packaging(RHEL-CTDB): bump Release to ctdb.33 for the next build

Michael

packaging(RHEL-CTDB): remove the libnss_wins modules to reduce deps.

Michael

bump version number to 32

Correctly return NULL from messaging_ctdbd_connection if messaging_init failed

Exit smbstatus cleanly if messaging_init fails

Package 32-bit versions of libtalloc into the winbind rpm

Fix README: DOCS_DIR is replaced by DOCS_TARBALL

Bump up version number

packaging(RHEL-CTDB): use /usr/%{_libarch} instead of %{_libdir}

To fix creation of 32bit packges on x86_64

Michael

packaging(RHEL-CTDB): remove duplicate block from spec file.

Michael

packaging(RHEL-CTDB): fix placement and link direction of new shared libs

libwbclient, libtalloc, libtdb, and libnetapi are now installed
into /usr/lib{,64} by their SONAME. The symlink is made from
the .so files to point to the SONAME files (e.g., libtdb.so.1).

Michael

packaging(RHEL-CTDB): bump rpm release to the next version ctdb.29

Michael

packaging(RHEL-CTDB): add "service winbind condrestart" to "%post common"

Michael

packaging(RHEL-CTDB): use "/sbin/service smb" instead of "%{initdir}/smb"

Michael

packaging(RHEL-CTDB): ignore errors from init scripts in pre/post scripts.

Michael

packaging(RHEL-CTDB): in %preun, first stop the service then deactivate

Michael

packaging(RHEL-CTDB): use condrestart instead of restart in %post script

Michael

packaging(RHEL-CTDB): move service smb restart from %postun to %post

What would be the use of restarting a service that has just
been uninstalled...

Michael

packaging(RHEL-CTDB): move "chkconfig --del winbind" to "%preun common"

remains of winbind are being removed from the main package.
also stop the winbind service in the "%preun common" script.

Michael

packaging(RHEL-CTDB): remove winbind init script and its linke from main pkg

Winbind along with its libraries and init script is packaged in the
samba-common rpm.

Michael

packaging: bump the rhel-ctdb rpm releas number to ctbd.28

Michael

Do not call testparm in /etc/init.d/smb

For SOFS, we do know that we have netbios disabled, and testparm in the ctdb
shutdown event locks up due to a locked registry.tdb

keep compatibility with v3-0-ctdb name for fileid:mapping option

update configure.rpm for clustered Samba usage

Add winbind:online check timeout parameter

This is a band-aid for the rather convoluted offline/online mess in winbind
right now. Winbind re-uses the offline functionality that is targeted at domain
client installations on laptops to not overload disfunctional DCs. It uses the
winbind cache timeout as the retry timeout after a DC reboot.

I am using a parametric options because when this mess is cleaned up, that
parameter needs to go away again.

I'd recommend to use something like

winbind:online check timeout = 30

in typical LAN environments. This means a reconnect is attempted every 30
seconds.

Volker

Attempt to fix bug 5684

With the ctdb checkin dde9f3f006 tdb optimized out write lock checks for
write-enabled transaction. Sadly, this also removed the possibility to ever
remove dead records left over from tdb_delete calls within a transaction.

Tridge, please check this! Did dde9f3f006 have any reason beyond performance
optimizations?

Thanks,

Volker

Attempt to fix the build on Irix CC
(cherry picked from commit 666bf8456ac44cbbbd5524af2bf4fd89e18ddf62)

Merge from Herb. print correct test status

Fix bug 5686 - libsmbclient segfaults with more than one SMBCCTX.
Here is a patch to allow many subsystems to be re-initialized. The only
functional change I made was to remove the null context tracking, as the memory
allocated here is designed to be left for the complete lifetime of the program.
Freeing this early (when all smb contexts are destroyed) could crash other
users of talloc.
Jeremy.

use variables for files used in multiple places
(cherry picked from commit cee044bc42d955c535dbb6bb372af01089d37756)

Make sure to always set errno on error path in OpenDir (and hence scan_directory).

