rename gssapi/ntlm/digest.c to kdc.c since that is what its talking too
[Samba.git] / NEWS
blobe1176d4652d75a74e335f66d37b86c2e0d67ac39
1 Release Notes - Heimdal - Version Heimdal 1.3
3  New features
5  - Partital support for MIT kadmind rpc protocol in kadmind
6  - Better support for finding keytab entries when using SPN aliases in the KDC
7  - Support BER in ASN.1 library (needed for CMS)
8  - Support decryption in Keychain private keys
9  - Support for new sqlite based credential cache
10  - Try both to KDC referals the the common DNS reverse lookup in GSS-API
11  - Fix the KCM not not leak resources on failure
12  - Add IPv6 support to iprop
13  - Support localization of error strings in
14    kinit/klist/kdestroy and Kerberos library
15  - Remove Kerberos 4 support in application (still in KDC)
16  - Deprecate DES
17  - Support i18n password in windows domains (using UTF-8)
18  - More complete API emulation of OpenSSL in hcrypto
19  - Support for ECDSA and ECDH when linking with OpenSSL
21  API changes
23  - Support for settin friendly name on credential caches
24  - Move to using doxygen to generate documentation.
25  - Sprinkling __attribute__((depricated)) for old function to be removed
26  - Support to export LAST-REQUST information in AS-REQ
27  - Support for client deferrals in in AS-REQ
28  - Add seek support for krb5_storage.
29  - Support for split AS-REQ, first step for IA-KERB
30  - Fix many memory leaks and bugs
31  - Improved regression test
32  - Support krb5_cccol
33  - Switch to krb5_set_error_message
34  - Support krb5_crypto_*_iov    
35  - Switch to use EVP for most function
36  - Use SOCK_CLOEXEC and O_CLOEXEC (close on exec)
37  - Add support for GSS_C_DELEG_POLICY_FLAG
38  - Add krb5_cc_[gs]et_config to store data in the credential caches
39  - PTY testing application
41 Bugfixes
42  - Make building on AIX6 possible.
43  - Bugfixes in LDAP KDC code to make it more stable
44  - Make ipropd-slave reconnect when master down gown
47 Release Notes - Heimdal - Version Heimdal 1.2.1
49 * Bug
51   [HEIMDAL-147] - Heimdal 1.2 not compiling on Solaris
52   [HEIMDAL-151] - Make canned tests work again after cert expired
53   [HEIMDAL-152] - iprop test: use full hostname to avoid realm
54                   resolving errors
55   [HEIMDAL-153] - ftp: Use the correct length for unmap, msync
57 Release Notes - Heimdal - Version Heimdal 1.2
59 * Bug
61   [HEIMDAL-10] - Follow-up on bug report for SEGFAULT in
62                  gss_display_name/gss_export_name when using SPNEGO
63   [HEIMDAL-15] - Re: [Heimdal-bugs] potential bug in Heimdal 1.1
64   [HEIMDAL-17] - Remove support for depricated [libdefaults]capath
65   [HEIMDAL-52] - hdb overwrite aliases for db databases
66   [HEIMDAL-54] - Two issues which affect credentials delegation
67   [HEIMDAL-58] - sockbuf.c calls setsockopt with bad args
68   [HEIMDAL-62] - Fix printing of sig_atomic_t
69   [HEIMDAL-87] - heimdal 1.1 not building under cygwin in hcrypto
70   [HEIMDAL-105] - rcp: sync rcp with upstream bsd rcp codebase
71   [HEIMDAL-117] - Use libtool to detect symbol versioning (Debian Bug#453241)
73 * Improvement
74   [HEIMDAL-67] - Fix locking and store credential in atomic writes
75                  in the FILE credential cache
76   [HEIMDAL-106] - make compile on cygwin again
77   [HEIMDAL-107] - Replace old random key generation in des module
78                   and use it with RAND_ function instead
79   [HEIMDAL-115] - Better documentation and compatibility in hcrypto
80                   in regards to OpenSSL
82 * New Feature
83   [HEIMDAL-3] - pkinit alg agility PRF test vectors
84   [HEIMDAL-14] - Add libwind to Heimdal
85   [HEIMDAL-16] - Use libwind in hx509
86   [HEIMDAL-55] - Add flag to krb5 to not add GSS-API INT|CONF to
87                  the negotiation
88   [HEIMDAL-74] - Add support to report extended error message back
89                  in AS-REQ to support windows clients
90   [HEIMDAL-116] - test pty based application (using rkpty)
91   [HEIMDAL-120] - Use new OpenLDAP API (older deprecated)
93 * Task
94   [HEIMDAL-63] - Dont try key usage KRB5_KU_AP_REQ_AUTH for TGS-REQ.
