r21663: Fix from the Wine guys: Robert Shearman <rob@codeweavers.com>
The background behind this patch is that we're using ntlm_auth with
Wine. Windows allows us to pass in a NULL domain and a username of the
form of "user@domain" and this is converted into an NTLMSSP_AUTH packet
with a NULL domain name and a username of the same form.
Jeremy.

r21657: get rid of warning - not everyone understands %F

r21655: Regenerate after pidl bugfix.

r21652: Fix samba3-specific initialization

r21651: Add ndrdump to samba 3. This only works from external source at the
moment. To use, use something like:

./bin/ndrdump -l bin/smbd winreg winreg_EnumValue in <filename>

or to see what functions are available:

./bin/ndrdump -l bin/smbd winreg

r21647: Allow unit on for size parameters.

r21646: Patch from SATOH Fumiyasu <fumiyas@osstech.co.jp>
- add minsize parameter. Bug #4409.
Jeremy.

r21645: Make posix_unlink work - on open files too !
Jeremy.

r21644: Allow mkdir on platforms with no O_DIRECTORY.
Add proper debug to all possible setfilepathinfo
functions.
Jeremy.

r21643: Put the correct bits on the wire for posix_mkdir.
We're not yet deleting open files on unlink. Investigating...
Jeremy.

r21642: Fix bug 4365. Please note that this was only tested with Vista so far, it
needs testing with other clients as well. I'm afraid I'm visiting a conference
tomorrow and saturday, so I'd be happy to get support in this.

Thanks,

Volker

r21641: Add test code for POSIX pathname calls into smbclient.
Jeremy.

r21640: Fix the build for broken platoforms without O_DIRECT or O_DIRECTORY.
Jeremy.

r21639: Add in implementations of POSIX open/mkdir/unlink/rmdir.
Jeremy.

r21638: Change POSIX_UNLINK to allow clients to differentiate
between unlink/rmdir calls.
Jeremy.

r21637: Get "password never expires" account policy working.
0x8000000000000000LL is "infinity" to NT and should
not be converted numerically to time_t.

r21636: Was almost right before.  We have to specify the short domain name to get the
Krb5 config stuff to work in the server affinity settings.

r21635: Don't free talloc()'d memory.  I wish people would check the callers
when changing how memory is allocated.

r21633: First real fix from me found during the bug hunt.

ads_cached_connection() does not call get_dc_name()
before ads_connect() and therefore does not setup
the environment to look at krb5.conf.DOMAIN file
before sending the TGT request.  The failure I'm seeing
occurs ni a multi-DC domain where we get back preuath
failed after we just joined the domain.

r21632: Remove ununsed variable

r21626: Fix memory leak on error path noticed by
SATOH Fumiyasu <fumiya@samba.gr.jp>

r21623: Fix copy/paste error

r21622: Fix bad merge caught by James.

r21616: Delay initialization of idmap and nss_info backends until necessary
so they can honor the offline logon state.

r21615: don't wait until the last second to try to renew a Krb5 ticket as it is took late

r21614: The memset() called on aligned memory was causing crashes
on x86_64 Linux boxes.  Since it is not needed, just use malloc()
on Linux.

r21613: perform variable subsitution on home directories and shells provided by the nss_info backend

r21612: Make pam_winbind do the same username fixup on AIX as the WINBINDD
LAM module does to work around a system that does not support
>8 character usernames.  Without the change, pam_winbind tries
to authenticate _#uid in the domain.

r21611: I'm not entirely sure about this patch but it is working.
su - DOM\user was unable to set the process crendentials
without listing the "id" and other attributes in the attrlist[].
More fixes to come, but I didn't want this to get lost.

r21610: put libraries preceeding the @SONAMEFLAG@ variable as on AIX this ends up commenting out the remainder of the line and we have missing libraries in the link

r21609: Fix memory leaks in error code paths (and one in winbindd_group.c).
Patch from Zack Kirsch <zack.kirsch@isilon.com>.
Jeremy.

r21608: Fix a couple of memleaks in error code paths before
Coverity finds them :-)
Jeremy.

r21607: While committing I saw I had not newline terminated this string ...

r21606: Implement escaping function for ldap RDN values
Fix escaping of DN components and filters around the code
Add some notes to commandline help messages about how to pass DNs

revert jra's "concistency" commit to nsswitch/winbindd_ads.c, as it was
incorrect.
The 2 functions use DNs in different ways.

