r21940: Sorry Volker,  I have to revert your revert in r21935.
We can talk about this later if you still feel that strongly
but I need to fix the build for now.

r21939: Fix missing initialization that
broke the build farm. Thanks to
Metze for the heads up.
Jeremy.

r21935: Revert obviously not sufficiently tested code -- sorry for the pain. I am afraid I was basically off the net for the day

r21934: fix the build sorry

metze

r21933: Change the write_sock() call in pam_winbind_request()
to not request a privileged pipe operation for everything
as this cannot be done from a process running under the
context of a user (e.g. screensaver).

Thanks to Danilo Almeida <dalmeida@centeris.com> for the help
in pointing out the change to write_sock().

r21932: fix compiler warning.

maybe also for 3.0.25

metze

r21931: include acl/libacl.h is present

I'm not sure if this should go into 3.0.25... it fixes a compiler warning about
a missing acl_get_perm() prototype

metze

r21927: Removed unused variable.
Jeremy.

r21926: Fix missing enum specifier pointed out by Don McCall @ HP.
Thanks Don !
Jeremy.

r21925: Start to code up the gss acquire creds calls.
Jeremy.

r21923: Add in the gss decrypt.
Jeremy.

r21922: Fixed the build by rather horrid means. I really need
to restructure libsmb/smb_signing.c so it isn't in
the base libs path but lives in libsmb instead (like
smb_seal.c does).
Jeremy.

r21919: now that the local passdb abd BUILTIN have been blacklisted and they always
point to the passdb module, remove this comment and move the explanation in
the dimap_ad man page.

Simo.

r21918: Reverting this change as it is now causing aborts() in
find_builtin_domain().    This all needs more testing
before anyone starts changing these lookup routines again.

r21917: Start to do the gss versions of sign+seal.
Jeremy.

r21916: Fix couple of "return" calls on void functions.
Ensure we ignore reqests to free keepalive buffers
as we only copied these.
Jeremy.

r21913: fix one bug in build 717: correctly check the return from sid_peek_check_rid() when trying to find a matching domain

r21912: There's no point checksumming the packet length
this already has to be right. This makes the
signed+sealed area the same as it will be with
gss calls. Now to go implement them.
Jeremy.

r21908: update with the 3.0.25 packaging

r21905: Rename
  idmap expire time  -> idmap cache time
  idmap negative time -> idmap negative cache time

r21904: Fix HP build -- thanks, Don

r21903: Get the length calculations right (I always forget
the 4 byte length isn't included in the length :-).
We now have working NTLMSSP transport encryption
with sign+seal. W00t!
Jeremy.

r21902: Don't free the thing you're trying to set in the cli state.
Jeremy.

r21901: Don't use fstrcat when you mean fstrcpy. Doh !
Jeremy.

r21900: Token exchange now seems to work, now why does the
client encrypt fail ?
Jeremy.

r21899: At least we're getting to stage 2 of the blob
exchange. Still not working but closer.
Jeremy.

r21898: Added test command, fixed first valgrind bugs.
Now to investigate why it doesn't work :-).
Jeremy.

r21897: Add in a basic raw NTLM encrypt request. Now
for testing.
Jeremy.

r21894: Some refactoring of server side encryption context. Support
"raw" NTLM auth (no spnego).
Jeremy.

r21893: Update comments so they actually reflect reality...

rafal

r21892: Mini-Patch from Michael

r21891: Finish server-side NTLM-SPNEGO negotiation support.
Now for the client part, and testing.
Jeremy.

r21888: Add the osname and osver options to 'net ads join' as discussed
on the samba-technical ml.

I'll add a 'net ads set attribute=value' utility later
rather than the original 'net ads setmachineupn' patch that
was also posted to the tech ml.

r21887: Fix annoying bug where in a pam_close_session (or a pam_setcred with the
PAM_DELETE_CREDS flag set) any user could delete krb5 credential caches.
Make sure that only root can do this.

Jerry, Jeremy, please check.

Guenther

r21885: Chown logic should be activated only if nfs4:chown=yes

r21884: * Blacklist BUILTIN and MACHINE domains from the
  idmap domains as these should only be handled by the
  winbindd_passdb.c backend

* Allow the alloc init to fail for backwards compatible
  configurations like

     idmap backend = ad
     idmap uid = 1000-100000
....

