Fix typos.

Volker

Mention security=ads in introductory paragraph too

fix bug #281 by surrounding pdb_getgrgid() with become/unbecome_root()

adding '.' special name to --domain to mean our domain

adding missing options (mine) to wbinfo

Update upgrading docs

Improve MySQL library detection, add support for MySQL 4

not used

add --domain=DOMAINNAME to wbinfo

Add support for geting the sequence number, list of users, and list
of groups for a specific domain (assuming on reported back by
wbinfo -m)

wbinfo -u --domain=DOA

We get the server and workgroup list only over port 139. Fall back to that
and if NetBIOS over TCP/IP is disabled, give an error message.

Fixes Bug #284

Volker

Fix style

Store the server domain from the ntlmssp challenge in the client struct
to be able to ask a LMB for the servers in its workgroup. Against
W2k this only works on port 139....

Volker

fix MS-DFS (my bug)  stupid return code error that cose me more time
that I would like to admit.

fix for BUG #267 (problem with supplementary groups).
Use winbindd to get the group list if possible since we already
know it from netsamlogon_cache.tdb. More effecient than letting
libc call getgrent() to get seconary groups.

Tested by Ken Cross.

updating smb.conf manpage to reflect changes in ./configure options

fix 2 bugs:

  1)  don't ask trusted DC's for a list of trusted domains.  This causes
      us to treat non-transitive ones as if they were transitive.  Not
      needed anyways

  2)  Fix dc lookup bug where we would always try to use DNS to resolve
      the DC's for a domain (even if it was a trusted NT4 domain).

Format tidyup.
Jeremy.

Turn on client ntlmv2 by default.
Jeremy.

RPC fix from Ronan Waide <waider@waider.ie>. Tested with rpcecho.
Jeremy.

need to be able to connect to a domain member as a local account; don't always map to the domain name

need to make sure that the connection struct mem_ctx is initialized and destroyed

Added by request of "Stefan (metze) Metzmacher" <metze@metzemix.de>.
Jeremy.

Test modules for shadow copy by "Stefan (metze) Metzmacher" <metze@metzemix.de>.
Jeremy.

Shadow copy API - Original work by "Ken Cross" <kcross@nssolutions.com>, adapted
into a patch by "Stefan (metze) Metzmacher" <metze@metzemix.de>.
Jeremy.

An oplock break reply from the client causes the sequence number to be
updated by 2 if there is no open reply outstanding, else by one....
Yes - this makes no sense....
Jeremy.

adding generic docs for defining VFS module options

Turns out I had my packet sequences wrong for oplock break code.
I was storing the mid of the oplock break - I should have been
storing the mid from the open. There are thus 2 types of deferred
packet sequence returns - ones that increment the sequence number
(returns from oplock causing opens) and ones that don't (change notify
returns etc). Running with signing forced on does lead to some
interesting tests :-).
Jeremy.

Cosmetic fix from waider@waider.ie.
Jeremy.

Patch from waider@waider.ie to print out Port Type.
Jeremy.

Ensure smbclient obeys -s smb.conf option.
Jeremy.

Reversed replacement. Oops.
Jeremy.

Anal formatting tidyup :-).
Jeremy.

Get rid of MAXPATHLEN, move to standard PATH_MAX.
Jeremy.

fix bug #208; have to get the gid of the user's primary group for %G

rework winbindd_accountdb_init() to reduce error messages in the log

When doing 'net groupmap add', default to algorithmic mapping for the rid.

Volker

Spelling.

oops; fix typo.  Noticed by gcc warning

fix bug #245; local_lookupsid() needed to make a getpwuid() call to get the username instead of making up unix_user.##

Changes to make gss-spnego ntlmssp client work against W2k AD.

Now I know where the mechListMIC changes came from: Ethereal ;-)

Volker

Fix unused variable warning.

Memory leak fix for create_rpc_bind_req()

More patches from Brett:

  - remove 'if(mem_ctx)' tests prior to 'talloc_destroy' call to make
consistent with other modules; 'talloc_destroy' already test for NULL
anyway.

  - initialize PyObject* result pointers to NULL in function
declarations; enables removal of redundant NULL assignments.

