libnetjoin: support kerberized joining/unjoing (fix #5416).

Guenther

netapi: add NetLocalGroupSetMembers example code.

Guenther

netapi: add NetLocalGroupDelMembers example code.

Guenther

netapi: add NetLocalGroupAddMembers example code.

Guenther

netapi: implement NetLocalGroupSetMembers_r().

Guenther

netapi: implement NetLocalGroupDelMembers_r().

Guenther

netapi: implement NetLocalGroupAddMembers_r().

Guenther

netapi: add NetLocalGroup*Member calls to public headers.

Guenther

netapi: add skeleton for NetLocalGroup*Member calls.

Guenther

re-run make idl.

Guenther

netapi: add remaining NetLocalGroup*Member calls to IDL.

Guenther

netapi: add NetUserModalsGet and NetUserModalsSet tests.

Guenther

netapi: implement NetUserModalsSet_r.

Guenther

netapi: implement NetUserModalsGet_r.

Guenther

netapi: add example code for NetUserModalsGet and NetUserModalsSet.

Guenther

netapi: add NetUserModalsGet and NetUserModalsSet to public headers.

Guenther

netapi: add skeleton for NetUserModalsGet and NetUserModalsSet.

Guenther

re-run make idl.

Guenther

netapi: add NetUserModalsSet and NetUserModalsGet to IDL.

Guenther

doserr: add WERR_MEMBER_IN_ALIAS.

Guenther

netapi: add NetApiBufferAllocate.

Guenther

netapi: add ConvertStringSidToSid().

Guenther

netapi: generate the netapi testsuite makefile.

Guenther

fix build warning.

Guenther

Make events robust against their event_context being freed

fix smb_len calculation for chained requests

I think chain_reply() is one of the most tricky parts of Samba. This recursion
needs to go away, we need to sequentially walk the chain list.

Fix andx offset calculation for more than 2 chained requests

Untested code is broken code.... Test follows later, it's quite an intrusive
change to libsmb/

Remove an unused variable, process.c has its static copy

nmbd: add support for delayed initial samlogon packages.

The hosts or networks configured with "init logon delayed hosts"
have their initial samlogon packages (empty username) delayed
by the value configured with "init logon delay" (defaulting
to 100 milliseconds).

This gives the administrator some control over what clients would
consider the preferred logon server: they choose the server that
repsonds most quickly.

Michael

nmbd_packets: make queue_packet() public.

Michael

loadparm: add two parameters "init logon delay hosts" and "init logon delay"

"init logon delays hosts" takes a list of hosts names or addresses
or networks for which the initial SAMLOGON reply should be delayed
(so other DCs get preferred by XP workstations if there are any).
This option takes the same type of list as "hosts allow" does.

"init logon delay" allows one to configure the delay for the hosts
configured for delayed initial samlogon with "init logon delayed hosts".
The value is interpreted as milliseconds. The default value is 100.

This commit only introduces the parameters.
They will be activated in a subsequent commit.

Michael

lib/access: make list_match() public.

Michael

lib/access: make client_match() public.

Michael

One more build fix. Ensure we have KRB5_AUTH_CONTEXT_USE_SUBKEY defined before we compile the new code.
Jeremy.

Try and fix the build for systems that don't have krb5_auth_con_set_req_cksumtype().
Jeremy.

Merge branch 'v3-3-test' of ssh://jra@git.samba.org/data/git/samba into v3-3-test

Add Derrick Schommer's <dschommer@F5.com> kerberos delegation patch. Some
work by me and advice by Love.
Jeremy.

build: fix a no previous prototype warning when building without ldap/gssapia

move prototype of dns_create_update_request() to appropriate section in dns.h

Michael

libnet samsync ldif: fix the build without LDAP.

Michael

using NGROUPS_MAX instead of 32 for the max group value in rep_initgroups() subroutine in lib/replace/replace.c

Add simple async wrappers around send, recv and connect

To be used later :-)

Fix bug #5675 with a varient of Tim Waugh's patch,
as proposed by James Peach.
Jeremy.

Fix "might be used uninitialized" warnings.
Jeremy.

Fix a build failure on host sunX

Solve an IBM XL C/C++ compiler error encountered in get_exit_code() auth_errors array initialization in client/smbspool.c

WHATSNEW: Start WHATSNEW for 3.3.0pre1.

Karolin

libnetapi: fix build of shared library after libnet_join changes.

This needs create_builtin_administrators() and create_builtin_users()
from token_utils now. Did not pop up because the only users of the
shared lib currently are the examples in lib/netapi/examples/
which are not automatically built.

