Fix debug

basic ADS HOWTO

A number of things to clean up the auth subsytem a bit...

We now default encrypt passwords = yes

We now check plaintext passwords (however aquired) with the 'sam' backend
rather than unix, if encrypt passwords = yes.

(this kills off the 'local' backed.  The sam backend may be renamed in its
place)

The new 'samstrict' wrapper backend checks that the user's domain is one of
our netbios aliases - this ensures that we don't get fallback crazies with
security = domain.

Similarly, the code in the 'ntdomain' and 'smbserver' backends now checks
that the user was not local before contacting the DC.

The default ordering has changed, we now check the local stuff first - but
becouse of the changes above, we will really only ever contact one
auth source.

Andrew Bartlett

add SEC_ADS auth method

updated server_role for ADS

prevent proto from picking up this as a defintion for 'main()' becoue it conflicts with nmbd's definition.

More compiler warnings fixed.  Some minor reformatting.

we can safely give NO_SUCH_USER if the ticket decodes but the local
account doesn't exist

Another merge from appliance-head: in [ug]id_to_sid don't call the
winbind function if the id is obviously going to be local.  Cleanup
of winbind [ug]id parameter handling.

challange -> challenge

Merge from appliance-head: when creating a default security descriptor
for a printer, save it in ntprinters.tdb instead of recreating it
every time it is required.  This can save at least one winbind lookup
per secdesc creation.  Opening a port monitor and viewing the security
tab in the properties dialog required the security descriptor to be
returned 25 times!

Got medieval on another pointless extern.  Removed extern struct ipzero
and replaced with two functions:

void zero_ip(struct in_adder *ip);
BOOL is_zero_ip(struct in_addr ip);

Fix up the build farm again.

This should get us 'green' for once...

Andrew Bartlett

dyn_CONFIGFILE fixups.

Fixed compiler warnings and dyn_CONFIGFILE related breakage.

And delete domain_client_validate.c...

Andrew Bartlett

This compleats the of the authenticaion subystem into the new 'auth'
subdirectory.

(The insertion of these files was done with some CVS backend magic, hence the
lack of a commit message).

This also moves libsmb/domain_client_validate.c back into auth_domain.c,
becouse we no longer share it with winbind.

Andrew Bartlett

Removed bogus SAFE_FREE() call of talloced return data from
winbindd_lookup_usergroups()

Ignore *.po files.

Fixed some indentation.

use DEBUG() not d_printf() in libraries

fixed spnego, non-kerberos negprot

Allow lookup of users with spaces in their name.

Fixed compiler warning.

Why do people keep adding stuff to includes.h (OK I am guilty of this too)?
It's getting really huge and full of random junk.  )-:

I've noticed TNG have started to split stuff up in to individual header
files included as needed.

added 'security=ADS'

Minor typos

Don't close tdb twice.

portability fixes

fixed typo

add popt build dependency

move popt out of proto objs

added HAVE_LDAP_H check

check for liblber separately

#ifdefed DMF fix so not compiled by default. We need to look at this...
Jeremy.

Use "password server" for searching for BDC's also as Tim suggested.
Jeremy.

Add the PDC end of the smbtorture test for creating an NT_STATUS -> DOS error
map.

This little authentication module is #ifdef DEVELOPER, becouse it really is of
no use execept as a development tool

invoke by setting:

auth methods = guest sam name_to_ntstatus

in the smb.conf file (the SAM and guest elements are required for the member
server to authenticate itself).

Andrew Bartlett

oops, I forgot to include the header file

Add a new torture test to extract a NT->DOS error map from an NT member of a
samba domain.

The PDC must be running a special authenticaion module that spits out NT errors
based on username.

Andrew Bartlett

Unless the error is exactly NT_STATUS_OK, we might not have a server info, so
we need to bail here.

I think this is a fix for the "out of space" errors with oplocks=no.
Jeremy.

Fix ./configure --enable-developer warnings (shadow of global)

better help

use generate_random_str()

added "net ads user" and "net ads group" commands

added "net ads status" command

made a "net ads" command, currently with "net ads join" and "net ads leave"

stop popt from doing its own intl stuff

better auto-selection of realm and ldap server

added "net join" command

this completes the first stage of the smbd ADS support

removed unused function

rewrote net.c

The rewrite fixes a number of things:

- much better command line parsing
- fixed usage of static and const
- better finding of hosts
- clean internal separation of sub-functions
- expandable design

And add the winbind module I missed in the last run.

(large change to modularise the auth subsystem)

Andrew Bartlett

This is another rather major change to the samba authenticaion
subystem.

The particular aim is to modularized the interface - so that we
can have arbitrary password back-ends.

This code adds one such back-end, a 'winbind' module to authenticate
against the winbind_auth_crap functionality.  While fully-functional
this code is mainly useful as a demonstration, because we don't get
back the info3 as we would for direct ntdomain authentication.

This commit introduced the new 'auth methods' parameter, in the
spirit of the 'auth order' discussed on the lists.  It is renamed
because not all the methods may be consulted, even if previous
methods fail - they may not have a suitable challenge for example.

Also, we have a 'local' authentication method, for old-style
'unix if plaintext, sam if encrypted' authentication and a
'guest' module to handle guest logins in a single place.

While this current design is not ideal, I feel that it does
provide a better infrastructure than the current design, and can
be built upon.

The following parameters have changed:
 - use rhosts =

  This has been replaced by the 'rhosts' authentication method,
 and can be specified like 'auth methods = guest rhosts'

 - hosts equiv =

  This needs both this parameter and an 'auth methods' entry
  to be effective.  (auth methods = guest hostsequiv ....)