  - use local scope TALLOC_CTX in lsa_lookup_names to prevent unbounded
memory growth during python policy object lifetime.

  - change context name string used in lsa_lookup_sids from
'lsa_open_policy' to 'lsa_lookup_sids' (cut'npaste oversight from
previous patch)

  - change docstring to match module name (apparently another cut'npaste
situation)

Fix memory leak in py_smb_set_setdesc()

Consistency fixups in py_smb_query_secdesc()

Thanks to Brett A. Funderburg for these patches.

Fix up #defines around utmp_host and utmp_name. Noticed by Cord.Hockemeyer@uni-graz.at
Jeremy.

Output message saying "signed connect" instead of just connect when signing
is active.
Jeremy.

Fix oplock break detection code on incoming oplock break responses. This
fixes signing for oplocks.
Jeremy.

Removed duplicated file, no longer in use. Note: profiles.1.xml is still
present and relevant.

Changed "winbind uid/gid" to "idmap uid/gid"

make sure to initialize the backend methods when enumerating sequence numbers; reported by Ken Cross

Ensure we don't leak any sign records on cancel of pending requests.
Jeremy.

Only look for mid sign records on incoming packets for oplock break replies.
Otherwise we find spurious mid sign records on reply_ntcancel calls (they cancel
by mid). That took a *lot* of tracking down. I still need to remove the mid
records from the sign state on reply_ntcancel to avoid leaking memory....
Jeremy.

More fixes for client and server side signing. Ensure sequence numbers
are updated correctly on returning an error for server trans streams.
Ensure we turn off client trans streams on error.
Jeremy.

Leave the packet sequence checkers enabled whilst I track down a smbclient -> smbd
sequence number problem.
Jeremy.

Add the same signing code to the server. Ensure we use identical session
numbers and MIDs when in trans/trans2/nttrans code.
Jeremy.

Correct fix (removed the earlier band-aid) for what I thought was a signing
bug with w2k. Turns out that when we're doing a trans/trans2/nttrans call
the MID and send_sequence_number and reply_sequence_number must remain constant.
This was something we got very wrong in earlier versions of Samba. I can now
get a directory listing from WINNT\SYSTEM32 with the older earlier parameters
for clilist.c
This still needs to be fixed for the server side of Samba, client appears to
be working happily now (I'm doing a signed smbtar download of an entire W2K3
image to test this :-).
Jeremy.

Fix the option processing for smbtar. Does no one check this !
Jeremy.

add tests for IRIX attr functions

Update my copyrights according to my agreement with IBM

Update my copyrights according to my agreement with IBM

Fix copyright statements for various pieces of Anthony Liguori's work.

fix cut-n-paste error found by abartlet

Add ntlmssp client support to ntlm_auth. Find the corresponding cyrus sasl
module under http://samba.sernet.de/cyrus-gss-spnego.diff

Volker

Fix a memory leak. I did not check all the calls to winbindd_request, but
we might leak the extra_data somewhere else as well.

Volker

locking.c now refers to map_nt_error_from_unix, so link it in with
smbstatus and smbcontrol

Volker

Finish reformatting.
Jeremy.

Final fix for the bug tridge found. Only push locks onto a blocking lock
queue if the posix lock failed with EACCES or EAGAIN (this means another
lock conflicts). Else return an error and don't queue the request.
Jeremy.

Reformat lots of clitar code as I hate the style so much :-).
Jeremy.

Reformat clitar option processing - getting ready to fix it for popt...
Jeremy.

CVAL_NC() doesn't need the (unsigned) fix and breaks the IRIX build

Thanks to Herb for pointing this out!

Added a note inspired by andrew@cis.uoguelph.ca to explain when this
parameter gets run.
Jeremy.

only honor the first OID in the sessetup snego negotiate.  Deviates
from RFC but I'm smelling a client bug here.

/* only look at the first OID for determining the mechToken --
   accoirding to RFC2478, we should choose the one we want
   and renegotiate, but i smell a client bug here..

   Problem observed when connecting to a member (samba box)
   of an AD domain as a user in a Samba domain.  Samba member
   server sent back krb5/mskrb5/ntlmssp as mechtypes, but the
   client (2ksp3) replied with ntlmssp/mskrb5/krb5 and an
   NTLMSSP mechtoken.                 --jerry              */

Return proper error when it is impossible to change quota flags

Fix off-by-one found by valgrind.

