net: now that "net rpc user" uses netapi calls exclusivly, net rpc shell needs
to use netapi as well.

Guenther

net: use netapi for "net rpc user info" to enumerate user group membership.

Guenther

netapi: implement NetUserGetGroups_r.

Guenther

netapi: add NetUserGetGroups example code.

Guenther

netapi: add NetUserGetGroups to public headers.

Guenther

netapi: fix NetUserSetInfo return code for currently unsupported levels.

Guenther

netapi: add skeleton for NetUserGetGroups.

Guenther

re-run make idl.

Guenther

netapi: add NetUserGetGroups to IDL.

Guenther

net: use netapi function to set user password.

Guenther

net: use netapi function to list users.

Guenther

netapi: support level 1014 in NetUserSetInfo.

Guenther

netapi: support level 1024 in NetUserSetInfo.

Guenther

netapi: support level 1051 in NetUserSetInfo.

Guenther

netapi: support level 1053 in NetUserSetInfo.

Guenther

netapi: support level 1052 in NetUserSetInfo.

Guenther

re-run make idl.

Guenther

netapi: add usriX_profile/usriX_home_dir_drive/usriX_primary_group_id to USER_INFO_X in IDL.

Guenther

netapi: support level 1006 in NetUserSetInfo.

Guenther

netapi: support level 1012 in NetUserSetInfo.

Guenther

netapi: fix acct_flags handling in convert_USER_INFO_X_to_samr_user_info21.

Guenther

netapi: support level 1009 in NetUserSetInfo.

Guenther

netapi: support level 1011 in NetUserSetInfo.

Guenther

netapi: fix convert_USER_INFO_X_to_samr_user_info21.

Guenther

netapi: support level 1003 in NetUserSetInfo.

Guenther

netapi: process level 1003 in construct_USER_INFO_X as well.

Guenther

netapi: make set_user_info_USER_INFO_X a separate function.

Guenther

netapi: add more infolevels to NetUserSetInfo example.

Guenther

netapi: add ENCRYPTED_PWLEN to public header.

Guenther

re-run make idl.

Guenther

netapi: fix ENCRYPTED_PWLEN in IDL.

Guenther

netapi: add all USER_INFO structs to public header.

Guenther

net: use netapi for rpc_user_rename.

Guenther

kerberos: fix HAVE_KRB5 related build issue.

Guenther

kerberos: use KRB5_KT_KEY macro where appropriate.

Guenther

kerberos: add KRB5_KT_KEY abstraction macro.

Guenther

kerberos: move the KRB5_KEY* macros to header file.

Guenther

Clarify usage of "force create mode".
Jeremy.

Remove cli_request_get()

req->private_data==NULL at this point is definitely a bug.

Add async smbecho client support

Add cli_request->recv_helper

Necessary for requests with multiple replies

Activate code to enable chained requests

Add the CHAIN1 torture test

This adds the code to allow chained requests in libsmb/

This is not compiled yet, but it makes the patches much easier to read if it is
add in bulk.

Move "struct cli_request" from client.h to async_smb.h

Also add some comments

Add cli_pull_reply

Along the lines of cli_request_send this abstracts away the smb-level buffer
handling when parsing replies we got from the server.

Remove cli->event_ctx, pass it explicitly

Storing the event_context as permanent state in struct cli_state creates more
complex code than necessary IMO.

Add async open&x

Add async cli_close

Refactoring: Add the routine cli_request_send()

cli_request_send() is supposed to bundle all generic SMB-header handling. This
makes cli_request_new static to async_smb.c.

winbindd: fix invalid sid copy (hit when enumerating sibling domains).

Guenther

Fix the wcache_invalidate_samlogon calls.
Jeremy.

Correct the netsamlogon_clear_cached_user function.

Add st_birthtime and friends for accurate create times on systems that support it (*BSD and MacOSX).
Should have done this ages ago, sorry.
Jeremy.

mount.cifs: unclear error message with "credentials"

Thanks to Christophe Curis for the suggestion

Be explicit about setting perms for the ldb. Helps others who may use this api.
Jeremy.

ldb: Fix permissions of new ldg files.

This one fixes together with 2eaf4ed62 bug #5715 and CVE-2008-3789.

Thanks to Steve Langasek <vorlon@debian.org> for reporting!

Karolin
(cherry picked from commit b666d0a4b597218f5f5020bf36d80d84dcbf7259)

ldb: Fix permissions of group_mapping.ldb.

This one fixes bug #5715 and CVE-2008-3789.
(cherry picked from commit a94f44c49f668fcf12f4566777a668043326bf97)

Fix bug spotted by Simo - don't use legacy if expired entry.
Jeremy.

Don't ask winbindd if we got a -ve cache entry.
Jeremy.

Fix the build :-(. Ask winbindd if we find a negative cache entry (or should
we just call the legacy function ?).
Jeremy.