Michael

Fix unix_convert() for "*" after changing map_nt_error_from_unix().

map_nt_error_from_unix() now assumes that it is called in
an error path and returns an error even for a given errno == 0.
The original behaviour of unix_convert() used the mapping
of errno == 0 ==> NT_STATUS_OK to return success through
an error path.

I think this must have been an oversight, and unix_convert() worked
only by coincidence (or because explicitly using the knowledge
of the conceptually wrong working of map_nt_error_from_unix().

This patch puts this straight by not interpreting errno == 0
as an error condition and proceeding in that case.

Jeremy - please check!

Michael

I found lots of places where we assume error will be set when calling
one of our virtualised functions, such as db_open(), but error is only
set when a system call fails, and it is not uncommon for us to fail a
function internally without ever making a system call. That led to us
passing back success when a function had in fact failed.

I found two places where we relied on map_nt_error_from_unix()
returning success when errno==0, but lots and lots of places where we
relied on the reverse, so I fixed those two places.

map_nt_error_from_unix() will now always return an error, returning
NT_STATUS_UNSUCCESSFUL if errno is 0
(cherry picked from commit 69d40ca4c1af925d4b0e59ddc69ef8c26e6501d1)

ensure we give an error code to any routines above that are looking
for one

cifs.upcall: negatively instantiate keys on error

When a request-key upcall exits without instantiating a key, the kernel
will negatively instantiate the key with a 60s timeout. Older kernels,
however seem to also link that key into the session keyring. This
behavior can interefere with subsequent mount attempts until the
key times out. The next request_key() call will get this negative key
even if the upcall would have worked the second time.

Fix this by having cifs.upcall negatively instantiate the key itself
with a 1s timeout and don't attach it to the session keyring.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Remove two unused variables

Do not create a new mapping if a domain with an explicit config fails

Make the docs actually build

Thanks to Karolin for the friendly build service :-)

Document idmap rewrite

Some doxygen comments for idmap

Fix prototypes

Remove "idmap alloc config : range" parameter

This was overwritten by "idmap uid/gid" anyway. These are now the range
parameters for the alloc backend.

idmap rewrite

Remove the multi-ID lookup code and the 3.2.0 version of idmap_cache

Directly call backends from idmap_[ugs]_to_[ugs]id

Move the gid2sid cache to the parent winbind process

Move the uid2sid cache to the parent winbind process

WHATSNEW: fix one occurrence of 3.2.0 to say 3.3.0.

Michael

libnetjoin: support kerberized joining/unjoing (fix #5416).

Guenther

netapi: add NetLocalGroupSetMembers example code.

Guenther

netapi: add NetLocalGroupDelMembers example code.

Guenther

netapi: add NetLocalGroupAddMembers example code.

Guenther

netapi: implement NetLocalGroupSetMembers_r().

Guenther

netapi: implement NetLocalGroupDelMembers_r().

Guenther

netapi: implement NetLocalGroupAddMembers_r().

Guenther

netapi: add NetLocalGroup*Member calls to public headers.

Guenther

netapi: add skeleton for NetLocalGroup*Member calls.

Guenther

re-run make idl.

Guenther

netapi: add remaining NetLocalGroup*Member calls to IDL.

Guenther

netapi: add NetUserModalsGet and NetUserModalsSet tests.

Guenther

netapi: implement NetUserModalsSet_r.

Guenther

netapi: implement NetUserModalsGet_r.

Guenther

netapi: add example code for NetUserModalsGet and NetUserModalsSet.

Guenther

netapi: add NetUserModalsGet and NetUserModalsSet to public headers.

Guenther

netapi: add skeleton for NetUserModalsGet and NetUserModalsSet.

Guenther

re-run make idl.

Guenther

netapi: add NetUserModalsSet and NetUserModalsGet to IDL.

Guenther

doserr: add WERR_MEMBER_IN_ALIAS.

Guenther

netapi: add NetApiBufferAllocate.

Guenther

netapi: add ConvertStringSidToSid().

Guenther

netapi: generate the netapi testsuite makefile.

Guenther

fix build warning.

Guenther

Make events robust against their event_context being freed

fix smb_len calculation for chained requests

I think chain_reply() is one of the most tricky parts of Samba. This recursion
needs to go away, we need to sequentially walk the chain list.

