r4970: Fix for bug 2092, allowing fallback after kerberos and allow
gnome vfs to prevent auto-anonymous logon.
Jeremy.

r4967: Not being in any domain local groups is obviously valid...

Volker

r4966: don't enumerate the drivers for the same architecture string more than once

r4965: comment out some unused attributes and oc's

r4964: Fix our lsa lookupsid $OURDOMAINSID-500.

Give the admin-user (rid 500) a chance to be found in passdb, not
returning the (possibly obscure) first entry of "admin users" before
that.

Guenther

r4963: It is actually a very bad idea to use KRB5_CONFIG in the
configure-checks (At least Heimdal uses KRB5_CONFIG for locating it's
configuration-file (usually /etc/krb5.conf)). Renaming it to KRB5CONFIG
prevents configure-checks that use heimdal-libs from segfaulting while
the lib reads the krb5-config binary as a configuration file...

Vendors that used the KRB5_CONFIG-variable to let configure find a
custom krb5-config binary have to use KRB5CONFIG now.

Guenther

r4946: Our notion the other_sids in the info3 SamLogon struct was
...hmmm... completely bogus. This does not affect us as a domain controller,
as we never set other_sids, but I have *no* idea how winbind got away with it.

Please review thoroughly, samba4 idl looks closer to reality here.

Test case: Member of w2k3 domain, authenticate as a user who is member of one
or more domain local groups. Easiest review with 'client schannel = no'.

Thanks,

Volker

r4933: List not only the first 10 trusts with rpcclient -c enumtrust.

Volker

r4932: Forgot to increase version with the account-policy-commit.

Guenther

r4931: Add get_user_info_7 in SAMR. This just gives out the username. (In
preparation of adding the ability of renaming users via setuserinfo
level 7).

Guenther

r4926: Use LDAP_SCOPE_ONELEVEL instead of OpenLDAP's LDAP_SCOPE_ONE-scope.

Guenther

r4925: Migrate Account Policies to passdb (esp. replicating ldapsam).

Does automated migration from account_policy.tdb v1 and v2 and offers a
pdbedit-Migration interface. Jerry, please feel free to revert that if
you have other plans.

Guenther

r4921: Typo.

r4917: Merge some of Derrell.Lipman@UnwiredUniverse.com obvious fixes.
Added text explaining units in pdbedit time fields.
Jeremy.

r4913: fixing 'perl requires' filters for RPM packaging on RedHat/Fedora

r4907: remove unreached code

r4905: patch from abartlet to remove storing the auth-user credentials from the cli* in cm_prepare_connection().  using credentials from a domain other thanour primary domain will cause the schannel setup to fail

r4902: please note that cupsDoRequest() deletes the request* so don't call ippDelete(request) *ever*

r4882: Fix for #2255. Debug should have been 10 not 0.
Jeremy.

r4881: Varient of Lar's patch for #2270. Jerry promises to test :-).
Jeremy.

r4879: Fix rewinddir -> rewind_dir. Noticed by James Peach.
Jeremy

r4877: When vampiring account policy AP_LOCK_ACCOUNT_DURATION honour "Lockout
Duration: Forever".

Guenther

r4875: Fix for bugid #221, inspired by Mrinal Kalakrishnan <mail@mrinal.net>.
NT sometimes send garbage bytes in NT security descriptor linearizations
when sending well-known sids. Cope with these.
Jeremy.

r4874: add DOmain Admins (Full Control) to the default printer sd if we are a DC

r4873: example delete printer script for use with cups

r4871: BUG 603: patch by Daniel Beschorner <db@unit-netz.de>.  Correct access mask check for _samr_lookup_domain() to work with Windows RAS server

r4870: Make multi-domain-mode in idmap_rid accessible from outside (can be
compiled with -DIDMAP_RID_SUPPORT_TRUSTED_DOMAINS) as requested by Lars
Mueller <lmuelle-at-suse.de>.

Allow to map ID's for a local SAM and add some more
debugging-information.