Michael

fixed permissions on ctdb databases

fixed a fd leak when trying to regain contact to a domain controller
in winbind

When a w2k3 DC is rebooted the 139/445 ports come up before the
udp/389 cldap port. During this brief period, winbind manages to
connect to 139/445 but not to udp 389. It then enters a tight loop
where it leaks one fd each time. In a couple of seconds it runs out of
file descriptors, and leaves winbind crippled after the DC does
finally come up

dbwrap: add comment describing behaviour of dbwrap_change_int32_atomic().

Michael

secrets: fix replacemend random seed generator (security issue).

This is a regression introduced by the change to dbwrap.
The replacement dbwrap_change_int32_atomic() does not
correctly mimic the behaviour of tdb_change_int32_atomic():
The intended behaviour is to use *oldval  as an initial
value when the entry does not yet exist in the db and to
return the old value in *oldval.

The effect was that:
1. get_rand_seed() always returns sys_getpid() in *new_seed
   instead of the incremented seed from the secrets.tdb.
2. the seed stored in the tdb is always starting at 0 instead
   of sys_getpid() + 1 and incremented in subsequent calls.

In principle this is a security issue, but i think the danger is
low, since this is only used as a fallback when there is no useable
/dev/urandom, and this is at most called on startup or via
reinit_after_fork.

Michael

dbwrap: add comment describing behaviour of dbwrap_change_uint32_atomic().

Michael

idmap_tdb2: fix a race condition in idmap_tdb2_allocate_id().

The race is a regression introduced by the change to dbwrap.
It might have led to two concurrent processes returning the same id.

This fix is achieved by changing dbwrap_change_uint32_atomic() to
match the original behaviour of tdb_change_uint32_atomic(), which
is the following: *oldval is used as initial value when
the value does not yet exist and that the old value should be
returned in *oldval.

dbwrap_change_uint32_atomic() is used (only) in idmap_tdb2.c,
to get new ids.

Michael

registry: use _bystring wrappers to dbwrap_trans_(store|delete).

Michael

Building cifs.upcall is giving this build warning:

   client/cifs.upcall.c:205: warning: function declaration isn’t a prototype

This patch fixes this by properly declaring usage() args as void.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Signed-off-by: Steve French <sfrench@samba.org>

cifs.upcall: fix manpage and comments

The "cifs.resolver" key type has been changed to "dns_resolver". Fix
the comments at the top of cifs.upcall and the manpage accordingly.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Signed-off-by: Steve French <sfrench@samba.org>
---
 docs-xml/manpages-3/cifs.upcall.8.xml |    4 ++--
 source/client/cifs.upcall.c           |    8 ++++----
 2 files changed, 6 insertions(+), 6 deletions(-)

Backing out most of changeset 5222b8db3fb692e5071bfd1b41849a8eb0a17995
(so parsing for domain parameter in mount.cifs matches online help)
and rephrasing original code to make it more clear.

The check for "domain" was meant to allow for "dom" or "DOM" and the
option ("dom") described in the help (e.g. "/sbin/mount.cifs -?") is the
shorter ("dom") form.  The reason that the string we compare against
is larger was to improve readability (we could compare against "dom"
but note /* "domain" or "DOMAIN" or "dom" or "DOM" */ but it seemed
terser to just show the larger string in the strcmp target.   The
change to "workgoup" from workg* (anything which begins with "workg"
doesn't matter - it is a minor behavior change - but probably few
scripts depend on the "alias" for this option).

Rework code so that it is clearer what we are comparing against.

man pages: Improve description of boolean values in smb.conf.5.

This fixes bug #5378.
Thanks Morton K. Poulsen <morten+bugzilla.samba.org [at] afdelingp.dk>
for reporting!

Karolin

man pages: Add documentation about smbclient command "rename".

This fixes bug #5268.
Thanks to Alexander Franz <a.franz [at] gmx.net> for reporting!

Karolin

README.Coding: A few minor fixes.

Karolin

libnet_keytab: fix the build with heimdal

metze

clikrb5: don't use krb5_keyblock_init() when no salt is specified

If the caller wants to create a key with no salt we should
not use krb5_keyblock_init() (only used when using heimdal)
because it does sanity checks on the key length.

metze

cli_request_new() already gave use the req, remove a pointless function call

Fix a typo

libnet dssync: start memory allocation cleanup: use tmp ctx in libnet_dssync().

Don't leak temporary data to callers but use a temporary context
that is freed at the end.

Michael

libnet dssync: fix memory allocation for error/result messages.

Use the libnet_dssync_context as a talloc context for the
result_message and error_message string members.
Using the passed in mem_ctx makes the implicit assumption
that mem_ctx is at least as long-lived as the libnet_dssync_context,
which is wrong.

Michael

dssync keytab: add comment header explaining add_to_keytab_entries().

Michael

libnet dssync: add my C after dssync keytab changes.

Michael

vampire keytab: add command line switch --clean-old-entries .

