Fix for bug 5571
Make sure that usernames are parsed using the correct separator.
Otherwise group memeberships in winbind may be result broken.

WHATSNEW: Update changes since 3.2.3.

Karolin

packaging(RHEL): fix direction of link (.so) of nss libs.

libnss_winbindd.so -> libnss_winbindd.so.2
libnss_wins.so -> libnss_wins.so.2

Michael

packaging(RHEL): workaround all library installations by mv to %{_libarchdir}

This is all that is still necessary in 3.2.3+.
(The eloquent workarounds for libsmbclient and libsmbsharemodes
are removed.)
In 3.3.0, with the separation of libdir and modulesdir, even this
step becomes unnecessary.

Michael

packaging(RHEL): remove even another manual installation of pam_smbpass.so

Michael

packaging(RHEL): fix installation of pam modules.

Michael

packaging(RHEL): fix libdir installation by using _libarch/_libarchdir

Michael

Fix bug #5052 - not work cancel inheritance on share. We were
using the parent security descriptor type and flags instead
of using the passed in SD.
Jeremy.

When requesting UNIX info levels on findfirst/findnext, don't play games with write time,
just return what the underlying filesystem says. Trying not to confuse UNIX apps any more than necessary.
Jeremy.

Fix blocker bug 5745 kerberos authentication with (lib)smbclient is broken.
Jeremy.

WHATSNEW: Update changes since 3.2.3.

Karolin

packaging(RHEL): remove duplicate installation of pam_smbpass.so

Michael
(cherry picked from commit cdc24fbb195b1a5460c05fcd20d7ba81ad69ef22)

packaging(RHEL): use ccache if available

Michael
(cherry picked from commit e8abbfabde3da0844ffb4e2507084c139a70d503)

packaging(RHEL): add ldbtools binaries and man pages to common package

Michael
(cherry picked from commit 206985dfda5a9f62df975629046b00a88ec666f5)

packaging(RHEL): remove leftovers of smbmount from SPEC file.

Michael
(cherry picked from commit 041875c64daba3d185b1954eb0eb9a21b2f41ee1)

packaging(RHEL): add new libs (talloc, tdb, ...) to the common package

Michael
(cherry picked from commit f23183bbec55faf2d6496e04e73f8dd415a08d1c)

packaging(RHEL): remove smbmount related stuff from spec file

Michael
(cherry picked from commit 4420cf6199e3c718a3dea84fe814d6ad6e83c2d8)

packaging(RHEL): fix version of GPL (2 --> 3)

Michael
(cherry picked from commit c015e8e0cf4131f21305451943df13b81f51ea6a)

WHATSNEW: Update changes since 3.2.3.

Karolin

packaging(RHEL): remove libmsrpc stuff which is no more...

Michael
(cherry picked from commit 3eaa33e9df6d58ef93f13a840b38a063649fffbc)

WHATSNEW: Update changes since 3.2.3.

Karolin

Fix calculation of useable_space for trans2 and nttrans replies

When alignment was in place, we pretended to send more data/params according to
the param_offset/param_length and data_offset/data_length parameters than would
actually fit into the SMB according to the NBSS length field.

smbd: some write time fixes

- only the first non truncating write causes
  the write time update with 2 seconds delay.
  It's not enough to check for an existing update event
  as it will be NULL after the event was triggered.

- SMBwrite truncates always update the write time
  unless the sticky write time is set.

- SMBwrite truncates don't trigger a write time update on close.

metze

When setting an NFSv4 ACL, map generic bits
(cherry picked from commit dbe7a61be2beac50d1665e38ac374cefbbabec00)

WHATSNEW: Update changes since 3.2.3.

Karolin

Fix debug message to show correct function name.
Jeremy.

Write times code update.

Ok, here's the fix for the write times breakage
with the new tests in S4 smbtorture.

The key is keeping in the share mode struct
the "old_file_time" as the real write time,
set by all the write and allocation calls,
and the "changed_write_time" as the "sticky"
write time - set by the SET_FILE_TIME calls.

