ldb: Fix permissions of group_mapping.ldb.

This one fixes bug #5715 and CVE-2008-3789.
(cherry picked from commit a94f44c49f668fcf12f4566777a668043326bf97)

Fix bug spotted by Simo - don't use legacy if expired entry.
Jeremy.

Don't ask winbindd if we got a -ve cache entry.
Jeremy.

Fix the build :-(. Ask winbindd if we find a negative cache entry (or should
we just call the legacy function ?).
Jeremy.

Get smbd to look (read-only) into the winbindd cache for uid/gid <--> sid mappings.
Jeremy.

Increase the default positive idmap cache time to a week

Move idmap_cache.c from winbindd/ to lib/

run make idl after idl change "Handle arbitrary new PAC types"

Michael

Handle arbitrary new PAC types

When MS introduces a new PAC type, we should just ignore it, not
generate a parse error. New PAC info structures are supposed to be
backwards compatible with old ones

EINVAL is also a valid error return, meaning "this filesystem
cannot do sendfile for this file"

become root for AIO operations

We need to become root for AIO read and write to allow the AIO thread
to send a completion signal to the parent process when the IO
completes

Avoid a race condition in glibc between AIO and setresuid().

See this test: http://samba.org/~tridge/junkcode/aio_uid.c

The problem is that setresuid() tries to be clever about threads, and
tries to change the euid of any threads that are running. If a AIO read
or write completes while this is going on then the signal from the thread
where the IO completed is lost, as it gets -1/EPERM from rt_sigqueueinfo()

The simplest fix is to try to use setreuid() instead of setresuid(),
as setreuid() doesn't try to be clever. Unfortunately this also means
we must use become_root()/unbecome_root() in the aio code.

fixed an errno handling bug that could lead to an infinite loop

fixed tsmsm_sendfile(). The logic was totally broken.

build: make sure to create CODEPAGEDIR and MODULESDIR.

Guenther

Fix bug 4516, no IPv6 on Solaris 2.6.

winbindd: use set_auth_errors() in winbindd_dual_check_machine_acct as well.

Guenther

winbindd: move set_auth_errors to util functions.

Guenther

winbindd: only create machine pwd change event when in primary domain child.

Guenther

auth: Fix build warning.

Guenther

Fix some nonempty blank lines

Fix some C++ warnings

Revert "Protect against short read&x replies"

This reverts commit 4ed73cbbbeff4b554cc8d28252b756241396b3a1.

... how did this end up here??

Volker

Protect against short read&x replies

Fix some nonempty blank lines

Use talloc_stackframe() in machine_password_change_handler

Fix a memleak in calculate_next_machine_pwd_change

winbindd: add event based machine password change.

Guenther

Don't re-initialize a token when we already have one. This fixes the build farm failures when winbindd connects as guest.
This one took a *lot* of tracking down :-).
Jeremy.

idmap_gid_to_sid: Fix a cut-a-npaste error.

The call was looking up a uid and not gid in the cache.

winbindd: Fix crash in cm_connect_sam()

Fix segv when talking to parent DC (joined to child domain).

The root cause was

(a) storing the parent domain in the cli_state struct caused
    the NTLMSSP pipe bind to fail which made us fallover to
    the schannel code path
(b) the dcinfo pointer in cm_get_schannel_dcinfo() was returning
    NULL even though the function indicated success.

cifs.upcall: bump SPNEGO msg version number and don't reject old versions

When we added the ability for the kernel to send sec=mskrb5 to the
upcall, we subtly broke old cifs.upcall versions that don't understand
it. Bump the spnego message version to 2 to make this clear. Also,
change cifs.upcall to not reject requests with a version that's lower
than the current one, and to send the reply with the same version that
the request sent. The idea is to try and keep cifs.upcall backward
compatible with old kernels.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

manpages: Add documentation for new 'net rpc vampire' subcommands.

Karolin

net: Add missing colon to unify usage messages.

Karolin

manpages: Add manpage for "init logon delayed hosts".

Karolin

manpages: Add manpage for "init logon delay".

Karolin

loadparm: idmap backend is not depracated any longer.

