Add `NoSystem` SSLOptions value

In case using system crypto policy breaks communication with device
irreversibly (f.e. if device does not support better key exchange
algorithm), the new option value gives a way how to opt-out from crypto
policy if user do not want to change default system crypto policy for
the whole machine.

Force userconfig to sysconfig when running as root.

Ignore ldconfig errors (Issue #1122)

Drop stderr logging of global alloc/free.

Fix handling of finishings/finishings-col and media/media-col in ippeveprinter.

scheduler: Fix `ServerTokens None`

Fixes #1111

Fix memory leak in OpenSSL hashing code.

Loosen the clock test a bit to allow for larger errors (seems like the Github
CI VMs don't provide accurate clocks...)

tls-gnutls.c: Use system crypto policy if available

Some Linux systems provide a way how to control cryptography on system or service level via cryptographic policies. OpenSSL implementation reflects system changes to some degree, however GnuTLS implementation does not take system policy into account.

GnuTLS supports fallback mechanism, so we can fallback to NORMAL if @System is not defined on the system.

Fortunately, the current GnuTLS implementation allows overrides via priority strings (so no "this cipher/hash is disabled" if we enabled them in our application by priority string), so allowing to honor system policy can save us work if someone wants to disable a specific cipher, so we don't have to implement it in libcups.

tls-gnutls.c: Use system crypto policy if available

Some Linux systems provide a way how to control cryptography on system
or service level via cryptographic policies. OpenSSL implementation
reflects system changes to some degree, however GnuTLS implementation
does not take system policy into account.

GnuTLS supports fallback mechanism, so we can fallback to NORMAL if
@SYSTEM is not defined on the system.

Fortunately, the current GnuTLS implementation allows overrides via
priority strings (so no "this cipher/hash is disabled" if we enabled
them in our application by priority string), so allowing to honor system
policy can save us work if someone wants to disable a specific cipher,
so we don't have to implement it in libcups.

Merge pull request #1103 from bcvieira/Pt_Br_Translation.fix

Update jobs.tmpl pt_BR template

scheduler: Add missing line (related #1102)

scheduler: Clean up failed IPP Everywhere permanent queues

If creating of permanent queue with IPP Everywhere model fails in separate thread, the print queue is created as raw.

It would be great if we remove such queue if creation fails, and marking them as temporary would make them to be removed automatically.

Update jobs.tmpl pt_BR template

Corrected from Ã¡ to the correct á pt_BR translation for jobs.tmpl. To verify check printer.tmpl which is right. usuário (user) and páginas (pages).

scheduler: Clean up failed IPP Everywhere permanent queues

If creating of permanent queue with IPP Everywhere model fails in
separate thread, the print queue is created as raw.

It would be great if we remove such queue if creation fails, and marking
them as temporary would make them to be removed automatically.

Add cupsJWTLoadCredentials API.

Update JWT/JWS support code to handle X.509 certificates in addition to the
raw public/private key stuff - needed for some OAuth applications.

Fix compiler error.

Add macOS-specific compiler options.

Drop reference to po2strings.

Update localized strings.

Add --bearer-token and --client-name options to ipptool.

Update default includedir to ${prefix}/include/libcups2

Fix default domain socket on macOS.

Harden debug printf PID support (Issue #1066)

Fix make-and-model whitespace trimming (Issue #1096)

Merge pull request #1094 from yetamrra/staple-bind

Support bare staple and bind finishings values

Fix cupsd.conf man page defaults (Issue #1086)

Append .well-known paths to the oauth URI's resource path.

Support bare staple and bind finishings values

In the generated PPD, IPP finishings "bind" is supposed to map to
"StapleLocation: BindAuto".  Similarly, "staple" is supposed to map to
"StapleLocation: SingleAuto".  The code already handles this, except
the lookup is blocked by a check that only accepts "staple-*" and
"bind-*" prefixed versions.  Fix this by adding the bare versions to the
existing checks.

Fixes issue #1073.

More GNU TLS updates.

GNU TLS updates.

Disable testpage unit test for now until we can figure out why it fails on the CI systems.

Add fcntl.h on Windows.

Add cupsGetClock API.

Add cupsGetClock API.

Fix bug introduced in cupsRasterReadHeader* - was always returning 0.

Add a raster error for I/O errors.

Migrate testraster to the test-internal.h framework.

Add missing OAuth sources to VC project.

Move more of the page header checks to the cups_raster_update function and add error messages for all detected issues.

tls-gnutls.c: Fix tls_credentials -> credentials

Use client credentials, if set.

Fix bug in new cupsParseOptions2 implementation.

Fix bug in run-stp-tests.sh script.

More libraries needed for static builds

Add support for libcups v3 client credentials API.

configure and pkg-config changes:

- Revert default prefix to autoconf default (/usr/local)
- Fix pkg-config libraries when just building static libraries

Add cupsParseOptions2.

Dump remainder of old macOS localization support.

Update DNS-SD registrations to work over localhost.

Fix crash in unit tests.

Fix mapping of HTTP_STATUS_NOT_MODIFIED to IPP_STATUS_OK_EVENTS_COMPLETE.

Only test pinning for self-signed certs.

