Fix swatdir location for --with-fhs

starting new version of release notes -- post 3.0.2pre1

fix some warnings from the Sun compiler

Romve debugging assertions (oops...)

Andrew Bartlett

Add a new type of name lookup 'ads'.  This seperates this from normal
hostname lookups, and ensures that we don't lookup 'short' (ie NetBIOS)
domain names in DNS.

Andrew Bartlett

Use StrCaseCmp, not strcasecmp. Should fix winbind build on IRIX

fix segfault when sid_ptr == 0 in DsEnumDomainTrusts() reply

fix a seg fault caused by abartlet's last checkin; there's no way this could have been tested against an NT4 DC

We might not have the 'samba' directory in the samba_3_0 build.

Andrew Bartlett

use SAFE_FREE(), not free().

Andrew Bartlett

This merges in my 'always use ADS' patch.  Tested on a mix of NT and ADS
domains, this patch ensures that we always use the ADS backend when
security=ADS, and the remote server is capable.

The routines used for this behaviour have been upgraded to modern Samba
codeing standards.

This is a change in behaviour for mixed mode domains, and if the trusted
domain cannot be reached with our current krb5.conf file, we will show
that domain as disconnected.

This is in line with existing behaviour for native mode domains, and for
our primary domain.

As a consequence of testing this patch, I found that our kerberos error
handling was well below par - we would often throw away useful error
values.  These changes move more routines to ADS_STATUS to return
kerberos errors.

Also found when valgrinding the setup, fix a few memory leaks.

While sniffing the resultant connections, I noticed we would query our
list of trusted domains twice - so I have reworked some of the code to
avoid that.

Andrew Bartlett

In tdb_allocate(), we would create a new record by writing a local variable
'newrec' into the tdb.

This was not initialised, so valgrind warned about it.

(Note:  valgrind only makes sense on tdbs with 'mmap = no' in your smb.conf)

Andrew Bartlett

Make it clearer that the domain here is the domain of the user for
authentication.

Andrew Bartlett

Move more of winbind to use 'find_our_domain()' rather than the dangerous
find_domain_from_name(lp_workgroup()).

(as find_domain_from_name() can change the data in lp_workgroup())

Andrew Bartlett

The correct test for 'is our primary domain' is domain->primary

Machines are people too!

While machine accounts cannot use an NTLM login (NT4 style), they are
otherwise full and valid members of the domain, and expect to be able to
use kerberos to connect to CIFS servers.

This means that the LocalSystem account, used by various services, can
perform things like backups, without the admin needing to enter further
passwords.

This particular issue (bug 722) has started to come up a lot on the lists.

I have only enabled it for winbindd-based systems, as the macros use use
to call the 'add user script' will strip the $ from the username for
security reasons.

Andrew Bartlett

Fix for bug #922. Fast path not called for strlower_m() and strupper_m().
From ab@samba.org (Alexander Bokovoy).
Jeremy.

Typo fix.

rafal

Doxygen comment fix.

rafal

Fix from Justin Baugh <justin.baugh@request.com> for bugid #948 for
FreeBSD winbindd.
Jeremy.

commiting jra's fix for Exchange clear test auth

Fix from Luke Howard <lukeh@PADL.COM> for incorrect early free().
Jeremy.

Don't duplicate pulling the 'IPC' username from secrets.tdb, instead
just use one function for both places.

Andrew Bartlett

There is a German translation of swat -- surprise :-)

Fix some msgs

Volker

Add smbget utility, a simple wget-like utility that uses libsmbclient.
Supports recursive downloads and resume, progress indication and shows
estimated time remaining.

Fix segfualt caused by incorrect configuration.  If lp_realm() was not set,
but security=ADS, we would attempt to free the principal name that krb5
never allocated.

Also fix the dump_data() of the session key, now that we use a data_blob to
store that.

