r5469: Fix error codes of samr_lookup_rids: There's also STATUS_SOME_UNMAPPED.

Thanks,

Volker

r5467: Optimize _samr_query_groupmem with LDAP backend for large domains.

Could someone else please look at this patch, verifying that I did not break
the ldapsam:trusted = False fallback to the old behaviour? It works fine for
me, but you never know. You're certainly free to review the new code as well :-)

Thanks,

Volker

r5462: BUG 1549: patch from SATOH Fumiyasu <fumiya@samba.gr.jp> to fix trunction of service names

r5460: Fix "restrict anonymous = 1".  If we have schannel connection, we must be
validated with a user, so allow it even if pipe itself had an anonymous
connection.

r5458: Generate a sane response to exceeding lookupsids limit.  Truncate list to zero
and return NT_STATUS_NONE_MAPPED.  This does not crash windows and maintains
the benefit of not overallocating memory.  The previous response of
truncating to the MAX limit was not useful because it crashed lsass.exe on
windows (bug opened with MS), and it was also misleading the client to
believe that a complete answer was received.

r5456: Increase limit of mapped SIDS to 0x5000, which is what 2k and later do.
NT has no limit.  We still don't respond the way 2k would to requests
larger, which is to actually allocate the memory and send back the entire
response, plus a return status of NT_STATUS_NONE_MAPPED.  Still looking
into ways of doing this without crashing windows.

r5455: Remove bogus DEBUG messages (dump for a failure to parse NTLMSSP,
before trying the alternate format).

This only caused confusion and bug reports...

Andrew Bartlett

r5444: Add adssearch.pl utility (on volkers request).

Added to samba3 due to some header and machine-account dependencies,
although it's possibly of more interest to samba4 developers.

adssearch.pl is a kind of ldapsearch + dump-filters for various
ADS-attributes. It can also register asynchronous change notifications.

./adssearch.pl -h w2k3host -D administrator@MY.REALM.NET -x -w mypass -n

and *any* change in your entire DIT will show up immediately (after a
second change of an object even as object diff). It's very interesting
to see the interaction of GPOs, the various steps of account
modification with dsa.msc, etc.

Gracefully ignore some parts of adssearch.pl that are rather immature...

Guenther

r5436: small merges from trunk

r5432: compile fixes from Jason Mader <jason@ncac.gwu.edu> -- BUGS 2340

r5431: couple of cimpile fixes from Jason Mader <jason@ncac.gwu.edu> -- BUGS 2341 & 2342

r5428: Apply some const. LDAP attribs should now be declared const char *attr[]. This
gives some new warnings in smbldap.c, but a the callers are cleaned up.

Volker

r5421: Fix a memleak

r5419: Fix some unitialized variable warnings

r5385: when operating in security = domain, allow domain admins to manage rigths assignments

r5383: add missing checks to allow root to manage user rights

r5379: Build-Fix (#2343)

Guenther

r5359: BUG 2333: use the lpq command to pass in the correct printer name for cups_queue_get().  See comments in code for details

r5355: Fill in the access check code for POSIX ACLs to *really* fix bug #2227.
Jeremy.

r5349: After talking with Jerry, reverted the addition of account policies to
passdb in 3_0 (they are still in trunk).

Guenther

r5343: Fix for bug#1525. Timestamps interpreted incorrectly on 64-bit time_t values.
Jeremy.

r5342: Reformat some very old code.
Jeremy.

r5339: Fix 'net rpc trustdom establish'.  Use the right pipe name, therefore the
right pipe FID.  Fixes NT_STATUS_INVALID_HANDLE error.

r5337: BUG 1439: make sure to initialize pointer to prevent invalide free()'s on exit

r5336: BUG 2329: fix to re-enable winbindd to locate DC's when 'disable netbios = yes'

r5331: Support SIDs as %s replacements in the afs username map parameter.

Add 'log nt token command' parameter. If set, %s is replaced with the user
sid, and %t takes all the group sids.

Volker

r5324: In order to process DELETE_ACCESS correctly and return access denied
to a WXPSP2 client we must do permission checking in userspace first
(this is a race condition but what can you do...). Needed for bugid #2227.
Jeremy.

r5318: Fix a small problem in where we ignore the response from a SamrGetGroupsForUser
that says the user is in 0 groups, and we issue an RPC to LookupIds for 0 RIDs.