Volker

spnego.c has function definitions. Prototype them.

Anybody familiar with Makefile.in could you please look at this?
This is probably the wrong way to fix this.

Volker

Fixes for memory leaks in gss spnego handling by aliguori.

Volker

This fixes an error I must have made when playing with spnego.c found
by aliguori: NegTokenInit.mechListMIC is an Octet String.

Second: add a free_spnego_data function.

Both thanks to aliguori.

Volker

Apply some const

make sure the domain sid is set when enumerating trusted domains
(we don't always get it back)

working on transtive trusts issue:

  * use DsEnumerateDomainTrusts() instead of LDAP search.
    wbinfo -m now lists all trusted downlevel domains and
    all domains in the forest.

Thnigs to do:

  o Look at Krb5 connection trusted domains
  o make sure to initial the trusted domain cache as soon
    as possible

Whoops - this is probably better shell syntax.

Turn on automatic winbindd support for FreeBSD and see what the compile farm
thinks of it.

This is a critical bug fix for a data corruption bug. If you
maintain another tree then please apply!

On non-X86 machines out byte-order macros fails for one particular
value. If you asked for IVAL() of 0xFFFFFFFF and assigned it to a 64
bit quantity then you got a 63 bit number 0x7FFFFFFFFFFFFFFF rather
than the expected 0xFFFFFFFF. This is due to some rather bizarre and
obscure sign extension rules to do with unsigned chars and arithmetic
operators (basically if you | together two unsigned chars you get a
signed result!)

This affected a byte range lock using the large lockingX format and a
lock of offset 0 and length 0xFFFFFFFF. Microsoft Excel does one of
these locks when opening a .csv file. If the platform you run on does
not then handle locks of length 0x7FFFFFFFFFFFFFFF then the posix lock
fails and the client is given a lockingX failure. This causes the .csv
file to be trunated!!

Wrap calls to change_oem_password() in become_root()/unbecome_root() pairs
to allow UNIX password change scripts to work correctly. This is safe as
the old password has been checked as correct before invoking this.
Jeremy.

Turn the 'doing_signing' variable on - fix bug where it was only being set
on when signing was mandatory.
Jeremy.

Add a command line option (-S on|off|required) to enable signing on client
connections. Overrides smb.conf parameter if set.
Jeremy.

Save us from possibly uninitialised variable (caught by gcc).
Jeremy.

Fix bug we discovered in W2K client signing on secondary trans2 packets.
Use W2K parameters. tpot please re-test smbclient with your problem
directory.
Jeremy.

Eliminate valgrind error when client gets bad sig on list. Some reformatting.
Jeremy.

add a few more tidy ups.  Now onto winbindd

add support for DsEnumerateDomainTrusted for enumerating all the
trusted domains in a forest.

Don't revert something until you've seen if volker has already fixed it :-).
Jeremy.

Comment out mutex until I get dependencies sorted out...
Jeremy

bin/net needs server_mutex as kerberos_verify now uses it.

Volker

Put mutex around access of replay cache for krb5 tickets. krb5 replay cache
is not multi-process safe.
Jeremy.

split replace into replace and replace1 to allow setenv to be used by
nsswitch modules. Add required libraries to get rid of undefined
functions for libns_winbind.so and libns_wins.so

Fix bug #226. Stop unmangle of name into a wildcard name from deleting more
than was intended.
Jeremy.

Add NT quotas support. Users allowed now to manage quotas on systems with sysquotas interface detected (Linux at least) using native Windows tools. Also move default quota support for NT quotas to VFS module default_quota. Code by Metze

Finish tridge's patch as referenced here :

make sure we don't allow the creation of directories containing
wildcard characters. I've only put this in mkdir at the moment, but I
suspect this will apply to all places that can create new filenames.

We need to allow the opening of existing filenames that contain
wildcards, but not allow the creation of new ones.

Jeremy.

Typo on my part. I typed KRB5_KDB_BAD_ENCTYPE when I meant to type KRB5_BAD_ENCTYPE.
Heimdal has the latter, not the former.
Jeremy.