherwise pop it.*/
-  if (yyn) goto yydefault;
-#endif
+yyvsp -= yylen;
+  yyssp -= yylen;
+  yystate = *yyssp;
+  goto yyerrlab1;
 
-yyerrpop:   /* pop the current state because it cannot handle the error token */
 
-  if (yyssp == yyss) YYABORT;
-  yyvsp--;
-  yystate = *--yyssp;
-#ifdef YYLSP_NEEDED
-  yylsp--;
-#endif
+/*-------------------------------------------------------------.
+| yyerrlab1 -- common code for both syntax error and YYERROR.  |
+`-------------------------------------------------------------*/
+yyerrlab1:
+  yyerrstatus = 3;     /* Each real token shifted decrements this.  */
 
-#if YYDEBUG != 0
-  if (yydebug)
+  for (;;)
     {
-      short *ssp1 = yyss - 1;
-      fprintf (stderr, "Error: state stack now");
-      while (ssp1 != yyssp)
-       fprintf (stderr, " %d", *++ssp1);
-      fprintf (stderr, "\n");
-    }
-#endif
-
-yyerrhandle:
+      yyn = yypact[yystate];
+      if (yyn != YYPACT_NINF)
+       {
+         yyn += YYTERROR;
+         if (0 <= yyn && yyn <= YYLAST && yycheck[yyn] == YYTERROR)
+           {
+             yyn = yytable[yyn];
+             if (0 < yyn)
+               break;
+           }
+       }
 
-  yyn = yypact[yystate];
-  if (yyn == YYFLAG)
-    goto yyerrdefault;
+      /* Pop the current state because it cannot handle the error token.  */
+      if (yyssp == yyss)
+       YYABORT;
 
-  yyn += YYTERROR;
-  if (yyn < 0 || yyn > YYLAST || yycheck[yyn] != YYTERROR)
-    goto yyerrdefault;
 
-  yyn = yytable[yyn];
-  if (yyn < 0)
-    {
-      if (yyn == YYFLAG)
-       goto yyerrpop;
-      yyn = -yyn;
-      goto yyreduce;
+      yydestruct ("Error: popping", yystos[yystate], yyvsp);
+      YYPOPSTACK;
+      yystate = *yyssp;
+      YY_STACK_PRINT (yyss, yyssp);
     }
-  else if (yyn == 0)
-    goto yyerrpop;
 
   if (yyn == YYFINAL)
     YYACCEPT;
 
-#if YYDEBUG != 0
-  if (yydebug)
-    fprintf(stderr, "Shifting error token, ");
-#endif
-
   *++yyvsp = yylval;
-#ifdef YYLSP_NEEDED
-  *++yylsp = yylloc;
-#endif
+
+
+  /* Shift the error token. */
+  YY_SYMBOL_PRINT ("Shifting", yystos[yyn], yyvsp, yylsp);
 
   yystate = yyn;
   goto yynewstate;
 
- yyacceptlab:
-  /* YYACCEPT comes here.  */
-  if (yyfree_stacks)
-    {
-      free (yyss);
-      free (yyvs);
-#ifdef YYLSP_NEEDED
-      free (yyls);
+
+/*-------------------------------------.
+| yyacceptlab -- YYACCEPT comes here.  |
+`-------------------------------------*/
+yyacceptlab:
+  yyresult = 0;
+  goto yyreturn;
+
+/*-----------------------------------.
+| yyabortlab -- YYABORT comes here.  |
+`-----------------------------------*/
+yyabortlab:
+  yyresult = 1;
+  goto yyreturn;
+
+#ifndef yyoverflow
+/*-------------------------------------------------.
+| yyexhaustedlab -- memory exhaustion comes here.  |
+`-------------------------------------------------*/
+yyexhaustedlab:
+  yyerror (YY_("memory exhausted"));
+  yyresult = 2;
+  /* Fall through.  */
 #endif
-    }
-  return 0;
 
- yyabortlab:
-  /* YYABORT comes here.  */
-  if (yyfree_stacks)
+yyreturn:
+  if (yychar != YYEOF && yychar != YYEMPTY)
+     yydestruct ("Cleanup: discarding lookahead",
+                yytoken, &yylval);
+  while (yyssp != yyss)
     {
-      free (yyss);
-      free (yyvs);
-#ifdef YYLSP_NEEDED
-      free (yyls);
-#endif
+      yydestruct ("Cleanup: popping",
+                 yystos[*yyssp], yyvsp);
+      YYPOPSTACK;
     }
-  return 1;
+#ifndef yyoverflow
+  if (yyss != yyssa)
+    YYSTACK_FREE (yyss);
+#endif
+  return yyresult;
 }
-#line 142 "../../../lib/com_err/parse.y"
+
+
+#line 142 "parse.y"
 
