winbindd: add event based machine password change.

Guenther

Don't re-initialize a token when we already have one. This fixes the build farm failures when winbindd connects as guest.
This one took a *lot* of tracking down :-).
Jeremy.

idmap_gid_to_sid: Fix a cut-a-npaste error.

The call was looking up a uid and not gid in the cache.

winbindd: Fix crash in cm_connect_sam()

Fix segv when talking to parent DC (joined to child domain).

The root cause was

(a) storing the parent domain in the cli_state struct caused
    the NTLMSSP pipe bind to fail which made us fallover to
    the schannel code path
(b) the dcinfo pointer in cm_get_schannel_dcinfo() was returning
    NULL even though the function indicated success.

cifs.upcall: bump SPNEGO msg version number and don't reject old versions

When we added the ability for the kernel to send sec=mskrb5 to the
upcall, we subtly broke old cifs.upcall versions that don't understand
it. Bump the spnego message version to 2 to make this clear. Also,
change cifs.upcall to not reject requests with a version that's lower
than the current one, and to send the reply with the same version that
the request sent. The idea is to try and keep cifs.upcall backward
compatible with old kernels.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

manpages: Add documentation for new 'net rpc vampire' subcommands.

Karolin

net: Add missing colon to unify usage messages.

Karolin

manpages: Add manpage for "init logon delayed hosts".

Karolin

manpages: Add manpage for "init logon delay".

Karolin

loadparm: idmap backend is not depracated any longer.

Karolin

cifs.upcall: fix build warning

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: enable building by default on linux

When building on linux, default to building cifs.upcall. Throw a
warning if ADS support is disabled or keyutils isn't installed.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: move default install location to EPREFIX/sbin

cifs.upcall links to libraries that live under /usr, so installing it
in /sbin doesn't seem appropriate. Move it to EPREFIX/sbin instead
(i.e. /usr/sbin).

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: handle MSKRB5 OID properly

When the kernel sends the upcall a sec=mskrb5 parameter, that means
the the MSKRB5 OID is preferred by the server. This patch fixes the
upcall to use that OID in place of the "normal" krb5 OID when it
gets a sec=mskrb5 parameter.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Acked-by: Steve French <smfrench@gmail.com>

mount.cifs: don't prompt for password on krb5 mounts

krb5 mounts require that the user already have a valid krb5 ticket.
Since we can't currently use the password entered, don't prompt for it.

Also, switch to using strncmp instead of strcmp here.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Fix broken net rpc join message when DC can't be found. Ensure we pass in a domain name.
Jeremy.

rpc_server: make it a little more obvious what flags we send to a client.

Guenther

Fix Bug #5710 and make machine account password changing work again.

When we negotiated NETLOGON_NEG_PASSWORD_SET2 we need to use
NetrServerPasswordSet2 to change the machine password.

Tested with NT4, W2k, W2k3 and W2k8.

Guenther

Fix bug 5698 - mixup of TALLOC/malloc. Spotted by Douglas Wegscheid <Douglas_E_Wegscheid@whirlpool.com>.
Jeremy.

re-run make idl.

Guenther

IDL: fix IDL for netr_ServerPasswordSet2().

Guenther

gitignore: add examples/libsmbclient/Makefile.internal - a generated file

Michael

build: add [clean_]libsmbclient_examples targets to top level Makefile

Michael

libsmbclient examples: source/bin to the library search path for smbwrapper build

Michael

libsmbclient examples: add Makefile.internal.in for building from a samba source

Without needing to install libsmbclient to /usr/local/samba first.

Michael

libsmbclient examples: fix prototype for readlink

Michael

Here is a re-working of the winbindd
reconnect code to cope with rebooting a DC. This
replaces the code I asked Volker to revert.
The logic is pretty simple. It adds a new parameter,
"winbind reconnect delay", set to 30 seconds by
default, which determines how long to wait between
connection attempts.
To avoid overwhelming the box with DC-probe
forked children, the code now keeps track of
the DC probe child per winbindd_domain struct
and only starts a new one if the existing one
has died.
I also added a little logic to make sure the
dc probe child always sends a message whatever
the reason for exit so we will always reschedule
another connect attempt.
Also added documentation.
Jeremy.

gitignore: add examples/libsmbclient/tree

Michael

gitignore: add lib/netapi/tests/Makefile

Michael

gitignore: add libsmbsharemodes.syms - this is now generated

Michael

build: auto-generate symbols for libsmbsharemodes.

Michael

gitignore: add libsmbclient.syms - this is now generated

Michael

build: autogenerate symbols for libsmbclient.so

Michael

build: fix bug #5590 by not linking in the static libs but the objects.

Michael

build: fall down to the same place when using an internal lib statically.

Michael

build: remove duplicated and hardcoded definition of LIBSMBSHAREMODES

Michael

build: rename LIBNETAPI_OBJ1 to LIBNETAPI_OBJ0 for consistency.

