r15958: Make us pass RAW-OPLOCK with kernel oplocks off.
This allows a requestor to set FORCE_OPLOCK_BREAK_TO_NONE
to ensure we don't break to level 2. Fixed a couple
of resource leaks in error paths in open_file_ntcreatex.
Jeremy.

r15951: oplock_request must be an int, not a BOOL. We
were getting away with mixing types. Not cool.
Jeremy.

r15949: Patch for bug #3308 to stop us returning duplicate
mid replies on path based set-eof trans2 calls.
Needs modification for HEAD (as in head open_file_ntcreateX
properly returns NTSTATUS - I'll fix this tomorrow my
time). Secondly it still fails the Samba4 RAW-OPLOCK
smbtorture because of an interesting case. Our oplock
code always returns "break to level 2" if it can.
In this case (path-based set-eof or set-allocation size
on an exclusive oplocked file) W2K3 always sends a
break-to-none. We send the break to none (from level2)
after we've done the write for eof or allocation size.
I need to work out some way of telling our break code
to always break to none (might need to extend the message
field).
Jeremy.

r15943: Update misleading DEBUG statements and comments that refer to
open_file_shared.

r15936: Fix memory leak on error exit path. Trying to
track down #3308.
Jeremy.

r15928: When we search for clock_gettime, we might find it in librt, but librt
might pull in libpthread. This is quite bad, firstly because it can
cause oplock signals on Linux to go wonky, and secondly because merely
linking with pthreads can cause performance degradations due to implicit
locking requirements.

The solution is to only search for clock_gettime if --with-profiling-data
was specified. If we do end up searching for it, then we test whether
linking with librt pulled in libpthread, and we only allow the definition
for clock_gettime to succeed if libpthread was NOT linked in.

Problem reported by Thomas Bork and diagnosed by Volker Lendecke.

r15924: Ok, the Solaris fix broke AIX. Next try :-)

Volker

r15918: Attempt to bring Solaris into make test. The Solaris shell does not like the
isolated !.

Metze, can you check this?

Thanks,

Volker

r15917: Activate RPC-AUTHCONTEXT in "make test"

r15911: Make us survive rpc-authcontext committed next

r15910: vfs_full_audit does not need current_user

r15909: Implement recycle:subdir_mode

r15906: smbpasswd help text for -W option (patch from Aruna Prabakar <aruna.prabakar@hp.com>

r15904: This does two things:

Fix more potential segfaults when something on our way to a DC connection
fails.

We can not continue if dcip_to_name() fails. With

192.168.234.100 nt4pdc
192.168.234.100 windows#1c
192.168.234.100 windows#1b

in the lmhosts file when nt4pdc is rebooted, we do find the DC's IP address,
we can connect to TCP 139 while it is booting but anything else fails. So we
fall back to put the IP address into domain->dcname. When the DC is fully up
later on we try to do the auth2 against \\192.168.234.100 which gives
INVALID_COMPUTER_NAME. And we never get out of this loop again.

Fix this.

Jerry, maybe you can take a look.

Thanks,

Volker

r15895: Ensure all new rid allocation goes through
the same function (deals with races).
Jeremy.

r15890: Use correct enum type (bug #3722) from Jason Mader <jason@ncac.gwu.edu>.
Jeremy.

r15888: Fix bug #3804 from jason@ncac.gwu.edu
Invalid comparisons.
Jeremy.

r15887: Ensure we use sys_write so we're not interrupted.
Jeremy.

r15884: Fix bug #3803 from jason@ncac.gwu.edu - bad comparison.
Jeremy.

r15873: Use short signal names to placate ksh trap.  bash seems to accept either
and even uses them on the manpage.  this should now enable make test on
AIX.

r15872: Take one step toward getting this working on AIX.  the [-z ] stuff
doesn't work there.

r15864: build fixes for IRIX 6.4 in the build farm; only enable the C++ reserved word check when we selecte --enable-developer

r15863: trying to fix a compile issue on HP-UX 11.x caused by conflicts of int16 and int32 definitions in internal and system headers

r15848: Introduce commandline options to set the remainder of the parameters in
dynconfig.c. This is mainly useful for test harness scripts, hence the
lack of short options.

r15845: Ok. This was a tough one. If for some reason the tconX fails towards a domain
controller the next time we connect this child ran into a segfault because it
tried to reference a half-baked connection.

Volker

r15842: patch from volker to instruct winbindd to find a trusted DC on its own when runing on a Samba DC (since we don't implement the getdcname() call that well

r15838: Back-port tridge's talloc fixes (r15824, r15828) from Samba4.
Jeremy.

r15822: Add suggestion made by Ralf Haferkamp.

r15817: Remove some unused code

r15755: Fix Coverity bug # 294. Apparently password can be NULL, but cli_session_setup
derefences it.

