s3:idmap_tdb2: re-implement allocated_id in idmap methods.

s3:idmap: add idmap_unix_id_is_in_range() for checking an id against an idmap range

s3:idmap: don't check range for passdb idmap domain

s3:idmap: parse ranges in idmap_init_domain().

s3:idmap: add low_id and high_id to the idmap_domain struct

This global data will replace the backend-specific filter_low_id
and filter_high_id. The presence of a range is generic to all
idmap configs.

s3:idmap: remove an extra blank line

s3:idmap: use allocate_id() from the idmap_methods in idmap_allocate_unixid()

s3:idmap: re-add the allocate_id method to the idmap_methods struct.

This has vanished with the removal of the separated idmap alloc methods.
This single "alloc" method is still needed though, for the samba-wide
Unix-ID allocator, which is used in group-mapping and ldapsam:editposix.
This method should ultimately also disappear.

s3:net: rewrite "net idmap restore" using dbwrap

This detects the idmap backend from the current smb.conf
and stores the id mapping tables in the corresponding data bases.
Currently, only tdb and tdb2 backends are supported.
Support for the ldap backend may be implemented later.

s3:net: change "net idmap dump" to use dbwrap instead of direct tdb access

This way, it will also work in a samba-ctdb cluster.

v3-4-ctdb: Bump up the vendor patch level to 8

s3: Fix starving the echo responder

When both the echo responder and the 445 socket want to send stuff to the
worker smbd, the select loop is not fair. It always chooses the smaller file
descriptor to work on. This can mean that on a busy system the echo responder
never gets around to feed its stuff to the parent.

This fix chooses the async echo responder socket when both the 445 and the echo
responder socket are readable.

Yes, it is a very hackish fix which is required *now* I think. The proper fix
would be to either assign priorities to fd's in tevent, or the from my point of
view better fix would be to make tevent kindof round-robin.

Round-robin would mean that whenever a fd has been dealt with, it is taken off
the list of interested sockets, and only if no other socket is active, all of
the ones waiting are put back. This is a bit like EPOLL_ONESHOT, which I would
like to use for this in the epoll case. Although, I need to do some research if
maybe epoll already guarantees round-robin, I did not find anything in the docs
yet.

Volker

v3-4-ctdb: Bump up the vendor patch level to 7

s3:winbind:idmap_tdb2: honour the "idmap read only" flag in the tdb2 module.

Note that this will not prevent the idmap script from writing its
mappings to the database, but no new unix ids will be allocated via
the allocator and hence no new mappings will be autogenerated.

s3:winbind: set the read_only flag when parsing the config in idmap_tdb2_db_init

For the default config this is taken from lp_idmap_read_only(),
and for explicit domains per "idmap config DOMAIN : read only".

s3:winbind:idmap_tdb2: add a read_only parameter to the idmap_tdb2_context.

s3:loadparm: add new boolean parameter "idmap read only"

This will be used to be able to put the default idmap config
read only. This can make sense for instance with the tdb2
idmap backend and using the idmap script feature.

s3: remove prototype of inexistent lp_idmap_alloc_backend().

s3: remove unused prototype for lp_idmap_domains().

s3:winbind:idmap: fix idmap_allocate_unixid() to actually return the ID

s3:winbind:idmap_tdb2: fix a debug message

v3-4-ctdb: Bump up the vendor patch level to 6

s3:loadparm: remove parameter "idmap alloc backend"

s3:docs: fix net manpage to reflect removal of net "idmap secret alloc" feature

s3:net: remove the "net idmap secret alloc" functionality.

This is now not available any more, since allocation is moved
below the id mapping layer. The functionality could be
reintroduced on a per domain basis as an e.g
"net idmap secret <domain> alloc" command.

Michael

s3:winbind:idmap: remove unused definition of idmap_alloc_methods.

Allocation is now completely handled in the allocating backends.

s3:winbind:idmap: remove idmap_alloc_context from idmap.c

The registering of alloc backends is being removed.
The idmap backends are responsible for initializing
their alloc code on their own if necessary.

No list of alloc backends is maintained any more in the top level.

s3:winbind:idmap: remove the alloc methods list from idmap.c

The registering of alloc backends is being removed.
The idmap backends are responsible for initializing
their alloc code on their own if necessary.