Guenther

r4869: Display sam_user_info_7 in rpcclient.

Guenther

r4868: Add "net rpc user RENAME"-command.

Note that Samba3 does not yet support it server-side.

Guenther

r4867: Removing smbldap-tools from the svn tree.  I'll include
the latest version in the actual release tarballs.
Have spoken to the idealx developers about this.

Updated README to reflect the changte for people using svn.

Removed ldapsync.pl since it is no longer needed when using
the smbldap-tools (only keep things you support).

r4866: Add createdomgroup to rpcclient (needed to generate huge amounts of
groups when 'net rpc group add' is just to slow).

Guenther

r4864: Remove unused var.
Jeremy.

r4860: fix silly limitation in ldapsam and tdbsam.  Expand variables in the profile path, logon home and logon script values

r4856: after testing a simple add printer script, i realized that you still have to be root to send the message to all smbds that the config file has been updated

r4855: add some smb.conf script for add/delete/change share and addprinter hooks

r4852: merge simo changes to srv_srvsvc_nt.c from trunk
that allows the add/change share command to create the directory
passed in as an arguement and not require that it pre-exist.

Also finish testing of SeDiskOperatorPrivilege via srvmgr.exe

r4851: Preleminary fix for ldapsam_enum_group_memberships when
ldapsam:trusted=True. Don't bail out when ldap-search returns pure
posixgroups (w.o. samba group-mapping).

This way those unix-memberships do not appear in user and nt user token.
Volker, could you please look over that one?

Guenther

r4850: Fix remaining pdb_setsampwent-calls.
To get all entries use a 0 acb_mask.

Guenther

r4849: * finish SeAddUsers support in srv_samr_nt.c
* define some const SE_PRIV structure for use when
  you need a SE_PRIV* to a privilege
* fix an annoying compiler warngin in smbfilter.c
* translate SIDs to names in 'net rpc rights list accounts'
* fix a seg fault in cli_lsa_enum_account_rights caused by
  me forgetting the precedence of * vs. []

r4848: fix build; gd please check and make sure this is ok

r4847: Hand over a acb_mask to pdb_setsampwent in load_sampwd_entries().

This allows the ldap-backend to search much more effeciently. Machines
will be searched in the ldap_machine_suffix and users in the
ldap_users_suffix. (Note that we already use the ldap_group_suffix in
ldapsam_setsamgrent for quite some time).

Using the specific ldap-bases becomes notably important in large
domains: On my testmachine "net rpc trustdom list" has to search through
40k accounts just to list 3 interdomain-trust-accounts, similiar effects
show up the non-user query_dispinfo-calls, etc.

Also renamed all_machines to only_machines in load_sampwd_entries()
since that reflects better what is really meant.

Guenther

r4846: do not keep outdated files here.
the updated file is in the Release branch and in the official tarballs

r4845: Correct my name.
Jerry this file seem old and not updated.
We should either update it or remove it imho.

Simo.

r4840: * Add more generic root-dse inspection function to check for given
controls or extensions.
* Check and remember if ldapsam's LDAP Server support paged results
(in preparation of adding async paged-results to set|get|end-sampwent in
ldapsam).

Guenther

r4839: Allow to set acb_mask in rpcclient's enumdomusers (for debugging).

Guenther

r4830: Fix for problem noticed by Guy Harris <gharris@apple.com>, return
correct DOS/NT error code on transact named pipe on closed pipe
handle.
Jeremy.

r4827: add 'net rpc rights list accounts' & update help text

r4825: Printing changes
----------------

* bracket the add/delete/set printer scripts with checks for se_print_op
* slight change to the add/set printer script semantics.  smbd no longer
  relies on output from the script (on stdout) to re-read smb.conf
* remove SIGHUP from set/add/delete printin script code and now just
  use MSG_SMB_CONF_UPDATED

