This commit was manufactured by cvs2svn to create branch 'SAMBA_3_0'.

Move tridge's getgrouplist() replacement function from replace.c to a new
'system_smbd.c' file, where it can link with become_root() and unbecome_root(),
and therefore avoiding some nasty 'it workes on linux' bugs.

(The replacement function is implemented in terms of initgroups(), which is
naturally only avaliable to root).

Andrew Bartlett

Add const.

Add 'const'.

Becouse of changes to the meaning of this feild over time, this doesn't
actually work.  Also, the idea of 'loopback winbind' isn't that bad an idea
anyway (potential PDC/BDC applications).

Given all that, remove it...

Andrew Bartlett

The idea of this function is not to touch the argument, so make it const too...

Rework the 'guest account get's RID 501' code again...

This moves it right into the passdb subsystem, where we can do this in
just one (or 2) places.  Due to the fact that this code can be in a tight loop,
I've had to make 'guest account' a 'const' paramater, where % macros cannot be
used.  In any case, if the 'guest account' varies, we are in for some nasty
cases in the other code, so it's useful anyway.

Andrew Bartlett

fix seg fault in _spoolss_enumprinterkey after changes...

add SPOOL_PNPDATA_KEY define

Return access granted in create_user2.

fix small bug in enumprinterdataex due to my changes (still more lurking
though).

Fairly large change to printing code.

* removed support for PHANTOM_DEVMODE printer data

* s/NT_PRINTER_PARAM/REGISTRY_VALUE/g - This was a good bit
  of work.  Everything seems stable, but is not complete.

* support for printer data keys other than PrinterDriverData
  in the store and fetch routines.  Still needs to be plugged
  into the XxxPrinterDataEx() calls.

Tested against NT4.0 & 2k.  Like I said, it's not done, but doesn't
crash so it shouldn't upset anyone (unless you're trying to build
a Samba printer server off of HEAD).  More work to come.  Should
settle by Monday.

jerry

Return the error if get_group_domain_entries() fails.

Make the 'guest account' always have a RID of DOMAIN_USER_RID_GUEST.

Andrew Bartlett

Re-add the last empty item to the NTLMSSP info list, but this time do it
with an empty string, not a NULL pointer...

Also, check for security=ads before giving a kerberos spnego response.

Add some const to the 'in' paramaters for these functions.

Andrew Bartlett

Fix segfault in the new NTLMSSP code.  jmcd:  can you look at this - what
exactly were you trying to do here?

Andrew Bartlett

Merge ... netbios namecache code from APPLIANCE_HEAD.

Tridge suggested a generic caching mechanism for Samba to avoid the
proliferation of little cache files hanging around limpet like in the
locks directory.  Someone should probably implement this at some
stage.

The unused variable was actually needed.  The correct fix is to move
it inside an #ifdef HAVE_ADS to avoid the warning and breaking the
build.  (-:

Rename unknown_0 field in create_user2 reply in the actual struct.

Rename unknown_0 field in create_user2 reply in the actual struct.

Remove 9th place leading zero from some constants.

Removed unused variable.

large set of updates converting some of the textdocs to SGML/DocBook.
I think these were originally from Jelmer, but I've lost
the original message.

Also had some syntax errors in the manpages (does no one regenerate
after making changes to the SGML source?)

Still have some developer specific docs to add from Jelmer in the next
go around....

*** empty log message ***

Fix NTLMSSP challenge command and auth response.  We can now service joins
from win2k AND still use SPNEGO (provided you don't build with kerberos...I
still have to fix that, as we are not properly falling back).

The unknown_0 field in a CREATE_USER2 reply is the access granted.

added comment about a new specversion seen from client.
Device mode size is still the same though.

jerry

unresolved symbols fix for pam_smbpass from Steve L.

Use byteorder.h macros

Bugfix for problem pointed out by Sean Trace <Sean.Trace@aveva.com>. We can't
check for POSIX errors in the blocking lock code as we may have never made
a POSIX call (could have denied lock before POSIX checked).
Jeremy.

Update secrets_fetch_domain_guid to generate and store it if it doesn't exist.
Only does it for PDCs.

Allow ADS PDC to exist

Add lib/util_uuid.c to build.

Code to generate uuids for ADS setups.  Uses our random generator but
conforms to standard OSF/DCE uuid format.

Add lsaqueryinfo2, but keep under "lsaquery" command.  It will autoselect
which lsaqueryinfo to do based in infoclass.  Currently 12 is the only one
that causes a queryinfo2.

Add lsa 0x2e (queryinfo2) client side

Add RESOLVE_DFSPATH to mkdir operations in HEAD.

