r22009: change TDB_DATA from char * to unsigned char *

and fix all compiler warnings in the users

metze

r22008: use string_term_tdb_data()

metze

r22007: make string_tdb_data(NULL) possible...

metze

r22006: use string_term_tdb_data()...

metze

r22003: Fix from Jiri.Sasek@Sun.COM to wrap our krb5_locate_kdc
call as smb_krb5_locate_kdc to prevent incorrect linking
and crashes on Solaris.
Jeremy.

r22002: Fix bug #3974, there are still open issues with -N behavior (doc fix next)
and -T argument parsing behavior (which is just insane but a separate bug)

r22001: change prototype of dump_data(), so that it takes unsigned char * now,
which matches what samba4 has.

also fix all the callers to prevent compiler warnings

metze

r22000: remove useless casts

metze

r21999: remove useless casts

metze

r21998: Fix tdb keynames in netsamlogon_clear_cached_user().

No point in deleting U/DOMAIN/RID and UG/DOMAIN/RID keys if we only store U/SID
and UG/SID keys :-)

Next we need to verify the need of calling netsamlogon_clear_cached_user() at all.

Guenther

r21997: Implement the server side of gss seal negotiate.
Jeremy.

r21994: Ignore keepalives in the correct buffer (out not in :-).
Jeremy.

r21993: Don't let keepalives interferece with sign or seal
in the client code.
Jeremy.

r21992: Fix keepalive processing when encryption turned on.
Jeremy.

r21991: I hate Steve French :-). Add support for encryption
contexts....
Jeremy.

r21990: Stop messing with the signing engine just because
we're encrypted. This will make further changes and
spec much more clear.
Jeremy.

r21989: make use of tdb_*_bystring() and string_term_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21988: make use of string_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21987: split tdb_prs_*() functions in version which take a keystr and a TDB_DATA key

metze

r21986: make use of tdb_*_bystring() and string_term_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21985: make use of string_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21984: make use of tdb_*_bystring() and string_term_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21983: make use of tdb_*_bystring() and string_term_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21982: make use of tdb_*_bystring() and string_term_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21981: as we use tdb_trans_store(), we should also use tdb_trans_delete()

metze

r21980: make use of tdb_*_bystring() and string_term_tdb_data() in smbd/
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21979: make use of string_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

note: we can't use the tdb_*_bystring functions here, as the key isn't
null-terminated here...

metze

r21978: make use of tdb_*_bystring()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21977: little cosmetic change to remove a local var that's not really needed

metze

r21976: make use of tdb_*_bystring() and string_term_tdb_data() in lib/
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21975: if we use the _bystring() version when storing, we should use it on fetch too...

metze

r21974: make use of tdb_*_bystring() and string_term_tdb_data() in groupdb/
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21973: make use of tdb_*_bystring() and string_term_tdb_data()
to avoid creating the TDB_DATA struct from strings "by hand"

metze

r21972: - add string_term_tdb_data() it creates a null-terminates tdb key from a string
  (the current string_tdb_data() creates a non-terminates tdb key from a string!)
- pass TDB_DATA instead of const char *, size_t len to some functions

metze

r21969: Start working on the gss-side of the server negotiation.
Jeremy.

r21968: Don't use gss-types in proto headers.
Jeremy.

r21967: Add conversion from gss errors to nt status.
Jeremy

r21965: fix compiler warning

metze

r21964: Add tdbtorture target to main makefile -- Thanks to Karolin Seeger

r21963: Fix another uninitialized buffer used in test write - valgrind
fix.
Jeremy.

r21962: Make pdbedit use the configfile specified by -s

r21961: Repair bug introduced by rev. 21960.
We need to do the initial strtok to set up the internal state.
Jeremy.

r21960: Fix bugs 4463,4464,4465,4466. Thanks Jason :-)

r21959: Merge a comment fix from Michael Adam -- more to come :-)

r21958: Fix Coverity ID 343 (dead code)

r21957: minor formatting fix

r21956: Fix bug reported by don.mccall@hp.com for platforms
without utimes() call (only utime()).
Jeremy.

r21954: Someone misused a '!' instead of a '~' for a binary NOT
command. Jerry, Simo, please check.
Jeremy.

r21953: One format fix, clarify a condition that the IBM
checker was worried about.
Jeremy.

r21952: Fix critical (!) error found by IBM checker.
Missing break statements meant that no info
levels would ever be returned correctly from
POSIX open/mkdir.
Jeremy.

r21950: After discussion with the Apple and Linux client maintainers,
changing the FindFirst response for the UNIX_INFO2 level to include
a length field before the name. The name is not required to be null
terminated. The length field does not count any null.

