This commit was manufactured by cvs2svn to create tag
'release-3-0-alpha0'.

preparing for release of 3.0-alpha0

Renamed sid field in SEC_ACE to trustee to be more in line with MS's
definitions.

Missing return in free_privilege()

Ensured the %G substitution exactly matches what the man page states.
Jeremy.

Comment deconfusification.

Added close-share message.
Jeremy.

Changed again how the privilege list is handled in the group mapping code.
This time it's a PRIVILEGE_SET struct instead of a simple uint32 array. It
makes much more sense. Also added a uint32 systemaccount to the GROUP_MAP
struct as some privilege showing in USRMGR.EXE are not real privs but a
bitmask flag. I guess it's an heritage from NT 3.0 ! I could setup an NT
3.1 box to verify, but I'm too lazy (yes I still have my CDs).

Added 3 more LSA calls: SetSystemAccount, AddPrivileges and
RemovePrivileges, we can manage all this privilege from UserManager.

Time to change the NT_USER_TOKEN struct and add checks in all the rpc
functions. Fun, fun, fun.

        J.F.

ads->realm must not be NULL

perhaps we should just fail ads_init() in this case?

define LDAP_PORT when not available

fixed typo

Fix up the ./configure tests for kerberos.  This ensures a more consistant
behaviour no matter if kerberos was found automatically, found in the
/usr/kerberos path or was specified.

Make better use of the ads_init() function to get the kerberos relam etc.

This allows us to use automagically obtained values in future, and the value
from krb5.conf now.

Also fix mem leaks etc.

Andrew Bartlett

I think the lookup_pdc_name() should be called lookup_dc_name() and the
name_status_find() call here should look up a #1c name instead of #1d.
This fixes some bugs currently with BDC authentication in winbindd and in
smbd as you can't query the #1d name with the ip address of a BDC.

Who is Uncle Tom Cobbley anyway?

fixed toupper_w() and friends on big-endian

this fixes the core dumps on sparc

2nd attempt at fixing lame char tables on big endian machines

fixed lame char tables on big endian machines

fixed some krb5 ifdefs

merge from APPLIANCE_HEAD

space -> tab.
Jeremy.

add .po32 files to ignore list

Spelling pedents strike again :-).
Jeremy.

minor update

Allow kerberos to work on RedHat and other non /usr systems again

the configure test uses the CPPFLAGS when checking that krb5.h exists

fixed a core dump in server level security

Some random updates for the ADS-HOWTO

Ensure the CAN_WRITE is checked and prevents O_CREAT and O_TRUNC from
being set. Also prevent an open on a file on a readonly share from
setting delete on close.
Jeremy.

Re-added "Share modes" meaning don't allow deny mode conflict. Due to
user demand (don't talk to me about removing parameters.... :-).
Jeremy.

turn off the insure xterm hack for now

Added a 'keys' command to tdbtool which prints out all keys in the tdb.

fix a bunch of places where we can double-free a cli structure

Cross merge to make 2.2 and HEAD closer.
Jeremy.

added samr_set_domain_info and samr_unknown_2E.
We now get the full account policy window in usermanager, and the
framework to store all those values. I plan to add a TDB file to store
them.

oh, and found that the last value in a sam_unknown_info_12_inf struct is
an uint16 and not a uint32.

andrewb: you hardcoded the MAX_PASSWORD_AGE to 21 days. We can now turn it
to a value setable in usermanager.

        J.F.

Some reformatting.

M-x tabify

always send an OID list until we handle raw (unwrapped) NTLMSSP
packets in session setup

Fix for the logic bug wrt. existant oplocks. See long message
in samba-technical for explaination.
Jeremy.

up the log level for server level security to try to track down the
segvs in the build farm

don't use /dev/null for a smbpasswd file

Added negative caching to group lookups.
Jeremy.

added test for krb5.h

this was causing the kerberos stuff to fail compilation on several
platforms

Added negative caching to the user pw lookup by name and by uid.
Jeremy.