Use samr connect4, then fall back to samr connect if it fails.  This is
what 2k does.

Add client side support for samr connect4 (0x3e).  Seems to have one
additional parm compared to samr connect, but I've only seen 0x00000002
in that field...

Updated smbcontrol manpage for new printnotify commands.

Jerry, what's the latest on rebuilding doco from source?  I've no idea
whether this actually compiles or not.

Merge some usage info from APPLIANCE_HEAD.

Merge of case fixes from APPLIANCE_HEAD.

Add indent argument to put function name and type on same line -
for satisfying the autoprototyper and abartlet

Update CodingSuggestions to include 'indent' arguments for the samba coding
style

Make 'remote_machine' private to lib/substitute.c, and fix all the user to use
the new accessor functions.

Andrew Bartlett

Fix the %m security bug again - and try to make it harder to reintroduce in
future.

This moves us from fstrcpy() and global variables to 'get' and 'set' functions.

In particular, the 'set' function sainity-checks the input, in the same way as
we always have.

Andrew Bartlett

Adding pdb_xml and pdb_mysql passdb modules.

Added some consts to pdb_test to follow pdb_methods struct more strictly

one line merge from APP_HEAD

delete printer driver fix from APP_HEAD

printing change notification merge from APPLIANCE_HEAD

Samba dependency hell claim's another victim...

Back out last night's patch to to reduce -l dependencies until we can ensure
that *all* configurations/platforms work...

Andrew Bartlett

Merge ... incomplete rffpcnex testing code from APPLIANCE_HEAD.

Hmm, had too many objects added last time in the nmbd changes.  Don't
need all of them.  Hopefully this will fix a few builds.

Patch from Steve Langasek <vorlon@netexpress.net> to split up our -l
dependencies.  This benifits packagers (like debian) becouse then our client
code won't have references to 'server only' libraries.

(In particular, it removes the client dependency on CUPS, which was raised in
a debian bug report).

Andrew Bartlett

Add 'const' to the function prototypes to match the recent commit.

Add some more const :-)

This also makes it a easier to see which paramaters are 'in', and which are
'out'.

Andrew Bartlett

Add const to a pile of const to *DOM_SID paramaters.

Andrew Bartlett

Ooops...forgot to put this in with the new nmbd samlogon response code.
THis should fix the build.

Add AD version of samlogon replies for getdc.  ATM it will only function
if you have an ADS DC.

Add SAMR 0x3e, which is samr_connect4.  Seems to be the same as our
existing connect (which I've been told is really connect2), with one
extra dword.  We've only seen 0x00000002 there...

Try to bind with LDAPv3 if possible.

Andrew Bartlett

Back out idra's change (at his request) - the values in the tdb *should* be
upper cased already.

However, if you created your registry tdb in the very early versions of jerry's
patch, you could find that usrmgr doesn't function.  Simply delete the
registry.tdb, it will be recreated on startup.

Andrew Bartlett

fixed 'net ads chostpass' for new ads structures

when using netbios lookup methods make sure we try any BDCs even if
we get a response from WINS for a PDC, if the PDC isn't responding.

fixed a memory corruption bug in ads_try_dns()

Compile fix for new cli_lsa_enum_trust_dom() argument list.

fixed a memory corruption bug in the wins code

added 'net rpc testjoin' and 'net ads testjoin' commands

unfortuately we don't seem to be able to auto-test the ADS join due to
a rather nasty property of the GSSAPI library.

Spelling fix.

fixed wbinfo -t for netbiosless domains

I must have missed this when I was adding 'const' to these earlier...

Andrew Bartlett

Try to make this easier to debug - display the username that failed.

Andrew Bartlett

This fixes a number of ADS problems, particularly with netbiosless
setups.

- split up the ads structure into logical pieces. This makes it much
  easier to keep things like the authentication realm and the server
  realm separate (they can be different).

- allow ads callers to specify that no sasl bind should be performed
(used by "net ads info" for example)

- fix an error with handing ADS_ERROR_SYSTEM() when errno is 0

- completely rewrote the code for finding the LDAP server. Now try DNS
  methods first, and try all DNS servers returned from the SRV DNS
  query, sorted by closeness to our interfaces (using the same sort code
  as we use in replies from WINS servers). This allows us to cope with
  ADS DCs that are down, and ensures we don't pick one that is on the
  other side of the country unless absolutely necessary.

- recognise dnsRecords as binary when displaying them

- cope with the realm not being configured in smb.conf (work it out
  from the LDAP server)

- look at the trustDirection when looking up trusted domains and don't
  include trusts that trust our domains but we don't trust
  theirs.

- use LDAP to query the alternate (netbios) name for a realm, and make
  sure that both and long and short forms of the name are accepted by
  winbindd. Use the short form by default for listing users/groups.

