Add and delete aliases via srv_samr_nt. For that I added a RID allocation call
to winbindd. idmap_allocate_rid wants information about whether this will be a
user or a group, I did not export this to the winbind interface.

The reason for idmap to get that info is to keep consistent with the
algorithmic convention to alloc only even rids for users and odd rids for
groups. I'm not fully convinced that this really gains us anything. Any real
good arguments?

Volker

When trying to remove a user from a group, winbind should be informed
about the user and group...

Volker

Merge from 3.0

Make alias membership maintainable via net rpc group add/delmem. Alias
creation and deletion still has to be done as well as a 'net alias' command.

Volker

Rest of my winbindd_passdb alias support

Add alias support to winbindd_passdb. Sorry, Simo, this does not leave too
much of your winbindd_passdb, users are currently not provided by that, only
aliases. Currently the code to maintain that stuff is not yet in, this will be
next, see my next posting to samba-technical.

Volker

Remove the prototype for alias support in winbind again. This will be
replaced by a winbindd_passdb.c checkin soon.

Volker

Add find_alias, create_alias, delete_alias, get_aliasinfo, set_aliasinfo and
enum_aliases to passdb. create and delete are not yet filled, you have to do
this with net groupmap and net idmap restore.

Volker

Ensure we don't truncate strcmps to nstring anymore...
Jeremy.

Modified fix for bugid #784. Based on a patch from moriyama@miraclelinux.com (MORIYAMA Masayuki).
Don't use nstrings to hold workgroup and netbios names. The problem with them is that MB netbios
and workgroup names in unix charset (particularly utf8) may be up to 3x bigger than the name
when represented in dos charset (ie. cp932). So go back to using fstrings for these but
translate into nstrings (ie. 16 byte length values) for transport on the wire.
Jeremy.

First part of patch from moriyama@miraclelinux.com (MORIYAMA Masayuki) to
fix up netbios names with mb strings. Includes reformat of libsmb/nmblib.c
so it's readable.
Jeremy.

Bug report 1079 and fix both from Bert Driehuis.

This is an odd corner case having to do with <1C> group names (DC names).
<1C> group names are called (by MS) "Internet Special Groups", which means
that Microsoft's WINS servers will attempt to handle these names in
something approximating an RFC1001/1002 compliant manner.

The problem being reported here is this:  If an initial registration sent
by one of the group members is lost (network error, whatever) then
subsequent refreshes from that particular machine will also fail.  This
only happens if the name is already active (because of other group
members).

In most cases, we (and MS) handle refreshes as registrations if the name
is not in the database.  In this situation, we missed the corner case.

Bert's fix adds an 'else if' that catches the situation in which a refresh
for an unlisted IP of an active <1C> group name is received.  The refresh
is simply handled as a registration when this happens.

[Note: Committing in HEAD.  I am writing some tools to do registrations
       and refreshes so that I can test this.  I don't have an NT Domain
       for testing so I'm going to have to fudge.  This fix is small (I
       cleaned up some Debug messages and comments in addition to the fix)
       and if you want to test it with 3.0.x you can just copy the HEAD
       version into your 3.0.x tree and recompile.]

Fix from Robert.Dahlem@gmx.net (Robert Dahlem) for bugid #1048
when mangled names are turned off.
Jeremy.

Fix problems with very long filenames in both smbd and smbclient.
It appears that we pass filename through resolve_wildcards() as pstring and use fstring temporary buffer there.
As result, a long filename in unix charset (UTF-8 by default) can easily expand over 255 bytes while
Windows is able to send to us such names (e.g. Japanese name of ~190 mb chars) which we unable to process through
this small fstring buffer. Tested with W2K and smbclient, Japanese and Cyrillics.

Fix build after Jeremy -- yet another place where convert_string() wasn't updated

Fix string overflow due to wrong size calculation

Allow msdfs symlink syntax to be more forgiving (it took me ages to remember
what it was :-). Allow msdfs links to now look like UNC paths : eg.
sym_link -> msdfs://server/share/path/in/share
or :
sym_link -> msdfs:\\server\share\path\in\share
Jeremy.

Fix bug introduced by Jim (touche :-) :-) - use new smbldap_get_single_pstring
call :-).
Jeremy.

