lib/access: make client_match() public.

Michael

One more build fix. Ensure we have KRB5_AUTH_CONTEXT_USE_SUBKEY defined before we compile the new code.
Jeremy.

Try and fix the build for systems that don't have krb5_auth_con_set_req_cksumtype().
Jeremy.

Merge branch 'v3-3-test' of ssh://jra@git.samba.org/data/git/samba into v3-3-test

Add Derrick Schommer's <dschommer@F5.com> kerberos delegation patch. Some
work by me and advice by Love.
Jeremy.

build: fix a no previous prototype warning when building without ldap/gssapia

move prototype of dns_create_update_request() to appropriate section in dns.h

Michael

libnet samsync ldif: fix the build without LDAP.

Michael

using NGROUPS_MAX instead of 32 for the max group value in rep_initgroups() subroutine in lib/replace/replace.c

Add simple async wrappers around send, recv and connect

To be used later :-)

Fix bug #5675 with a varient of Tim Waugh's patch,
as proposed by James Peach.
Jeremy.

Fix "might be used uninitialized" warnings.
Jeremy.

Fix a build failure on host sunX

Solve an IBM XL C/C++ compiler error encountered in get_exit_code() auth_errors array initialization in client/smbspool.c

WHATSNEW: Start WHATSNEW for 3.3.0pre1.

Karolin

libnetapi: fix build of shared library after libnet_join changes.

This needs create_builtin_administrators() and create_builtin_users()
from token_utils now. Did not pop up because the only users of the
shared lib currently are the examples in lib/netapi/examples/
which are not automatically built.

Michael

fixed permissions on ctdb databases

fixed a fd leak when trying to regain contact to a domain controller
in winbind

When a w2k3 DC is rebooted the 139/445 ports come up before the
udp/389 cldap port. During this brief period, winbind manages to
connect to 139/445 but not to udp 389. It then enters a tight loop
where it leaks one fd each time. In a couple of seconds it runs out of
file descriptors, and leaves winbind crippled after the DC does
finally come up

dbwrap: add comment describing behaviour of dbwrap_change_int32_atomic().

Michael

secrets: fix replacemend random seed generator (security issue).

This is a regression introduced by the change to dbwrap.
The replacement dbwrap_change_int32_atomic() does not
correctly mimic the behaviour of tdb_change_int32_atomic():
The intended behaviour is to use *oldval  as an initial
value when the entry does not yet exist in the db and to
return the old value in *oldval.

The effect was that:
1. get_rand_seed() always returns sys_getpid() in *new_seed
   instead of the incremented seed from the secrets.tdb.
2. the seed stored in the tdb is always starting at 0 instead
   of sys_getpid() + 1 and incremented in subsequent calls.

In principle this is a security issue, but i think the danger is
low, since this is only used as a fallback when there is no useable
/dev/urandom, and this is at most called on startup or via
reinit_after_fork.

Michael

dbwrap: add comment describing behaviour of dbwrap_change_uint32_atomic().

Michael

idmap_tdb2: fix a race condition in idmap_tdb2_allocate_id().

The race is a regression introduced by the change to dbwrap.
It might have led to two concurrent processes returning the same id.

This fix is achieved by changing dbwrap_change_uint32_atomic() to
match the original behaviour of tdb_change_uint32_atomic(), which
is the following: *oldval is used as initial value when
the value does not yet exist and that the old value should be
returned in *oldval.

dbwrap_change_uint32_atomic() is used (only) in idmap_tdb2.c,
to get new ids.

Michael

registry: use _bystring wrappers to dbwrap_trans_(store|delete).

Michael

Building cifs.upcall is giving this build warning:

   client/cifs.upcall.c:205: warning: function declaration isn’t a prototype

This patch fixes this by properly declaring usage() args as void.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Signed-off-by: Steve French <sfrench@samba.org>

cifs.upcall: fix manpage and comments

The "cifs.resolver" key type has been changed to "dns_resolver". Fix
the comments at the top of cifs.upcall and the manpage accordingly.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Signed-off-by: Steve French <sfrench@samba.org>
---
 docs-xml/manpages-3/cifs.upcall.8.xml |    4 ++--
 source/client/cifs.upcall.c           |    8 ++++----
 2 files changed, 6 insertions(+), 6 deletions(-)

Backing out most of changeset 5222b8db3fb692e5071bfd1b41849a8eb0a17995
(so parsing for domain parameter in mount.cifs matches online help)
and rephrasing original code to make it more clear.