No list of alloc backends is maintained any more in the top level.

s3:winbind:idmap: remove unused get_alloc_methods().

s3:winbind:idmap: remove unused smb_register_idmap_alloc().

The registering of alloc backends is being removed.
The idmap backends are responsible for initializing
their alloc code on their own if necessary.

s3:winbind:idmap_ldap: remove unused idmap_ldap_alloc_methods.

s3:winbind:idmap_ldap: remoce unused idmap_alloc_ldap_init

s3:winbind:idmap_ldap: don't call idmap_alloc_ldap_init in idmap_ldap_init

The registering of alloc backends is being removed.
The idmap backends are responsible for initializing
their alloc code on their own if necessary.

s3:winbind:idmap_tdb: remove unused idmap_alloc_methods

s3:winbind:idmap_tdb: remove unused idmap_alloc_tdb_init()

s3:winbind:idmap_tdb: don't call idmap_alloc_tdb_init in idmap_tdb_init

The registering of alloc backends is being removed.
The idmap backends are responsible for initializing
their alloc code on their own if necessary.

s3:winbind:idmap_tdb2: remove unused idmap_tdb2_alloc_init().

s3:winbind:idmap_tdb2: remove unused idmap_tdb2_alloc_close().

s3:winbind:idmap_tdb2: remove unused idmap_alloc_methods.

s3:winbind:idmap_tdb2: don't call smb_register_idmap_alloc() in idmap_tdb2_init

The registering of alloc backends is being removed.
The idmap backends are responsible for initializing
their alloc code on their own if necessary.

s3:winbind: make idmap_alloc_tdb_init() static.

s3:winbind:idmap: remove unused idmap_alloc_init().

s3:winbind:idmap: use sids_to_unixids() with a NULL sid instead of allocate_id

s3:winbind:idmap: factor out common code of idmap_allocate_uid|gid()

into new idmap_allocate_unixid().

s3:winbind:idmap_tdb2_sids_to_unixids: only allocate an id for sid == NULL

This special treatment allows to eliminate the alloc methods from the
surface while still keeping the WINBINDD_ALLOCATE_[U|G]ID methods.

s3:winbind:idmap_tdb2: add allocation of new mappings to idmap_tdb2_sids_to_unixids

This moves the new_mapping feature inside the tdb2 backend to make creations
of mappings atomic.

Note: The new internal function idmap_tdb2_get_new_id() that is used to allocate
a new unix id is prepared to function for multiple explicitly configured idmap
domains, but currently it does only work for the default domain. The extended
allocation support requires extension of the data base format to store multiple
counters (per domain). This will be added in a later step (TODO!).

s3:winbindd:idmap: remove idmap_new_mapping() - now implemented in the backends

s3:idmap: add a debug message to idmap_sid_to_gid

s3:idmap: add a debug message to idmap_sid_to_uid

s3:idmap: don't call idmap_new_mapping idmap_sid_to_gid

The setting of a new mapping is moved into the backend code
to achieve atomicity and greater flexibility.

Michael

s3:idmap: don't call idmap_new_mapping idmap_sid_to_unixid.

The setting of a new mapping is moved into the backend code
to achieve atomicity and greater flexibility.

Michael

s3:idmap: remove the set_mapping method from the idmap API

Keep the backend implementations for possible internal use.

Michael

s3:idmap: remove unused method set_id_hwm from idmap API

Michael

s3:idmap: remove unused alloc method get_id_hwm from idmap API

Michael

s3:idmap: remove unused method dump_data() from the idmap API

Michael

s3:idmap: remove the remove_mapping method from API and backends

Michael

s3:idmap: remove unused idmap_remove_mapping().

Michael

s4: remove REMOVE_MAPPING from wb_samba3_protocol

Michael

s3:winbind: remove the method REMOVE_MAPPING from winbind's API

Michael

s3:idmap: remove unused idmap_set_mapping().