Also add call to chflags(2) in the default VFS module so that this
will work be default on BSD-derived platform. Add UNIX-INFO2 test
to the build farm to get some non-BSD coverage.

Jeremy and Jerry, please review for inclusion in 3.0.25.

r21948: Fix valgrind error in build farm samba3 smbtorture. We were
using an uninitialized buffer for read/write tests.
Jeremy.

r21947: Fix the equivalent of memcpy(x, x, 16). Found
by valgrind on the build farm.
Jeremy.

r21944: move acl header checks to the correct place only

jeremy: please merge this to 3.0.25:-)

metze

r21942: Hoist by our own petard :-). Older smbclient binaries
were not able to connect to the rewritten dfs code as
they set the dfs flag bit but then send local paths.

Now that our dfs code is a *lot* more robust in
detecting this sort of braindamage we can just
call into it directly on getting a DFS flag
and let the parser sort it out without having
to check it's actually connecting to a dfs
enabled share (I'm proud of this code :-).

Jeremy.

r21941: Attempt to fix bug 4460

r21940: Sorry Volker,  I have to revert your revert in r21935.
We can talk about this later if you still feel that strongly
but I need to fix the build for now.

r21939: Fix missing initialization that
broke the build farm. Thanks to
Metze for the heads up.
Jeremy.

r21935: Revert obviously not sufficiently tested code -- sorry for the pain. I am afraid I was basically off the net for the day

r21934: fix the build sorry

metze

r21933: Change the write_sock() call in pam_winbind_request()
to not request a privileged pipe operation for everything
as this cannot be done from a process running under the
context of a user (e.g. screensaver).

Thanks to Danilo Almeida <dalmeida@centeris.com> for the help
in pointing out the change to write_sock().

r21932: fix compiler warning.

maybe also for 3.0.25

metze

r21931: include acl/libacl.h is present

I'm not sure if this should go into 3.0.25... it fixes a compiler warning about
a missing acl_get_perm() prototype

metze

r21927: Removed unused variable.
Jeremy.

r21926: Fix missing enum specifier pointed out by Don McCall @ HP.
Thanks Don !
Jeremy.

r21925: Start to code up the gss acquire creds calls.
Jeremy.

r21923: Add in the gss decrypt.
Jeremy.

r21922: Fixed the build by rather horrid means. I really need
to restructure libsmb/smb_signing.c so it isn't in
the base libs path but lives in libsmb instead (like
smb_seal.c does).
Jeremy.

r21919: now that the local passdb abd BUILTIN have been blacklisted and they always
point to the passdb module, remove this comment and move the explanation in
the dimap_ad man page.

Simo.

r21918: Reverting this change as it is now causing aborts() in
find_builtin_domain().    This all needs more testing
before anyone starts changing these lookup routines again.

r21917: Start to do the gss versions of sign+seal.
Jeremy.

r21916: Fix couple of "return" calls on void functions.
Ensure we ignore reqests to free keepalive buffers
as we only copied these.
Jeremy.

r21913: fix one bug in build 717: correctly check the return from sid_peek_check_rid() when trying to find a matching domain

r21912: There's no point checksumming the packet length
this already has to be right. This makes the
signed+sealed area the same as it will be with
gss calls. Now to go implement them.
Jeremy.

r21908: update with the 3.0.25 packaging

r21905: Rename
  idmap expire time  -> idmap cache time
  idmap negative time -> idmap negative cache time

r21904: Fix HP build -- thanks, Don

r21903: Get the length calculations right (I always forget
the 4 byte length isn't included in the length :-).
We now have working NTLMSSP transport encryption
with sign+seal. W00t!
Jeremy.