95                  This drop compatibility with pre 0.3d KDCs.
96   [HEIMDAL-64] - kcm: first implementation of kcm-move-cache
97   [HEIMDAL-65] - Failed to compile with --disable-pk-init
98   [HEIMDAL-80] - verify that [VU#162289]: gcc silently discards some
99                  wraparound checks doesn't apply to Heimdal
101 Changes in release 1.1
103  * Read-only PKCS11 provider built-in to hx509.
105  * Documentation for hx509, hcrypto and ntlm libraries improved.
107  * Better compatibilty with Windows 2008 Server pre-releases and Vista.
109  * Mac OS X 10.5 support for native credential cache.
111  * Provide pkg-config file for Heimdal (heimdal-gssapi.pc).
113  * Bug fixes.
115 Changes in release 1.0.2
117 * Ubuntu packages.
119 * Bug fixes.
121 Changes in release 1.0.1
123  * Serveral bug fixes to iprop.
125  * Make work on platforms without dlopen.
127  * Add RFC3526 modp group14 as default.
129  * Handle [kdc] database = { } entries without realm = stanzas.
131  * Make krb5_get_renewed_creds work.
133  * Make kaserver preauth work again.
135  * Bug fixes.
137 Changes in release 1.0
139  * Add gss_pseudo_random() for mechglue and krb5.
141  * Make session key for the krbtgt be selected by the best encryption
142    type of the client.
144  * Better interoperability with other PK-INIT implementations.
146  * Inital support for Mac OS X Keychain for hx509.
148  * Alias support for inital ticket requests.
150  * Add symbol versioning to selected libraries on platforms that uses
151    GNU link editor: gssapi, hcrypto, heimntlm, hx509, krb5, and libkdc.
153  * New version of imath included in hcrypto.
155  * Fix memory leaks.
157  * Bugs fixes.
159 Changes in release 0.8.1
161  * Make ASN.1 library less paranoid to with regard to NUL in string to
162    make it inter-operate with MIT Kerberos again.
164  * Make GSS-API library work again when using gss_acquire_cred
166  * Add symbol versioning to libgssapi when using GNU ld.
168  * Fix memory leaks 
170  * Bugs fixes
172 Changes in release 0.8
174  * PK-INIT support.
176  * HDB extensions support, used by PK-INIT.
178  * New ASN.1 compiler.
180  * GSS-API mechglue from FreeBSD.
182  * Updated SPNEGO to support RFC4178.
184  * Support for Cryptosystem Negotiation Extension (RFC 4537).
186  * A new X.509 library (hx509) and related crypto functions.
188  * A new ntlm library (heimntlm) and related crypto functions.
190  * Updated the built-in crypto library with bignum support using
191    imath, support for RSA and DH and renamed it to libhcrypto.
193  * Subsystem in the KDC, digest, that will perform the digest
194    operation in the KDC, currently supports: CHAP, MS-CHAP-V2, SASL
195    DIGEST-MD5 NTLMv1 and NTLMv2.
197  * KDC will return the "response too big" error to force TCP retries
198    for large (default 1400 bytes) UDP replies.  This is common for
199    PK-INIT requests.
201  * Libkafs defaults to use 2b tokens.
203  * Default to use the API cache on Mac OS X.
205  * krb5_kuserok() also checks ~/.k5login.d directory for acl files,
206    see manpage for krb5_kuserok for description.
208  * Many, many, other updates to code and info manual and manual pages.
210  * Bug fixes
212 Changes in release 0.7.2
214 * Fix security problem in rshd that enable an attacker to overwrite
215   and change ownership of any file that root could write.
217 * Fix a DOS in telnetd. The attacker could force the server to crash
218   in a NULL de-reference before the user logged in, resulting in inetd
219   turning telnetd off because it forked too fast.
221 * Make gss_acquire_cred(GSS_C_ACCEPT) check that the requested name
222   exists in the keytab before returning success. This allows servers
223   to check if its even possible to use GSSAPI.
225 * Fix receiving end of token delegation for GSS-API. It still wrongly
226   uses subkey for sending for compatibility reasons, this will change
227   in 0.8.