* bracket the add/delete/set share scripts with checks for se_print_op
  (this includes setting share ACLs)

r4824: wrap the shutdown and abort_shutdown calls in check for the SE_REMOTE_SHUTDOWN privilege

r4823: remove -O1 from --with-developer

r4822: fix return code when you ask for a non-privileged SID via one of the privileges RPC calls

r4821: finish off 'net rpc rights [list|grant|revoke]'
one small todo item is to add a 'accounts' sub option
to 'net rpc list' so enumerate all privileged SIDs
and their associated rights.

r4820: add beginnings of 'net rpc rights' for managing privilege assignments

r4809: * include SeDiskOperatorPrivilege and SeRemoteShutdownPrivilege
  (noty enfornced yet though)
* add 'enable privileges (off by default) to control whether or
  not any privuleges can be assigned to SIDs

r4805: Last planned change to the privileges infrastructure:

* rewrote the tdb layout of privilege records in account_pol.tdb
  (allow for 128 bits instead of 32 bit flags)
* migrated to using SE_PRIV structure instead of the PRIVILEGE_SET
  structure.  The latter is now used for parsing routines mainly.

Still need to incorporate some client support into 'net' so
for setting privileges.  And make use of the SeAddUserPrivilege
right.

r4802: Don't try to update a column with the name "NULL"

r4788: Don't log mysql password at debug level 1.

r4760: Make wbinfo --user-sids expand domain local groups. Andrew B., my testing
shows that this info is correctly returned to us in to info3 struct, so
check_info3_in_group does not need to be adapted.

Volker

r4751: This is a domain policy, not a user one

r4750: Fix cli_samr_queryuseraliases. There can be more than one sid, thus more than
one pointer...

Volker

r4749: Fix memleak

r4746: add server support for lsa_enum_acct_rights(); last checkin for the night

r4742: add server support for lsa_add/remove_account_rights() and fix some parsing bugs related to that code

r4740: allow SE_PRINT_OPERATORS to have printer admin access

r4739: require membership in Domain Admins to be able to set privileges

r4738: Fix for bug #2238 - memory leak in shadow copy vfs.
Jeremy.

r4736: small set of merges from rtunk to minimize the diffs

r4732: Even if we have 'password server' set, we need to look up the native DC name
via netbios, as the user might have set an IP address or a fqdn.

Volker

r4731: Fix the build

r4724: Add support for Windows privileges in Samba 3.0
(based on Simo's code in trunk).  Rewritten with the
following changes:

* privilege set is based on a 32-bit mask instead of strings
  (plans are to extend this to a 64 or 128-bit mask before
   the next 3.0.11preX release).
* Remove the privilege code from the passdb API
  (replication to come later)
* Only support the minimum amount of privileges that make
  sense.
* Rewrite the domain join checks to use the SeMachineAccountPrivilege
  instead of the 'is a member of "Domain Admins"?' check that started
  all this.

Still todo:

* Utilize the SePrintOperatorPrivilege in addition to the 'printer admin'
  parameter
* Utilize the SeAddUserPrivilege for adding users and groups
* Fix some of the hard coded _lsa_*() calls
* Start work on enough of SAM replication to get privileges from one
  Samba DC to another.
* Come up with some management tool for manipultaing privileges
  instead of user manager since it is buggy when run on a 2k client
  (haven't tried xp).  Works ok on NT4.

r4704: Fix encoding while receiving of a message which was actually sent using STR_ASCII. Patch from Grigory Batalov <bga@altlinux.org>

r4697: Fix for bug #2231 inspired by brad.ellis@its.monash.edu.au.
Remove double "\\" from findfirst.
Jeremy.

r4668: allow the caller to invoke init_unistr2() with a NULL buffer to match previous behavior; more checks to come tomorrow

r4665: Fix inspired by posting from Joe Meadows <jameadows@webopolis.com>.
Make all LDAP timeouts consistent.
Jeremy.

r4662: Fix from "Jerome Borsboom" <j.borsboom@erasmusmc.nl> to fix
missing release reference for printer tdb.
Jeremy.

r4656: Convert the winreg pipe to use WERROR returns (as it should).
Also fix return of NT_STATUS_NO_MORE_ENTRIES should be
ERROR_NO_MORE_ITEMS reported by "Marcin Porwit" <mporwit@centeris.com>.
Jeremy.

r4653: Output file of "test" pdb backend should be called test.so

r4651: Add "refuse machine password change" policy field.  This update will just
return the appropriate reg value.  Enforcement to be added soon.