Michael

fix build warning.

Guenther

libads: remove unused vars.

Guenther

fix another build warning.

Guenther

nss_winbind: When returning NSS_UNAVAIL, squash errno to ENOENT

According to the GNU libc nss guide, we should always set
errno to ENOENT when returning NSS_UNAVAIL.

http://www.gnu.org/software/libtool/manual/libc/NSS-Modules-Interface.html#NSS-Modules-Interface

At least the MQ Series message queing service that runs
on WebSphere will fail if you return any other errno in this case.

smbd: fix the handling of create_options to pass RAW-OPEN

Some of the bits generate INVALID_PARAMETER and some bits
are ignored when they come from a client, that's why we need
to use bits from the ignored range for our internal usage.

metze

Updated Doxyfile conf to doxygen version 1.5.3

* Removed deprecated configuration parameters
* Silenced all warnings due to lack of doxygen comments
* Reordered config parameters to match doxygen's canonical ordering

Fix bug 5697 nmbd spins in reload_interfaces when only loopback has an IPv4 address
reported by Ted Percival <ted@midg3t.net>.
Jeremy.

winbindd: consistently use false/true.

Guenther

winbindd: use set_auth_errors (avoid code duplication).

Guenther

winbindd: fill_in_password_policy (to avoid redundant code).

Guenther

pam_winbind: some doxygen fixes.

Guenther

wbinfo: use wbinfo_prompt_pass() everywhere.

Guenther

wbinfo: add wbinfo_prompt_pass.

Guenther

pam_winbind: use pam error string function to display result.

Guenther

pam_winbind: add _pam_error_code_str().

Guenther

pam_winbind: use integer constants.

Guenther

winbindd: kill some trailing/leading whitespace.

Guenther

build: fix linking cifs.upcall when nscd_flush_cache() is found.

Michael

Make the change to smbcontrol for "all" to mean broadcast,
and "smbd" to mean the main smb daemon. Update docs to match.
Jeremy.

Fix length error in wrapping spnego blob

Fix bug 5696. The problem was when smbd
was asking for a winbindd name to SID lookup of
"Unix Group\name" where "name" was also a valid username,
the winbindd passdb lookup of that name was losing the
domain string info before calling lookup name (ie. lookup_name()
was being called with just the string "name", not the
full string "Unix Group\name").

The passdb backend of winbindd has to cope with
not only names from it's own global SAM domain,
but it does lookups for BUILTIN and "Unix User"
and "Unix Group" also, so making it guess by
losing the domain string is "A Bad Idea" (tm) :-).

Note that as winbind globally calls winbind_off()
at startup, it's safe for winbind to call sys_getgrnam()
to do the "Unix Group" lookup from inside lookup_name().

Jeremy.

Attempt to fix Coverity ID 596

Jeremy, please check & push if it's ok.

Attempt to fix Coverity ID 595

is_ipaddress already dereferences "name", so the NULL check is pointless after
calling it.

I think the problem with these functions is that lookup_usergroups
should never include the user SID.
The comment for the function in winbindd/winbindd_ads.c says
/* Lookup groups a user is a member of. */
The following patch makes the wbinfo calls return the correct data
before and after a login.
wbinfo --user-domgroups and --user-sids

configure: use libdir=${prefix}/lib and modules=${libdir}/samba as default with-fhs.

This is what one actually wants:
Shared/static libs in /usr/lib, shared modules and so on in /usr/lib/samba.

Michael

configure: use ${libdir} instead of \${LIBDIR}.

Now after removing --with-libdir, the value of ${libdir} won't change
anymore at that stage, so there is no need to have the variable expansion
deferred to "make".

Michael

configure: remove the --with-libdir parameter.

This is redundant: use the autoconf-provided --libdir instead.
This will also make the new distinction between libdir and modulesdir
more visible.

Michael

popt: add support for setting MODULESDIR via popt_common_dynconfig.

Michael

svcctl: use MODULESDIR instead of LIBDIR for the svcctl script directory.

Michael

libgpo: use MODULESDIR instead of LIBDIR for the group policy extensions.

Michael

Use module_path() instead of lib_path() for loading shared modules.

Michael

Add modules_path() to construct paths to files in MODULESDIR.

Michael

buildoptions: output MODULESDIR.

Michael

dynconfig: add support for MODULESDIR.

Michael

configure: Add --with-modulesdir to accompany --with-libdir.

This starts the seplitting of libdir in to libdir and modulesdir.
Our shared libs should go into libdir, the internal shared modules,
codepages, and other stuff that was originally in libdir, should
go into modulesdir.

The idea behind this is, that in a typical installation,
the shared (and static) libraries (as libtalloc, libsmbclient,
libwbclient and others) should be put into /usr/lib, while
the e.g. the vfs modules should reside in /usr/lib/samba.