Get smbd to look (read-only) into the winbindd cache for uid/gid <--> sid mappings.
Jeremy.

Increase the default positive idmap cache time to a week

Move idmap_cache.c from winbindd/ to lib/

run make idl after idl change "Handle arbitrary new PAC types"

Michael

Handle arbitrary new PAC types

When MS introduces a new PAC type, we should just ignore it, not
generate a parse error. New PAC info structures are supposed to be
backwards compatible with old ones

EINVAL is also a valid error return, meaning "this filesystem
cannot do sendfile for this file"

become root for AIO operations

We need to become root for AIO read and write to allow the AIO thread
to send a completion signal to the parent process when the IO
completes

Avoid a race condition in glibc between AIO and setresuid().

See this test: http://samba.org/~tridge/junkcode/aio_uid.c

The problem is that setresuid() tries to be clever about threads, and
tries to change the euid of any threads that are running. If a AIO read
or write completes while this is going on then the signal from the thread
where the IO completed is lost, as it gets -1/EPERM from rt_sigqueueinfo()

The simplest fix is to try to use setreuid() instead of setresuid(),
as setreuid() doesn't try to be clever. Unfortunately this also means
we must use become_root()/unbecome_root() in the aio code.

fixed an errno handling bug that could lead to an infinite loop

fixed tsmsm_sendfile(). The logic was totally broken.

build: make sure to create CODEPAGEDIR and MODULESDIR.

Guenther

Fix bug 4516, no IPv6 on Solaris 2.6.

winbindd: use set_auth_errors() in winbindd_dual_check_machine_acct as well.

Guenther

winbindd: move set_auth_errors to util functions.

Guenther

winbindd: only create machine pwd change event when in primary domain child.

Guenther

auth: Fix build warning.

Guenther

Fix some nonempty blank lines

Fix some C++ warnings

Revert "Protect against short read&x replies"

This reverts commit 4ed73cbbbeff4b554cc8d28252b756241396b3a1.

... how did this end up here??

Volker

Protect against short read&x replies

Fix some nonempty blank lines

Use talloc_stackframe() in machine_password_change_handler

Fix a memleak in calculate_next_machine_pwd_change

winbindd: add event based machine password change.

Guenther

Don't re-initialize a token when we already have one. This fixes the build farm failures when winbindd connects as guest.
This one took a *lot* of tracking down :-).
Jeremy.

idmap_gid_to_sid: Fix a cut-a-npaste error.

The call was looking up a uid and not gid in the cache.

winbindd: Fix crash in cm_connect_sam()

Fix segv when talking to parent DC (joined to child domain).

The root cause was

(a) storing the parent domain in the cli_state struct caused
    the NTLMSSP pipe bind to fail which made us fallover to
    the schannel code path
(b) the dcinfo pointer in cm_get_schannel_dcinfo() was returning
    NULL even though the function indicated success.

cifs.upcall: bump SPNEGO msg version number and don't reject old versions

When we added the ability for the kernel to send sec=mskrb5 to the
upcall, we subtly broke old cifs.upcall versions that don't understand
it. Bump the spnego message version to 2 to make this clear. Also,
change cifs.upcall to not reject requests with a version that's lower
than the current one, and to send the reply with the same version that
the request sent. The idea is to try and keep cifs.upcall backward
compatible with old kernels.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

manpages: Add documentation for new 'net rpc vampire' subcommands.

Karolin

net: Add missing colon to unify usage messages.

Karolin

manpages: Add manpage for "init logon delayed hosts".

Karolin

manpages: Add manpage for "init logon delay".

Karolin

loadparm: idmap backend is not depracated any longer.

Karolin

cifs.upcall: fix build warning

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: enable building by default on linux

When building on linux, default to building cifs.upcall. Throw a
warning if ADS support is disabled or keyutils isn't installed.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: move default install location to EPREFIX/sbin

cifs.upcall links to libraries that live under /usr, so installing it
in /sbin doesn't seem appropriate. Move it to EPREFIX/sbin instead
(i.e. /usr/sbin).

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: handle MSKRB5 OID properly

When the kernel sends the upcall a sec=mskrb5 parameter, that means
the the MSKRB5 OID is preferred by the server. This patch fixes the
upcall to use that OID in place of the "normal" krb5 OID when it
gets a sec=mskrb5 parameter.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Acked-by: Steve French <smfrench@gmail.com>

mount.cifs: don't prompt for password on krb5 mounts

krb5 mounts require that the user already have a valid krb5 ticket.
Since we can't currently use the password entered, don't prompt for it.

Also, switch to using strncmp instead of strcmp here.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Fix broken net rpc join message when DC can't be found. Ensure we pass in a domain name.
Jeremy.

rpc_server: make it a little more obvious what flags we send to a client.

Guenther