Michael

s4: remove SET_MAPPING from wb_samba3_protocol

Michael

s3:winbind: remove the method SET_MAPPING from winbind's API

Michael

libwbclient: unimplement wbcRemoveGidMapping()

Michael

libwbclient: unimplement wbcRemoveUidMapping()

Michael

libwbclient: unimplement wbcSetGidMapping()

Michael

libwbclient: unimplement wbcSetUidMapping()

Michael

s3:idmap: remove unused idmap_set_gid_hwm()

Michael

s3:idmap: remove unused idmap_set_uid_hwm()

Michael

s4: remove SET_HWM and SET_DUAL_HWM from wb_samba3_protocol

Michael

s3:winbind: remove SET_HWM from winbind's API.

Michael

libwbclient: unimplement wbcSetGidHwm()

Michael

libwbclient: unimplement wbcSetUidHwm()

Michael

s3:net idmap: TEMPORARILY disable the "net idmap restore" functionality

The use of libwbclient has to be removed from net idmap restore,
since the idmap-rw-methods are removed from the winbindd API.

"net idmap restore" needs to be rewritten with plain tdb access,
more precisely with dbwrap access (also "net idmap dump" needs
rewrite), to allow for restoring mappings directly to a database,
potentially to a clustered database handled by ctdb.

s3: remove prototype of non-existsing function idmap_tdb_tdb_close().

s3:winbind:idmap_tdb2_set_mapping: untangle assignment from check

s3:winbind:idmap_tdb: don't check ranges when an invalid entry was found.

There is no point in checking the ranges this if the record found had an
invalid/unknown type: the mapping is not filled in. If it were initialized
to some defaults before, the check just might replace the status
NT_STATUS_INTERNAL_DB_ERROR with a NT_STATUS_NONE_MAPPED, which is not
as precise.

s3: Fix some debug messages

s3: Don't announce readraw and writeraw with the async echo responder

s3: Fix a bad memleak in the async echo responder

v3-4-ctdb: Bump up the vendor patch level to 5

libwbclient: Fix a fd-leak at dlclose-time

__attribute__((destructor)) makes winbind_close_sock() being called at
dlclose() time.

Found while testing apache on Linux with mod_auth_pam.

Other platforms will have to find a different fix. One possibility would be to
always close the socket after each operation, but this badly sucks
performance-wise.

s3: Test for "__attribute__((destructor))"

nsswitch: Make some functions static

s3: range-check idmap script output

Not doing so results in the id mapping succeeding once unchecked and later on
being refused, because when reading from the tdb we do the checks.

s3: Fix an uninitialized variable in idmap_tdb2_sid_to_id()

When we find an invalid record in the database, there's no point in checking
the non-existing value against the range limits.

s3: Fix some nonempty blank lines

v3-4-ctdb: Bump up the vendor patch level to 4

s3: Implement "net rpc user setprimarygroup"

fix snapshot content display with hide unreadable

With the hide unreadable option set, snapshots are be displayed
as empty with shadow_copy2 and a NFSv4 ACL module.

To prevent multiple conversions of the paths when the acl call
does a VFS_STAT (as the nfs4acl code does), a check was added
to convert_shadow2_name() so it will not touch paths any more
that look like they have already been converted.

Signed-off-by: Christian Ambach <christian.ambach@de.ibm.com>

libwbclient: Re-Fix a bug that was fixed with e5741e27c4c

> r21878: Fix a bug with smbd serving a windows terminal server: If winbind
> decides smbd to be idle it might happen that smbd needs to do a winbind
> operation (for example sid2name) as non-root. This then fails to get the
> privileged pipe. When later on on the same connection another authentication
> request comes in, we try to do the CRAP auth via the non-privileged pipe.
>
> This adds a winbindd_priv_request_response() request that kills the existing
> winbind pipe connection if it's not privileged.

The fix for this was lost during the conversion to libwbclient.

Thanks to Ira Cooper <samba@ira.wakeful.net> for pointing this out!

Volker

s3: Cache the username map in gencache

This is for uses with a heavy-weight username map script

s3: Little refactoring: Factor out skip_space

s3: Remove a bogus 0-check, "isspace" can not return true for \0

s3: Cache the result of the username map script

s3: Use talloc_tos() as talloc ctx for fd_lines_load() in map_username()

s3: TALLOC_FREE(command) correctly in map_username()

v3-4-ctdb: Bump up the vendor patch level to 3

s3: Fork multiple children per domain

s3: Introduce winbindd_child_busy()

s3: Remove the separate "child" argument from setup_domain_child()