 - plaintext to smbpasswd =

  This is replaced by specifying 'sam' rather than 'local'
  in the auth methods.

The security = parameter is unchanged, and now provides defaults
for the 'auth methods' parameter.

The available auth methods are:

guest
rhosts
hostsequiv
sam (passdb direct hash access)
unix (PAM, crypt() etc)
local (the combination of the above, based on encryption)
smbserver (old security=server)
ntdomain (old security=domain)
winbind (use winbind to cache DC connections)

Assistance in testing, or the production of new and interesting
authentication modules is always appreciated.

Andrew Bartlett

Kill off that crazy copy_sam_passwd().  You simply can't do that if the
structre contains pointers (well not if you intend of free those pointers
at some stage)

There is no reason (given the new passdb interface) that you can't modify a
SAM_ACCOUNT in any case.

Andrew Bartlett

added lsaenumprivsaccount and lsalookupprivvalue to rpcclient

and more to come ...

J.F.

Sorry. I broke the build, missed on open_directory call.
Jeremy.

return NO_MORE_ENTRIES in lsa_enum_trust_dom. UserManager is happier :-)

J.F.

Changed how the privileges are stored in the group mapping code. It's now
an array of uint32. That's not perfect but that's better.

Added more privileges too.

Changed the local_lookup_rid/name functions in passdb.c to check if the
group is mapped. Makes the LSA rpc calls return correct groups

Corrected the return code in the LSA server code enum_sids.

Only enumerate well known aliases if they are mapped to real unix groups.
Won't confuse user seeing groups not available.

Added a short/long view to smbgroupedit.

now decoding rpc calls to add/remove privileges to sid.

        J.F.

Fixed delete on close bug. Added core dump code to winbindd.
Jeremy.

Set type to NOTUSED if lookup fail.
Jeremy.

Update some of the error mapping, based on on-the-wire observations of an NT4 server.

This lets our Win9X clients give sane error messages when you get passwords wrong
and the like.

Andrew Bartlett

Finally worked out why a enumerate trusted domains was returning a
NT_STATUS_UNABLE_TO_FREE_VM error.  This error code was mis-defined
as 0x8000001a instead of 0xc000001a.  The former is actually a
NT_STATUS_NO_MORE_ENTRIES warning which is what we see in the status
code.

Removed the & 0xffffff from the loop in get_nt_error_msg() as all the
error constants now have the correct high bits set.

Added constants and error message for dos error code 1326 (logon failure).

Reference about SIDs from tpot.

More better now.

Got rid of that stupid parse_domain_user() warning when compiling
winbindd.

Quieten gcc const warning.

doxyfy.

Finish 1.45 by removing redundant sid->string conversion in
winbindd_lookup_sid_by_name.  Also if the lookup fails then clobber
the output parameters rather than leaving them looking potentially
valid.

Add doxygen.

I think you were passing the name of the SID, rather than the DOM_SID
pointer itself.  (Whatever that is.... ;-)

Fixed bug in canned results list for checking the error code of wbinfo.

Made test names more verbose.

Don't initialise static pointers to NULL.

Removed TimeInit() call from every client program (except for one place
in smbd/process.c where the timezone is reinitialised.  Was replaced with
check for a static is_initialised boolean.

Fixed check machine account function.

Ignore *.po files.

Rename $pwd to $test_root to avoid future confusion.

added lsa_enum_sids to rpcclient
fixed lsa_enum_rpivs server code. This time it works as W2K.
fixed smbgroupedit to compile and work.

J.F.

Removed unused variable.

Oops - opening wrong pipe name in cli_lsa_initialise() helper function.

fixing enum_privs and get_dispname server code.
That works as expected now.

J.F.

add another command to rpcclient: getdispname. Show the full description
of a privilege.

J.F.

add a command to rpcclient: enumprivs

J.F.

Got positive and negative name caching working correctly with lookupname/lookupsid.
There was a bug in cli_lsa_lookup_name/lookup_sid where NT_STATUS_NONE_MAPPED was
being mapped to NT_STATUS_OK, and also the *wrong* number of entries mapped
was being returned. The correct field is mapped_count, *NOT* num_entries.
Jeremy.

Fixed +ve caching. Still problems with -ve caching.
Jeremy.

Fixed caching of lookupname/lookupsid. Error in check of success !
Jeremy.

Added debugs to track down sequence lookup problems.
Jeremy.

remove unused variables

merge oops fix from 2.2

sync up with 2.2

merge from 2.2

--with-msdfs wsa removed

WITH_MSDFS is not define anywhere.  It's built by default.

Made a libsmbclient doxygen group and moved all the libsmbclient groups
under it.

samr_querydom_info level 1: found the meaning of the unknow fields. And
discovered that our reply is short by 4 bytes since day 1 of this code.

Added a decode function to rpcclient too.

splitted the STRING2 fields filling while trying to understand the win9x
userlist bug. (didn't fix the bug, but the reply looks closer to NT).

        J.F.

W2K doesn't seem to respond to *#0 names in node status. Ensure name
lookup uses password server parameter when looking for PDCs.
Jeremy.

More spelling fixes, comment reformatting.

Spelling fix, reformatted comment.

One more patch from Tom Jansen. Hope I didn't break the tree :-)

Added transparent +ve caching for lookupname/lookupsid. -ve caching can
be easily added (a one liner) once we know the correct error codes returned
by a W2K DC.
All other winbindd calls should go through a similar transparent caching layer
(and will soon).
Jeremy.

Preparing to implement +ve and -ve caching for lookupname/lookupsid calls.
Jeremy.

Fix up the build again...

Andrew Bartlett