 
 static long
@@ -1064,3 +1549,4 @@ yyerror (char *s)
 {
      error_message ("%s\n", s);
 }
+
index 07e33790d321b3d90151bce5b3a16292dd02863a..2f9755e19b1fae988da2c7a958cd18918eccc5cc 100644 (file)
@@ -1,15 +1,71 @@
-typedef union {
+/* A Bison parser, made by GNU Bison 2.1.  */
+
+/* Skeleton parser for Yacc-like parsing with Bison,
+   Copyright (C) 1984, 1989, 1990, 2000, 2001, 2002, 2003, 2004, 2005 Free Software Foundation, Inc.
+
+   This program is free software; you can redistribute it and/or modify
+   it under the terms of the GNU General Public License as published by
+   the Free Software Foundation; either version 2, or (at your option)
+   any later version.
+
+   This program is distributed in the hope that it will be useful,
+   but WITHOUT ANY WARRANTY; without even the implied warranty of
+   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+   GNU General Public License for more details.
+
+   You should have received a copy of the GNU General Public License
+   along with this program; if not, write to the Free Software
+   Foundation, Inc., 51 Franklin Street, Fifth Floor,
+   Boston, MA 02110-1301, USA.  */
+
+/* As a special exception, when this file is copied by Bison into a
+   Bison output file, you may use that output file without restriction.
+   This special exception was added by the Free Software Foundation
+   in version 1.24 of Bison.  */
+
+/* Tokens.  */
+#ifndef YYTOKENTYPE
+# define YYTOKENTYPE
+   /* Put the tokens into the symbol table, so that GDB and other debuggers
+      know about them.  */
+   enum yytokentype {
+     ET = 258,
+     INDEX = 259,
+     PREFIX = 260,
+     EC = 261,
+     ID = 262,
+     END = 263,
+     STRING = 264,
+     NUMBER = 265
+   };
+#endif
+/* Tokens.  */
+#define ET 258
+#define INDEX 259
+#define PREFIX 260
+#define EC 261
+#define ID 262
+#define END 263
+#define STRING 264
+#define NUMBER 265
+
+
+
+
+#if ! defined (YYSTYPE) && ! defined (YYSTYPE_IS_DECLARED)
+#line 53 "parse.y"
+typedef union YYSTYPE {
   char *string;
   int number;
 } YYSTYPE;
-#define        ET      257
-#define        INDEX   258
-#define        PREFIX  259
-#define        EC      260
-#define        ID      261
-#define        END     262
-#define        STRING  263
-#define        NUMBER  264
-
+/* Line 1447 of yacc.c.  */
+#line 63 "parse.h"
+# define yystype YYSTYPE /* obsolescent; will be withdrawn */
+# define YYSTYPE_IS_DECLARED 1
+# define YYSTYPE_IS_TRIVIAL 1
+#endif
 
