make sid_binstring available without HAVE_ADS
(This used to be commit 4a6d29768665f71b72cf48ee34ee9a9c451232f6)

explicitly encode NULL strings in the cache
(This used to be commit 77c1376456765a7afe90afad96fab819fdcf8af3)

removed a debug line
(This used to be commit ec4c90fd7f56f8870884e5a27622cae71d154eca)

completely new winbindd cache infrastructure

this one looks like just another winbind backend, and has the
following properties:

- does -ve and +ve cacheing of all queries

- can be disabled with -n switch to winbindd

- stores all records packed, so even huge domains are not a problem
for a complete cache

- handles the server being down

- uses sequence numbers for all entries

This fixes a lot of problems with winbindd. Serving from cache is now
*very* fast.
(This used to be commit fddb4f4c04473a60a97212c0c8e143d6a4d68380)

add smb_xvasprintf() panic wrapper around vasprintf
(This used to be commit fa1e7a62acdbcc550e6b29dc69454dcf7472210d)

added fr.msg from Fanch
(This used to be commit 3a3b3469e66e25531f4531dce8a1d7bc9c17896e)

added a simple tdbdump utility
(This used to be commit c4f5a6c65d7dd933e9d6faf14ebf6afcf5232a1e)

set return value to total errors
(This used to be commit 4a7e1f6bb12e74effad83410c4b07683eaaa4617)

better error checking in nsstest
(This used to be commit 3c17c64e31cbd56ada4e4bc0d371cef81e2e42cf)

- check for correct error codes
- handle no initgroups fn
(This used to be commit 84a3390eace7f6cf1f5fb867fc58a982f24fd0b6)

- use accountype not accountcontrol
- better debug code
(This used to be commit 01f63b9c92137e6de906412952c7a2c8da21dfbe)

fixed type passed to ads_search
(This used to be commit 0ff30848f3ef4f38e9bc80dc96be4f37bb2dcb0e)

fixed used of string after free
(This used to be commit f7ead035ebe55e94cdd5807b173bd4612866b06f)

small comment I don't want to loose.

J.F.
(This used to be commit a0b5ae58228d01ff5099180f16ffba4353bd28a7)

Fix domain logon that I broke 3 days ago.

And it's in sync with the docs, %U is really replaced by the name the user
asked. Whereas in 2.2 that's false, %U is replaced by the name the user
was mapped to.

J.F.
(This used to be commit 39f2b23347011acabe9dd3ab15025022da352b74)

By popular demand: a new config.guess and config.sub

(I hope I did this right)

Andrew Bartlett
(This used to be commit 75d0f4cf198534680dd2b50227b230bf5d5aa777)

check for gssapi_generic.h
(This used to be commit 838fbac7a086ff82498c3f0ba95b714123a7428c)

fix a DEBUG() line
(This used to be commit 18da530293b11d895c62d08895ee1f77d8f97a12)

added internal sasl/gssapi code. This means we are no longer dependent on cyrus-sasl which makes the code much less fragile. Also added code to auto-determine the server name or realm
(This used to be commit 435fdf276a79c2a517adcd7726933aeef3fa924b)

Fix segfault, and add a comment.
(This used to be commit ff91131ef9b384765de3e4f22202d1e493f02efc)

Leak less memory.

Now, is there any reason that the prs_init() doesn't use the talloc context
that it is supplied as an argument for the actual data buffer?

It would seem logical to replace the malloc with a talloc, but I'm sure
there is some method to the madness (extrnal use/Reallocing of it I presume)

Andrew Bartlett
(This used to be commit ad18f33bfa79ce93024f3cb3a334cff622fe82a4)

Ensure that 'use spnego' restricts, rather than just advises our clients.

This means that if a hole is found in the spnego code, we can tell people
to just set 'use spengo' in their config file while we sort it out.

Other than that, preventing 'unusual' behaviour is always a good thing.

Andrew Bartlett
(This used to be commit a8a53c08f7d607268a3959486a850a2df50ca7a2)

basic howto
(This used to be commit b48d58c768999abf4f044e474880e47c5a7bb144)

include/build_env.h wasn't getting built by default with new rules unless
you did make headers - fixed
(This used to be commit ce84993e8e66a151fcb7d5709763b0bf2d513a7c)

added a "use spnego" option

you need to set "use spnego = no" for w2k to be able to join a samba
domain. Otherwise the w2k box will assume we can do kerberos as a KDC
(This used to be commit b5cb57a367a6d9a82e082e2838e83e0997eb4930)

OK I think this does what everyone wants with the .headers.stamp

it gets removed on a make clean
it gets created on a make headers (if it doesn't already exist)

This makes it so I only rebuild everthing once after a make clean and
also so nothing gets rebuilt after jfm does a make headers (proto)
(This used to be commit bc918bce104954b39bd54cab3149a0f4573feb5f)

allow nsstest to test any nss module
(This used to be commit c531f4773e33cce4b4eb97c8f9147eed02edc2d5)

add smbgroupedit
(This used to be commit ba2dd34407aa51cdbfe6fe7fe8730af2b2cd00ed)

again an intrusive patch:

- removed the ugly as hell sam_logon_in_ssb variable, I changed a bit the
definition of standard_sub_basic() to cope with that.