Restore the contract on all convert_stringXX() interfaces. Add a "allow_bad_conv"
boolean parameter that allows broken iconv conversions to work. Gets rid of the
nasty errno checks in mangle_hash2 and check_path_syntax and allows correct
return code checking.
Jeremy.

Merge from 3.0.  Fix munged dial in pdb_ldap

add missing #ifdef HAVE_BICONV stuff

BUG 1088: patch from SATOH Fumiyasu <fumiya@miraclinux.com> -- use strchr_m() for query_host (smbclient -L)

Ensure we use check_path_syntax() to pull out DFS paths.
Jeremy

Fix processing of pathnames with embedded '\\' characters (0x5c) in CP932
character set. Because of the allowing of "broken conversions" for people
who have broken iconv libraries we can't rely on the return from convert_string()
to be valid - we must check errno instead. This is ripe for revisiting at
some stage. I prefer adding a bool parameter to all convert_string_XX varients
to specify if we will allow broken conversions or not. With "allow_broken_conversions"
set to false we could then rely on the return from convert_string rather than
checking errno.
Jeremy.

lsa_enumaccounts lists all SIDs that have been granted privileges. Simo,
you should look at this.

Change behaviour from listing all groups to listing only BUILTIN\Administrator

Volker

Remove expanding sids from smbd, this will be done in winbindd.

Volker

Apply some const

Don't pass DOM_SIDs around when pointers are enough.

Volker

another type

Moving towards getting msdfs working again (this looks like it was broken
in 3.0.2a actually). We now send a correct referral back, but the client
refuses to follow it... Not sure why. Will do more tests.. Maybe unicode
character count is wrong (it looks it).
Jeremy.

Formatting reformat before I start to change anything here.
Jeremy.

fix type for tag in proto file

Fix dfs referrals - don't use check_path_syntax. Also use mb char calls in
dfs code.
Jeremy.

Yet another '\n' termination of debug message.

rafal

Forgot to put some more comments.

rafal

1) Two new functions to trust passwords interface in passdb:
   settrustpwent, gettrustpwnam

2) Implementation of another couple of these functions in tdbsam:
   settrustpwent, gettrustpwnam, gettrustpwsid

3) Testing (mostly for now) usage of the interface in pdbedit
   which is soon to be offline tool back again.

This is quite a new code, so many changes will be put in soon.

rafal

Fix to debug message lacking termination with '\n'.

rafal

fix build with gcc 2.96 and --with-developer

Commit to HEAD the updates to smb signing code that I was propsing for 3.0.

This code implements 'opportunistic signing' in our client (when the
server supports it, we will use it), and correct downgrading on both
the client and server for the 'enabled' (rather than required) signing
level.

This means that we can actually set 'server signing = yes' and not
have the world fall apart.  We had a number of bugs in that code, and
it certainly looks like most of the testing was with the 'requried'
setting.

While the changes are reasonable, I'm putting this into HEAD rather
than 3.0 for the timebeing.  SMB signing, like NTLMSSP, tends to have
gotchas in it :-)

(I also need to give it a workout with more than smbclient before I
move it across).

Andrew Bartlett

Merge fixes and tests for jra's broken strstr_m() function from 3.0

STF rules!  (Pity we don't use it for more stuff)

Andrew Bartlett

Added strstr_m() function. Use in all places where we might run into mb
(should fix the mb service name problem, can't remember the bugid).
Jeremy.

Fix assumption about following directory sep in check_path_syntax(). We
need to try and convert 1 byte, then 2 bytes if that fails. Fixes bug
reported by Simo.
Jeremy.

Do some checks about data passed to this function

2 fixes to enhance readability of source code and debug messages
1 fix for a memleak

Get us a little closer to Windows LSA semantics.

A windows DC does not reply to DCNAME\\Administrator, only to
DOMAIN\\Administrator. Fix that.

Without winbind we are wrong as domain members, we should forward the request
DOMAIN\\Username to the DC on behalf of the asking client. Winbind fixes that
nicely.

Volker

This might not be used a lot and might not survive for long, but at least it
should work as expected :-)

Fix wb_delgrpmember.