Andrew Bartlett

Patch penguin. Cleaning out old mbp patch.
Jeremy.

more commits logged

Write bug number like in the rest of the file

Fix -s option to smbcontrol (#908)

remove unused seek_file(); don't hardcode '\' when printing the auth-user

bumping to 3.0.2pre2

more commit logs

* making sure contributors are listed in alphabetical order
* adding jra's fix for bug 815

isolate ldap debug messages to the common smbldap_XXX() functions

XFS quota patch from Stefan Metzmacher <metze@metzemix.de>.
Jeremy.

Updates for pread/pwrite code.
Jeremy.

Correctly detect AFS headers on SuSE in /usr/include/afs/afs/

Volker

fix case in objectclass name (not that it really matters); patch from Darren Chew <darrenc@vicscouts.asn.au>

Patch by Stefan Metzmacher <metze@metzemix.de>:

here's a small fix that fixes the new quota system on irix.

I need to reanable XFS quotas on irix for the new quota system
(Jerry do you want to wait for this for the release ?)

But the old system works and is the default on irix!

Fix typo..

Volker

Patch based on work from James Peach <jpeach@sgi.com> to convert over to
using pread/pwrite. Modified a little to ensure fsp->pos is correct.
Fix for #889.
Jeremy.

Ensure that for wbinfo --set-auth-user, we actually use the domain.

Andrew Bartlett

cifs mount helper merge

working on new format for relerase notes in 3.0.2pre1

Fix more cases to ensure that as a server, we don't complain to the client
about our server-side lack of session key.

Andrew Bartlett

Added last missing file.
Jeremy.

Oops. Broke the build. Added missing files.
Jeremy.

Fix from James Flemer <jflemer@uvm.edu> to make HAVE_ATTR_LIST linked to
HAVE_SYS_ATTRIBUTES_H to fix AIX compile.
Jeremy.

fix inverted check using krb5_kt_resolve() and HAVE_MEMORY_KEYTAB; bug 912

Patch from Stefan (metze) Metzmacher <metze at metzemix.de> to revert to 2.2.x quota methods.

:-).

"here's a patch which ports the samba 2.2 samba_linux_quota.h stuff to 3_0.

This is needed because of so many broken quota files outthere.

Please, test this with old, new kernels
(strucr dqblk, struct mem_dqblk, and struct if_dqblk)
, quota.user, aquota.user formats

what is when a user is over soft quota and over hard quotas..."

Jeremy.

Ensure we set "always sign" flag if set. We don't currently do anything with
this but we should log the fact it was negotiated.
Jeremy.

Fix warning

Volker

Don't free the encrypted_session_key early - that causes the subsequent
test for a valid length to fail...

This should fix 'security=server' and hosts-equiv failures picked up by
the build farm.

Andrew Bartlett

shorten some more lines.

Try to keep vl happy - shorten some of these lines.

Grumble... grumble... fix the build...

Show the sid type in name->sid translatons in a way that can be easily
understood by humans.

Andrew Bartlett

Always call the auto-init funciton - this avoids tdb segfaulting under
us if we failed to open it earlier.

Andrew Bartlett

Correctly handle per-pipe NTLMSSP inside a NULL session.  Previously we
would attempt to supply a password to the 'inside' NTLMSSP, which the
remote side naturally rejected.

Andrew Bartlett

Change our Domain controller lookup routines to more carefully seperate
DNS names (realms) from NetBIOS domain names.

Until now, we would experience delays as we broadcast lookups for DNS names
onto the local network segments.

Now if DNS comes back negative, we fall straight back to looking up the
short name.

Andrew Bartlett

Fix typo in RW2 torture test.  Closes bugzilla bug #924.

Add const.

There is some memory corruption hidden somewhere in our winbind code.  If I
could reproduce it, I would fix it, but for now just make sure we always
SAFE_FREE() and set our starting pointers to NULL.