Karolin

cifs.upcall: fix build warning

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: enable building by default on linux

When building on linux, default to building cifs.upcall. Throw a
warning if ADS support is disabled or keyutils isn't installed.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: move default install location to EPREFIX/sbin

cifs.upcall links to libraries that live under /usr, so installing it
in /sbin doesn't seem appropriate. Move it to EPREFIX/sbin instead
(i.e. /usr/sbin).

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: handle MSKRB5 OID properly

When the kernel sends the upcall a sec=mskrb5 parameter, that means
the the MSKRB5 OID is preferred by the server. This patch fixes the
upcall to use that OID in place of the "normal" krb5 OID when it
gets a sec=mskrb5 parameter.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Acked-by: Steve French <smfrench@gmail.com>

mount.cifs: don't prompt for password on krb5 mounts

krb5 mounts require that the user already have a valid krb5 ticket.
Since we can't currently use the password entered, don't prompt for it.

Also, switch to using strncmp instead of strcmp here.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Fix broken net rpc join message when DC can't be found. Ensure we pass in a domain name.
Jeremy.

rpc_server: make it a little more obvious what flags we send to a client.

Guenther

Fix Bug #5710 and make machine account password changing work again.

When we negotiated NETLOGON_NEG_PASSWORD_SET2 we need to use
NetrServerPasswordSet2 to change the machine password.

Tested with NT4, W2k, W2k3 and W2k8.

Guenther

Fix bug 5698 - mixup of TALLOC/malloc. Spotted by Douglas Wegscheid <Douglas_E_Wegscheid@whirlpool.com>.
Jeremy.

re-run make idl.

Guenther

IDL: fix IDL for netr_ServerPasswordSet2().

Guenther

gitignore: add examples/libsmbclient/Makefile.internal - a generated file

Michael

build: add [clean_]libsmbclient_examples targets to top level Makefile

Michael

libsmbclient examples: source/bin to the library search path for smbwrapper build

Michael

libsmbclient examples: add Makefile.internal.in for building from a samba source

Without needing to install libsmbclient to /usr/local/samba first.

Michael

libsmbclient examples: fix prototype for readlink

Michael

Here is a re-working of the winbindd
reconnect code to cope with rebooting a DC. This
replaces the code I asked Volker to revert.
The logic is pretty simple. It adds a new parameter,
"winbind reconnect delay", set to 30 seconds by
default, which determines how long to wait between
connection attempts.
To avoid overwhelming the box with DC-probe
forked children, the code now keeps track of
the DC probe child per winbindd_domain struct
and only starts a new one if the existing one
has died.
I also added a little logic to make sure the
dc probe child always sends a message whatever
the reason for exit so we will always reschedule
another connect attempt.
Also added documentation.
Jeremy.

gitignore: add examples/libsmbclient/tree

Michael

gitignore: add lib/netapi/tests/Makefile

Michael

gitignore: add libsmbsharemodes.syms - this is now generated

Michael

build: auto-generate symbols for libsmbsharemodes.

Michael

gitignore: add libsmbclient.syms - this is now generated

Michael

build: autogenerate symbols for libsmbclient.so

Michael

build: fix bug #5590 by not linking in the static libs but the objects.

Michael

build: fall down to the same place when using an internal lib statically.

Michael

build: remove duplicated and hardcoded definition of LIBSMBSHAREMODES

Michael

build: rename LIBNETAPI_OBJ1 to LIBNETAPI_OBJ0 for consistency.

Michael

fix build warning.

Guenther

libads: remove unused vars.

Guenther

fix another build warning.

Guenther

nss_winbind: When returning NSS_UNAVAIL, squash errno to ENOENT

According to the GNU libc nss guide, we should always set
errno to ENOENT when returning NSS_UNAVAIL.

http://www.gnu.org/software/libtool/manual/libc/NSS-Modules-Interface.html#NSS-Modules-Interface

At least the MQ Series message queing service that runs
on WebSphere will fail if you return any other errno in this case.

smbd: fix the handling of create_options to pass RAW-OPEN

Some of the bits generate INVALID_PARAMETER and some bits
are ignored when they come from a client, that's why we need
to use bits from the ignored range for our internal usage.

metze

Updated Doxyfile conf to doxygen version 1.5.3

* Removed deprecated configuration parameters
* Silenced all warnings due to lack of doxygen comments
* Reordered config parameters to match doxygen's canonical ordering

Fix bug 5697 nmbd spins in reload_interfaces when only loopback has an IPv4 address
reported by Ted Percival <ted@midg3t.net>.
Jeremy.

winbindd: consistently use false/true.