- lookup_usergroups_member() uses the DN in a search filter,
and must use the filter escaping function to escape it
Escaping filters that include escaped DNs ("\," becomes "\5c,") is the
correct way to do it (tested against W2k3).

- lookup_usergroups_memberof() instead uses the DN ultimately as a base dn.
Both functions do NOT need any DN escaping function as DNs can't be reliably
escaped when in a string form, intead each single RDN value must be escaped
separately.

DNs coming from other ldap calls (like ads_get_dn()), do not need escaping as
they come already escaped on the wire and passed as is by the ldap libraries

DN filtering has been tested.
For example now it is possible to do something like:
'net ads add user joe#5' as now the '#' character is correctly escaped when
building the DN, previously such a call failed with Invalid DN Syntax.

Simo.

r21605: Fix small typo noticed by Raúl Sánchez Siles <rss@barracuda.es>.
Jeremy.

r21604: I got this wrong also in libsmb :-(.
Jeremy.

r21603: Horrible backwards compatibility hack as an old server bug
allowed a CIFS client bug to remain unnoticed :-(.
I suck.
Jeremy.

r21581: Add an error code I just got

r21577: Remove unneeded #define (part of earlier patch that was
removed).
Jeremy.

r21576: Patch based on work from Todd Stecher <todd.stecher@isilon.com>
to allow client to fragment large SPNEGO blobs (large krb5
tickets). Tested against W2K3R2. Should fix bug #4400.
Jeremy.

r21569: Fix bug reported by Martin Zielinski <mz@seh.de>
where return value was incorrectly initialized.
Jeremy.

r21566: If we're going to be broken, at least be *consistently*
broken :-). This will do until Simo fixes the escape
calls properly.
Jeremy.

r21565: Import ndrdump (doesn't compile yet, needs table support functions).

r21563: Fix a memleak: We only need dispinfo structs for "our" and for the builtin
domain. Without this patch we leaked a DISPINFO for the (NULL) domain per
samr_connect*() call.

Volker

r21562: Regenerate gen_ndr after pidl changes.

r21561: It makes absolutely no sense to call krb5_kt_resolve() two times
directly after another.

Guenther

r21560: Convert name_to_fqdn to BOOL.

Guenther

r21558: Safe more indent, again no code changes.

Guenther

r21557: indent only fix. No code change.

Guenther

r21556: Remove superfluos return check in ads_keytab_verify_ticket().

Guenther

r21552: Ensure to check for proto_exists before linking any binary.  No make
proto should be required before creating any binary from now on.

Remove proto_exists from the all, pam_smbpass, and pam_bindind rule.

r21551: Ok, this is more subtle. More tomorrow :-)

r21550: make disp_info_list static to get_samr_dispinfo_by_sid(), add a comment :-)

r21549: Only create DISP_INFO structs for domain handles, the others don't need
them. It just does not make sense to do a querydispinfo on an alias handle...

This fixes a memleak: Every samr_connect*() call leaked a DISP_INFO for the
(NULL) sid.

More cleanup pending: Essentially, we only need the DISP_INFO cache for the
get_global_sam_sid() domain. BUILTIN is fixed and small enough, and there are
no other domains around where enumerations could happen.

This also removes the explicit builtin_domain flags. I don't think this is
worth it. If this makes a significant difference, then we have a *VERY* tuned
RPC layer...

Jeremy, please check this. If it's ok, we might want to merge it across.

Volker

r21548: prevent segv (reference to -1 element of array)

r21547: Fix from Michael Adam <ma@sernet.de>: Refuse registry shares without path.

Thanks,

Volker

r21546: remove duplicate lines

r21543: Fix 64bit build warning.

Guenther

r21540: Fix Bug #3713 and readd reporting what the profiles tool does (when
called with the -v option).

Patch from William Jojo <jojowil@hvcc.edu>.

Guenther

r21537: Avoid to trigger the confusing "cached entry differs." warning when
there is just no cache around for a user.

Guenther

r21536: Fix copy/paste typo.

Guenther

r21530: Don't code with jet-lag and Volker looking over your
shoulder.... Correct fix for warning :-)
Jeremy.

r21529: Fix warning from bad cast.
Jeremy.

r21526: Fix stray character in sys_memalign() that is only
is the case where we don't have memalign() or posix_memalign().

r21525: Go ahead and checkin the mlock() & memalign() fixes so
others don't get stuck with the winbindd hang.
Still waiting on additional confirmation from Guenther
that this fixes thes issues he was observing as well.
But it's been running in my local tree for a day without
problems.

r21517: Fix build warnings.

