s3:winbindd/nss_info: add debugging to nss_init()

Michael

s3:winbindd/idmap_ad: add entry debug message to nss_ad_get_info()

Michael

s3:winbindd/idmap_ad: add support for trusted domains to idmap_ad (bug #3661)

This initial fix does at least work for explicitly configured domains.

The patch has a few disadvantages:

1. It does work only for explicitly configured domains, not with
   the default backend (idmap backend = ad), since it relies on the
   domain name being passed in via the idmap_domain. One workaround
   for this would be to create clones of the default idmap_domain
   for domains not explicitly configured.

2. It calls find_domain_from_name_noinit() from idmap_ad_cached_connection.
   The problem here is that only the NetBIOS domain name (workgroup
   name) is passed in via the idmap_domain struct, and the module
   has to establish a connection to the domain based on that information.
   find_domain_from_name_noinit() has the disadvantage that it uses the state
   of the domain list at fork time (unless used from the main winbindd).
   But this should be ok as long as the primary domain was reachable at
   start time.

For nss_info, the situation is similar - This will only work for domains
explicitly configured in smb.conf as follows:
"winbind nss info = rfc2307:dom1 sfu:dom2 rfc2307:dom3 template:dom4"
Setting the default nss info to one of the ad backends (rfc2307, sfu, sfu20)
will fail since the domain name is not passed in with the nss_domain_entry.

Michael

s3:winbindd/idmap_ad: refactor core of nss_{sfu|sfu20|rfc2307}_init to common function.

Michael

s3:winbindd/idmap_ad: rename ctx to mem_ctx in nss_ad_get_info()

in preparation to using the idmap_ad_context there

Michael

s3:winbindd/idmap: add diagnostic entry debug msg to idmap_backends_sid_to_unixid

Michael

s3:winbindd/idmap: add diagnostic entry debug msg to idmap_backends_unixid_to_sid

Michael

s3:winbindd/idmap: add diagnostic entry debug msg to idmap_find_domain().

Michael

s3:winbindd/idmap_util: unify entering debug messages and add ouput of domain

Michael

s3:winbindd/nss_info: change nss_map_{to|from}_alias to take nss_domain_entry

instead of just the domain name

Michael

Set PRESENT flag when returning NULL [SD]ACL like Windows does.

This could also be handled inside each ACL VFS module, by setting the PRESENT
flag when a NULL [SD]ACL is created.

remove the explicit mem_ctx from ntlmssp_state, use the state itself

fix nonempty blank lines

Do not build the session request if it si not used anyway

fix nonempty blank lines

s3-libnetjoin: Fix bug #5749. Re-set acctflags while joining. fix from metze.

Guenther

s3-libnetjoin: remove unused md4_trust_password, found by metze.

Guenther

s4-smbtorture: add some more testcases to pwdlastset test.

Guenther

s4-smbtorture: fix RPC-SAMR-PASSWORDS-PWDLASTSET with samba3 option.

Guenther

s3-samr: add init_samr_user_info25 and init_samr_user_info26.

Guenther

selftest: s4 does not have a pwdlastset implementation yet.

Guenther

s4-smbtorture: allow to disable full testing of all possible opcode combinations.

Guenther

s4-smbtorture: move test to SAMR-PASSWORDS-PWDLASTSET.

Guenther

s4-smbtorture: add test for samr password_expired flag while setting passwords.

Guenther

s4-smbtorture: add test_SetUserPass_level_ex.

Guenther

s4-smbtorture: add samr_rand_pass_silent.

Guenther

s4-samr: fix samr passwdord_expired callers.

Guenther

s3-samr: fix init_samr_user_info{23,24} callers.

Guenther

s3-build: re-run make samba3-idl.

Guenther

samr: fix samr_UserInfo24 and samr_UserInfo26.

Guenther

Remove "conn" parameter from np_open, smb_request contains it

Remove inbuf references from the trans2ioctl code

Consolidate the buffer checks for the reply_trans style functions

This is the one where I found the problem that led to 3.2.5. So if there is one
checkin in the last year that I would like others to review and *understand*,
it is this one :-)

Volker

Move cli_trans_oob to lib/util.c

Rename it to trans_oob, it will be used in the server routines.

Remove the variable "size" from reply_nttrans

This converts the range checks for the setup[] array to rely on req->wct being
set correctly in init_smb_request. As that already verifies the vwv array to be
in the range of the smb_request inbuf, we don't have to do overflow checks here
anymore.