The check for "domain" was meant to allow for "dom" or "DOM" and the
option ("dom") described in the help (e.g. "/sbin/mount.cifs -?") is the
shorter ("dom") form.  The reason that the string we compare against
is larger was to improve readability (we could compare against "dom"
but note /* "domain" or "DOMAIN" or "dom" or "DOM" */ but it seemed
terser to just show the larger string in the strcmp target.   The
change to "workgoup" from workg* (anything which begins with "workg"
doesn't matter - it is a minor behavior change - but probably few
scripts depend on the "alias" for this option).

Rework code so that it is clearer what we are comparing against.

man pages: Improve description of boolean values in smb.conf.5.

This fixes bug #5378.
Thanks Morton K. Poulsen <morten+bugzilla.samba.org [at] afdelingp.dk>
for reporting!

Karolin

man pages: Add documentation about smbclient command "rename".

This fixes bug #5268.
Thanks to Alexander Franz <a.franz [at] gmx.net> for reporting!

Karolin

README.Coding: A few minor fixes.

Karolin

libnet_keytab: fix the build with heimdal

metze

clikrb5: don't use krb5_keyblock_init() when no salt is specified

If the caller wants to create a key with no salt we should
not use krb5_keyblock_init() (only used when using heimdal)
because it does sanity checks on the key length.

metze

cli_request_new() already gave use the req, remove a pointless function call

Fix a typo

libnet dssync: start memory allocation cleanup: use tmp ctx in libnet_dssync().

Don't leak temporary data to callers but use a temporary context
that is freed at the end.

Michael

libnet dssync: fix memory allocation for error/result messages.

Use the libnet_dssync_context as a talloc context for the
result_message and error_message string members.
Using the passed in mem_ctx makes the implicit assumption
that mem_ctx is at least as long-lived as the libnet_dssync_context,
which is wrong.

Michael

dssync keytab: add comment header explaining add_to_keytab_entries().

Michael

libnet dssync: add my C after dssync keytab changes.

Michael

vampire keytab: add command line switch --clean-old-entries .

This allows to control cleaning the keytab.
It will only clean old occurences of keys that are replicated in
this run. So if you want to ensure things are cleaned up, combine
this switch with --force-full-repl or --single-obj-repl (+dn list).

Michael

dssync: add clean_old_entries flag to dssync_ctx.

Initialize it to false.
And pass it down to the libnet_keytab context in
libnet_dssync_keytab.c:keytab_startup().

Unused yet.

Michael

Note: This might not be not 100% clean design to put this into the
toplevel dssync context while it is keytab specific. But then, on the
other hand, other imaginable backends might want to use this flag, too...

libnet keytab: implement cleaning of old entries in libnet_keytab_add().

Triggered by the flag clean_old_entries from the libnet_keytab_contex
(unused yet...).

Michael

libnet keytab: add parameter ingnore_kvno to libnet_keytab_remove_entries()

to allow for removing all entries with given principal and enctype without
repecting the kvno (i.e. cleaning "old" entries...)

This is called with ignore_kvno == false from libnet_keytab_add_entry() to
keep the original behaviour.

Michael

libnet keytab: add flag clean_old_entries to libnet_keytab_context.

Michael

libnet keytab: use proper counter type (uint32_t) in libnet_keytab_add().

Michael

vampire keytab: introduce switch --single-obj-repl.

This controls whether single object replication is to be used.
This only has an effect when at least one object dn is given
on the commandline.

NOTE: Now the default is to use normal replication with uptodateness
vectors and use object dns given on the command line as a positive
write filter. Single object replication is only performed when this
new switch is specified.

Michael

dssync keytab: when not in single object replication mode, use object dn list as write filter.

I.e. only the passwords and keys of those objects whose dns are provided
are written to the keytab file. Others are skippded.

Michael

dssync keytab: support storing kerberos keys from supplemental credentials.

Michael

libnet dssync: rename flag single to single_object_replication

So that it is more obvious what this controls.

Michael

net rpc vampire: rename --repl-nodiff to --force-full-repl.

This more clear.

Michael

libnet dssync: rename repl_nodiff flag to force_full_replication.

Michael

libnet dssync: support lists of dns (instead of one dn) for single object replication.

Just specify several DNs separated by spaces on the command line of
"net rpc vampire keytab" to get the passwords for each of these
accouns via single object replication.

Michael

libnet dssync: move determination of request level into build_request()

...where it belongs.

