Fix bug #7067 - Linux asynchronous IO (aio) can cause smbd to fail to respond to a read or write.

Only works on Linux kernels 2.6.26 and above. Grants CAP_KILL capability
to allow Linux threads under different euids to send signals to each other.

Same as mater commit 899bd0005f56dcc1e95c3988d41ab3f628bb15db.

Jeremy.
(cherry picked from commit cbf09baa90f5c4cfa8a0019ccc79211d72d13629)

s3: Fix bug 7052: "DFS broken on AIX (maybe others)"
(cherry picked from commit c531d00ab4444db19ff6ba4c60ebdcc8319949c6)
(cherry picked from commit f21796955e7aa2e84a1c810612f2fdee2bde611c)
(cherry picked from commit 28b3cf328312a26cd72bbc54f3283bc46b51bc32)
(cherry picked from commit e66e5cb6324800d20f5f091a7fb2eba2d751241a)

s3-docs: Fix typos.

Thanks to the Debian samba package maintainers
<pkg-samba-maint@lists.alioth.debian.org> for providing the patch!

Fix bug #7017 (Typos and spelling errors in manpages).

Karolin
(cherry picked from commit e1e6b19acff6d8ba3b70c3ab474a85de8b6f6a6c)
(cherry picked from commit eaa10cfec3c389c79ac3c43f7ec1596015a9b8e1)
(cherry picked from commit 436e13608e489b4bd5c00597efca9c9ca66b8be1)
(cherry picked from commit c2cdd4dff7a78c5c4abeb04679f07e3807f88dfb)

WHATSNEW: Update release notes.

Karolin
(cherry picked from commit a4e7398fead7cb9210932ed14fb4d2e87b472234)

VERSION: Raise version up to 3.3.11.

Karolin
(cherry picked from commit 7242d5ac288b88e151b368ae7d6fc623f60968da)

s3: Fix a crash in libsmbclient used against the OpenSolaris CIFS server

A user has sent me a sniff where the OpenSolaris CIFS server returns "32" in
totalentries, but the array in ctr only contains 15 entries. Look at the right
delimiter for walking the array.

Fix bug #7046 (libsmbclient crash against OpenSolaris CIFS server).
(cherry picked from commit 1d611028433db18e96d946b206a8eed1048f9b26)

Fix bug 7045 - Bad (non memory copying) interfaces in smbc_setXXXX calls.

In smbc_free_context libsmbclient just called free() on the string options
so it assumes the callers have malloced them before setting them via smbc_set
calls.

Change to correctly malloc/free string options to the library.
Protect against SMB_STRDUP of null.

Contains 2d41b1ab78639abe4ae030ff482573f464564dd7 and
f85b6ee90b88c7f7b2a92c8a5f3e2ebe59c1087b from master.

Jeremy
(cherry picked from commit edc44312f76e14e94c56e70cf7bb49139f9f081e)

s3-libsmbclient: Fix crash bug in SMBC_parse_path().

Patch from Tim Waugh <twaugh@redhat.com>.
This resolves https://bugzilla.redhat.com/show_bug.cgi?id=552658

LIBSMBCLIENT-OPENDIR torture test checks this as well.

Guenther

Fix bug #7043 (SIGSEGV in "SMBC_parse_path").
(cherry picked from commit 07263901632bb98851d86dc0ba1d2dc22735c020)

Fix bug #7036 - net rpc getsid fails in hardened windows environments.

Fix suggested by Dave.Daugherty@Centrify.com.
(cherry picked from commit a92d42cf8ae37fe579061f762af601dc49ed71af)

WHATSNEW: Update release notes.

Karolin
(cherry picked from commit f3ed684b73b233cc2a652f6980e3a854e63eac6b)

s3:configure: only check for gpfs_gpl.h

The header is everything we need in order to build vfs_gpfs.

metze

Signed-off-by: Michael Adam <obnox@samba.org>
(cherry picked from commit ee13e9c0becc2b4a4d3b233613d5e3e9bfb54938)

Fix bug #6856.
(cherry picked from commit b71f0e5f6f715d7c061d3a845f1e983e2472c1b0)
(cherry picked from commit 3f0de150f64f93c7874290160359a89b518864b5)

WHATSNEW: Prepare release notes for Samba 3.3.10.

Karolin
(cherry picked from commit 448e1d2248e0f2cd72ac2cac58fc3ec210f8cf0a)

s3:pdb_ldap: restore Samba 3.0.x behavior and use the first "uid" value.