Volker

Fix typo.

Enclose use of fchown() with guards.  Bugzilla #1155.

tdbdump doesn't need to #include <sys/mman.h>

Bugzilla #1154.

Several mb tidyups - getting ready to address the XXX_sub function.
Jeremy.

BUG 488: fix the 'show client in col 1' button and corrctely enumerate active connections

fix compiler warning

Add -O (write downloaded files to stdout), based on patch from
Bas van Sisseren <bas@dnd.utwente.nl>

all_string_sub() is broken as it doesn't handle mb chars correctly (and
so breaks when substitution '/' and '\'). It's used by unix_clean_name(),
which is used by reduce_name, which is used by check_name() (phew!).
Now that we know all filenames passed to check_name() are in a "good"
format (no double slashes, all '\\' chars translated to '/' etc.) due
to the new check_path_syntax() we can avoid calling reduce_name unless
widelinks are denied. After this check-in I can fix all_string_sub() to
handle mb chars correctly as it won't be in the direct path in the
main path handling code.
Jeremy.

Fix my breakage of NT pipes from the previous patch (sorry). Use the
original srvstr_pull_buf() function to get the pipename not srvstr_get_path().
Jeremy.

BUG 1015: patch from jmcd to fix statfs redeclaration of statfs struct on ppc

BUG 1080: fix declaration of SMB_BIG_UINT

There's a specific error message NT_STATUS_ALIAS_EXISTS.

Another typo, sorry for samba-cvs spam :-)

Fix typo.

Volker

Fix build farm, older compilers won't let you declare variables
right in the middle of the code.

I just love catching jra on stuff like this, after all the crap
I've done. :-)

BUG 848: don't create winbind local users/groups that already exist in the tdb

another fix for bug 761; don't default to bsd printing on linux

Added client "hardlink" commant to test doing NT rename with hard links.
Added hardlink_internals() code - UNIX extensions now use this too.
Jeremy.

Use a common function to parse all pathnames from the wire. This allows
much closer emulation of Win2k3 error return codes.
Jeremy.

more usrmgr fixes: display lockout timers in minutes, not seconds, for samr 2e

quick for for usrmgr.  unknown_6 is really max dimension of logon hours array.  need to update passdb for this.

BUG 1129: patch from shiro@miraclelinux.com (Shiro Yamada) to install image files for SWAT

fix typo for callback bit

Let's be polite with poorer backends ;-)

This adds winbind-generated groups showing up in 'getent group'. It is not
very efficient though, it only does one group at a time. Needs improving, but
the structures are not particularly easy to set up, so check in the basically
working part for others to review.

I'm close to saying that I would like to remove aliases from general group
mapping. These can not be reflected correctly in /etc/group, winbind could do
a better job here.

And having aliases only on machines with nss_winbind at least for me is not a
too severe limitation.

Comments?

Volker

allow the 'printing' parameter to be set on a per share basis.
The problem was that the current_printif struct was set during
print_backend_init() based on the 'printcap name'.  So you could
not use cups and then override the setting for a specific printer
by setting 'printing = bsd' (a common setup for pdf generation
print services.

There is a subtle change in behavior in that the print
interface functions are selecting on the basis of lp_printing()
and not lp_printcap_name(), but the new behavior seems more
intuitive IMHO.

Idra, your privileges patch allowed login only with tdbsam. The problem is
that pdb_default_get_privilege_set returns NOT_IMPLEMENTED and not a privilege
set that does not grant anything. I don't really understand privileges yet, so
work around that by not failing if pdb_get_privilege_set fails.

Volker

Sorry, forgot to commit an essential piece.

Expand aliases for winbind-generated groups.

Do:

wbinfo -C alias
net groupmap set alias alias -L
net rpc group addmem alias DOMAIN\\group -S localhost -Uroot%secret
getent group alias

And hopefully the members of domain\\group show up :-)

Still have to get them to show up in 'getent group'.

Volker

merging from 3.0

BUG 1147; bad pointer case in get_stored_queue_info() causing seg fault

Ok here it is my latest work on privileges

This patch add privilege support for samba
Currently it is implemented only for tdbsam backend but estending it to
other sam backends is straightforward.