This allows to control cleaning the keytab.
It will only clean old occurences of keys that are replicated in
this run. So if you want to ensure things are cleaned up, combine
this switch with --force-full-repl or --single-obj-repl (+dn list).

Michael

dssync: add clean_old_entries flag to dssync_ctx.

Initialize it to false.
And pass it down to the libnet_keytab context in
libnet_dssync_keytab.c:keytab_startup().

Unused yet.

Michael

Note: This might not be not 100% clean design to put this into the
toplevel dssync context while it is keytab specific. But then, on the
other hand, other imaginable backends might want to use this flag, too...

libnet keytab: implement cleaning of old entries in libnet_keytab_add().

Triggered by the flag clean_old_entries from the libnet_keytab_contex
(unused yet...).

Michael

libnet keytab: add parameter ingnore_kvno to libnet_keytab_remove_entries()

to allow for removing all entries with given principal and enctype without
repecting the kvno (i.e. cleaning "old" entries...)

This is called with ignore_kvno == false from libnet_keytab_add_entry() to
keep the original behaviour.

Michael

libnet keytab: add flag clean_old_entries to libnet_keytab_context.

Michael

libnet keytab: use proper counter type (uint32_t) in libnet_keytab_add().

Michael

vampire keytab: introduce switch --single-obj-repl.

This controls whether single object replication is to be used.
This only has an effect when at least one object dn is given
on the commandline.

NOTE: Now the default is to use normal replication with uptodateness
vectors and use object dns given on the command line as a positive
write filter. Single object replication is only performed when this
new switch is specified.

Michael

dssync keytab: when not in single object replication mode, use object dn list as write filter.

I.e. only the passwords and keys of those objects whose dns are provided
are written to the keytab file. Others are skippded.

Michael

dssync keytab: support storing kerberos keys from supplemental credentials.

Michael

libnet dssync: rename flag single to single_object_replication

So that it is more obvious what this controls.

Michael

net rpc vampire: rename --repl-nodiff to --force-full-repl.

This more clear.

Michael

libnet dssync: rename repl_nodiff flag to force_full_replication.

Michael

libnet dssync: support lists of dns (instead of one dn) for single object replication.

Just specify several DNs separated by spaces on the command line of
"net rpc vampire keytab" to get the passwords for each of these
accouns via single object replication.

Michael

libnet dssync: move determination of request level into build_request()

...where it belongs.

Michael

libnet dssync: refactor dsgetncchanges loop out into libnet_dssync_getncchanges().

Michael

libnet dssync: fix single object replication by adding one check.

Before, this used the old uptodate vector in the request...

Michael

libnet dssync: simplify logic of libnet_dssync_process() main loop.

Untangle parsing of results and processing.
Make loop logic more obvious.
Call finishing operation after the loop, not inside.

Michael

libnet dssync: refactor creation of request out into new function

libnet_dssync_build_request().

Michael

vampire keytab: add switch --repl-nodiff to trigger full replication.

I.e. replication without keeping track of the up to date vector.

Michael

dssync keytab: store the samaccountname in the keytab for diff replication.

When retreiving a diff replication, the sAMAccountName attribute is usually
not replicated. So in order to build the principle, we need to store the
sAMAccounName in the keytab, referenced  by the DN of the object, so that
it can be retrieved if necessary.

It is stored in the form of SAMACCOUNTNAME/object_dn@dns_domain_name
with kvno=0 and ENCTYPE_NONE.

Michael

dssync keytab: move handling of removal of duplicates to libnet_keytab_add_entry().

This makes libnet_keytab_remove_entries static and moves it up.
libnet_keytab_add_entry() now removes the duplicates in advance.
No special handling neede for the UTDV - this is also needed
for other entries...

Michael

libnet_keytab: add some debug statements to libnet_keytab_search().

Michael

dssync keytab: store the UpToDate vector with ENCTYPE_NULL.

Michael

libnet keytab: use libnet_keytab_add_entry() in libnet_keytab_add().

This will in particular allow us to store ENCTYPE_NULL.

Michael

libnet keytab: add function libnet_keytab_add_entry()

This is a stripped down version of smb_krb5_kt_add_entry() that
takes one explicit enctype instead of an array. And it does
not neither salting of keys nor cleanup of old entries.

Michael

dssync keytab: log the DN of the object to be parsed.

For debugging purposes.

Michael

dssync keytab: remove old UpToDateNess vectors from keytab before storing new one.

Michael

libnet keytab: add function libnet_keytab_remove_entries().

This can be used to remove entries of given principal, kvno and enctype.

Michael

libnet_keytab: cleanup libnet_keytab_search().

Michael

libnet keytab: test for matching enctype in libnet_keytab_search().

Michael

dssync keytab: add parsing and logging of servicePrincipalName-s

As with the userPrincipalName, this is for debugging purposes only (for now..).

Michael

dssync keytab: fix comma placement in debug output

Michael