229 * telnetd, login and rshd are now more verbose in logging failed and
230   successful logins.
232 * Bug fixes
234 Changes in release 0.7.1
236 * Bug fixes
238 Changes in release 0.7
240  * Support for KCM, a process based credential cache
242  * Support CCAPI credential cache
244  * SPNEGO support
246  * AES (and the gssapi conterpart, CFX) support
248  * Adding new and improve old documentation
250  * Bug fixes
252 Changes in release 0.6.6
254 * Fix security problem in rshd that enable an attacker to overwrite
255   and change ownership of any file that root could write.
257 * Fix a DOS in telnetd. The attacker could force the server to crash
258   in a NULL de-reference before the user logged in, resulting in inetd
259   turning telnetd off because it forked too fast.
261 Changes in release 0.6.5
263  * fix vulnerabilities in telnetd
265  * unbreak Kerberos 4 and kaserver
267 Changes in release 0.6.4
269  * fix vulnerabilities in telnet
271  * rshd: encryption without a separate error socket should now work
273  * telnet now uses appdefaults for the encrypt and forward/forwardable
274    settings
276  * bug fixes
278 Changes in release 0.6.3
280  * fix vulnerabilities in ftpd
282  * support for linux AFS /proc "syscalls"
284  * support for RFC3244 (Windows 2000 Kerberos Change/Set Password) in
285    kpasswdd
287  * fix possible KDC denial of service
289  * bug fixes
291 Changes in release 0.6.2
293  * Fix possible buffer overrun in v4 kadmin (which now defaults to off)
295 Changes in release 0.6.1
297  * Fixed ARCFOUR suppport
299  * Cross realm vulnerability
301  * kdc: fix denial of service attack
303  * kdc: stop clients from renewing tickets into the future
305  * bug fixes
306         
307 Changes in release 0.6
309 * The DES3 GSS-API mechanism has been changed to inter-operate with
310   other GSSAPI implementations. See man page for gssapi(3) how to turn
311   on generation of correct MIC messages. Next major release of heimdal 
312   will generate correct MIC by default.
314 * More complete GSS-API support
316 * Better AFS support: kdc (524) supports 2b; 524 in kdc and AFS
317   support in applications no longer requires Kerberos 4 libs
319 * Kerberos 4 support in kdc defaults to turned off (includes ka and 524)
321 * other bug fixes
323 Changes in release 0.5.2
325  * kdc: add option for disabling v4 cross-realm (defaults to off)
327  * bug fixes
329 Changes in release 0.5.1
331  * kadmind: fix remote exploit
333  * kadmind: add option to disable kerberos 4
335  * kdc: make sure kaserver token life is positive
337  * telnet: use the session key if there is no subkey
339  * fix EPSV parsing in ftp
341  * other bug fixes
343 Changes in release 0.5
345  * add --detach option to kdc
347  * allow setting forward and forwardable option in telnet from
348    .telnetrc, with override from command line
350  * accept addresses with or without ports in krb5_rd_cred
352  * make it work with modern openssl
354  * use our own string2key function even with openssl (that handles weak
355    keys incorrectly)
357  * more system-specific requirements in login
359  * do not use getlogin() to determine root in su
361  * telnet: abort if telnetd does not support encryption
363  * update autoconf to 2.53
365  * update config.guess, config.sub
367  * other bug fixes
369 Changes in release 0.4e
371  * improve libcrypto and database autoconf tests
373  * do not care about salting of server principals when serving v4 requests
375  * some improvements to gssapi library
377  * test for existing compile_et/libcom_err
379  * portability fixes
381  * bug fixes
383 Changes in release 0.4d
385  * fix some problems when using libcrypto from openssl
387  * handle /dev/ptmx `unix98' ptys on Linux
389  * add some forgotten man pages
391  * rsh: clean-up and add man page
393  * fix -A and -a in builtin-ls in tpd
395  * fix building problem on Irix
397  * make `ktutil get' more efficient
399  * bug fixes
401 Changes in release 0.4c
403  * fix buffer overrun in telnetd
405  * repair some of the v4 fallback code in kinit
407  * add more shared library dependencies
409  * simplify and fix hprop handling of v4 databases
411  * fix some building problems (osf's sia and osfc2 login)
413  * bug fixes
