subgroup support, courtesy of luk

Update template/welcome-message-800 to match the actual template used on
db.debian.org.

ud-generate: Support $gid@$host supplementary group entries for users.

ud-replicate: Only link ssh-rsa-shadow to var/lib/misc/$host and etc/ssh if it exists.  Else remove the symlink.

* ud-generate: Remove support for single ssh key shadow file.
* ud-generate: Make ssh key tarballs the default.
* ud-generate: Move ssh tarball generation into its own function.  Currently it's part of the main loop.

Fix a typo on ud-mailgate

Change the hmac that protect sudopassword entries to also hash the purpose
("sudo") and the owning user's uid into the mac.

ud-replicate: Sync only ssh_known_hosts into chroots, not ssh*.
ud-replicate: Clean up better, correcting some mistakes done by earlier versions.

ud-replicate: Use --delete-after with   Previously we didn't delete stuff ever

ud-generate: Declare [UNTRSUTED] flag as obsolete.
ud-generate: Add [NOMARKERS] flag to not push markers (gps coordinates) to host.

ud-generate: do not export sudopassword to untrusted or nopasswd hosts, unless the password is explicitly added for this host and not just for '*'

add vim settings

Whitespace changes only

Do not support del requests for sshDSAAuthKey - there is no such attribute

FQHNs sometimes, well always, include dots.

Say what pam.d/sudo should look like

Export all accounts into sudo-passwd, even if they do not have a sudo password
set.  Set their password to '*' then.

lower casing the sudopasswd ldap entry prior to parsing and verifying it was a bad idea

Reading the hmac key only once is too troublesome

Lowercasing hashed sudo passwords in ud-mailgate not considered smart

Also the hmac stuff

Using the right variable name will also help

and os

And import pwd in userdir_ldap

Fix order of some calls so stuff works again

0.3.37

Update changelog

Store a mac with confirmed sudo passwords, so that they cannot be modified by editing ldap directly

*password needs to be writeable by self, because the web interface uses the user's own credentials to update stuff - which is a good thing, really

Do not limit sudoPassword entries in size - the hostlist could be larger

ud-generate: generate a sudo passwd file

Fix various bugs in sudopassword confirmation code

Fix hexdigest() call

remove code that I did not test yet

And strip the key/password

Fix various bugs I introduced into ud-mailgate

ud-mailgate: Implement confirmation of sudoPassword field

Add sudoPassword to schema

Do not allow self to write password and keys - they need to be changed via the mail gateway or the web interface

ud-mailgate: Do not commit any changes if one of the requests is invalid or could not be parsed or caused an error or anything.

Aha.  Error is not some magic variable or exception, it's a normal string that
needs defining when we use it.

Check if a key has encryption capabilities and fail saying so when trying to
encrypt stuff (like passwords) to users.  All this does is give nicer error
messages, it previously failed with just "gpg failed".

0.3.34

Check that the primary key is not expired, even if we get a GOODSIG status from
gnupg.  Based on patch by Jeremy T. Bouse

Document changes accidentially commited two commits ago:
userdir_gpg.py:
    - do not use SIGEXPIRED, it's deprecated
    - use EXPKEYSIG to tell if a signature is made by an expired key.

ud-info: Change the "retired" status to "inactive".  inactive covers memorial, removed, expelled more clearly.

ud-info: fix changing of DD status/DD status comment - we were missing prompt information so we got a backtrace.
ud-info: Warn when we don't have a prompt string for attributes on startup.

0.3.33

Add userdir-ldap-slapd.conf, a snipped to be included in slapd.conf to the package.

remove an extra space

Allow setting of gender in ud-mailgate.  Based on patch by Bernhard R. Link.

ud-info: Add "retire developer" option that sets accountStatus properly to
either retiring, retired, memorial or active.  Active is for all currently
active developers, memorial is for those who have passed away and whose
accounts will never be reused, retiring is a developer who is retired but still
receives mail at their @debian.org address.  After a few months they should
move on to retired, with their mail also disabled.  accountStatus is just a
freeform text, but these 4 options should be the only ones that exist.

ud-info: Only show "Lock account" in root mode.

add "security simple_bind=128" to sample slapd.conf.