This is meant to ease the work of packagers and reduce
the needs for manual interaction and workarounds.

Michael

dynconfig: remove commented-out old stuff from dynconfig.c and dynconfig.h

Michael

dynconfig: remove unused prototypes.

set_dyn_STATEDIR, is_default_dyn_STATEDIR,
set_dyn_CACHEDIR, is_default_dyn_CACHEDIR
are neither used nor implemented.

Michael

proto.h: remove prototypes from dynconfig.c

These are also in dynconfig.h and were originally added
by "make proto" by accident.

Michael

Makefile: print codepagedir in "make showlayout".

Michael

build: fix a typo in the installlibtalloc rule.

The symlink liballoc.so -> libtalloc.so.1 would have been
created unconditionally, independent of the existence of
libtalloc.so.1.

Michael

Fix show-stopper for 3.2. Smbd depends on group SID
position zero being the primary group sid. Authenicating
via winbindd call returned a non-sorted sid list. This
fixes is for both a winbindd call and a pac list from
an info3 struct. Without this we mess up the
primary group associated with created files. Found by
Herb.
Jeremy.

Make it clear that this is a temporary context byusing a talloc stackframe instead.
Jeremy

Fix bug #5692 - Core dump in full_audit.so.
There were some function mismatches in the various GET_NT_ACL modules (some places the fsp parameter has not been removed).
Jeremy.

Revert "Add a gpfs_prefetch module"

This reverts commit fc9b30bed2d774dca6660b497cb50f982b23b885.

Sorry, this got pushed by accident:

"This can not go upstream yet because it uses the non-GPL libgpfs."

Michael

smbspool: Fix printing on port 139.

This one was introduced with 8eff35bc.
Thanks to Noèl Köthe for tracking that down!

Karolin

netapi: add some remaining documentation fixes.

Guenther
(cherry picked from commit 4a4e90a3872d34791de43c3849c60e2f4e713d47)

netapi: add doxygen documentation for NetUserModalsGet and NetUserModalsSet.

Guenther
(cherry picked from commit 93210f04c3b1e4fe977a395531ddc0387a65dab5)

netapi: add doxygen documentation for NetLocalGroup{Add,Del,Set,Get}Members.

Guenther
(cherry picked from commit eee28804b7efc3089ce3528f13de6c930cf00adb)

netapi: make libnetapi_open_ipc_connection static.

Guenther
(cherry picked from commit 0259914f8ff04514a8395d8e1af61aadd50c5efb)

netapi: make non-implemented local calls default to remote "localhost" calls.

Guenther
(cherry picked from commit aa70e588803e3767796dc958b139f4ee464d8626)

netapi: add NetLocalGroupGetMembers example code.

Guenther
(cherry picked from commit bded298e022028d6237e25e1c785509bc983be9d)

netapi: let libnetapi_samr_lookup_and_open_alias return NTSTATUS.

Guenther
(cherry picked from commit dcf6d879a14a70ce5795eb8dcfbfe2fc5a8ad859)

Put prototypes of modules/vfs_irixacl.c to new modules/vfs_irixacl.h.

Thereby (hopefully) fixing the potential build problems with IRIX acls.

Michael

Put prototypes of modules/vfs_hpuxacl.c to new modules/vfs_hpuxacl.h.

Thereby (hopefully) fixing the potential build problems with HPUX acls.

Michael

Put prototypes of modules/vfs_solarisacl.c to new modules/vfs_solarisacl.h.

Thereby (hopefully) fixing the potential build problems with solaris acls.

Michael

Put prototypes of modules/vfs_tru64acl.c to new modules/vfs_tru64acl.h.

Thereby (hopefully) fixing the build with tru64 acls.

Michael

Put prototypes of modules/vfs_posixacl.c into new modules/vfs_posixacl.h.

Michael

Fix coverity CID: 594. Resource leak on error path.
Jeremy.

Fix for bug #5688 from SATOH Fumiyasu <fumiyas@osstech.co.jp>. LPQ process is orphaned if socket address parameter is invalid.
If the "socket address" parameter is a null string that is an invalid value for Samba 3.2 but valid for Samba 3.0.
Jeremy.

Fix for bug #5617, reported and patched by Bartosz Antosik antosik@gmail.com.
xp/2003 explorer freezes browsing shares on samba ipv6 hosts. Caused by missing
reply packet to SMB printclose packet.
Jeremy

Prevent NT_STATUS 0xF1000000 errors from appearing when
dos errors are used and there is no error.  It should
be mapped directly to NT_STATUS_OK.  smbclient to older
servers didn't work.

Revert "Add winbind:online check timeout parameter"

This reverts commit 9920473cc165e75ee9aa5cbb9e568eb5fb67e9e6.

Revert "If it is a forced DOS error, nt_errstr should say so"

This reverts commit ef5489ac805237274d6088aaa7ae870cc0deb52f.