The printing that there are no groups the user is a member of might be overkill
in that it might upset existing scripts that don't expect that output.

r5316: Get 'net afskey' into a subcommand of its own, 'net afs key'.

Implement 'net afs impersonate', generate a token for a specified user. You
obviously need to be root for this operation.

Volker

r5314: Some const, and an uninitialized variable fix.

Volker

r5295: fix compile issue with MIT 1.4 due to broken gssapi.h

r5290: Fix for bug #2323 - plaintext problem with WinXP.
Jeremy.

r5287: fix build problem when HAVE_POSIX_ACL not defined

r5283: Merge -r5279 and-r5280 from trunk.

r5278: BUG 2327: fix compile bug in idmap_rid.c

r5272: BUG 2132, 2134: patch from Jason Mader <jason@ncac.gwu.edu> to remove unused variables

r5271: patch from S Murthy Kambhampaty <smk_va@yahoo.com> to add idmap_rid.so to the Fedora and RedHat packaging

r5270: fixing some bashism's in autogen.sh

r5269: BUG 858: fix order of popt args evalution so we don't crash when given no command line args

r5268: Fix bug #2310, only do 16-bit normalization on small dfree
request.
Jeremy.

r5265: ensure that the Fedora RPMS build with cups support

r5264: Log with loglevel 0 when account-administration scripts fail.

Guenther

r5263: bug 2249: patch from Manuel Baena <mbaena@lcc.uma.es> to print error message in fullpath()

r5262: Fix server_role in the samr_query_dom_info calls. When we are a BDC we
should not say we are a PDC.

Guenther

r5257: Upadate patches and control files
Sync up with 3.0.11

r5246: We can't use a pointer to struct lsa_info until is has been
initialised.  Fix for bugzilla #2315.  Can the privileges dude(s)
please verify this?

r5236: Ignore users mount parm (since unneeded by cifs kernel code).  Suggested by Dirk Jagdmann.

r5235: Fix compile warning.

r5234: Do not use the "Local Unix Group"-default description for all kinds of
group-mappings.

Guenther

r5233: fixing some typos

r5228: Fix typo, mention officially supported samba3/SLES8 packages on ftp.sernet.de.

Volker

r5227: removed SuSE spec file @ Lars' request and updated read to point to package download areas

r5225: fix mem leak and debug message

metze

r5207: patches from Jay Fenlason @ RedHat (scooped from their Fedora packages)

r5205: more fixups for BUG 2291

r5203: additional changes for BUG 2291 to restrict who can join a BDC and add domain trusts

r5192: missed one packaging fix for BUG 2299

r5191: BUG 2299: better logrotate configuration from Levente Farkas <lfarkas@lfarkas.org>

r5183: Ensure we correctly set the per-connection "case_sensitive" setting.
Rename dptrs_open to the more correct dirhandles_open.
Remove old #if 1.
Jeremy.

r5180: Call the "add machine script" to create all kinds of trust accounts
(this restores old behaviour). Fixes #2291.

Guenther

r5179: Add -P (password-menu-only) option to swat.  Admins can allow users
to use swat to change their password without allowing them to see
the "View" and "Status" buttons.

deryck

r5176: Warn the user that print command is ignored when using cups libraries

r5174: ensure that we consistently use the current_user_info.smb_name vs. smb_name when parsing smb.conf and reloading config files

r5166: From James Peach - remove minor C99-isms.
Jeremy.

r5165: BUG 2295: always use get_local_machine_name() rather than digging in the gloval variable 'local_machine'

r5163: Fix bugzilla 2062:
turn off broadcast for all 390 NICs.

r5162: BUG 2264: remove shutdown and abortshurn commands from rpcclient since they are stable in 'net rpc' (to avoid fixing portability bugs)

r5160: First cut at refactoring of directory code to handle non-wildcard
directory match more efficiently. Passes RAW-SEARCH under valgrind but needs more
testing (which I'll do later today :-).
Jeremy.

r5159: BUG 2262: add support to detect *freebsd6* (same as *freebsd5* currently)

r5158: BUG 2263: patch from Timur Bakeyev <timur@com.bat.ru> to guard base64_encode_data_blob() against empty blobs

r5157: BUG 2266: conditionally include rpc/nettype.h to work around missing header onf FreeBSD4

r5154: Tidy up interface a little.
Jeremy.