See bug #6157 for more details.

metze

Signed-off-by: Stefan Metzmacher <metze@samba.org>
(cherry picked from commit 25806f43ddee7e2653e907eea2c6fcc075960fa1)

s3:smbldap: add smbldap_talloc_first_attribute()

metze

Signed-off-by: Stefan Metzmacher <metze@samba.org>
(cherry picked from commit c992127f8a96c37940a6d298c7c6859c47f83d9b)

smbd: Fix opening the quota magic file

This fixes bug #6642 and bug #6919.

metze
(cherry picked from commit c30bd2f2ac1c79a4c3893b2c28e0ba7997685c01)

s3:smbd: Fix bug 6696

smbd crashes when using mdns (not avahi) support
(cherry picked from commit b6ce8928e88d92c5a5d703b52e6dc95a5c79d732)

Second part of fix for bug 6696 - smbd 3.3.7 crashes (signal 11) in dns_register_smbd_reply. Restore the code from 3.2 that actually initializes the struct dns_reg_state handle. Jeremy.
(cherry picked from commit b87c794f99d7909e907b1d115c317bebd55984ed)

Re-fix bug 5202 - cannot change ACLs on writable file with "dos filemode=yes"

This bug re-occurred for 3.3.x and above.

The reason is that to change a NT ACL we now have to open the file requesting
WRITE_DAC and WRITE_OWNER access. The mapping from POSIX "w" to NT permissions
in posix_acls doesn't add these bits when "dos filemode = yes", so even though
the permission or owner change would be allowed by the POSIX ACL code, the
NTCreateX call fails with ACCESS_DENIED now we always check NT permissions
first.

Added in the mapping from "w" to WRITE_DAC and WRITE_OWNER access.

Jeremy.
(cherry picked from commit 9bd957580360ed7a0f98b02d1e03d7fcaf8a878e)

Prevent NULL dereference if group has no members

Fix bug #7014 (domain mode winbind crashes retriveing empty group members).
(cherry picked from commit 5fd32614f147a045aaee30ed9cf62e42ac6e30d8)

Fix bug 7005 - mangle method = hash truncates files with dot '. ' character

Don't change the contents of a const string via a pointer
alias (or if you do, change it back.....).

Jeremy.
(cherry picked from commit e3be5ddae764fae7ff4a3ef502e8461d0535bdc5)

Fix bug #6939 - mangling method = hash breaks long filenames.

We were returning the wrong sense of the bool. must_mangle()
has to return !NT_STATUS_IS_OK, not NT_STATUS_IS_OK.

Jeremy.
(cherry picked from commit f249d2d5893a3f8494e43fd1a805c78cee8eeec5)

Second part of fix for 6875 - trans2 FIND_FIRST2 response --> FIND_FIRST2 Data -> Fille Attributes are returned as 0x220 for LANMAN2.1 dial

Ensure dos_mode can return FILE_ATTRIBUTE_NORMAL, then filter the returned attributes by protocol level.
This makes us consistant in returning DOS attrs across all replies. Tested on OS/2 by Günter Kukkukk.
Jeremy.
(cherry picked from commit b53ee9ffe9d265e254a2c0b11bfcd7e6314ab13f)

s3 aclocal.m4: Fix iconv checks, clean up m4 code

The check for iconv requiring giconv.h and libgiconv as well as
the check for iconv requiring biconv.h and libbiconv were using the wrong
variable to check for previous successful test results. This caused the checks
to always fall back to libbiconv on systems where that library was available.

In the course of fixing this, I had to clean up the indentation in that piece of
code, and I also rewrote/added some comments.

Many thanks to Tsurutani Naoki <turutani@scphys.kyoto-u.ac.jp> for the initial
patch and diagnosis.
(cherry picked from commit f5aff324cb9d965bbc75634596c3c40ffc588183)

Fix bug #4832 (iconv library is not used).
(cherry picked from commit a706038680ffcc3124b5e476810bffb1f7578c06)

s3: Fix a segfault in "net" version 3.3

When neither LOGNAME nor -U is set, "net" and probably other client utils
segfault. Reported by "vinnix" on irc.

Volker

Fix bug #6973 (segfault in client tools).
(cherry picked from commit 6aa17a7b82333de674274045f574bf6c0ce72638)

s3-kerberos: fix the build on Mac OS X 10.6.2.

Guenther
(cherry picked from commit 51328a7056918bc75a7c1c442f47cf0271075542)
(cherry picked from commit 0a165844459eb0e04fa14a33f338c80669e3a92c)

s3-kerberos: add a missing reference to authdata headers.