We can set them independently (although I
kept the optimization of not setting the
"old_file_time" is a "changed_write_time"
was already set, as we'll never see it.

This allows us to update the write time
immediately on the SMBwrite truncate case,
SET_END_OF_FILE and SET_ALLOCATION_SIZE calls,
whilst still have the 2 second delay on the
"normal" SMBwrite, SMBwriteX calls.

I think in a subsequent patch I'd like to
change the name of these from "old_file_time"
to "write_time" and "changed_write_time" to
"sticky_write_time" to make this clearer.

I think I also fixed a bug in Metze's original
code in that once a write timestamp had been
set from a "normal" SMBwriteX call the fsp->update_write_time_triggered
variable was set and then never reset - thus
meaning the write timestamp would never get
updated again on subsequent SMBwriteX's.

The new code checks the update_write_time_event
event instead, and doesn't update is there's
an event already scheduled.

Metze especially, please check this over for
your understanding.

Jeremy.

Remove unecessary msync.
Jeremy.

Fix a memleak

request.extra_data is not freed if there is no extra_data in response or
when there is some error happens in processing. This patch will free the
buffer right after processing a request before sending back a response.
(cherry picked from commit be6f12273f171a3eb1967d2299064e57d737f6a4)

Do proper error handling if the socket is closed

This is a step in fixing bug 5707.

Thanks to Igor Galić <i.galic@brainsware.org> for reporting!

Volker

run "make idl" after after idl change "Handle arbitrary new PAC types"

Michael

Handle arbitrary new PAC types

When MS introduces a new PAC type, we should just ignore it, not
generate a parse error. New PAC info structures are supposed to be
backwards compatible with old ones
(cherry picked from commit 2971b926c835412b02c93ad1e30f1471bc0a3612)

re-run make idl after Jelmer's "poperly cast array lengths" pidl change.

(f321240fa91fa19c1131f119c42f64897d220682)

Michael

fixed an errno handling bug that could lead to an infinite loop
(cherry picked from commit 5ccdc58ce91ee40ca7171dd040191291aeb7fe02)

fixed tsmsm_sendfile(). The logic was totally broken.
(cherry picked from commit 794e48b809036871287df8416a2c669b7e26f216)

configure: fix typo in GNU ld version-script test.

Michael
(cherry picked from commit 0d9f3dfc4c139938ee57b6cf60c29cf4ce404be7)

Add workaround for docs build and dependency on parameters.all.xml
(cherry picked from commit d4f5b5255f9b95050ddd9d67bd3958402be77918)
(cherry picked from commit c8154142d97ccf973feb36d77f932c893fda0af5)
(cherry picked from commit c91e7e9f7f392d5ba850619395eddac34617f1e4)
(cherry picked from commit bdb0a5d5fdbc331e11391f7b6e0aae963cebd3fc)

Release scripts: Update create-tarball to include docs and other packaging details.

I've updated the create-tarball script to support command line options,
docs build (or copy and existing build), and to run the packaging update
scripts.

  $ release-scripts/create-tarball --help
  Usage release-scripts/create-tarball [options]
      --help             Print command usage
      --branch <name>    Specify the branch to to create the archive file from
      --copy-docs <dir>  Copy documentation from <dir> rather than building
      --tag <name>       Tag name for release
      --keyid <email>    The GnuPG key ID used to sign the release tag
(cherry picked from commit 7c96795e5954b6a716beb6f5a30d6c7bb1647717)

Add simple script to build docs
(cherry picked from commit 0865f4615d3ee91673dd6d02c6537765f34b3129)

Fix winbindd crash bug with trusted domains. Bug #5736

get rid of unneeded argument for get_alloc_methods as well

get rid of unneeded argument for get_methods

Cleanup of DC enumeration in get_dcs()

This is a fix for a few small inefficiencies/bugs in the get_dcs() path.