- removed the smb.conf: 'domain admin group' and 'domain guest group'
parameters ! We're not playing anymore with the user's group RIDs !

- in get_domain_user_groups(), if the user's gid is a group, put it first
in the group RID list.

I just have to write an HOWTO now ;-)

        J.F.
(This used to be commit fef52c4b96c987115fb1818c00c2352c67790e50)

remove .headers.stamp from the delheaders definition
It forced a complete build to occur each time the proto are rebuild !

J.F.
(This used to be commit 9866c18193226ec4dc69ccc459f4f9b36610b945)

merge from 2.2
(This used to be commit f1ead192c668abf20f328a691caafd76874c6e47)

merge from 2.2
(This used to be commit c5ee06b7c8fc9f1fec679acc7d7f47f333707456)

commit from 2.2
(This used to be commit 54a453478a087073a51822086bd9f985a5d8cf6a)

put the winbindd krb5 credentials cache in the lock directory
this prevents it clobbering the users cache
(This used to be commit 3de552f365373de85298dbe911143e036805f9ea)

allow a MAX_DEBUG_LEVEL setting in local.h (or the Makefile)

This allows embedded systems to compile out the higher debug
levels. It should gain speed as well as reducing the code
size. Setting it to 1 saves about 300k of code on my system.
(This used to be commit f34cac3b312f273a2363919655ddd1e25cb91305)

added a propoer kerberos_kinit_password call
contribution from remus@snapserver.com

thanks!
(This used to be commit 3ace8f1fcc27492d26f5ad0c3cdfc63235ca0609)

Fixed typo in fix for typo in debug. (-:
(This used to be commit 7c64e5f1481e832767ae07e63d7d9d116131b331)

fix up packaging stuff
(This used to be commit 8f3093fbd092c0ddf38b49c0735308f4f5ba4492)

merge from 2.2

don't set WINBIND variables unless configure was run --with-winbind
(This used to be commit 83ec4c0f4dbfa43c893f18af1c6bb58c55043c9b)

dont add -I./popt to CFLAGS it really belongs in FLAGS1 with other include
paths. This make it hard to use a script that overrides CFLAGS options.
(This used to be commit 646b5ae752f7cd00e057d0d7cc6001161125fd3f)

Added fetch_domain_sid. Not used in current code, but a nice example
of how to use this interface.
Jeremy.
(This used to be commit 291985123515f99bb3fd86605d5b8a08301070a2)

changed the DEBUG level of tdb_pack and tdb_unpack. Instead of 8, it's now
18.

when you're looking at a level 10, and it's all clutered with
tdb_pack/unpack, it's getting .... And anyway most of our code using
tdb_pack/unpack have DEBUG around the call if there is a problem.

J.F.
(This used to be commit 7e20fad5ed00be4594bfc45603db89d600f46c55)

added samr_queryuseralias(). instead of returning BUILTIN_ALIAS_RID_USERS,
now return the alias correctly.

time to look at the netlogon case.

J.F.
(This used to be commit 72ee1791084d09e73d8057e37ced4a79cecffb35)

preparing for release of 3.0alpha1
(This used to be commit b56e8e72d6ae5602be0e3ec36643263f64b6178a)

fixed a return value
(This used to be commit 56bdb152d8617c0a36c0bc25c677a2d98bcb1328)

OK.  Smbpasswd -j is DEAD.

This moves the rest of the functionality into the 'net rpc join' code.

Futhermore, this moves that entire area over to the libsmb codebase, rather
than the crufty old rpc_client stuff.

I have also fixed up the smbpasswd -a -m bug in the process.

We also have a new 'net rpc changetrustpw' that can be called from a
cron-job to regularly change the trust account password, for sites
that run winbind but not smbd.

With a little more work, we can kill rpc_client from smbd entirly!
(It is mostly the domain auth stuff - which I can rework - and the
spoolss stuff that sombody else will need to look over).