Jeremy, please check thoroughly! :-)

Thanks,

Volker

Remove the variable "size" from reply_trans

This converts the range checks for the setup[] array to rely on req->wct being
set correctly in init_smb_request. As that already verifies the vwv array to be
in the range of the smb_request inbuf, we don't have to do overflow checks here
anymore.

Jeremy, please check thoroughly! :-)

Thanks,

Volker

Remove an unused variable

Remove two direct inbuf references from reply_sesssetup_and_X_spnego()

s3-samr: never allow to alter pwdlastset directly.

Guenther

s3-samr: fix return code for invalid password sets in SetUserInfo.

Guenther

s3-samr: fix return code for invalid name in _samr_LookupDomain.

Guenther

s3-samr: avoid enumeration and user creation on builtin domain handle.

Guenther

s3-samr: support samr_CreateUser as well.

Guenther

s3-samr: support samr_QueryUserInfo2 as well.

Guenther

s3-samr: add support for _samr_QueryUserInfo level 5.

Guenther

s3-samr: add init_samr_user_info5.

Guenther

s4-smbtorture: fix some build warnings.

Guenther

Fix the offset checks in the trans routines

This fixes a potential crash bug, a client can make us read memory we
should not read. Luckily I got the disp checks right...

Volker
(cherry picked from commit 64a1d80851da5b05e70ec6c96f6e9bd473748369)
(cherry picked from commit f04c5650a3aeca23591ddc781c4b297caaf9bb3f)

Move netr_SamDatabaseID8Bit to netlogon.idl to prevent problems with
forward enum declarations when compiled with C++.

Don't filter out any variables for config.pm, only for config.mk.

Fix circular dependency error with autoconf 2.6.3.

Signed-off-by: Andreas Schneider <anschneider@suse.de>

Use a simple shell loop instead of _AC_SUBST_VARS.

Autoconf has removed _AC_SUBST_VARS in newer versions.

Fix bug #5914 - Build failure: redefinition of struct name_list
Jeremy.

Merge branch 'master' of ssh://git.samba.org/data/git/samba

Make sure dom_sid.h is installed.

s3-samr: fix _samr_LookupNames return code.

Guenther

Revert "UNFINISHED - s3:idmap_ad: multi-domain"

This reverts commit 6a4957d35d50e6508917aca62b282ae4904187c8.

Sorry - this got accidentially pushed.

Michael

UNFINISHED - s3:idmap_ad: multi-domain

Michael

[s3]zfsacl: "return" is not a function.

Michael

[s3]zfsacl: Prevent calling POSIX ACL vfs methods on zfs share.

This is a proposed fix for Bugs #5135 and #5446.

Signed-off-by: Michael Adam <obnox@samba.org>

libwbclient: Implement wbcGetgrent and wbcGetgrlist

libwbclient: Implement wbcGetpwent

libwbclient: Add placeholder function for WINBINDD_CCACHE_NTLMAUTH

libwbclient: Fix typo in wbcGetgrent docstring.

libwbclient: Add placeholder function for WINBINDD_GETGRLST

libwbclient: Add placeholder functions for wbcQuery[GSU]idTo[GSU]id

Allow SYSLOG_FACILITY to be modified with a new configure option called --with-syslog-facility

Fix bug #5873 - ACL inheritance cannot be broken. This regresses #4308, but that will have to
be fixed another way.
Jeremy.

Search for gpfs functions in both libgpfs_gpl.so an libgpfs.so

As of GPFS 3.2.1 PTF8 libgpfs will be available as GPL, so we don't need the
special libgpfs_gpl lib anymore. For backwards compatibility with pre-PTF8 GPFS
installations, still look there.

s3:libads/ldap.c: return an error instead of crashing when no realm is given

The bug was triggered by "net ads info -S 127.8.7.6" (where 127.8.7.6 doesn't ex
and "disable netbios = yes".

metze

Signed-off-by: Michael Adam <obnox@samba.org>

Fix nonempty blank lines

Get rid of pipes_struct->pipe_user, we have server_info now --- YESSS!

Remove unused make_connection_with_chdir()

Convert delete_driver_files to use create_conn_struct

Jerry, please check!

Convert get_correct_cversion to use create_conn_struct

Jerry, please check!