415 Changes in release 0.4b
417  * update the shared library version numbers correctly
419 Changes in release 0.4a
421  * corrected key used for checksum in mk_safe, unfortunately this
422    makes it backwards incompatible
424  * update to autoconf 2.50, libtool 1.4
426  * re-write dns/config lookups (krb5_krbhst API)
428  * make order of using subkeys consistent
430  * add man page links
432  * add more man pages
434  * remove rfc2052 support, now only rfc2782 is supported
436  * always build with kaserver protocol support in the KDC (assuming
437    KRB4 is enabled) and support for reading kaserver databases in
438    hprop
440 Changes in release 0.3f
442  * change default keytab to ANY:FILE:/etc/krb5.keytab,krb4:/etc/srvtab,
443    the new keytab type that tries both of these in order (SRVTAB is
444    also an alias for krb4:)
446  * improve error reporting and error handling (error messages should
447    be more detailed and more useful)
449  * improve building with openssl
451  * add kadmin -K, rcp -F 
453  * fix two incorrect weak DES keys
455  * fix building of kaserver compat in KDC
457  * the API is closer to what MIT krb5 is using
459  * more compatible with windows 2000
461  * removed some memory leaks
463  * bug fixes
465 Changes in release 0.3e
467  * rcp program included
469  * fix buffer overrun in ftpd
471  * handle omitted sequence numbers as zeroes to handle MIT krb5 that
472    cannot generate zero sequence numbers
474  * handle v4 /.k files better
476  * configure/portability fixes
478  * fixes in parsing of options to kadmin (sub-)commands
480  * handle errors in kadmin load better
482  * bug fixes
484 Changes in release 0.3d
486  * add krb5-config
488  * fix a bug in 3des gss-api mechanism, making it compatible with the
489    specification and the MIT implementation
491  * make telnetd only allow a specific list of environment variables to
492    stop it from setting `sensitive' variables
494  * try to use an existing libdes
496  * lib/krb5, kdc: use correct usage type for ap-req messages.  This
497    should improve compatability with MIT krb5 when using 3DES
498    encryption types
500  * kdc: fix memory allocation problem
502  * update config.guess and config.sub
504  * lib/roken: more stuff implemented
506  * bug fixes and portability enhancements
508 Changes in release 0.3c
510  * lib/krb5: memory caches now support the resolve operation
512  * appl/login: set PATH to some sane default
514  * kadmind: handle several realms
516  * bug fixes (including memory leaks)
518 Changes in release 0.3b
520  * kdc: prefer default-salted keys on v5 requests
522  * kdc: lowercase hostnames in v4 mode
524  * hprop: handle more types of MIT salts
526  * lib/krb5: fix memory leak
528  * bug fixes
530 Changes in release 0.3a:
532  * implement arcfour-hmac-md5 to interoperate with W2K
534  * modularise the handling of the master key, and allow for other
535    encryption types. This makes it easier to import a database from
536    some other source without having to re-encrypt all keys.
538  * allow for better control over which encryption types are created
540  * make kinit fallback to v4 if given a v4 KDC
542  * make klist work better with v4 and v5, and add some more MIT
543    compatibility options
545  * make the kdc listen on the krb524 (4444) port for compatibility
546    with MIT krb5 clients
548  * implement more DCE/DFS support, enabled with --enable-dce, see
549    lib/kdfs and appl/dceutils
551  * make the sequence numbers work correctly
553  * bug fixes
555 Changes in release 0.2t:
557  * bug fixes
559 Changes in release 0.2s:
561  * add OpenLDAP support in hdb
563  * login will get v4 tickets when it receives forwarded tickets
565  * xnlock supports both v5 and v4
567  * repair source routing for telnet
569  * fix building problems with krb4 (krb_mk_req)
571  * bug fixes
573 Changes in release 0.2r:
575  * fix realloc memory corruption bug in kdc
577  * `add --key' and `cpw --key' in kadmin
579  * klist supports listing v4 tickets
581  * update config.guess and config.sub
583  * make v4 -> v5 principal name conversion more robust
585  * support for anonymous tickets
587  * new man-pages
589  * telnetd: do not negotiate KERBEROS5 authentication if there's no keytab.