* because the third add_one_dc_unique() loop was outside the ADS check all DCs
  returned from the non-sitename lookup were being tacked onto the dc_name_ip
  list twice.
* add_one_dc_unique() now checks if the given IP address already exists before
  adding it to the list, making the returned list actually unique
* added more thorough doxygen comment headers

kerberos: fix indent of enc type lines in generated krb5.conf files.

Guenther
(cherry picked from commit 18a26f08b6fab4119a1421a7ca59c32dde8bb8cb)

Fix bug #5729. Explicitly allow "-valid".
Jeremy

The msync manpage reports that msync *must* be called before munmap. Failure to do so may result in lost data. Fix an ifdef check, I really think we meant to check HAVE_MMAP here.

Fix Coverity ID 587

The following test program prints "8" on 64-bit :-)

static void print_size(const char lenbuf[4])
{
        printf("sizeof(lenbuf) = %d\n", (int)sizeof(lenbuf));
}
int main(void)
{
        const char lenbuf[4];
        print_size(lenbuf);
        return 0;
}

Jeremy, please check :-)

Volker
(cherry picked from commit 9daea0ccfdda58450be3c9a9a94c016f5900c319)

Deal with systems that don't initialize birthtime correctly.
Pointed out by SATOH Fumiyasu <fumiyas@osstech.jp>.
Jeremy.

Clarify usage of "force create mode".
Jeremy.

Add st_birthtime and friends for accurate create times on systems that support it (*BSD and MacOSX). This really needs to be in 3.2.x.
Should have done this ages ago, sorry.
Jeremy.

winbindd: fix invalid sid copy (hit when enumerating sibling domains).

Guenther
(cherry picked from commit 5eee7423351ffd05486e33ff8eb905babcbc9422)

Fix the wcache_invalidate_samlogon calls.
Jeremy.

Correct the netsamlogon_clear_cached_user function.

Be explicit about setting perms for the ldb. Helps others who may use this api.
Jeremy.

ldb: Fix permissions of new ldg files.

This one fixes together with 2eaf4ed62 bug #5715 and CVE-2008-3789.

Thanks to Steve Langasek <vorlon@debian.org> for reporting!

Karolin
(cherry picked from commit b666d0a4b597218f5f5020bf36d80d84dcbf7259)

WHATSNEW: Add updates for 3.2.3.

Karolin
(cherry picked from commit 86634dc0c89b8c0ddf61273d31cc7d8cdb443643)

ldb: Fix permissions of group_mapping.ldb.

This one fixes bug #5715 and CVE-2008-3789.
(cherry picked from commit a94f44c49f668fcf12f4566777a668043326bf97)

Merge branch 'v3-2-test' of git://git.samba.org/samba into v3-2-test

mount.cifs: unclear error message with "credentials"

Thanks to Christophe Curis for the suggestion

become root for AIO operations

We need to become root for AIO read and write to allow the AIO thread
to send a completion signal to the parent process when the IO
completes

EINVAL is also a valid error return, meaning "this filesystem
cannot do sendfile for this file"

Avoid a race condition in glibc between AIO and setresuid().

See this test: http://samba.org/~tridge/junkcode/aio_uid.c

The problem is that setresuid() tries to be clever about threads, and
tries to change the euid of any threads that are running. If a AIO read
or write completes while this is going on then the signal from the thread
where the IO completed is lost, as it gets -1/EPERM from rt_sigqueueinfo()

The simplest fix is to try to use setreuid() instead of setresuid(),
as setreuid() doesn't try to be clever. Unfortunately this also means
we must use become_root()/unbecome_root() in the aio code.

Fix bug 4516, no IPv6 on Solaris 2.6.

cifs.upcall: bump SPNEGO msg version number and don't reject old versions

When we added the ability for the kernel to send sec=mskrb5 to the
upcall, we subtly broke old cifs.upcall versions that don't understand
it. Bump the spnego message version to 2 to make this clear. Also,
change cifs.upcall to not reject requests with a version that's lower
than the current one, and to send the reply with the same version that
the request sent. The idea is to try and keep cifs.upcall backward
compatible with old kernels.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Don't re-initialize a token when we already have one. This fixes the build farm failures when winbindd connects as guest.
This one took a *lot* of tracking down :-).
Jeremy.

winbindd: Fix crash in cm_connect_sam()

Fix segv when talking to parent DC (joined to child domain).