r5152: Restructure the directory handling code, stop using void * pointers
that just allow the wrong pointer to be assigned :-) and make the
interface more consistent. Fix the FreeBSD directory problem. Last
thing to do is to add the "singleton" directory concept from James
Peach's code.
Jeremy.

r5150: consolidate the samr_make.*obj_sd() functions to share code

r5140: (a) fix problem with enumerating domain trusts in security = ads; (b) fix a segfault in rpcclient's dsenumdomtrusts

r5132: netscape DS 5.2 schema update from Richard Renard <rrenard@idealx.com>

r5131: BUG 2290: don;t call mkversion.sh since we don't have it in this directory

r5127: Fix Bug 2289 -- thanks to jason@ncac.gwu.edu

r5125: Fix bug 2113 -- thanks to jason@ncac.gwu.edu

r5112: Fix for shared object creation in examples.  Bugzilla #2058.

r5111: Fix up changed prototype for setsampwent pdb function.

r5100: We should only care about case-sensitivity when *reading* an incoming
filename, not returning one. Makes us pass one more Samba4 RAW-SEARCH test.
Jeremy.

r5098: Next round build-fixing

r5096: Attempt to fix the build

r5082: Don't blindly copy question rr_type and class, set correctly as required
by rfc1002.
Jeremy.

r5077: Use correct type for rr record on negative name query reply.
Jeremy.

r5076: Ensure that WINS negative name query responses and WACK packets
use the correct RR type of 0xA instead of reflecting back what
the query RR type was (0x20). See rfc1002 sections 4.2.14 and
4.2.16.
Jeremy.

r5069: Ensure we return the correct errors for old-style search requests.
Jeremy.

r5066: A couple of small fixes from James Peach @ SGI.
Jeremy.

r5063: Shamelessly steal the Samba4 logic (and some code :-) for directory
evaluation. This stops us from reading the entire directory into
memory at one go, and allows partial reads. It also keeps almost
the same interface to the OpenDir/ReadDir etc. code (sorry James :-).
Next I will optimise the findfirst with exact match code. This speeds
up our interactive response for large directories, but not when a
missing (ie. negative) findfirst is done.
Jeremy

r5060: BUG 2286: fix typoe on sambaConfig oc definition

r5058: Due to the fragileness how windows reacts on unmapped sids sometimes,
don't leave administator-sid unmapped. Simply return "Administrator"

Guenther

r5056: * correct STANDARD_RIGHTS_WRITE_ACCESS bitmask define
* make sure to apply the rights_mask and not just the saved
  bits from the mask in access_check_samr_object()
* allow root to grant/revoke privileges (in addition to Domain
  Admins) as suggested by Volker.

Tested machine joins from XP, 2K, and NT4 with and without
pre-existing machine trust accounts.  Also tested basic file
operations using cmd.exe and explorer.exe after changing the
STANDARD_RIGHTS_WRITE_ACCESS bitmask.

r5046: mark 'winbind enable local accounts' and testprns as depcrecated

r5029: after talking to Rob, ensure that we set the NETIOSNAME.domainname
as the longname in the published printer information since this
is what we will have used when we joined the domain.

More testing on this tomorrow.

r5028: * check acb_info mask in _samr_create_user instead of the last character
  of the user name
* fix some access_mask checks in _samr_set_userinfo2 (getting join from
  XP without being a member of domain admins working)

r5020: bumping the 3.0 tree to 3.0.12pre1 since there will not be a full sync for the 3.0.11rc1 release

r5015: (based on abartlet's original patch to restrict password changes)

* added SE_PRIV checks to access_check_samr_object() in order
  to deal with the run-time security descriptor and their
  interaction with user rights

* Reordered original patch in _samr_set_userinfo[2] to still
  allow root/administrative password changes for users and machines.

r5014: Split out the request to send an async level II oplock break into a
new function to make it clear when it's called. Remove async parameter
that had been overloaded into request_oplock_break.
Inspired by work from Nadav Danieli <nadavd@exanet.com>.
Jeremy.

r5012: fix segfault caused by using a ipp_t * after calling cupsDoRequest()