* Remove the deprecated flags from idmap backend, et. al.
  These are mutually exclusive with the new configuration
  options (idmap domains).  Logging annoying messages
  about deprecated parameters is confusing.  So we'll try
  this apprpach for now.

r21883: Try and fix the build by removing the prototypes for
functions that take a gss context handle in includes.h
Jeremy.

r21882: The server part of the code has to use an AUTH_NTLMSSP struct,
not just an NTLMSSP - grr. This complicates the re-use of
common client and server code but I think I've got it right.
Not turned on of valgrinded yet, but you can see it start
to take shape !
Jeremy.

r21881: Make sure we are very specific when testing whether a backand can handle a
particular SID. Make sure that the passdb backend will accept the same set
range of local SIDs that the idmap system sends it.

Simo, Jerry - this is a 3_0_25 candidate. Can you please review?

r21880: Make client and server calls into encryption code symetrical,
depending on encryption context pointer.
Jeremy.

r21879: Move process_blocking_lock_queue to a timed event.

The idea is that we have blocking.c:brl_timeout as a timed
event that is present whenever we do have a blocking lock
pending. It fires brl_timeout_fn() which calls
process_blocking_lock_queue().

Whenever we make changes to blocking_lock_queue, we trigger
a recalc_brl_timeout() which sets a new brl_timout event if
necessary. This makes the call to
blocking_locks_timeout_ms() in setup_select_timeout()
unnecessary, this is implicitly done in
event_add_to_select_args() from the timed events.

Volker

r21878: Fix a bug with smbd serving a windows terminal server: If winbind decides smbd
to be idle it might happen that smbd needs to do a winbind operation (for
example sid2name) as non-root. This then fails to get the privileged
pipe. When later on on the same connection another authentication request
comes in, we try to do the CRAP auth via the non-privileged pipe.

This adds a winbindd_priv_request_response() request that kills the existing
winbind pipe connection if it's not privileged.

Volker

r21877: Missed one line.
Jeremy.

r21876: Start adding in the seal implementation - prototype code
for the server side enc. (doesn't break anything).
I'll keep updating this until I've got NTLM seal working
on both client and server, then add in the gss level
seal.
Jeremy.

r21875: BUG 3275: Patch from Andy Polyakov <appro@fy.chalmers.se>
Relax check for i386 header checks in the PE header of printer
driver files.  Thus allowing uploading of x64 print drivers
from 64bit Windows clients.

r21874: Fix missing notify function. Thanks to Thomas Bork <tombork@web.de>
for pointing this out !
Jeremy.

r21873: This is winbindd_pam.c, not pam_winbind.c :-)

r21872: Fix a debug message

r21871: Move deadtime processing into an idle event. While there, simplify
conn_idle_all() a bit.

Volker

r21870: Move sending auth_server keepalives out of the main loop into an idle event.

Volker

r21869: Move sending keepalives out of the main processing loop into idle event.

On the way, make lp_keepalive() a proper parameter.

Volker

r21868: Remove check_log_size from the central smbd processing loop. This can be done
with a become_root/unbecome_root in debug.c.

r21867: Simplify calling convention of timeout_processing. lp_deadtime is only
referenced in conn_idle_all().

r21866: Remove unused "lock spin count" parameter

r21865: Add in the stubs for SMB transport encryption. Will flesh
these out as I implement. Don't add to SAMBA_3_0_25, this
is experimental code.
NFSv4 you're now officially on notice... :-).
Jeremy.

r21864: Reformatting.
Jeremy.

r21863: Fix debug messages with incorrect function name.
Jeremy.

r21862: add the cups comment and location lookup to get_a_printer_2_default() as well

r21861: Pull the comment and location from CUPS if we don't have one
when fetching a printer from ntprinters.tdb.

Slightly modified from original version submitted on
samba-technical ml by Andy Polyakov <appro@fy.chalmers.se>

r21860: Fixes for "winbind normalize names" functionality:

* Fix getgroups() call called using a normalized name
* Fix some more name mappings that could cause for example
  a user to be unable to unlock the screen as the username
  would not match in the PAM authenticate call.

r21858: Fix typo.

Guenther

r21857: Stop pretending to be Vista in the %a macro towards Samba clients.

Guenther

r21855: Fix a memleak in the krb5 locator and comment out gfree_all() which doesn't
make sense as long as it doesn't work as an lp_unload().

Guenther

r21854: Add gfree_interfaces() to gfree_all().

Guenther

r21853: Fix a valgrind error

r21851: Obvious typos...

r21850: After Jerry explained to me the HORRIBLE way in which
the MIT gss libraries *SUCK*, move the frees to the end
of the function so MIT doesn't segfault.....
Add a comment so that another engineer knows why I did
this.
Jeremy.

r21848: add a comment about gss_import_name() and when to free the krb5 principal data

r21847: Fix memory leaks in error paths (and in main code path in one case...)
in sasl bind. Wonder why coverity didn't find these ?
Jeremy.

r21846: Try and fix the Darwin build which seems to have a strange krb5.
Jeremy.

r21845: Refactor the sessionsetupX code a little to allow us
to return a NT_STATUS_TIME_DIFFERENCE_AT_DC error to
a client when there's clock skew. Will help people
debug this. Prepare us for being able to return the
correct sessionsetupX "NT_STATUS_MORE_PROCESSING_REQUIRED"
error with associated krb5 clock skew error to allow
clients to re-sync time with us when we're eventually
able to be a KDC.
Jeremy.

r21840: mount.cifs compile on old libc missing bind mount #define

Thanks to Thomas Jarosch for pointing this out.

r21831: Back out r21823 for a while, this is going into a bzr tree first.