Andrew Bartlett
(This used to be commit 575897e879fc175ba702adf245384033342c903d)

Add a couple of extra debugs for the secrets.tdb stuff
(This used to be commit c76c1f6904510d6ecca3453f91433420f22b7bd6)

Ensure we fill in the %U for NTLMSSP connections
(This used to be commit d15ea4fa8e23469f104405c197206e2779461323)

fixed a minor password memory leak
(This used to be commit 5985d7e6eec1eb80d8d7470ee2ceda8981c7410c)

fixed a memory leak
(This used to be commit 45c328800e42ba01c8d6113c0691546804137677)

fix link error
(This used to be commit 58e93a8b7de10f60a1e68570f1bdd6e3d8fa44a5)

handle ldap server down better
(This used to be commit 0d85815c992c6ca77ba64dfb2d7538be4684654d)

added a REALLY gross hack into kerberos_kinit_password so that
winbindd can do a kinit
this will be removed once we have code that gets a tgt
and puts it in a place where cyrus-sasl can see it
(This used to be commit 7d94f1b7365215a020d3678d03d820a7d086174f)

auto-init secrets.tdb
(This used to be commit aff916e543f1c70aa5fe0fc07dda21e772625097)

added timeouts and retries to ldap operations
(This used to be commit 4f004eb54d66b6f811cb2f4791da6c70d77f87c2)

moved the sequence number fetch into the backend, and fetch the
sequence number via ldap when using ads
(This used to be commit 9a084f0bb91883224ad44e2b76417d10c15cce42)

don't double free ldap message lists
(This used to be commit f64612b89bae1148d73555cac00f6019a01f9304)

paranoia fixes in based ldap routines for potential memory leaks
(This used to be commit 13b933104e1389608e4831ca47dd8106ea0c60a5)

fixed another leak - memory usage now seems to be quite small
(This used to be commit a45e3968590a021c1b464db5265a09ba48cb5797)

added very basic ads connection cacheing
(This used to be commit 7de670cd15c1a87dd01ab22d74a7e6cbf5ae6673)

more memory leak fixes
(This used to be commit eb6f0e91ddd2a97a907a569bc60beca99b494884)

plugged most of the memory leaks
(This used to be commit 60b5d4432abd905ee61fe381487ed87139134685)

added the last winbindd/ads backend function

winbindd is now fully functional with a native mode w2k server

now for the memory leaks and speed ...
(This used to be commit fad564c177049eb47e5bf48c98b62281c6348ffc)

finally worked out how to do ldap lookups by binary blobs, so I can
now do searches on SID. This allows me to do a true ldap sid_to_name()
function

one one function to go!
(This used to be commit 7d44aa3915bc88fd2b2f8454f190b11677cbb848)

added functions that convert a ads binary blob to a string (for
searching on SID)
(This used to be commit 31d6d049b30e364e062f108d6f9221bbdc2ebec5)

fixed an off by 1 bug in talloc_asprintf()
(This used to be commit 2b2155beaef17a13c0e867c3dcfe8c323e84a9a3)

Fixed parse_domain_user to be bool.
Jeremy.
(This used to be commit 9563de2ef8c1197f4941671d2fdade7d933c32d0)

Add a new flag for anonymous connections
(This used to be commit 5a96391c75fd13b2fc385aa571244b82bc4736d0)

Make it easier to construct anonymous connections with a new flag and helper
function.
(This used to be commit 61b0f5f4f9788784b0806a9a15cbc6bf1005aa68)

Split out the name resolution code into a seperate function
(This used to be commit b2443f6fca5840584926b7481acf1975507c445e)

Use print_queue_length() by preference if we don't need a queue
as it doesn't do a traversal.
Jeremy.
(This used to be commit 4bf4ee3f14a690592fa2e1b800fc0344522e6b30)

Follow herb's suggestion and don't strdup a string to itself
(This used to be commit d00f461f43558c8ef942df305bcc2c89060b4800)

Follow herb's suggestion and don't strdup a string to itself.
(This used to be commit ea76a687fc2614912fd6b0458622495f9920749e)

merge from 2.2 branch
(This used to be commit 692c23fe86391204161adeb6cf9b8061d0121175)

Improved efficiency of enumerating print queue's under a particular
extreme condition...
Jeremy.
(This used to be commit 425bb0f40526b4eb17a3033892ca907b1d5293a4)

Add a mechinism to allow for sane porting of rpcclient components into the new
'net' command.

This also gets us 'net rpc user add'.

Andrew Bartlett
(This used to be commit 1197689bc56f4b2ca6ffea3b2601b8f6f9f52207)

Ditto on the const religion.
(This used to be commit e1b940c91b748230664544fd9191123247dd1f24)

Const religion for some of the RPC code.
(This used to be commit 64bf8f81c49744fc0653db655e457981f3bcbac2)

Merge from 2.2

If you do not have one more expect than issue when talking to the passwd
program you will not send the last issue.
(This used to be commit 8aafec95cba0e8a002d20c4c0055a01690879f7a)

move proto.h and build_env.h from $(srcdir)/include to $(builddir)/include

tridge, martin, if you think it's wrong , you can revert it.