Volker

r15735: also export PREFIX as testit from test_functions.sh needs it

metze

r15732: samba3 now passes BASE-DENY1

metze

r15729: Second part of Aleksey Fedoseev <fedoseev@ru.ibm.com> patch.
Jeremy.

r15727: Fix msgtest - noticed by Aleksey Fedoseev <fedoseev@ru.ibm.com>.
Jeremy.

r15717: BUG 3711: patch from    Leonid Kabanov <lkabanov@mail.ru> for some solaris sheel scripting bugs with 'make test'

r15712: BUG 3435: patch from volker to fix 'msdfs root = yes' in [homes]

r15705: Fix bug number 3788. Thanks to Jeff Wright.

Volker

r15704: Prefer LDAP error codes in ads_search_retry_sid().

Guenther

r15703: Fix d_printf call.

Guenther

r15701: change 'net ads leave' to disable the machine account in the domain (since removal implies greater permissions that Windows clients require)

r15700: Make nmbd udp sockets non-blocking to prevent problem
with select returning true but no data being available.
Fix for bug #3779.
Jeremy.

r15698: An attempt to make the winbind lookup_usergroups() call in security=ads
more scalable:

The most efficient way is to use the "tokenGroups" attribute which gives
the nested group membership. As this attribute can not always be
retrieved when binding with the machine account (the only garanteed way
to get the tokenGroups I could find is when the machine account is a
member of the "Pre Win2k Access" builtin group).

Our current fallback when "tokenGroups" failed is looking for all groups
where the userdn was in the "member" attribute. This behaves not very
well in very large AD domains.

The patch first tries the "memberOf" attribute on the user's dn in that
case and directly retrieves the group's sids by using the LDAP Extended
DN control from the user's object.

The way to pass down the control to the ldap search call is rather
painfull and probably will be rearranged later on.

Successfully tested on win2k sp0, win2k sp4, wink3 sp1 and win2k3 r2.

Guenther

r15697: I take no comments as no objections :)

Expand the "winbind nss info" to also take "rfc2307" to support the
plain posix attributes LDAP schema from win2k3-r2.

This work is based on patches from Howard Wilkinson and Bob Gautier
(and closes bug #3345).

Guenther

r15696: Free LDAP search result.

Guenther

r15691: - samba3 also pass RAW-CHKPATH, RAW-SEEK, RAW-SFILEINFO-BUG
- samba3 pass the limited version of RAW-LOCK
  (the lock cancel and error checking tests are skipped)

metze

r15686: - start testing the RAW-* tests in make test
- RAW-READ now passes samba3
- skip the rest for now

metze

r15682: fix option passing

metze

r15681: fix segv in 'kinit && net ads join'

r15680: use the user creds when calling net_set_machine_spn()  rather than the machine creds (just like WinXP)

r15679: fix some popt warnings

r15676: Fix meaningless debug statement from uninitialized variable.
Spotted by "John E. Malmberg" <wb8tyw@qsl.net>.
Jeremy.

r15675: Man pages say never look at the fd_set after a select
if it returned -1 (treat as undefined). Ensure we obey
this.
Jeremy.

r15672: Fix for bug #3783. winbindd_cm.c calls open_any_socket_out()
to make connections to ports 445 or 139 on the DC it's trying
to contact. It calls sys_select() on the non-blocking sockets,
not sys_select_intr(). This is a mistake (I believe) as it allows
a signal to early terminate the connection attempts - whereas
sys_select_intr() will ignore signals until we get back to
the main processing loop where they'll be handled correctly.
This change means winbindd_cm will not early terminate if it
gets a message whilst trying to connect to DC's.
Gunther, Volker and Jerry please review (but I think this
is correct).
Jeremy.

r15670: Fix valgrind-spotted issue in BASE-DELETE test.
We were forgetting to increment after copying
the primary group gid.
Jeremy

r15668: DOS or FCB opens share one share mode entry from different
fsp pointers. Ensure we cope with this to pass Samba4
DENY tests (we used to pass these, there must have been
a regression with newer code). We now pass them.
Jeremy

r15660: Without this when using smbcquotas I get

close fd=-1 fnum=4321 (numopen=1)
close_file: Could not get share mode lock for file $Extend/$Quota:$Q:$INDEX_ALLOCATION
unix_error_packet: error string = Das Argument ist ungültig
error packet at smbd/reply.c(3325) cmd=4 (SMBclose) NT_STATUS_INVALID_HANDLE

so a fake file needs special close handling I think. Jeremy, can you check
this?

Thanks,

Volker

r15657: Fix some Tru64 warnings

r15655: Log the result of module initialisation if it fails.

r15654: Update our internal copy of popt to that distributed with the RPM 4.2
source code.

r15649: Allow to store 24 password history entries in ldapsam (same limit as on
Windows). Fixes bug #1914.

Guenther

r15646: Implement an setdomainsid command as well

r15644: Now that we are referencing uint32_t and other data types
defined in <stdint.h>, ensure that it is present. (Not all
implementations pull it in when <sys/types.h> is used).

Paul

r15635: Fix a bogus gcc uninit variable message

r15634: Prevent passwords of winbindd's list of credential caches from beeing
swapped to disc using mlock(). (patch was reviewed by Jeremy).

