basic howto

include/build_env.h wasn't getting built by default with new rules unless
you did make headers - fixed

added a "use spnego" option

you need to set "use spnego = no" for w2k to be able to join a samba
domain. Otherwise the w2k box will assume we can do kerberos as a KDC

OK I think this does what everyone wants with the .headers.stamp

it gets removed on a make clean
it gets created on a make headers (if it doesn't already exist)

This makes it so I only rebuild everthing once after a make clean and
also so nothing gets rebuilt after jfm does a make headers (proto)

allow nsstest to test any nss module

add smbgroupedit

again an intrusive patch:

- removed the ugly as hell sam_logon_in_ssb variable, I changed a bit the
definition of standard_sub_basic() to cope with that.

- removed the smb.conf: 'domain admin group' and 'domain guest group'
parameters ! We're not playing anymore with the user's group RIDs !

- in get_domain_user_groups(), if the user's gid is a group, put it first
in the group RID list.

I just have to write an HOWTO now ;-)

        J.F.

remove .headers.stamp from the delheaders definition
It forced a complete build to occur each time the proto are rebuild !

J.F.

merge from 2.2

merge from 2.2

commit from 2.2

put the winbindd krb5 credentials cache in the lock directory
this prevents it clobbering the users cache

allow a MAX_DEBUG_LEVEL setting in local.h (or the Makefile)

This allows embedded systems to compile out the higher debug
levels. It should gain speed as well as reducing the code
size. Setting it to 1 saves about 300k of code on my system.

added a propoer kerberos_kinit_password call
contribution from remus@snapserver.com

thanks!

Fixed typo in fix for typo in debug. (-:

fix up packaging stuff

merge from 2.2

don't set WINBIND variables unless configure was run --with-winbind

dont add -I./popt to CFLAGS it really belongs in FLAGS1 with other include
paths. This make it hard to use a script that overrides CFLAGS options.

Added fetch_domain_sid. Not used in current code, but a nice example
of how to use this interface.
Jeremy.

changed the DEBUG level of tdb_pack and tdb_unpack. Instead of 8, it's now
18.

when you're looking at a level 10, and it's all clutered with
tdb_pack/unpack, it's getting .... And anyway most of our code using
tdb_pack/unpack have DEBUG around the call if there is a problem.

J.F.

added samr_queryuseralias(). instead of returning BUILTIN_ALIAS_RID_USERS,
now return the alias correctly.

time to look at the netlogon case.

J.F.

preparing for release of 3.0alpha1

fixed a return value

OK.  Smbpasswd -j is DEAD.

This moves the rest of the functionality into the 'net rpc join' code.

Futhermore, this moves that entire area over to the libsmb codebase, rather
than the crufty old rpc_client stuff.

I have also fixed up the smbpasswd -a -m bug in the process.

We also have a new 'net rpc changetrustpw' that can be called from a
cron-job to regularly change the trust account password, for sites
that run winbind but not smbd.

With a little more work, we can kill rpc_client from smbd entirly!
(It is mostly the domain auth stuff - which I can rework - and the
spoolss stuff that sombody else will need to look over).

Andrew Bartlett

Add a couple of extra debugs for the secrets.tdb stuff

Ensure we fill in the %U for NTLMSSP connections

fixed a minor password memory leak

fixed a memory leak

fix link error

handle ldap server down better

added a REALLY gross hack into kerberos_kinit_password so that
winbindd can do a kinit
this will be removed once we have code that gets a tgt
and puts it in a place where cyrus-sasl can see it

auto-init secrets.tdb

added timeouts and retries to ldap operations

moved the sequence number fetch into the backend, and fetch the
sequence number via ldap when using ads

don't double free ldap message lists

paranoia fixes in based ldap routines for potential memory leaks

fixed another leak - memory usage now seems to be quite small

added very basic ads connection cacheing

more memory leak fixes

plugged most of the memory leaks

added the last winbindd/ads backend function

winbindd is now fully functional with a native mode w2k server

now for the memory leaks and speed ...

finally worked out how to do ldap lookups by binary blobs, so I can
now do searches on SID. This allows me to do a true ldap sid_to_name()
function

one one function to go!

added functions that convert a ads binary blob to a string (for
searching on SID)

fixed an off by 1 bug in talloc_asprintf()

Fixed parse_domain_user to be bool.
Jeremy.

Add a new flag for anonymous connections

Make it easier to construct anonymous connections with a new flag and helper
function.

Split out the name resolution code into a seperate function

Use print_queue_length() by preference if we don't need a queue
as it doesn't do a traversal.
Jeremy.

Follow herb's suggestion and don't strdup a string to itself

Follow herb's suggestion and don't strdup a string to itself.

merge from 2.2 branch

Improved efficiency of enumerating print queue's under a particular
extreme condition...
Jeremy.

Add a mechinism to allow for sane porting of rpcclient components into the new
'net' command.

This also gets us 'net rpc user add'.

Andrew Bartlett

Ditto on the const religion.

Const religion for some of the RPC code.

Merge from 2.2

If you do not have one more expect than issue when talking to the passwd
program you will not send the last issue.

move proto.h and build_env.h from $(srcdir)/include to $(builddir)/include

tridge, martin, if you think it's wrong , you can revert it.