Guenther

r21509: Merge lp_passdb_backend() from rev 21506 to 3_0_25.

Slightly change the DEBUG 0 message as suggested by Volker on
samba-technical.

r21508: Fix memleak in new idmap_tdb, thanks Herb.

Jerry please check.

Simo.

r21507: Fix some "cannot access LDAP when no root" bugs.
The two culprits were

* pdb_get_account_policy()
* pdb_get_group_sid()

r21506: Allow old pre 3.0.22 multi passdb backend configurations to work with
post 3.0.23.

This implementation considers spaces in ldapsam configs.  Such configs
are trunkated after the closing quote.

r21505: make sure mlock()'d memory is aligned on a page boundary

r21500: Fix inappropriate creation of a krb5 ticket refreshing event when a user
changed a password via pam_chauthtok. Only do this if

a) a user logs on using an expired password (or a password that needs to
be changed immediately) or

b) the user itself changes his password.

Also make sure to delete the in-memory krb5 credential cache (when a
user did not request a FILE based cred cache).

Finally honor the krb5 settings in the first pam authentication in the
chauthtok block (PAM_PRELIM_CHECK). This circumvents confusion when
NTLM samlogon authentication is still possible with the old password after
the password has been already changed (on w2k3 sp1 dcs).

Guenther

r21483: Fix use of uninitialized variable.
Jeremy.

r21482: Use IPC$ not ipc$ for consistency.
Jeremy.

r21481: No one said anything, so I'm disallowing anything
but explicit shares in "default service" :-).
Jeremy.

r21480: Make fd_open match fd_close be translating
errno into an NTSTATUS immediately.
Jeremy.

r21478: Add 65k length limit for split SPNEGO blobs.
Jeremy

r21474: Ensure trustdom_cache_shutdown() gets called
on terminate. Pointed out by Herb.
Jeremy.

r21467: Add GPFS-provided DMAPI support based on their GPL library

r21462: Fix EnumValue (?)

r21461: Not strictly necessary, as data_blob() panics if it can't allocate. But I'd
see this as a design flaw in data_blob() and it made me look in that routine.

Jeremy, revert or merge please :-)

Volker

r21460: Fix for server-side processing of SPNEGO auth
fragmented into "max xmit" size security blob
chunks. Bug #4400. Needs limits adding, and also
a client-side version.
Jeremy.

r21454: Fix debug typo.

Guenther

r21453: use the tdb mapping file for groups by default for compatibility with the 3.0.25 tree (for now)

r21450: No need to TALLOC_FREE twice here.

Guenther

r21449: Talked to Jerry on irc, he does not see what might break with this: Change
back the 'msdfs root = yes' default to 'no'.

Volker

r21446: Karolins "printjob username"

r21445: Apply tdb_parse_record Tridges error return, merge to 3_0_25 and 4_0

r21444: Check in tdb_parse_record. Not merging to the other branches yet, we need to
agree on the behaviour of non-existing records.

Tridge, can you comment? Should we change tdb_fetch, or should we have
different concepts in tdb_fetch() and tdb_parse_record() ?

Volker

r21417: Janitor for Herb. Make sure sharesec.c is functionally
identical in 3.0.25 and 3.0.
Jeremy.

r21412: The last patch also incremented the seqnum when tdb_store failed. Not as bad
as not doing it at all, but needs fixing. Also simplify the logic, I had
missed the "goto out" at the end of the function.

Volker

r21410: We have to increment the sequence number also when tdb_update_hash()
succeeded. Found while testing the brlock seqnum patch.

Tridge, please check!

Volker

r21409: saved_status1 is not used anymore after aio write behind was removed

r21399: need to zero the request and response structures

r21397: revert accidential commit

r21396: fix wbinfo --lookup-rids command
allow detection of libbiconv if all others fail - need for FreeBSD

r21394: Prevent nscd crash due to potential NULL pointer dereference in
_nss_winbind_initgroups_dyn() on an empty group list.

Guenther

r21393: Fix typo.

Guenther

r21388: Merge support for providing replacement system headers.

r21387: Another important fix for non-AD domains:

Avoid assigning 0 as primary group id for users in NSS calls.
Jerry, please check.

Guenther