Do SSL when connecting to the ldap server.

TODO: expand authorized_keys syntax so that users can have certain keys added
to only some hosts.  e.g. host="gluck,ries",from="blubb".... ssh-rsa...

TODO item: do SSL in all ldap connections that authenticate

One TODO item is resolved (openssh patch required)

0.3.31

merge from alioth: Document how to use unique overlay for uid and keyFingerPrint

merge from alioth: Use ud-config in ud-replicate to determine emailappend value instead of using @debian.org hardcoded

merge from alioth:
Make ud-useradd also not use hardcoded path
Use sync_keyrings from config instead of hardcoded list

* When we lock accounts, set shadowExpire to 1.  shadowExpire
  is "days since Jan 1, 1970 that account is disabled".
* Properly capitalize shadowInactive and shadowExpire attributes in
  ud-info and ud-generate.
* Add copyright statements to ud-info from bzr log.

When we touch usePassword in ud-info or ud-mailgate we now also update
shadowLastChange.

ud-info: Add an option "L" to lock accounts in the interactive interface.
Locking an account sets a user's password to "{crypt}*LK*" and sets a
mailDisableMessage of "account locked".

Do not disable mail just because the account is locked.

* Export ssh-keys.tar.gz to [UNTRUSTED] hosts.  Since we already export
  ssh-rsa-shadow this is probably the right thing.
* Make keys in the ssh-keys tarball mode 0400 instead of mode 0600.

Use new style syntax for unique overlay

Document how to use unique overlay for uid and keyFingerPrint

Merge from zobel: Fix userdir-ldap.schema (objectClass now contains MAY: VoIP)

ud-mailgate: a bug in DoSSH caused all changes to fail that came after DoSSH in
HandleChange.  Now DoSSH properly returns without raising an exception if the
line to handle is not an ssh public key.

Use ud-config in ud-replicate to determine emailappend value for the sed statement

Merge from Debian

Make ud-useradd also not use hardcoded path

ud-replicate: sgran pointed out that if all we care about ignoring is EEXIST
then we should use mkdir -p instead of [ -d userkeys ] || mkdir userkeys.

Uncommit a change from aba after a little discussion on irc

Use sync_keyrings from config instead of hardcoded list

Disable GSSAPIAuthentication in ud-replicate

* fix userdir-ldap.schema, now contains MAY: VoIP
* Add changelog-entry

Merge from Debian

Make ssh-keys.tar.gz readable only by the user.

0.3.24

And clean up the bugs I introduced while mucking with sgran's shell

Fix string vs. int issue in userlist introduced by multiple-ssh patch

Fix wording in the changelog

Fuzz with the shell in ud-replicate's sshkeys part

ud-replicate, ud-generate: Instead of one big ssh-rsa-shadow file ud-generate
now produces per-user authorized_keys files and tars them up.  On the receiving
end ud-replicate takes the tar and syncs it to userkeys/.  The goal here is to
no longer require a patched sshd.  Setting AuthorizedKeysFile2 to
/var/lib/misc/userkeys/%u is sufficient.  For homedir creation we can use
pam_mkhomedir. [mhy, sgran]

merge from alioth: aba: add myself to copyright holders

ud-generate: Add performance optimization by resolving IP adresses for hosts
only once and caching the result. [aba]

ud-generate: Add support for generation of authorized_keys file on the db host
for the sshdist user.  This is now possible since ud-replicate clients use
their ssh host key to authenticate to the db server.  The code now supports
this but the feature is still disabled. [aba]

ud-replicate: Also support the imposter dchroot-dsa from the debian archive [aba]

better check for ssh1 keys (which we do not accept).  Merged from alioth but slightly improved regex

Merge sshkeys branch from Stephen and Mark

Merge from -common branch

add myself to copyright holders

Add performance optimization by caching IP adresses in ud-generate as a precondition for automatically adding aliases

Add (disabled) generation of authorized_keys

Add compatibility to dchroot-dsa to ud-replicate

Modify the SSH1 key check so it matches all RSA1 keys, not only those of size 1024

Merge from Debian