Convert move_driver_to_download_area to use create_conn_struct

This removes a use of struct current_user and the vuid

The become_user() here is unnecessary, within the spoolss handling code we have
switched to the authenticated pipe user anyway.

Jerry, please check!

Fix to allow setting of NULL DACL/SACL

This is a modification of Jeremy's 7522ef15aca2429ef57c75d8297dd8121e79c9da
commit.

If no DACL/SACL is present in the packet, the SEC_INFO field should still be
passed down as is to the VFS layer to signal the creation of a NULL DACL/SACL.

As seen in metze RAW-ACL test_nttrans_create_null_dacl(), a NULL DACL is set
regardless of the SEC_DESC_DACL_PRESENT bit being set.

s3-rpcclient; Really fix compile warning.

Screwed up in 526c609d, now the real fix.

libcli/nbt: fix some extrasemi compile warnings.

Michael

Add auth_serversupplied_info to create_conn_struct

srvsvc needs it, as will printing

s3-rpcclient: Fix a compile warning.

ctags: Ignore source3/includes/proto.h for tags.

Fix an uninitialized variable warning

Andreas Schneider, please check!

fix the build

RPC sessions on np connections need the real session key transferred

s3 build: when detecting to use internal zlib, put "-I../lib/zlib" first in CFLAGS

This should fix a build error on our Tru64 build farm box where a zlib.h is
found in an include path handed in via external CFLAGS, but that zlib.h belongs
to an old zlib. So in ndr_compression.c, "#include <zlib.h>" includes the wrong
header for the internal zlib.

Michael

s3-build: do not auto-genereate ndr tables but use checked-in tables.

This removes the build-dependency on perl that was introduced in
commit e0905c30908b4d621030689d33de28a13c04a690.

The tables can now be re-built with "make ndr-tables".
This is also called by make samba3-idl to ensure that the tables
are updated after idl changes.

This hopefully fixes the build on some build farm hosts (e.g. gwen).

Michael

s3 build: don't specify ZLIB_LIBS (i.e. "-lz") in object collections.

This causes make to fail on at least HP-UX and MacOS X with message
"no rule to make target -lz" or similar, when these object collections
are specified in dependencies.

Michael

Add "net machinepw"

Provide a C-based alternative to the python script "mymachinepw"

Fix a C90 error.
Jeremy.

Rever 83ff6979f504d50caf725ee62549604630b69be7 - "Fix the logic bug that caused us to
run into kernel oplocks on an open for a stream inside a file with stream_xattr module. On
opening the base_fsp we must break existing oplocks." as it broke make test.
Jeremy.

Fix the logic bug that caused us to run into kernel oplocks on an open for a stream inside a file with stream_xattr module. On opening the base_fsp we must break existing oplocks.
Jeremy.

Merge branch 'master' of ssh://jra@git.samba.org/data/git/samba

[s3]nfs4_acls: make prototype header match definition for smb_set_nt_acl_nfs4()

Add the const from nfs4_acls.c to nfs4_acls.h
This fixes my build of the zfsacl module on solaris.

Michael

FreeBSD configure check for backtrace_symbols

On FreeBSD backtrace_symbols is defined in libexecinfo.so.1.  Look for it
there as well.

Use fxattr calls whenever possible (trying to work around the strange Linux kernel oplock bug).
Jeremy.

Second part of the fix for bug #5903 - vfs_streams_xattr breaks contents of the file
(also fix a bad merge of the previous patch from 3.3).
Jeremy.

s3-winbindd: make all winbind rpc-methods static.

Now that the methods are no longer needed in winbindd_ads,
we can make them static again.

Michael

s3-winbindd_ads: use the reconnect methods instead of the rpc methods directly

Some of the ads methods just point to the rpc methods.
This makes winbindd_ads use the reconnect methods instead of
calling the rpc methods directly in order to prevent
negative cache entries for e.g. name_to_sid, when the dc
has closed the connection without sending a reset.

Michael

s3-winbindd_ads: prevent negative GM/ cache entries due to broken connections

The ads lookup_groupmem() function calls lda_lookupsids to resolve sids
to names. This is tried only once. So in case the connection was broken,
e.g. closed by the server (without a reset packet), there will be an empty
GM/ cache entry for the requested group which will prevent proper working
of access checks among other checks for the expiry period.

This patch works around this problem by retrying once if the lsa_lookupsids
call fails, re-establishing the dc-connection, as we already do in many other
places (e.g. the winbindd retry methods for the rpc layer).

Michael