Andrew Bartlett

Change (unused) structure parameter for cli_ds_enum_domain_trusts() cleanup.

rpc_client/cli_lsarpc.c:
rpc_parse/parse_lsa.c:
nsswitch/winbindd_rpc.c:
nsswitch/winbindd.h:
 - Add const

libads/ads_ldap.c:
 - Cleanup function for use

nsswitch/winbindd_ads.c:
 - Use new utility function ads_sid_to_dn
 - Don't search for 'dn=', rather call the ads_search_retry_dn()

nsswitch/winbindd_ads.c:
include/rpc_ds.h:
rpc_client/cli_ds.c:
 - Fixup braindamage in cli_ds_enum_domain_trusts():
    - This function was returning a UNISTR2 up to the caller, and
      was doing nasty (invalid, per valgrind) things with memcpy()
    - Create a new structure that represents this informaiton in a useful way
      and use talloc.

Andrew Bartlett

Fix for bug 707, getent group for huge ads groups (>1500 members)
This introduces range retrieval of ADS attributes.

VL rewrote most of Günther's patch, partly to remove code duplication and
partly to get the retrieval of members in one rush, not interrupted by the
lookups for the DN.

I rewrote that patch, to ensure that we can keep an eye on the USN
(sequence number) of the entry - this allows us to ensure the read was
atomic.

In particular, the range retrieval is now generic, for strings.  It
could easily be made generic for any attribute type, if need be.

Andrew Bartlett

I'm not quite sure what happened here - but replace the ads_sid_to_dn
function with one that compiles.

Andrew Bartlett

We can't possilby get 'ok' here, as the if statement above just checked for it.

Make arbitary binary data unsigned char.

Add a utilty function for converting a sid to a DN.

Andrew Bartlett

Make it clear that we cannot sign if we don't have a session key.

Automaticly initialise the signing engine, if we have a session key.

- Put functions for generating SQL queries in pdb_sql.c
- Add pgSQL backend (based on patch by Hamish Friedlander)
- Use query generate functions from pdb_mysql and pdb_pgsql
- Only pdb_pgsql.c needs to be changed whenever the fields in SAM_ACCOUNT change

Commit the translation of the realm to the netbios domain name in the kerberos
session setup. After talking to jht and abartlet I made this unconditional, no
additional parameter.

Jerry: This is a change in behaviour, but I think it is necessary.

Volker

Even if the 'device type' is always an ascii string, use push_string to get
it out onto the wire.  Avoids valgrind warnings because the fstrcpy() causes
part of the wire buffer to be 'marked'.

Andrew Bartlett

And yet another const

Volker

There is not a particularly good excuse for complaining to the *client* that
it sent 'INVALID_PARAMETER', when it was us as the server that could not
come up with a session key.  Instead, allow normal authentication to take
place, but do not setup a session key.

Andrew Bartlett

Match Win2k, and return NT_STATUS_INVALID_PARAMETER
if this parameter is not an account type

Andrew Bartlett

Under certain error conditions (a talloc() failure above) this would cause
a double-free(), and the resultant malloc heap corruption.

This may be one of our lurking winbind segfaults.

Andrew Bartlett

Having no members of a group is a perfectly valid (if unusual) situation.

Andrew Bartlett

JHT came up with a nasty (broken) torture case in preparing examples for
his book.

This prompted me to look at the code that reads the unix group list.  This
code did a lot of name -> uid -> name -> sid translations, which caused
problems.  Instead, we now do just name->sid

I also cleaned up some interfaces, and client tools.

Andrew Bartlett

After talking with abartlet remove the fix for bug 707 again.

Volker

Fix for bug 707, getent group for huge ads groups (>1500 members)
This introduces range retrieval of ADS attributes.

I've rewritten most of Günther's patch, partly to remove code duplication and
partly to get the retrieval of members in one rush, not interrupted by the
lookups for the DN.

Andrew, you told me that you would like to see a check whether the AD sequence
number is the same before and after the retrieval to achieve atomicity. This
would be trivial to add, but I'm not sure that we want this, as this adds two
roundtrips to every membership query. We can not know before the first query
whether we get additional range values, and at that point it's too late to ask
for the USN.