The root cause was

(a) storing the parent domain in the cli_state struct caused
    the NTLMSSP pipe bind to fail which made us fallover to
    the schannel code path
(b) the dcinfo pointer in cm_get_schannel_dcinfo() was returning
    NULL even though the function indicated success.
(cherry picked from commit 5ce4a2ae6697970ea37d0078a506615b4b7a9a9c)

cifs.upcall: fix build warning

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Fix Bug #5710 and make machine account password changing work again.

When we negotiated NETLOGON_NEG_PASSWORD_SET2 we need to use
NetrServerPasswordSet2 to change the machine password.

Tested with NT4, W2k, W2k3 and W2k8.

Guenther

re-run make idl.

Guenther
(cherry picked from commit f24cef9fa7be45212744d39b7c66804e64147afd)

IDL: fix IDL for netr_ServerPasswordSet2().

Guenther
(cherry picked from commit 7b312a0abc6de5a51555ccfbde7f8f78fc11d043)

Fix bug 5698 - mixup of TALLOC/malloc. Spotted by Douglas Wegscheid <Douglas_E_Wegscheid@whirlpool.com>.
Jeremy.

build: fix bug #5590 by not linking in the static libs but the objects.

Michael
(cherry picked from commit 6ad2090391a92ebe822b2d7b80e180c251dc8e7a)

build: fall down to the same place when using an internal lib statically.

Michael
(cherry picked from commit 702c0bc04668117e3521d687b9b5a87fd7e0f1b1)

build: rename LIBNETAPI_OBJ1 to LIBNETAPI_OBJ0 for consistency.

Michael
(cherry picked from commit ead9b9d7167d999d73cf4111f3b321236aac2a15)

fix build warning.

Guenther
(cherry picked from commit a75055be5ff7ebe3476cfac86c6597a56a843c23)

fix another build warning.

Guenther
(cherry picked from commit 43693ce6c678b961fa516bbf502af92f87cd5346)

nss_winbind: When returning NSS_UNAVAIL, squash errno to ENOENT

According to the GNU libc nss guide, we should always set
errno to ENOENT when returning NSS_UNAVAIL.

http://www.gnu.org/software/libtool/manual/libc/NSS-Modules-Interface.html#NSS-Modules-Interface

At least the MQ Series message queing service that runs
on WebSphere will fail if you return any other errno in this case.
(cherry picked from commit ee26664602445fa7798e2061f6bcbef0756d6528)

smbd: fix the handling of create_options to pass RAW-OPEN

Some of the bits generate INVALID_PARAMETER and some bits
are ignored when they come from a client, that's why we need
to use bits from the ignored range for our internal usage.

metze
(cherry picked from commit 7b4c8a4e39f310eb450918fa841b0ea1b4af19f7)

cifs.upcall: handle MSKRB5 OID properly

When the kernel sends the upcall a sec=mskrb5 parameter, that means
the the MSKRB5 OID is preferred by the server. This patch fixes the
upcall to use that OID in place of the "normal" krb5 OID when it
gets a sec=mskrb5 parameter.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Acked-by: Steve French <smfrench@gmail.com>

Fix bug 5697 nmbd spins in reload_interfaces when only loopback has an IPv4 address
reported by Ted Percival <ted@midg3t.net>.
Jeremy.

build: fix linking cifs.upcall when nscd_flush_cache() is found.

Michael
(cherry picked from commit 661b7fdffda40a9ca7cb36627dbaf91cb4357cd0)

WHATSNEW: Start WHATSNEW for 3.2.3.

Karolin

VERSION: Raise version number up to 3.2.3.

Karolin

Fix length error in wrapping spnego blob. Karoling this needs to be in 3.2.2 (sorry).

WHATSNEW: Update release date.