r21902: Don't free the thing you're trying to set in the cli state.
Jeremy.

r21901: Don't use fstrcat when you mean fstrcpy. Doh !
Jeremy.

r21900: Token exchange now seems to work, now why does the
client encrypt fail ?
Jeremy.

r21899: At least we're getting to stage 2 of the blob
exchange. Still not working but closer.
Jeremy.

r21898: Added test command, fixed first valgrind bugs.
Now to investigate why it doesn't work :-).
Jeremy.

r21897: Add in a basic raw NTLM encrypt request. Now
for testing.
Jeremy.

r21894: Some refactoring of server side encryption context. Support
"raw" NTLM auth (no spnego).
Jeremy.

r21893: Update comments so they actually reflect reality...

rafal

r21892: Mini-Patch from Michael

r21891: Finish server-side NTLM-SPNEGO negotiation support.
Now for the client part, and testing.
Jeremy.

r21888: Add the osname and osver options to 'net ads join' as discussed
on the samba-technical ml.

I'll add a 'net ads set attribute=value' utility later
rather than the original 'net ads setmachineupn' patch that
was also posted to the tech ml.

r21887: Fix annoying bug where in a pam_close_session (or a pam_setcred with the
PAM_DELETE_CREDS flag set) any user could delete krb5 credential caches.
Make sure that only root can do this.

Jerry, Jeremy, please check.

Guenther

r21885: Chown logic should be activated only if nfs4:chown=yes

r21884: * Blacklist BUILTIN and MACHINE domains from the
  idmap domains as these should only be handled by the
  winbindd_passdb.c backend

* Allow the alloc init to fail for backwards compatible
  configurations like

     idmap backend = ad
     idmap uid = 1000-100000
....

* Remove the deprecated flags from idmap backend, et. al.
  These are mutually exclusive with the new configuration
  options (idmap domains).  Logging annoying messages
  about deprecated parameters is confusing.  So we'll try
  this apprpach for now.

r21883: Try and fix the build by removing the prototypes for
functions that take a gss context handle in includes.h
Jeremy.

r21882: The server part of the code has to use an AUTH_NTLMSSP struct,
not just an NTLMSSP - grr. This complicates the re-use of
common client and server code but I think I've got it right.
Not turned on of valgrinded yet, but you can see it start
to take shape !
Jeremy.

r21881: Make sure we are very specific when testing whether a backand can handle a
particular SID. Make sure that the passdb backend will accept the same set
range of local SIDs that the idmap system sends it.

Simo, Jerry - this is a 3_0_25 candidate. Can you please review?

r21880: Make client and server calls into encryption code symetrical,
depending on encryption context pointer.
Jeremy.

r21879: Move process_blocking_lock_queue to a timed event.

The idea is that we have blocking.c:brl_timeout as a timed
event that is present whenever we do have a blocking lock
pending. It fires brl_timeout_fn() which calls
process_blocking_lock_queue().

Whenever we make changes to blocking_lock_queue, we trigger
a recalc_brl_timeout() which sets a new brl_timout event if
necessary. This makes the call to
blocking_locks_timeout_ms() in setup_select_timeout()
unnecessary, this is implicitly done in
event_add_to_select_args() from the timed events.

Volker

r21878: Fix a bug with smbd serving a windows terminal server: If winbind decides smbd
to be idle it might happen that smbd needs to do a winbind operation (for
example sid2name) as non-root. This then fails to get the privileged
pipe. When later on on the same connection another authentication request
comes in, we try to do the CRAP auth via the non-privileged pipe.

This adds a winbindd_priv_request_response() request that kills the existing
winbind pipe connection if it's not privileged.

Volker

r21877: Missed one line.
Jeremy.

r21876: Start adding in the seal implementation - prototype code
for the server side enc. (doesn't break anything).
I'll keep updating this until I've got NTLM seal working
on both client and server, then add in the gss level
seal.
Jeremy.