 extern YYSTYPE yylval;
+
+
+
diff --git a/source4/heimdal/lib/des/bn.c b/source4/heimdal/lib/des/bn.c
new file mode 100644 (file)
index 0000000..c4230b6
--- /dev/null
@@ -0,0 +1,445 @@
+/*
+ * Copyright (c) 2006 Kungliga Tekniska Högskolan
+ * (Royal Institute of Technology, Stockholm, Sweden). 
+ * All rights reserved. 
+ *
+ * Redistribution and use in source and binary forms, with or without 
+ * modification, are permitted provided that the following conditions 
+ * are met: 
+ *
+ * 1. Redistributions of source code must retain the above copyright 
+ *    notice, this list of conditions and the following disclaimer. 
+ *
+ * 2. Redistributions in binary form must reproduce the above copyright 
+ *    notice, this list of conditions and the following disclaimer in the 
+ *    documentation and/or other materials provided with the distribution. 
+ *
+ * 3. Neither the name of the Institute nor the names of its contributors 
+ *    may be used to endorse or promote products derived from this software 
+ *    without specific prior written permission. 
+ *
+ * THIS SOFTWARE IS PROVIDED BY THE INSTITUTE AND CONTRIBUTORS ``AS IS'' AND 
+ * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE 
+ * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE 
+ * ARE DISCLAIMED.  IN NO EVENT SHALL THE INSTITUTE OR CONTRIBUTORS BE LIABLE 
+ * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL 
+ * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS 
+ * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) 
+ * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT 
+ * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY 
+ * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF 
+ * SUCH DAMAGE. 
+ */
+
+#ifdef HAVE_CONFIG_H
+#include <config.h>
+#endif
+
+RCSID("$Id: bn.c,v 1.9 2006/10/14 09:21:09 lha Exp $");
+
+#include <stdio.h>
+#include <stdlib.h>
+#include <string.h>
+#include <limits.h>
+
+#include <krb5-types.h>
+#include <rfc2459_asn1.h> /* XXX */
+#include <der.h>
+
+#include <bn.h>
+#include <rand.h>
+#include <hex.h>
+
+BIGNUM *
+BN_new(void)
+{
+    heim_integer *hi;
+    hi = calloc(1, sizeof(*hi));
+    return (BIGNUM *)hi;
+}
+
+void
+BN_free(BIGNUM *bn)
+{
+    BN_clear(bn);
+    free(bn);
+}
+
+void
+BN_clear(BIGNUM *bn)
+{
+    heim_integer *hi = (heim_integer *)bn;
+    if (hi->data) {
+       memset(hi->data, 0, hi->length);
+       free(hi->data);
+    }
+    memset(hi, 0, sizeof(*hi));
+}
+
+void
+BN_clear_free(BIGNUM *bn)
+{
+    BN_free(bn);
+}
+
+BIGNUM *
+BN_dup(const BIGNUM *bn)
+{
+    BIGNUM *b = BN_new();
+    if (der_copy_heim_integer((const heim_integer *)bn, (heim_integer *)b)) {
+       BN_free(b);
+       return NULL;
+    }
+    return b;
+}
+
+/*
+ * If the caller really want to know the number of bits used, subtract
+ * one from the length, multiply by 8, and then lookup in the table
+ * how many bits the hightest byte uses.
+ */
+int
+BN_num_bits(const BIGNUM *bn)
+{
+    static unsigned char num2bits[256] = {
+       0,1,2,2,3,3,3,3,4,4,4,4,4,4,4,4,  5,5,5,5,5,5,5,5,5,5,5,5,5,5,5,5,
+       6,6,6,6,6,6,6,6,6,6,6,6,6,6,6,6,  6,6,6,6,6,6,6,6,6,6,6,6,6,6,6,6,
+       7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,  7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,
+       7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,  7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,7,
+       8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,  8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,
+       8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,  8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,
+       8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,  8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,
+       8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,  8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,8,
+    };
+    const heim_integer *i = (const void *)bn;
+    if (i->length == 0)
+       return 0;
+    return (i->length - 1) * 8 + num2bits[((unsigned char *)i->data)[0]];
+}
+
+int
+BN_num_bytes(const BIGNUM *bn)
+{
+    return ((const heim_integer *)bn)->length;
+}
+
+/*
+ * Ignore negative flag.
+ */
+
+BIGNUM *
+BN_bin2bn(const void *s, int len, BIGNUM *bn)
+{
+    heim_integer *hi = (void *)bn;
+
+    if (len < 0)
+       return NULL;
+
+    if (hi == NULL) {
+       hi = (heim_integer *)BN_new();
+       if (hi == NULL)
+           return NULL;
+    }
+    if (hi->data)
+       BN_clear((BIGNUM *)hi);
+    hi->negative = 0;
+    hi->data = malloc(len);
+    if (hi->data == NULL && len != 0) {
+       if (bn == NULL)
+           BN_free((BIGNUM *)hi);
+       return NULL;
+    }
+    hi->length = len;
+    memcpy(hi->data, s, len);
+    return (BIGNUM *)hi;
+}
+
+int
+BN_bn2bin(const BIGNUM *bn, void *to)
+{
+    const heim_integer *hi = (const void *)bn;
+    memcpy(to, hi->data, hi->length);
+    return hi->length;
+}
+
+int
+BN_hex2bn(BIGNUM **bnp, const char *in)
+{
+    int negative;
+    ssize_t ret;
+    size_t len;
+    void *data;
+
+    len = strlen(in);
+    data = malloc(len);
+    if (data == NULL)
+       return 0;
+
+    if (*in == '-') {
+       negative = 1;
+       in++;
+    } else
+       negative = 0;
+
+    ret = hex_decode(in, data, len);
+    if (ret < 0) {
+       free(data);
+       return 0;
+    }
+
+    *bnp = BN_bin2bn(data, ret, NULL);
+    free(data);
+    if (*bnp == NULL)
+       return 0;
+    BN_set_negative(*bnp, negative);
+    return 1;
+}
+
+char *
+BN_bn2hex(const BIGNUM *bn)
+{
+    ssize_t ret;
+    size_t len;
+    void *data;
+    char *str;
+
+    len = BN_num_bytes(bn);
+    data = malloc(len);
+    if (data == NULL)
+       return 0;
+
+    len = BN_bn2bin(bn, data);
+
+    ret = hex_encode(data, len, &str);
+    free(data);
+    if (ret < 0)
+       return 0;
+
+    return str;
+}
+
+int
+BN_cmp(const BIGNUM *bn1, const BIGNUM *bn2)
+{
+    return der_heim_integer_cmp((const heim_integer *)bn1, 
+                               (const heim_integer *)bn2);
+}
+
+void
+BN_set_negative(BIGNUM *bn, int flag)
+{
+    ((heim_integer *)bn)->negative = (flag ? 1 : 0);
+}
+
+int
+BN_is_negative(BIGNUM *bn)
+{
+    return ((heim_integer *)bn)->negative ? 1 : 0;
+}
+
+static const unsigned char is_set[8] = { 1, 2, 4, 8, 16, 32, 64, 128 };
+
+int
+BN_is_bit_set(const BIGNUM *bn, int bit)
+{
+    heim_integer *hi = (heim_integer *)bn;
+    unsigned char *p = hi->data;
+
+    if ((bit / 8) > hi->length || hi->length == 0)
+       return