Volker

r21825: add debug prefix timestamp to allow "short timestamps" to be
added to debug messages

r21823: Let secrets_store_machine_password() also store the account name. Not used
yet, the next step will be a secrets_fetch_machine_account() function that
also pulls the account name to be used in the appropriate places.

Volker

r21822: Adding experimental krb5 lib locator plugin.

This is a starting point and may get changed. Basically we need follow the
exact same path to detect (K)DCs like other Samba tools/winbind do. In
particular with regard to the server affinity cache and the site-awarness for
DNS SRV lookups.

To compile just call "make bin/smb_krb5_locator.so", copy to
/usr/lib/plugin/krb5/ (Heimdal HEAD) or /usr/lib/krb5/plugins/libkrb5/ (MIT)
and you should immediately be able to kinit to your AD domain without having
your REALM with kdc or kpasswd directives defined in /etc/krb5.conf at all.

Tested with todays Heimdal HEAD and MIT krb5 1.5.

Guenther

r21819: Wrap all steps in secrets_store_machine_password into one single
transaction. Succeed all or store nothing.

Volker

r21818: Remove some unused code

r21814: use ndr_push_error in the ndr layer, not just a NTSTATUS failure

r21813: fixed an integer overflow error in the ndr push code.

Jerry, you might like to consider this for 3.0.25

r21804: Create a reference after proto_exits was called once.  Else we link the
binaries again with each make.  Thx Volker to point my chesty at this.

r21803: Missed part of patch to make self-referrals work.
Jeremy.

r21801: Fix Coverity ID # 342

r21800: Check-in the DFS rewrite. I am still testing this but it
works from smbclient and Windows, and I am promising to
support and fix both client and server code moving forward.
Still need to test the RPC admin support but I haven't
changed that code.
Jeremy.

r21792: Fix crash bug triggered by Excel reported by Jerry.
Bad cut-n-paste on rewrite of timestamps.
Jeremy.

r21785: Avoid an unnecessary gettimeofday() call

Volker

r21784: Replace smb_register_idle_event() with event_add_timed(). This fixes winbind
who did not run the idle events to drop ldap connections.

Volker

r21783: Add in the "create info" field to the reply
from POSIX_OPEN and POSIX_MKDIR as specified
by Stevef in the wikki (extra 4 byte field).

Also fix horrible bug in James's code (James
you should review this for your Apple patch
tree) where he failed to allocate the correct
return memory size when returning a INFO2
struct. Added #define for the size of the
INFO2 struct and made sure we allocate the
correct size for return.

Jeremy.

r21782: Fix a memleak

r21780: let smbcontrol use POPT_COMMON_SAMBA options to allow setting debug
level. Fix calculation of argc after options are stripped. I couldn't
find a popt function that returned this.

r21779: I missd a call to krb5_get_init_creds_opt_alloc in r21778.

r21778: Wrap calls to krb5_get_init_creds_opt_free to handle the different
calling convention in the latest MIT changes.  Apparantly Heimdal
is also changing to this calling convention.

r21777: As Stevef requested and the Apple guys agreed, make
mode_t in posix_open/posix_mkdir -> 8 bytes to match
the SET_UNIX_INFO_BASIC call. Steve is updating the
Wikki.
Jeremy.

r21776: fix bugs #4438 #4440

r21775: make messages more understandable - don't leave part dangling after newline

r21774: Fix the build with Fedora Core 6.
tridge/vl: please check.

Guenther

r21770: For old DOS style searches we must remember if
the initial search had a wildcard in order to
correctly return no error on end of search.
Found by Samba4 torture tester.
Jeremy.

r21769: Attempt to fix bug #4384 in old search code.
We were accessing a pathname that hadn't gone
through unix_convert ! That's a big no-no...
Jeremy.

r21768: Fix the client dfs code such that smbclient can
process deep dfs links (ie. links that go to non root
parts of a share). Make the directory handling conanonical
in POSIX and Windows pathname processing.
dfs should not be fully working in client tools. Please
bug me if not.
Jeremy.

r21767: Revert all the bits I accidentally committed in r21766.