Fix andx offset calculation for more than 2 chained requests

Untested code is broken code.... Test follows later, it's quite an intrusive
change to libsmb/

Remove an unused variable, process.c has its static copy

nmbd: add support for delayed initial samlogon packages.

The hosts or networks configured with "init logon delayed hosts"
have their initial samlogon packages (empty username) delayed
by the value configured with "init logon delay" (defaulting
to 100 milliseconds).

This gives the administrator some control over what clients would
consider the preferred logon server: they choose the server that
repsonds most quickly.

Michael

nmbd_packets: make queue_packet() public.

Michael

loadparm: add two parameters "init logon delay hosts" and "init logon delay"

"init logon delays hosts" takes a list of hosts names or addresses
or networks for which the initial SAMLOGON reply should be delayed
(so other DCs get preferred by XP workstations if there are any).
This option takes the same type of list as "hosts allow" does.

"init logon delay" allows one to configure the delay for the hosts
configured for delayed initial samlogon with "init logon delayed hosts".
The value is interpreted as milliseconds. The default value is 100.

This commit only introduces the parameters.
They will be activated in a subsequent commit.

Michael

lib/access: make list_match() public.

Michael

lib/access: make client_match() public.

Michael

One more build fix. Ensure we have KRB5_AUTH_CONTEXT_USE_SUBKEY defined before we compile the new code.
Jeremy.

Try and fix the build for systems that don't have krb5_auth_con_set_req_cksumtype().
Jeremy.

Merge branch 'v3-3-test' of ssh://jra@git.samba.org/data/git/samba into v3-3-test

Add Derrick Schommer's <dschommer@F5.com> kerberos delegation patch. Some
work by me and advice by Love.
Jeremy.

build: fix a no previous prototype warning when building without ldap/gssapia

move prototype of dns_create_update_request() to appropriate section in dns.h

Michael

libnet samsync ldif: fix the build without LDAP.

Michael

using NGROUPS_MAX instead of 32 for the max group value in rep_initgroups() subroutine in lib/replace/replace.c

Add simple async wrappers around send, recv and connect

To be used later :-)

Fix bug #5675 with a varient of Tim Waugh's patch,
as proposed by James Peach.
Jeremy.

Fix "might be used uninitialized" warnings.
Jeremy.

Fix a build failure on host sunX

Solve an IBM XL C/C++ compiler error encountered in get_exit_code() auth_errors array initialization in client/smbspool.c

WHATSNEW: Start WHATSNEW for 3.3.0pre1.

Karolin

libnetapi: fix build of shared library after libnet_join changes.

This needs create_builtin_administrators() and create_builtin_users()
from token_utils now. Did not pop up because the only users of the
shared lib currently are the examples in lib/netapi/examples/
which are not automatically built.

Michael

fixed permissions on ctdb databases

fixed a fd leak when trying to regain contact to a domain controller
in winbind

When a w2k3 DC is rebooted the 139/445 ports come up before the
udp/389 cldap port. During this brief period, winbind manages to
connect to 139/445 but not to udp 389. It then enters a tight loop
where it leaks one fd each time. In a couple of seconds it runs out of
file descriptors, and leaves winbind crippled after the DC does
finally come up

dbwrap: add comment describing behaviour of dbwrap_change_int32_atomic().

Michael

secrets: fix replacemend random seed generator (security issue).

This is a regression introduced by the change to dbwrap.
The replacement dbwrap_change_int32_atomic() does not
correctly mimic the behaviour of tdb_change_int32_atomic():
The intended behaviour is to use *oldval  as an initial
value when the entry does not yet exist in the db and to
return the old value in *oldval.

The effect was that:
1. get_rand_seed() always returns sys_getpid() in *new_seed
   instead of the incremented seed from the secrets.tdb.
2. the seed stored in the tdb is always starting at 0 instead
   of sys_getpid() + 1 and incremented in subsequent calls.

In principle this is a security issue, but i think the danger is
low, since this is only used as a fallback when there is no useable
/dev/urandom, and this is at most called on startup or via
reinit_after_fork.

Michael

dbwrap: add comment describing behaviour of dbwrap_change_uint32_atomic().

Michael