591  * use and set expiration and not password expiration when dumping
592    to/from ka server databases / krb4 databases
594  * make the code happier with 64-bit time_t
596  * follow RFC2782 and by default do not look for non-underscore SRV names
598 Changes in release 0.2q:
600  * bug fix in tcp-handling in kdc
602  * bug fix in expand_hostname
604 Changes in release 0.2p:
606  * bug fix in `kadmin load/merge'
608  * bug fix in krb5_parse_address
610 Changes in release 0.2o:
612  * gss_{import,export}_sec_context added to libgssapi
614  * new option --addresses to kdc (for listening on an explicit set of
615    addresses)
617  * bug fixes in the krb4 and kaserver emulation part of the kdc
619  * other bug fixes
621 Changes in release 0.2n:
623  * more robust parsing of dump files in kadmin
624  * changed default timestamp format for log messages to extended ISO
625    8601 format (Y-M-DTH:M:S)
626  * changed md4/md5/sha1 APIes to be de-facto `standard'
627  * always make hostname into lower-case before creating principal
628  * small bits of more MIT-compatability
629  * bug fixes
631 Changes in release 0.2m:
633  * handle glibc's getaddrinfo() that returns several ai_canonname
635  * new endian test
637  * man pages fixes
639 Changes in release 0.2l:
641  * bug fixes
643 Changes in release 0.2k:
645  * better IPv6 test
647  * make struct sockaddr_storage in roken work better on alphas
649  * some missing [hn]to[hn]s fixed.
651  * allow users to change their own passwords with kadmin (with initial
652    tickets)
654  * fix stupid bug in parsing KDC specification
656  * add `ktutil change' and `ktutil purge'
658 Changes in release 0.2j:
660  * builds on Irix
662  * ftpd works in passive mode
664  * should build on cygwin
666  * work around broken IPv6-code on OpenBSD 2.6, also add configure
667    option --disable-ipv6
669 Changes in release 0.2i:
671  * use getaddrinfo in the missing places.
673  * fix SRV lookup for admin server
675  * use get{addr,name}info everywhere.  and implement it in terms of
676    getipnodeby{name,addr} (which uses gethostbyname{,2} and
677    gethostbyaddr)
679 Changes in release 0.2h:
681  * fix typo in kx (now compiles)
683 Changes in release 0.2g:
685  * lots of bug fixes:
686    * push works
687    * repair appl/test programs
688    * sockaddr_storage works on solaris (alignment issues)
689    * works better with non-roken getaddrinfo
690    * rsh works
691    * some non standard C constructs removed
693 Changes in release 0.2f:
695  * support SRV records for kpasswd
696  * look for both _kerberos and krb5-realm when doing host -> realm mapping
698 Changes in release 0.2e:
700  * changed copyright notices to remove `advertising'-clause.
701  * get{addr,name}info added to roken and used in the other code
702    (this makes things work much better with hosts with both v4 and v6
703     addresses, among other things)
704  * do pre-auth for both password and key-based get_in_tkt
705  * support for having several databases
706  * new command `del_enctype' in kadmin
707  * strptime (and new strftime) add to roken
708  * more paranoia about finding libdb
709  * bug fixes
711 Changes in release 0.2d:
713  * new configuration option [libdefaults]default_etypes_des
714  * internal ls in ftpd builds without KRB4
715  * kx/rsh/push/pop_debug tries v5 and v4 consistenly
716  * build bug fixes
717  * other bug fixes
719 Changes in release 0.2c:
721  * bug fixes (see ChangeLog's for details)
723 Changes in release 0.2b:
725  * bug fixes
726  * actually bump shared library versions
728 Changes in release 0.2a:
730  * a new program verify_krb5_conf for checking your /etc/krb5.conf
731  * add 3DES keys when changing password
732  * support null keys in database
733  * support multiple local realms
734  * implement a keytab backend for AFS KeyFile's
735  * implement a keytab backend for v4 srvtabs
736  * implement `ktutil copy'
737  * support password quality control in v4 kadmind
738  * improvements in v4 compat kadmind
739  * handle the case of having the correct cred in the ccache but with
740    the wrong encryption type better
741  * v6-ify the remaining programs.
742  * internal ls in ftpd
743  * rename strcpy_truncate/strcat_truncate to strlcpy/strlcat
744  * add `ank --random-password' and `cpw --random-password' in kadmin
745  * some programs and documentation for trying to talk to a W2K KDC
746  * bug fixes
748 Changes in release 0.1m:
750  * support for getting default from krb5.conf for kinit/kf/rsh/telnet.