Fix sanity check for cupsSaveCredentials (copy/paste error)

Mirror X.509 updates from libcups v3:

- cupsCreateCredentialsRequest now stores the new private key separately
- cupsSaveCredentials now uses the CSR private key when saving just the new
  certificate
- cupsSaveCredentials now does some sanity checks on the input values.
- cupsSaveCredentials now supports credential removal as documented.

Mirror fixes from libcups:

- Allow empty resolution values in ipptool files.
- Fix memory leak in httpConnectAgain.
- Remove dead code in ipp_read_io.

Changelog.

Updated  to re-validate the server's X.509 certificate (Issue #1061)

Make sure we call inflateEnd when there is an error reading or comparing the stream CRC (Issue #1070)

Fix type mixup (should be bool)

Merge pull request #1076 from zdohnal/use-etc-as-root

dest.c: Don't look for user config in cupsGetNamedDest as root

dest.c: Don't look for user config in cupsGetNamedDest as root

We were still looking into ~/.cups/lpoptions as root in the function,
which IMHO is not expected.

Limit ippReadIO recursion.

Fix the default User-Agent string sent in requests.

Escape localized strings in PPDs.

Merge pull request #1055 from crrodriguez/patch-1

cups.service.in: Order after time-set.target

Merge pull request #1056 from RSilicon/Dictionary

Use xpc_dictionary_create_empty to create empty dictionaries

Use xpc_dictionary_create_empty to create empty dictionaries

xpc_dictionary_create has Nonnull annotated for some of its parameters. We should just do xpc_dictionary_create_empty to avoid warnings and be safe.

Add a temporary queue before setting the defaults for lpoptions (Issue #833)

Check for negative max-fds limit and set to 65535. Fixes a test hang.

Add ipptool command-line to test report.

Update httpConnectURI to do X.509 pinning, and use it when doing the IPP
Everywhere printer configuration.

cups.service.in: Order after time-set.target

Multiple functions that are called either implicitly or explicitly require a "roughly correct" CLOCK_REALTIME to behave.

Merge pull request #1054 from zdohnal/eve-tolerate-missing-media-dat

scheduler: Tolerate devices breaking IPPEVE specs if possible

scheduler: Tolerate devices breaking IPPEVE specs if possible

Related to #1033

PPD generator currently is capable to bypass missing attribute
"media-col-database", if attributes "media-size-supported" or
"media-supported" are present.

Although such devices do not pass any IPP Everywhere or AirPrint
certifications, they exist in the wilderness.

Fix docker builds/compose (Issue #1021)

Save work.

Run ldconfig after installing libraries as needed.

Merge pull request #1050 from RSilicon/return

Return early if kvPairs is NULL

Merge pull request #1049 from RSilicon/ok

Use goto for clearer handling of errors

Use cupsConcatString() instead of strlcat()

Update the cancel man page (Issue #984)

Return early if kvPairs is NULL

Use goto for clearer handling of errors

Handle memory by jumping to the end where the profile is released

Merge pull request #1047 from RSilicon/f

Avoid second call to ippFindAttribute

Avoid second call to ippFindAttribute

We already have the attr value.

Merge ipptool fixes and improvements, update man pages.

Apply some minor changes suggested by Coverity.

Fix some clang-detected issues (mostly with debug printfs and missing void
casts), and fix the Xcode project file.

Import OAuth APIs from libcups v3.

Add HTTP Accept header to HTTP API.

Add CUPS OAuth status to IPP API.

Merge HTTP and JSON changes from libcups v3, including httpConnectURI API.

Merge JWT fixes from libcups v3.

Fix localization of finishing templates and general presets.

PPDize preset and template names.

Refactor make-and-model code.

Make sure that temporary/IPP Everywhere queues don't try to work with printers
that return invalid capabilities.

Validate URIs and attribute names before putting them in the generated PPD.

Add crypt32 library on Windows.

Fix Windows directory support.

Define mode_t for Windows.

Merge pull request #1040 from zdohnal/gnutls-use-correct-pointer

tls-gnutls.c: Pass gnutls pointer to `gnutls_credentials_set()`

Add support for specifying permissions in cupsFileOpen.

Merge pull request #1039 from zdohnal/air-dnssd-txt-fix

Set authentication as required if the value is not "none" (fixes #1037)

Merge pull request #1035 from tomodachi94/systemd-slice

scheduler: add a systemd slice

tls-gnutls.c: Pass gnutls pointer to `gnutls_credentials_set()`

`credentials` changed type in 2.5, now gnutls pointer, which is needed
for the mentioned function, is a member of new structure which is
`credentials` now, so pass `credential->creds` to the function,
otherwise it crashes.

Found out during running the test suite with gnutls enabled.

cups/dest.c: Set auth as required if not none

Fixes #1037

scheduler: add a systemd slice

From the systemd documentation[1]:

> A slice unit is a concept for hierarchically managing resources of a group of processes.

Benefits of collecting our two systemd services into a slice include
* ease of configuring resource limits on the entire CUPS system,
* ``systemctl status`` showing the CUPS units in an indented subtree,
  making it more organized,
* and the possibility of viewing all interlaced logs from all of the CUPS
  daemons using ``journalctl -u system-cups.slice``.

[1]:
https://www.freedesktop.org/software/systemd/man/latest/systemd.slice.html
or ``man systemd.slice(5)``

Fix IPP everywhere printer setup (Issue #1033)