Also, fix account policy tdb upgrade so it doesn't just wipe out everything
that was in there from a a previous version.

r4646: Allow Account Lockout with Lockout Duration "forever" (until admin
unlocks) to be set and displayed in User Manager.

Guenther

r4645: patch from Rob to fix the build breakage in vfstest after the reload_printers() cleanup

r4633: Finally give rpcclient a port-command.

Guenther

r4604: Attempt to fix the buildfarm build.

vfstest refers to reload_printers, only defined in smbd/server.c. Jerry, could
you take a look at that?

Thanks,

Volker

r4601: Removed any use of the MAX_XXX_STR style definitions. A little larger
change than I'd hoped for due to formating changes to tidy up code.
Jeremy.

r4581: From Derrell.Lipman@UnwiredUniverse.com. Use nanosleep instead of select
when we have it in smb_msleep.
Jeremy.

r4579: small changes to allow the members og the Domain Admins group on the Samba DC to join clients to the domain -- needs more testing and security review but does work with initial testing

r4577: Fix from William Jojo <jojowil@hvcc.edu> for AIX 5.3 compile.
Jeremy.

r4575: adding extra debug to cm_prepare_connection()

r4573: merge -r 4572 from SAMBA_4_0:
remove configure and include/config.h*
before running autoheader && autoconf

this fixes bug where configure didn't get correctly updated
(I assume autoconf uses some caching...)

metze

r4570: Replace cli->nt_pipe_fnum with an array of NT file numbers, one for each
supported pipe. Netlogon is still special, as we open that twice, one to do
the auth2, the other one with schannel.

The client interface is completely unchanged for those who only use a single
pie. cli->pipe_idx is used as the index for everything except the "real"
client rpc calls, which have been explicitly converted in my last commit. Next
step is to get winbind to just use a single smb connection for multiple pipes.

Volker

r4561: This looks a lot larger than it is, this is to reduce the clutter on future
patches.

Pass down the pipe_idx down to all functions in cli_pipe where nt_pipe_fnum is
referenced. First step towards having multiple pipes on a cli_struct. The idea
is to not have a single nt_pipe_fnum but an array for the pipes we support.

Volker

r4545: Fix based on work by Derrell.Lipman@UnwiredUniverse.com :

  * In an application with signals, it was possible for functions to block
    indefinitely while awaiting timeouts.  This patch ensures that if a system
    call with a timeout is aborted and needs to be restarted, it is restarted
    with a timeout which is adjusted for the amount of time already waited.

Jeremy.

r4539: patch from Rob -- adding real printcap name cache function to speed up printcap reloads

r4538: Fix bugzilla 2198, accounts which have password last set to 0 are getting
no passwords after vampire.  Set password last set field to now.

r4525: fix Fedora specfile to include pam_winbind(8) man page

r4514: Fix for bugzilla 1770.  Remove READ_ATTRIBUTES from GENERIC_EXECUTE, otherwise
modification of an ACL that contains an ACE with execute only will cause
that to be upgraded to read/execute.  Side effect is that dirs/files with
execute only show up as special permissions, which is still correct.

r4370: Don't assume the compiler supports declarations after statements.

r4369: Patch for bug #2190 (SWAT displaying parameters in UNIX charset)
not utf8. Fixed by Shiro Yamada <shiro@miraclelinux.com>.
Jeremy.

r4353: Finally get length of munged_dial correct.

Guenther

r4352: Base64-encode munged-dial with correct length in 'net rpc vampire'.

Guenther

r4351: Vampire Logon-Hours. Update Logon-Hours only when they have changed.

Guenther