Tested with a group of 4000 members along with lots of small groups.

Volker

Changes to our PAM code to cope with the fact that we can't handle some
domains (in particular, the domain of the current machine, if it is not a PDC)

By changing the error codes, we now return values that PAM can correctly
use for better stacking of PAM modules - in particular of the password change
module.

This allows pam_winbind to co-exist with other pam modules for password changes.

Andrew Bartlett

Forgot to commit this for the 'get our primary domain' change.

Jerry rightly complained that we can't assume that the first domain is
our primary domain - new domains are added to the front of the list. :-(

Use a much more reliable 'flag test' instead.  (note:  changes winbind structures, make clean).

Andrew Bartlett

auth/auth_util.c:
 - Fill in the 'backup' idea of a domain, if the DC didn't supply one.  This
   doesn't seem to occour in reality, hence why we missed the typo.

lib/charcnv.c:
lib/smbldap.c:
libads/ldap.c:
libsmb/libsmbclient.c:
printing/nt_printing.c:
 - all the callers to pull_utf8_allocate() pass a char ** as the first
   parammeter, so don't make them all cast it to a void **

nsswitch/winbind_util.c:
 - Allow for a more 'correct' view of when usernames should be qualified
   in winbindd.  If we are a PDC, or have 'winbind trusted domains only',
   then for the authentication returns stip the domain portion.
 - Fix valgrind warning about use of free()ed name when looking up our
   local domain.  lp_workgroup() is maniplated inside a procedure that
   uses it's former value.  Instead, use the fact that our local domain is
   always the first in the list.

Andrew Bartlett

Get the DOMAIN\username around the right way (I had username\domain...)

Push the unix username into utf8 for it's trip across the socket.

Andrew Bartlett

Move to short lived TALLOC_CTX* for allocating printer
objects from the print handle cache.   Fixes bug that
caused smbd to consume large amounts of RAM when

(a) a printer handle was kept open over an extended
    period of time, and
(b) the client issued frequent requests that resulted
    in a call to get_a_printer()

Another little one: Make pdb_test.c at least compile, although its way out of
date.

Volker

The AFS pts command always generates completely lower-case user names. As case
is not significant in windows user names we should not lose information by
lower-casing the name before handing it to AFS.

Volker

Fix Bug # 924

Volker

Try to gain a bit more consistancy in the output of usernames from ntlm_auth:

Instead of returning a name in DOMAIN\user format, we now return it in the
same way that nsswtich does - following the rules of 'winbind use default
domain', in the correct case and with the correct seperator.

This should help sites who are using Squid or the new SASL code I'm working
on, to match back to their unix usernames.

Andrew Bartlett

Make the name of the NTLMSSP client more consistant before we lock it in stone.

Remove testing hack

Move our basic password checking code from inside the authentication
subsystem into a seperate file - ntlm_check.c.

This allows us to call these routines from ntlm_auth.  The purpose of this
exercise is to allow ntlm_auth (when operating as an NTLMSSP server) to
avoid talking to winbind.  This should allow for easier debugging.

ntlm_auth itself has been reorgainised, so as to share more code between
the SPNEGO-wrapped and 'raw' NTLMSSP modes.  A new 'client' NTLMSSP mode
has been added, for use with a Cyrus-SASL module I am writing (based on vl's
work)

Andrew Bartlett

Refactor our authentication and authentication testing code.

The next move will be to remove our password checking code from the SAM
authentication backend, and into a file where other parts of samba can use
it.

The ntlm_auth changes provide for better use of common code.

Andrew Bartlett

Add the alignment required before all 2-byte quantities in NDR.  Allows us
to correctly parse plaintext netlogon calls with odd-length passwords

Andrew Bartlett

Shutting down the connection closes outstanding sessions, so we don't need
to do it twice...

Amdrew Bartlett