Michael

libnet dssync: refactor dsgetncchanges loop out into libnet_dssync_getncchanges().

Michael

libnet dssync: fix single object replication by adding one check.

Before, this used the old uptodate vector in the request...

Michael

libnet dssync: simplify logic of libnet_dssync_process() main loop.

Untangle parsing of results and processing.
Make loop logic more obvious.
Call finishing operation after the loop, not inside.

Michael

libnet dssync: refactor creation of request out into new function

libnet_dssync_build_request().

Michael

vampire keytab: add switch --repl-nodiff to trigger full replication.

I.e. replication without keeping track of the up to date vector.

Michael

dssync keytab: store the samaccountname in the keytab for diff replication.

When retreiving a diff replication, the sAMAccountName attribute is usually
not replicated. So in order to build the principle, we need to store the
sAMAccounName in the keytab, referenced  by the DN of the object, so that
it can be retrieved if necessary.

It is stored in the form of SAMACCOUNTNAME/object_dn@dns_domain_name
with kvno=0 and ENCTYPE_NONE.

Michael

dssync keytab: move handling of removal of duplicates to libnet_keytab_add_entry().

This makes libnet_keytab_remove_entries static and moves it up.
libnet_keytab_add_entry() now removes the duplicates in advance.
No special handling neede for the UTDV - this is also needed
for other entries...

Michael

libnet_keytab: add some debug statements to libnet_keytab_search().

Michael

dssync keytab: store the UpToDate vector with ENCTYPE_NULL.

Michael

libnet keytab: use libnet_keytab_add_entry() in libnet_keytab_add().

This will in particular allow us to store ENCTYPE_NULL.

Michael

libnet keytab: add function libnet_keytab_add_entry()

This is a stripped down version of smb_krb5_kt_add_entry() that
takes one explicit enctype instead of an array. And it does
not neither salting of keys nor cleanup of old entries.

Michael

dssync keytab: log the DN of the object to be parsed.

For debugging purposes.

Michael

dssync keytab: remove old UpToDateNess vectors from keytab before storing new one.

Michael

libnet keytab: add function libnet_keytab_remove_entries().

This can be used to remove entries of given principal, kvno and enctype.

Michael

libnet_keytab: cleanup libnet_keytab_search().

Michael

libnet keytab: test for matching enctype in libnet_keytab_search().

Michael

dssync keytab: add parsing and logging of servicePrincipalName-s

As with the userPrincipalName, this is for debugging purposes only (for now..).

Michael

dssync keytab: fix comma placement in debug output

Michael

dssync keytab: add debugging output when skipping an object.

Michael

libnet keytab: add enctype parameter to libnet_keytab_search().

Not really used yet.

Note: callers use ENCTYPE_ARCFOUR_HMAC enctype for UTDV (for now).
This is what is currently stored. This is to be changed
to ENCTYPE_NULL.

Michael

dssync keytab: add store enctypes in the libnet_keytype_entry structs.

Still unused by the libnet_keytab_add() function.
This will follow.
In preparation of supporting multiple encryption types in libnet_dssync_keytab.

Michael

libnet_keytab: add enctype field to libnet_keytab_entry struct.

In preparation of supporting more enctyption types in libnet_dssync_keytab.

Michael

dssync: allow replications of a single obj with net rpc vampire keytab.

This is triggered by setting the new "single" flag in the dssync_context
and filling the "object_dn" member with the dn of the object to be
fetched.

This call is accomplished by specifying the DRSUAPI_EXOP_REPL_OBJ
extended operation in the DsGetNCCHanges request. This variant does
honor an up-to-date-ness vectore passed in, but the answer does not
return a new up-to-dateness vector.

Call this operation as "net rpc vampire keytab /path/keytab object_dn" .

Michael

dssync: pass uptodateness vector into and out of DsGetNCChanges request.

Also store the new uptodateness vector in the backend after completion
and retrieve the old vector before sending the DsGetNCChanges request.

This effectively accomplishes differential replication.

Michael

dssync: skip analysis of the msDS_KeyVersionNumber attribute:

It is a calculated attribute that won't get distributed via replication.

Michael

dssync: either use the req5 or the req8 request, depending on the supported_extenstion

that have been recorded in the remote_info28 in the dssync_context.

Michael

dssync: record the bind info in the new remote_info28 in libnet_dssync_bind().

This extracts the info24 data in case this is what was returned (instead of info28).
E.g. windows 2000 returns info24.