Karolin

WHATSNEW: Add some more major bug fixes.

Karolin

WHATSNEW: Add corresponding bug number.

Karolin

WHATSNEW: Update changes since 3.2.1.

Karolin

Merge branch 'v3-2-test' of ssh://jra@git.samba.org/data/git/samba into v3-2-test

Fix bug 5696. The problem was when smbd
was asking for a winbindd name to SID lookup of
"Unix Group\name" where "name" was also a valid username,
the winbindd passdb lookup of that name was losing the
domain string info before calling lookup name (ie. lookup_name()
was being called with just the string "name", not the
full string "Unix Group\name").

The passdb backend of winbindd has to cope with
not only names from it's own global SAM domain,
but it does lookups for BUILTIN and "Unix User"
and "Unix Group" also, so making it guess by
losing the domain string is "A Bad Idea" (tm) :-).

Note that as winbind globally calls winbind_off()
at startup, it's safe for winbind to call sys_getgrnam()
to do the "Unix Group" lookup from inside lookup_name().

Jeremy.

cifs.upcall: negatively instantiate keys on error

When a request-key upcall exits without instantiating a key, the kernel
will negatively instantiate the key with a 60s timeout. Older kernels,
however seem to also link that key into the session keyring. This
behavior can interefere with subsequent mount attempts until the
key times out. The next request_key() call will get this negative key
even if the upcall would have worked the second time.

Fix this by having cifs.upcall negatively instantiate the key itself
with a 1s timeout and don't attach it to the session keyring.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Building cifs.upcall is giving this build warning:

   client/cifs.upcall.c:205: warning: function declaration isn’t a prototype

This patch fixes this by properly declaring usage() args as void.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Signed-off-by: Steve French <sfrench@samba.org>

cifs.upcall: fix manpage and comments

The "cifs.resolver" key type has been changed to "dns_resolver". Fix
the comments at the top of cifs.upcall and the manpage accordingly.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Signed-off-by: Steve French <sfrench@samba.org>
---
 docs-xml/manpages-3/cifs.upcall.8.xml |    4 ++--
 source/client/cifs.upcall.c           |    8 ++++----
 2 files changed, 6 insertions(+), 6 deletions(-)

cifs.upcall was not recognizing the newer name "dns_resolver" key type
(as a synonym for the older "cifs.resolver" name) when resolving host
names to ip addresses for the kernel.

Acked-by: Jeff Layton

cifs.upcall: fix compile warning

Steve French noticed these warnings when building cifs.upcall:

   Compiling client/cifs.upcall.c
   client/cifs.upcall.c: In function 'usage':
   client/cifs.upcall.c:204: warning: declaration of 'prog' shadows a global declaration
   client/cifs.upcall.c:33: warning: shadowed declaration is here

Change the usage function to not take and arg and have it just use the global
"prog" variable. Fix a typo in the log message generated when an unknown
option is specified. Also getopt() always returns '?' when it sees an unknown
option so there's no point in printing it out.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

This patchset comprises a number of cleanups for the cifs upcall
binary. The biggest change is that it renames it from cifs.spnego
to cifs.upcall since the cifs.spnego name really isn't applicable
anymore.

It also fixes a segfault when the program is run without any args
and adds a manpage. Comments and/or suggestions appreciated.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

Attempt to fix Coverity ID 596

Jeremy, please check & push if it's ok.

Attempt to fix Coverity ID 595

is_ipaddress already dereferences "name", so the NULL check is pointless after
calling it.

I think the problem with these functions is that lookup_usergroups
should never include the user SID.
The comment for the function in winbindd/winbindd_ads.c says
/* Lookup groups a user is a member of. */
The following patch makes the wbinfo calls return the correct data
before and after a login.

build: fix a typo in the installlibtalloc rule.

The symlink liballoc.so -> libtalloc.so.1 would have been
created unconditionally, independent of the existence of
libtalloc.so.1.

Michael
(cherry picked from commit 04974818bda75c4315ad09b623e5df55c87dbc87)