Guenther

winbindd: use set_auth_errors (avoid code duplication).

Guenther

winbindd: fill_in_password_policy (to avoid redundant code).

Guenther

pam_winbind: some doxygen fixes.

Guenther

wbinfo: use wbinfo_prompt_pass() everywhere.

Guenther

wbinfo: add wbinfo_prompt_pass.

Guenther

pam_winbind: use pam error string function to display result.

Guenther

pam_winbind: add _pam_error_code_str().

Guenther

pam_winbind: use integer constants.

Guenther

winbindd: kill some trailing/leading whitespace.

Guenther

build: fix linking cifs.upcall when nscd_flush_cache() is found.

Michael

Make the change to smbcontrol for "all" to mean broadcast,
and "smbd" to mean the main smb daemon. Update docs to match.
Jeremy.

Fix length error in wrapping spnego blob

Fix bug 5696. The problem was when smbd
was asking for a winbindd name to SID lookup of
"Unix Group\name" where "name" was also a valid username,
the winbindd passdb lookup of that name was losing the
domain string info before calling lookup name (ie. lookup_name()
was being called with just the string "name", not the
full string "Unix Group\name").

The passdb backend of winbindd has to cope with
not only names from it's own global SAM domain,
but it does lookups for BUILTIN and "Unix User"
and "Unix Group" also, so making it guess by
losing the domain string is "A Bad Idea" (tm) :-).

Note that as winbind globally calls winbind_off()
at startup, it's safe for winbind to call sys_getgrnam()
to do the "Unix Group" lookup from inside lookup_name().

Jeremy.

Attempt to fix Coverity ID 596

Jeremy, please check & push if it's ok.

Attempt to fix Coverity ID 595

is_ipaddress already dereferences "name", so the NULL check is pointless after
calling it.

I think the problem with these functions is that lookup_usergroups
should never include the user SID.
The comment for the function in winbindd/winbindd_ads.c says
/* Lookup groups a user is a member of. */
The following patch makes the wbinfo calls return the correct data
before and after a login.
wbinfo --user-domgroups and --user-sids

configure: use libdir=${prefix}/lib and modules=${libdir}/samba as default with-fhs.

This is what one actually wants:
Shared/static libs in /usr/lib, shared modules and so on in /usr/lib/samba.

Michael

configure: use ${libdir} instead of \${LIBDIR}.

Now after removing --with-libdir, the value of ${libdir} won't change
anymore at that stage, so there is no need to have the variable expansion
deferred to "make".

Michael

configure: remove the --with-libdir parameter.

This is redundant: use the autoconf-provided --libdir instead.
This will also make the new distinction between libdir and modulesdir
more visible.

Michael

popt: add support for setting MODULESDIR via popt_common_dynconfig.

Michael

svcctl: use MODULESDIR instead of LIBDIR for the svcctl script directory.

Michael

libgpo: use MODULESDIR instead of LIBDIR for the group policy extensions.

Michael

Use module_path() instead of lib_path() for loading shared modules.

Michael

Add modules_path() to construct paths to files in MODULESDIR.

Michael

buildoptions: output MODULESDIR.

Michael

dynconfig: add support for MODULESDIR.

Michael

configure: Add --with-modulesdir to accompany --with-libdir.

This starts the seplitting of libdir in to libdir and modulesdir.
Our shared libs should go into libdir, the internal shared modules,
codepages, and other stuff that was originally in libdir, should
go into modulesdir.

The idea behind this is, that in a typical installation,
the shared (and static) libraries (as libtalloc, libsmbclient,
libwbclient and others) should be put into /usr/lib, while
the e.g. the vfs modules should reside in /usr/lib/samba.

This is meant to ease the work of packagers and reduce
the needs for manual interaction and workarounds.

Michael

dynconfig: remove commented-out old stuff from dynconfig.c and dynconfig.h

Michael