Michael

dssync: add a drsuapi_DsBindInfo28 struct to the dssync_context struct

to keep track of what the server told us upon DsBind.

Michael

dssync keytab: wrap printing of the uptodate vector in DEBUGLEVEL >= 10 checks

Michael

dssync keytab: add support for keeping track of the up-to-date-ness vector.

The startup operation should get the old up-to-date-ness vector from the backend
and the finish operation should store the new vector to the backend after replication.

This adds the change of the signatures of the operations ot the dssync_ops struct
and the implementation for the keytab ops. The up-to-date-ness vector is stored
under the principal constructed as UTDV/$naming_context_dn@$dns_domain_name.

The vector is still uninterpreted in libnet_dssync_process().
This will be the next step...

This code is essentially by Metze.

Michael

libnet_keytab: add a libnet_keytab_search() function

that searches and fetches an entry from a keytab file by principal and kvno.

This code is by metze.

Michael

dssync keytab: use add_to_keytab_entries() for pwd history in parse_object().

Michael

dssync keytab: add prefix parameter to add_to_keytab_entries() for flexibility.

This will allow to construct principals of the form PREFIX/name@domain

Michael

dssync keytab: add check for success of ADD_TO_ARRAY().

Michael

dssync keytab: refactor adding entry to keytab_context out into new function

add_to_keytab_entries()

Michael

dssync: replace the processing_fn by startup/process/finish ops.

This remove static a variable for the keytab context in the keytab
processing function and simplifies the signature. The keytab context
is instead in the new private data member of the dssync_context struct.

This is in preparation of adding support for keeping track of the
up-to-date-ness vector, in order to be able to sync diffs instead
of the whole database.

Michael

Samba3 HowTo: Fix duplicate chapter id.

Karolin

netapi: when using NetApi functions forward net's kerberos setting.

Guenther

net: Use NetLocalGroupAdd() for adding aliases.

Guenther

netapi: in NetLocalGroupAdd_r() only set description if necessary.

Guenther

libnetunjoin: add use_kerberos flag.

Guenther

net: add "-k" switch for kerberos authentication (in preparation for #5416).

Guenther

libnetjoin: add use_kerberos flag.

Guenther

rpc_client: use init_samr_CryptPassword(Ex) in client tools.

Guenther

Fix uninitialized variables.
Jeremy.

Fix duplicate gloabl warning.
Jeremy.

Removed redundant logging from create_builtin_users and create_builtin_administrators

The Debug messages in create_builtin_users and create_builtin_users have now
been encapsulated in add_sid_to_builtin.

Enabled domain groups to be added to builtin groups at domain join time

Previously this was done at token creation time if the Administrators and Users
builtins hadn't been created yet.  A major drawback to this approach is that if
a customer is joined to a domain and decides they want to join a different
domain, the domain groups from this new domain will not be added to the
builtins.

It would be ideal if these groups could be added exclusively at domain join
time, but we can't rely solely on that because there are cases where winbindd
must be running to allocate new gids for the builtins.  In the future if there
is a way to allocate gids for builtins without running winbindd, this code
can be removed from create_local_nt_token.

- Made create_builtin_users and create_builtin_administrators non-static so
they can be called from libnet
- Added a new function to libnet_join that will make a best effort to add
domain administrators and domain users to BUILTIN\Administrators and
BUILTIN\Users, respectively.  If the builtins don't exist yet, winbindd must be
running to allocate new gids, but if the builtins already exist, the domain
groups will be added even if winbindd is not running.  In the case of a
failure the error will be logged, but the join will not be failed.
- Plumbed libnet_join_add_dom_rids_to_builtins into the join post processing.

Refactored the code that adds Domain Admins to BUILTIN\Administrators to use the new helper functions.

- Modified create_builtin_administrators and add_builtin_administrators to take
in the domain sid to reduce the number of times it needs to be looked up.
- Changed create_builtin_administrators to call the new helper functions.
- Changed create_local_nt_token to call the new version of
create_builtin_administrators and handle the new error that can be returned.
- Made it more explicit that add_builtin_administrators is only called when
winbindd can't be pinged.

Refactored the code that adds Domain Users to BUILTIN\Users to use the new helper functions.

- Modified create_builtin_users to take in the domain sid to reduce the number
of times it needs to be looked up.
- Changed create_builtin_users to call the new helper functions.
- Changed create_local_nt_token to call the new version of create_builtin_users
and handle the new error that can be returned.