J.F.
(This used to be commit f057d62aae620b042903dae61a19628cb57aba39)

added a boolean to the group mapping functions to specify if we need or
not the privileges. Usually we don't need them, so the memory is free
early.

lib/util_sid.c: added some helper functions to check an SID.

passdb/passdb.c: renamed local_lookup_rid() to local_lookup_sid() and pass
an RID all the way. If the group doesn't exist on the domain SID,
don't return a faked one as it can collide with a builtin one. Some rpc
structures have been badly designed, they return only rids and force the
client to do subsequent lsa_lookup_sid() on the domain sid and the builtin
sid !

rpc_server/srv_util.c: wrote a new version of get_domain_user_groups().
Only the samr code uses it atm. It uses the group mapping code instead of
a bloody hard coded crap. The netlogon code will use it too, but I have to
do some test first.

J.F.
(This used to be commit 6c87e96149101995b7d049657d5c26eefef37d8c)

Correct message on wbinfo fail to open config file.
Jeremy.
(This used to be commit 9b7182a9da24b53f3501f6562dc66bed67fb9133)

Tidup.
Jeremy.
(This used to be commit 837f2b961b1e7dcd6998f36d58d2059290e89e18)

Put back changes to set errno, which seem to do no harm.
(This used to be commit 3dbb5dfcfb29671f136d1ed6c865362eaf027446)

Fix headers.  This I know is correct.
(This used to be commit 58cfea3c2aba5a8309e4084ec8df0cfcb48a4075)

Fix headers.  This I know is correct.
(This used to be commit 0c22a10d738041b3dc0c92d8ea060a86de769563)

added lookup_groups() to the ads backend

winbindd/ADS can now do initgroups()
(This used to be commit 43edeaca9f3a42699131939ed0d917111f57b678)

added ads_search_dn() and ads_pull_sids()
(This used to be commit bc83d55f4400cdcdfed44622954f11580b6d2f87)

undo
(This used to be commit fc176f15f27686049453552219b56b9de33ceffa)

Implement suggestion from tridge to leave the old tdb_open interface
as it was, and add tdb_open_ex() which takes a log callback.  I guess
this makes more sense since it's a public interface.
(This used to be commit 391a65395e6cdc0300f81eb1072a3366cacd1203)

Better error handling:

 - tdb_open api changed so that you now pass an error handling
   callback when opening the file, so that errors detected during
   opening have somewhere to go.  (All calls from the body of Samba to
   this function go through a wrapper in tdbutil, which has been
   updated.)

 - Clean up logic for deciding how to open tdb.  Emit log messages if
   something goes wrong (e.g. bad magic.)

 - tdbtool now logs errors to stderr.
(This used to be commit 0aa800618eab1043d802c04fb1d125cd07936769)

allow for passwords other than "samba2"

:)
(This used to be commit cee58f10974b55ead68362166d12285568feeb23)

moved lookup_usergroups() into the backend structure
(This used to be commit 689f45d2079d06b09947b2cdd314867df98c938d)

moved init_account_policy() to the right place
(This used to be commit e908f304a26b9f1100e301610151a9334bf117b0)

added a query_user backend
fixed a winbindd crash when the group membership can't be looked up
(This used to be commit 088f4cc5be4a1a38781e4d019146d53993ed8c6f)

typo fix
(This used to be commit 660238adcad8abb3f9a1e67eb81419618db77f3d)

const religion in talloc calls
(This used to be commit ea5d2857217b860da7e53bc6e8ccfe48a2b3620e)

smbpasswd is *ugly*!

However this looks like the best spot to init the account policy db...

(fix segfaults on all local smbpasswd ops)

Andrew Bartlett
(This used to be commit 3f3bb62ba63373c3cdf2495f97c7461ed5b373ef)

winbindd friendly user_in_list code. Tested on a 65k user domain.
Jeremy.
(This used to be commit 5215bcca15f2cfbe438ac62cbaf94afae63ce993)

Add 'net rpc join' to match the ADS equiv.

This kills off the offending code in smbpasswd -j -Uab%c

In the process we have changed from unsing compelatly random passwords
to random, 15 char ascii strings.  While this does produce a decrese in
entropy, it is still vastly greater than we need, considering the application.

In the meantime this allows us to actually *type* the machine account
password duruign debugging.

This code also adds a 'check' step to the join, confirming that the
stored password does indeed do somthing of value :-)

Andrew Bartlett
(This used to be commit c0b7ee6ee547dc7ff798eaf8cb63fbe344073029)