- rescan the list of trusted domains every 5 minutes in case new trust
  relationships are added while winbindd is running

- include transient trust relationships (ie. C trusts B, B trusts A,
  so C trusts A) in winbindd.

- don't do a gratuituous node status lookup when finding an ADS DC (we
  don't need it and it could fail)

- remove unused sid_to_distinguished_name function

- make sure we find the allternate name of our primary domain when
  operating with a netbiosless ADS DC (using LDAP to do the lookup)

- fixed the rpc trusted domain enumeration to support up to approx
  2000 trusted domains (the old limit was 3)

- use the IP for the remote_machine (%m) macro when the client doesn't
  supply us with a name via a netbios session request (eg. port 445)

- if the client uses SPNEGO then use the machine name from the SPNEGO
  auth packet for remote_machine (%m) macro

- add new 'net ads workgroup' command to find the netbios workgroup
  name for a realm

passwords where not checked (you cannot check if the same buffer differs from itself).
they where alo not clean after use!

Simo.

commented out strupper before key check against internal db, it's no good
to check for uppercased strings when we store them not uppercased.

jerry, this fix is needed to make usrmgr.exe work again.
meanwhile we found out that NT_STATUS code may not be appropriate there.
In particular it seem that an NT PDC will send back 02 as error
(ERRbadfile) not 0xc000000f (NT_STATUS_NO_SUCH_FILE NT)

I think further investigation is need to understand which are aprropriate
return codes here.

Now that I got the function arguments sane, remove the silly (void **) casts
from some of the callers.

Andrew Bartlett

fixed a bug where we were truncating the returned names in a netbios
name status query to 14 bytes, so we could not join a DC who had a
netbios name of 15 bytes in length.

updates the log level parameter man section

can someone regenerate and commit the other formats?
thanks

fix log level, set a default, and also copy the value set in smb.conf into parm_struct.ptr
this one also fixes log level not shown in swat
fix swat help system

Fix length on mailslots.  Looks like it should have been 0x17, not decimal 17.

Escape ampersand(&) to better comply to SGML syntax

Moved rpc client routines from libsmb back to rpc_client where they belong.

Added connect, session_request, session_setup and tconx methods.

Broke out unpacking of a username/password stored in a Python
dictionary into a separate function.

Merge of print notify fixes from APPLIANCE_HEAD.

Fixed compiler warning.

make sure we null terminate plaintext passwords

merge from SAMBA_2_2

forgot to change the makefile system, sorry

Add the current working document on the interface to the tree that we have
*somthing* in the directory.  (Stops cvs update -P eating it).

This is the combined effort of many from #samba-technical, kai, metze,
ctrlsoft, idra and abartlet in particular.  It will no doubt change :-)

Andrew Bartlett

Let everybody enjoy my new toy - make it the default!

Authenticaions will now attempt to use winbind, and only fall back to
'ntdomain' (the old security=domain) code if that fails (for any reason,
including wrong password).

I'll fix up the authenticaion code to better handle the different types of
failures in the near future.

Andrew Bartlett

Winbind updates!

This updates the 'winbind' authentication module and winbind's 'PAM' (actually
netlogon) code to allow smbd to cache connections to the DC.

This is particulary relevent when we need mutex locks already - there is no
parallelism to be gained anyway.

The winbind code authenticates the user, and if successful, passes back the
'info3' struct describing the user.  smbd then interprets that in exactly the
same way as an 'ntdomain' logon.

Also, add parinoia to winbind about null termination.

Andrew Bartlett

Rework parinioa to ensure we never get passwords longer than MAX_PASS_LEN, nor
longer than the buffer they claim to be in.

Many thanks to tridge for explaining the macros.

Andrew Bartlett

fixed the length checking for plaintext passwords (thanks to andrewb
for spotting this)

Don't accidenity mess with the wrong domain's sids.

fix debug, at idra's suggestion.

Andrew Bartlett

Only allow 'security=ads' when we HAVE_ADS.

Andrew Bartlett

support netbiosless search for the DC using ADS in the winbindd AUTH
code.

fixed multi-line strings for portability

make sure we zero the unusued elements in a SID when parsing

added 'disable netbios = yes/no' option, default is no

When this option is disabled we should not do *any* netbios
operations. You should also not start nmbd at all. I have put initial
checks in at the major points we do netbios operations in smbd but
there are bound to be more needed. Right now I've disabled all netbios
name queries, all WINS lookups and node status queries in smbd and
winbindd.

I've been testing this option and the most noticable thing is how much
more responsive things are! wthout those damn netbios timeouts things
certainly are much slicker.