I must make a big thank to JFM for his teachings on the matter and the
functions at the base of this work.

At thye moment only samr_create_user honours SeAddUsersPrivilege and
SeMachineAccountPrivilege to permit any user to add machines and/or users to
the server.

The command "net priv" has been provided to manipulate the privileges
database.

There are still many things to do (like support in "net rpc vampire") but
the working core is here.

Feel free to comment/extend on this work.

Of course I will deny that any bug may affect this code :-)
Simo.

This patch adds also my patch about add share command enhancements.

Fix Tim's fix for #1144. Tim, could you look at that again?

With only your fix in for example smb.conf was expected in /smb.conf...

Thanks,

Volker

When asked to delete an alias member, don't add it ...

Volker

Add aliases to winbindd_getgroups().

su - WINDOWS\\vl

now includes the locally defined aliases I'm member of.

Next will be getent group.

Volker

Fix bugzilla #1144 where running configure --with-fhs=anything would
turn on fhs compliant paths.  Spotted by Timur Bakeyev.

Apply my experimental aliases support to HEAD. This will be a bit difficult to
merge to 3_0, as the pdb interfaces has changed a bit between the two.

This has not been tested too severly (which means it's completely broken ;-),
but I want it in for review. Feel free to revert it :-)

TODO:

make 'net groupmap' a bit more friendly for alias members.

Put that stuff into pdb_ldap.

Getting the information over to winbind. One plan without linking pdb into
winbind would be to fill group_mapping.tdb with the membership information and
have that as a cache (or use gencache.tdb?). smbd on a PDC or stand-alone
could trigger that itself, the problem is a BDC using LDAP. This needs to do
it on a regular basis. The BDC smbd needs to be informed about SAM changes
somehow...

Volker

net_rpc.c: Don't complain if [add|del]mem was successful.

srv_samr_nt.c: Correctly report that a user is not member of an alias.

Volker

Trivial commit to make 'smbdiff 3_0/source head/source' two files smaller.

Volker

Print an informative error message if trying to add/remove members from
something not a group.

Volker

Add 'net rpc group [add|del]mem' for domain groups and aliases.

Volker

Fix my fix to net rpc group list. We can certainly have more than a single
set of groups.

Volker

Can't set allocation size on directories, return correct error code on
fail if file exists and target is a directory. gentest.
Jeremy.

More gentest fixes. Fix up regression in IS_NAME_VALID and renames.
Jeremy.

Added copyrights I forgot about looong ago...

rafal

Adding ability to operate on trust passwords to pdbedit. This enables
new functionality and testing interface for new pdb functions.

Also, quite a bit of objects is being added to pdbedit in order to make
it able to find domain sid automatically (if not given explicitly).
If such amount of "wisdom" is not required to be in pdbedit, I'll move
it to 'net' which will have this new functionality, anyway.

rafal

Disabling GUMS (gums_tdbsam2) temporarily, to fix the build.

rafal

Fix for writable printerdata problem - bugzilla #1112.

That const was one too many

Implement 'net groupmap set' and 'net groupmap cleanup'.

I was rather annoyed by the net groupmap syntax, I could never get it
right.

net groupmap set "domain admins" domadm

creates a mapping,

net groupmap set "domain admins" -C "Comment" -N "newntname"

should also do what you expect.

net groupmap cleanup

solves a problem I've had two times now: Our SID changed, and a user's primary
group was mapped to a SID that is not ours. net groupmap cleanup removes all
mappings that are not from our domain sid.

Volker

And another little const

Apply some const

Volker

Interesting fact found by IFSTEST /t LockOverlappedTest...
Even if it's our own lock context, we need to wait here as
there may be an unlock on the way.
So I removed a "&& !my_lock_ctx" from the following
if statement.

if ((lock_timeout != 0) && lp_blocking_locks(SNUM(conn)) && ERROR_WAS_LOCK_DENIED(status)) {

Jeremy.

(merge from 3.0)

Fix bug in previous global_sam_sid() commit.  I broke the 'read from
MACHINE.SID' file functionality.

Also, before we print out the results of 'net getlocalsid' and 'net
getdomainsid', ensure we have tried to read that file, or have
generated one.

Andrew Bartlett