751    From Miroslav Ruda <ruda@ics.muni.cz>
752  * v6-ify hprop and hpropd
753  * support numeric addresses in krb5_mk_req
754  * shadow support in login and su. From Miroslav Ruda <ruda@ics.muni.cz>
755  * make rsh/rshd IPv6-aware
756  * make the gssapi sample applications better at reporting errors
757  * lots of bug fixes
758  * handle systems with v6-aware libc and non-v6 kernels (like Linux
759    with glibc 2.1) better
760  * hide failure of ERPT in ftp
761  * lots of bug fixes
763 Changes in release 0.1l:
765  * make ftp and ftpd IPv6-aware
766  * add inet_pton to roken
767  * more IPv6-awareness
768  * make mini_inetd v6 aware
770 Changes in release 0.1k:
772  * bump shared libraries versions
773  * add roken version of inet_ntop
774  * merge more changes to rshd
776 Changes in release 0.1j:
778  * restore back to the `old' 3DES code.  This was supposed to be done
779    in 0.1h and 0.1i but I did a CVS screw-up.
780  * make telnetd handle v6 connections
782 Changes in release 0.1i:
784  * start using `struct sockaddr_storage' which simplifies the code
785    (with a fallback definition if it's not defined)
786  * bug fixes (including in hprop and kf)
787  * don't use mawk which seems to mishandle roken.awk
788  * get_addrs should be able to handle v6 addresses on Linux (with the
789    required patch to the Linux kernel -- ask within)
790  * rshd builds with shadow passwords
792 Changes in release 0.1h:
794  * kf: new program for forwarding credentials
795  * portability fixes
796  * make forwarding credentials work with MIT code
797  * better conversion of ka database
798  * add etc/services.append
799  * correct `modified by' from kpasswdd
800  * lots of bug fixes
802 Changes in release 0.1g:
804  * kgetcred: new program for explicitly obtaining tickets
805  * configure fixes
806  * krb5-aware kx
807  * bug fixes
809 Changes in release 0.1f;
811  * experimental support for v4 kadmin protokoll in kadmind
812  * bug fixes
814 Changes in release 0.1e:
816  * try to handle old DCE and MIT kdcs
817  * support for older versions of credential cache files and keytabs
818  * postdated tickets work
819  * support for password quality checks in kpasswdd
820  * new flag --enable-kaserver for kdc
821  * renew fixes
822  * prototype su program
823  * updated (some) manpages
824  * support for KDC resource records
825  * should build with --without-krb4
826  * bug fixes
828 Changes in release 0.1d:
830  * Support building with DB2 (uses 1.85-compat API)
831  * Support krb5-realm.DOMAIN in DNS
832  * new `ktutil srvcreate'
833  * v4/kafs support in klist/kdestroy
834  * bug fixes
836 Changes in release 0.1c:
838  * fix ASN.1 encoding of signed integers
839  * somewhat working `ktutil get'
840  * some documentation updates
841  * update to Autoconf 2.13 and Automake 1.4
842  * the usual bug fixes
844 Changes in release 0.1b:
846  * some old -> new crypto conversion utils
847  * bug fixes
849 Changes in release 0.1a:
851  * new crypto code
852  * more bug fixes
853  * make sure we ask for DES keys in gssapi
854  * support signed ints in ASN1
855  * IPv6-bug fixes
857 Changes in release 0.0u:
859  * lots of bug fixes
861 Changes in release 0.0t:
863  * more robust parsing of krb5.conf
864  * include net{read,write} in lib/roken
865  * bug fixes
867 Changes in release 0.0s:
869  * kludges for parsing options to rsh
870  * more robust parsing of krb5.conf
871  * removed some arbitrary limits
872  * bug fixes
874 Changes in release 0.0r:
876  * default options for some programs
877  * bug fixes
879 Changes in release 0.0q:
881  * support for building shared libraries with libtool
882  * bug fixes
884 Changes in release 0.0p:
886  * keytab moved to /etc/krb5.keytab
887  * avoid false detection of IPv6 on Linux
888  * Lots of more functionality in the gssapi-library
889  * hprop can now read ka-server databases
890  * bug fixes
892 Changes in release 0.0o:
894  * FTP with GSSAPI support.
895  * Bug fixes.
897 Changes in release 0.0n:
899  * Incremental database propagation.
900  * Somewhat improved kadmin ui; the stuff in admin is now removed.
901  * Some support for using enctypes instead of keytypes.
902  * Lots of other improvement and bug fixes, see ChangeLog for details.