Added PRINTER_ALREADY_EXISTS error check from Gerry.
Jeremy

allow printing of NULL pointers with internal snprintf

fixed the panics on basicsmb-sharelist on sun1

Fix another memory leak spotted by Tom Jansen.

sigh.

some systems have libkrb5 but not krb5.h

nsswitch/winbindd_group.c nsswitch/winbindd_user.c: formatting fixups.
smbd/open.c: Fix "delete on close" for directories.
Jeremy.

reverted incorrect patch

fixed leak in free_user_info()

another memory leak bites the dust

fixed another memory leak

prevent a bogus insure wild ptr message

added -i option to nmbd, giving interactive mode (like winbindd)

more memory leak fixes

unable to open smbpasswd on initial create should only be a warning

prevent a memory leak of cli structures

fix sense of lp_allow_trusted_domains()
fix a memory leak

don't try to auto-change the trust password unless we are in domain
security

automatically look for /usr/kerberos to make redhat happy

don't die with a FPE if there are no DCs

increment the value not the pointer

Fix --enable-developer shadow warning

Fix debug

basic ADS HOWTO

A number of things to clean up the auth subsytem a bit...

We now default encrypt passwords = yes

We now check plaintext passwords (however aquired) with the 'sam' backend
rather than unix, if encrypt passwords = yes.

(this kills off the 'local' backed.  The sam backend may be renamed in its
place)

The new 'samstrict' wrapper backend checks that the user's domain is one of
our netbios aliases - this ensures that we don't get fallback crazies with
security = domain.

Similarly, the code in the 'ntdomain' and 'smbserver' backends now checks
that the user was not local before contacting the DC.

The default ordering has changed, we now check the local stuff first - but
becouse of the changes above, we will really only ever contact one
auth source.

Andrew Bartlett

add SEC_ADS auth method

updated server_role for ADS

prevent proto from picking up this as a defintion for 'main()' becoue it conflicts with nmbd's definition.

More compiler warnings fixed.  Some minor reformatting.

we can safely give NO_SUCH_USER if the ticket decodes but the local
account doesn't exist

Another merge from appliance-head: in [ug]id_to_sid don't call the
winbind function if the id is obviously going to be local.  Cleanup
of winbind [ug]id parameter handling.

challange -> challenge

Merge from appliance-head: when creating a default security descriptor
for a printer, save it in ntprinters.tdb instead of recreating it
every time it is required.  This can save at least one winbind lookup
per secdesc creation.  Opening a port monitor and viewing the security
tab in the properties dialog required the security descriptor to be
returned 25 times!

Got medieval on another pointless extern.  Removed extern struct ipzero
and replaced with two functions:

void zero_ip(struct in_adder *ip);
BOOL is_zero_ip(struct in_addr ip);

Fix up the build farm again.

This should get us 'green' for once...

Andrew Bartlett

dyn_CONFIGFILE fixups.

Fixed compiler warnings and dyn_CONFIGFILE related breakage.

And delete domain_client_validate.c...

Andrew Bartlett

This compleats the of the authenticaion subystem into the new 'auth'
subdirectory.

(The insertion of these files was done with some CVS backend magic, hence the
lack of a commit message).

This also moves libsmb/domain_client_validate.c back into auth_domain.c,
becouse we no longer share it with winbind.

Andrew Bartlett

Removed bogus SAFE_FREE() call of talloced return data from
winbindd_lookup_usergroups()

Ignore *.po files.

Fixed some indentation.

use DEBUG() not d_printf() in libraries

fixed spnego, non-kerberos negprot

Allow lookup of users with spaces in their name.

Fixed compiler warning.

Why do people keep adding stuff to includes.h (OK I am guilty of this too)?
It's getting really huge and full of random junk.  )-:

I've noticed TNG have started to split stuff up in to individual header
files included as needed.

added 'security=ADS'

Minor typos

Don't close tdb twice.

portability fixes

fixed typo

add popt build dependency

move popt out of proto objs

added HAVE_LDAP_H check

check for liblber separately

#ifdefed DMF fix so not compiled by default. We need to look at this...
Jeremy.

Use "password server" for searching for BDC's also as Tim suggested.
Jeremy.

Add the PDC end of the smbtorture test for creating an NT_STATUS -> DOS error
map.

This little authentication module is #ifdef DEVELOPER, becouse it really is of
no use execept as a development tool

invoke by setting:

auth methods = guest sam name_to_ntstatus

in the smb.conf file (the SAM and guest elements are required for the member
server to authenticate itself).

Andrew Bartlett

oops, I forgot to include the header file

Add a new torture test to extract a NT->DOS error map from an NT member of a
samba domain.

The PDC must be running a special authenticaion module that spits out NT errors
based on username.

Andrew Bartlett