Guenther

r15633: Minor smbldap/pdb_ldap cleanup

Guenther

r15632: Remove length limitation from the winbind cache cleanup traversal.

Guenther

r15631: Add a new option "enable core files". Administrators can use this to
disable automatic core file dumping. Core files are enabled by default.

r15630: adapt smbclient fix to smbtree to enable long share names

r15620: pass 'target:samba3=yes' to samba4's smbtorture when running samba3's make test

we can use this in samba4's smbtorture to disable tests sections which doesn't pass
against samba3

metze

r15611: Remove used but uninitialised variable "count".

r15610: Fix Coverity #288 - possible null deref.
Jeremy.

r15608: Fix a couple of Coverity errors

r15601: Fix segfaults with 'security=share' and 'guest only = yes'

Volker

r15600: Correctly fill in the gid for local users.

Volker

r15597: more ads join fixes -- we can only set the PWDNOEXP and DES_ONLY acb flags on the setuserinfo(),  not the createuser info call

r15589: While trying to understand the vuid code I found that security=share is broken
right now. r14112 broke it, in 3.0.22 register_vuid for security=share returns
UID_FIELD_INVALID which in current 3_0 is turned into an error condition. This
makes sure that we only call register_vuid if sec!=share and meanwhile also
fixes a little memleak.

Then I also found a crash in smbclient with sec=share and hostmsdfs=yes.

There's another crash with sec=share when coming from w2k3, but I need sleep
now.

Someone (jerry,jra?) please review the sesssetup.c change.

Thanks,

Volker

r15583: Add a comment while trying to understand this code

r15571: Fix Coverity bug #285

r15570: Fix Coverity bug # 286. I really wonder why gcc -O1 did not catch this one.

Volker

r15569: Fix Coverity bug # 287. Jerry, can you check if WERR_NOMEM is a correct error
code here?

Thanks,

Volker

r15566: Fix Coverity bug # 284. The lp_ldap_xx_suffix function only return NULL if
talloc fails.

Volker

r15562: Attempt to fix Coverity bug # 283

r15561: Should re-fix older systems without RC4-HMAC support

r15560: Since the hotel doesn't have Sci-Fi and no "Doctor Who"....

Re-add the capability to specify an OU in which to create
the machine account.  Done via LDAP prior to the RPC join.

r15559: Smaller fixes for the new cldap code:
* replace printf to stderr with DEBUG statements as they get printed in
  daemons
* "net ads lookup" return code

Guenther

r15558: Do not wait endless for a CLDAP reply when the LDAP server is
unavailable; use "ldap timeout" handling.

Jerry, please check.

Guenther

r15556: Better fix for leading // or \\ from "David R. Linn"
<drl@vuse.vanderbilt.edu>.
Jeremy.

r15555: Make "change notify timeout" a per-share parameter - used
when there's no kernel or FAM change notify. If set to zero
this will turn off change notify for the share except when
we ourselves change something (renames / deletes etc. ).
Designed to help on large directory shares where a new
changenotify is issued between each delete. This will
be fixed correctly when we move to internal change notify
(eg. back-port Samba4 changenotify).
Jeremy.

r15553: minor rpcclient cleanup: length is already set in data_blob.

Guenther

r15552: Fix segfault...

Guenther

r15550: make sure to pick up the -lresolv libs on systems without -lldap to pull it in

r15549: removing rhosts and 'hosts equiv' authentication features

r15548: remove unused 'wins partners'

r15547: say goodbye to --with-ldapsam (although the ldapsam_compat passdb backend still exists

r15546: When debugging is enabled be just a little more verbose in logging in
pam_winbind.

Guenther

r15544: make sure to define NS_PACKETSZ for Bind 4 interfaces (fix build on us4)

r15543: New implementation of 'net ads join' to be more like Windows XP.
The motivating factor is to not require more privileges for
the user account than Windows does when joining a domain.

The points of interest are

* net_ads_join() uses same rpc mechanisms as net_rpc_join()
* Enable CLDAP queries for filling in the majority of the
  ADS_STRUCT->config information
* Remove ldap_initialized() from sam/idmap_ad.c and
  libads/ldap.c
* Remove some unnecessary fields from ADS_STRUCT
* Manually set the dNSHostName and servicePrincipalName attribute
  using the machine account after the join

Thanks to Guenther and Simo for the review.

Still to do:

* Fix the userAccountControl for DES only systems
* Set the userPrincipalName in order to support things like
  'kinit -k' (although we might be able to just use the sAMAccountName
  instead)
* Re-add support for pre-creating the machine account in
  a specific OU

r15542: Close the LDAP connection and free the struct, regardless whether the
simple bind operation was successful or not.

Guenther

r15541: Only ever store a user's password in a WINBINDD_CCACHE_ENTRY struct when
we have a reason to do so.

Guenther

r15539: Use portable wrapper functions instead of seteuid
directly in winbindd.
Jeremy.