J.F.

added a boolean to the group mapping functions to specify if we need or
not the privileges. Usually we don't need them, so the memory is free
early.

lib/util_sid.c: added some helper functions to check an SID.

passdb/passdb.c: renamed local_lookup_rid() to local_lookup_sid() and pass
an RID all the way. If the group doesn't exist on the domain SID,
don't return a faked one as it can collide with a builtin one. Some rpc
structures have been badly designed, they return only rids and force the
client to do subsequent lsa_lookup_sid() on the domain sid and the builtin
sid !

rpc_server/srv_util.c: wrote a new version of get_domain_user_groups().
Only the samr code uses it atm. It uses the group mapping code instead of
a bloody hard coded crap. The netlogon code will use it too, but I have to
do some test first.

J.F.

Correct message on wbinfo fail to open config file.
Jeremy.

Tidup.
Jeremy.

Put back changes to set errno, which seem to do no harm.

Fix headers.  This I know is correct.

Fix headers.  This I know is correct.

added lookup_groups() to the ads backend

winbindd/ADS can now do initgroups()

added ads_search_dn() and ads_pull_sids()

undo

Implement suggestion from tridge to leave the old tdb_open interface
as it was, and add tdb_open_ex() which takes a log callback.  I guess
this makes more sense since it's a public interface.

Better error handling:

 - tdb_open api changed so that you now pass an error handling
   callback when opening the file, so that errors detected during
   opening have somewhere to go.  (All calls from the body of Samba to
   this function go through a wrapper in tdbutil, which has been
   updated.)

 - Clean up logic for deciding how to open tdb.  Emit log messages if
   something goes wrong (e.g. bad magic.)

 - tdbtool now logs errors to stderr.

allow for passwords other than "samba2"

:)

moved lookup_usergroups() into the backend structure

moved init_account_policy() to the right place

added a query_user backend
fixed a winbindd crash when the group membership can't be looked up

typo fix

const religion in talloc calls

smbpasswd is *ugly*!

However this looks like the best spot to init the account policy db...

(fix segfaults on all local smbpasswd ops)

Andrew Bartlett

winbindd friendly user_in_list code. Tested on a 65k user domain.
Jeremy.

Add 'net rpc join' to match the ADS equiv.

This kills off the offending code in smbpasswd -j -Uab%c

In the process we have changed from unsing compelatly random passwords
to random, 15 char ascii strings.  While this does produce a decrese in
entropy, it is still vastly greater than we need, considering the application.

In the meantime this allows us to actually *type* the machine account
password duruign debugging.

This code also adds a 'check' step to the join, confirming that the
stored password does indeed do somthing of value :-)

Andrew Bartlett

Some changes to the name resolution code in 'net' to allow us to find a
PDC, as well as changes for correctness as per tridge.

Andrew Bartlett

Fix up funtion name, as this finds local, not domain master browsers.
 (as per tridge's instructions)

This comment no longer applies.

Magic file for TDB databases.

Stop using getgrgid() - a very expensive call with winbindd, to look up
a group name.
Jeremy.

Moved name_is_local to the correct place. Ooops.
Jeremy.

Set errno in tdb_open in cases where we detect an error in opening the
database, but no underlying system call sets errno.

The particular case I had was a mangled .tdb, but there are others.
For this one, set EIO.  It's a shame Unix messages aren't more
detailed -- "bad data format" would be better.

Tidyup of lib/username. Add name_is_local fn to determine if name is
winbindd. Getting ready for efficiency fix in group lookups.
Jeremy.

Added error message for ERRdiskfull.

when using non-encrypted password ignore the ntpass variable to
session setup

Added prototypes for new fns. Thanks Elrond.
Jeremy.

added a tdb to store the account policy informations.
You can change them with either usermanager->policies->account
or from a command prompt on NT/W2K: net accounts /domain

we can add a rpc accounts to the net command. As the net_rpc.c is still
empty, I did not start. How should I add command to it ? Should I take the
rpcclient/cmd_xxx functions and call them from there ?

alse changed the SAM_UNK_INFO_3 parser, it's an NTTIME. This one is more
for jeremy ;-)

        J.F.

changed query_dispinfo to query_user_list

put sid_to_name behind the winbindd backend interface
I spent quite a while trying to work out how to make this call
via ldap and failed. I then found that MS servers seem use rpc
for sid_to_name, and it works even when in native mode, I ended
up just implementing it via rpc

added name_to_sid to the backend

const religion

added another ATYPE_

make proto should build winbindd_proto.h as well

This change reworkes the connection code for both rpcclient and net new
'net' untility.

This should make it easier to port rpcclient code across to net.

It also allows SPNEGO (the NTLMSSP subsystem in particular) to work, becouse
it kills off the early destruction of the clear-text password.

Andrew Bartlett

Forgot this one with the last commit...

Andrew Bartlett

added a basic ADS backend to winbind. More work needed, but at
least basic operations work

This is another major rework of the 'net' command.

This time, all the existing functionality has been moved into
'net rap', ready for new commands in the 'net ads' and 'net rpc' categories.

In particular, we hope to have the abilty to autoselect the appropriate
backend to use based on smb.conf or other paramaters.

This will allow 'net user' to work no matter what the remote server.

The new 'net rpc' command will soon gain a 'net rpc join' and a
'net rpc user' based on the existing samba code.

Also in this commit, the connection establishment code has been almost entirly
reworked, and now has some minor sense of sainity to it.
In particular, we can now connect to hosts *other* than localhost!

We also have the ability to state on a per-command basis whether the 'localhost'
is a sane default value.  (A net join, for example, would not be sane against
localhost).

Unfortunetly we have had to make the basic paramaters global variables, but
the 'cli' is not opened and closed on a per-command basis.

Andrew Bartlett