Guenther
(cherry picked from commit da79cbb0800dd647be864e8bbb5fe1132708174b)
(cherry picked from commit 9acd2394edf2504df23d0ce93f4bafc88c83323b)

s3-kerberos: do not include authdata headers before including krb5 headers.

Guenther
(cherry picked from commit 9329564e44a1432251acb7f0afaf1bd04b8cb957)

s3-kerberos: only use krb5 headers where required.

This seems to be the only way to deal with mixed heimdal/MIT setups during
merged build.

Guenther
(cherry picked from commit 60262369fc2ae19f6d9263e35b5db9b09b603a1b)

s3-kerberos: Fix Bug #6929: build with recent heimdal.

Heimdal changed the KRB5_DEPRECATED define (which now may not take an identifier
for activation) in new releases (like 1.3.1).

Guenther
(cherry picked from commit 1a8f8382740e352a83133b8c49aaedd4716210cd)
(cherry picked from commit a6572bb03fcd323ce03b22ccd713181235f3b0e6)

s3-kerberos: next step to resolve Bug #6929: build with recent heimdal.

Based on patch from Allan <allan@archlinux.org>.

Also should fix the FreeBSD build on the buildfarm.

Guenther
(cherry picked from commit 5b3a32be97a37c119e837bdee8f049684565458c)
(cherry picked from commit d89231e76c618c5d10244ed4bec68dac8fa9cb3c)

s3-kerberos: add check for prerequisite krb5/krb5.h header while checking for krb5/locate_plugin.h.

(Needed for new Heimdal versions).

Guenther
(cherry picked from commit c438b2b3923db66672ec82e795eef543de5fcb8a)
(cherry picked from commit e5592560bb8f90446bd8cbe8019663cbf00e22ab)

nsswitch: fix compile of winbind_krb5_locator with recent Heimdal versions.

Guenther
(cherry picked from commit 51864219cc12ceb66c281355f3e1191d5e32842d)
(cherry picked from commit dff3d01119c91fbdac613508c64f3f8fc0b8a413)

cifs.upcall: 2nd part of fix for Bug #6868: support building with Heimdal we well as with MIT.

Guenther
(cherry picked from commit 660ee2e74523194e5f6b2b6428d76628beb74717)
(cherry picked from commit 1d5af511dd6f88d211b6c63b1e2d9d7ec97b03ad)

s3-build: really fix build of winbind_krb5_locator.

Guenther
(cherry picked from commit fc9f199f2619635f73e8ee7f3b5359521d63f325)
(cherry picked from commit 3aaec6a346a88b732e66796514bc21e47c23e850)

nsswitch: fix the build of the winbind krb5 locator plugin.

Guenther
(cherry picked from commit b9d9353b548d9b2ab684aa171f511174e6414762)
(cherry picked from commit 087c41e390b8be513016ca29a96d1702b0d03587)

cifs.upcall: Fix Bug #6868: support building with Heimdal we well as with MIT.

Guenther
(cherry picked from commit b29eed492f1c056adb0b53510be10e738276ca11)
(cherry picked from commit cca1f7a80317e09208a9e56ff2744b113e0dfbc5)

s3-kerberos: add smb_krb5_principal_get_realm().

Guenther
(cherry picked from commit bddafc6de8e37e014d7f074b6107dda6f76ebdc5)

s3-kerberos: fix some build warnings when building against heimdal.

Guenther
(cherry picked from commit 6664d015c986946c509f4f8d3524f84fb2f34ff1)

kerberos: fix some heimdal build warnings.

Guenther
(cherry picked from commit ce1bea7d692dcf09faafa0941c15313d0d75a9c8)

s3: Fix shadow copy display on Windows 7

Windows 7 is a bit more picky on our NT_STATUS_BUFFER_TOO_SMALL. Announce the
right buffer size, the same amount we later check for.

Fix bug #6850 (Shadow Copy Support for VISTA / Windows 7).
(cherry picked from commit dc3d1f2f073f135bf48a08163010465ba88b9d37)

s3:docs: Fix typo in man mount.cifs.

Fix bug #6844 (wrong credential file format in mount.cifs manpage).
Thanks to the Debian Samba package maintainers for reporting!

Karolin
(cherry picked from commit 3b7f8a759f57f32a8c1bc2db85236e88f616ffd9)
(cherry picked from commit 54e2e0ae51e2e126696570104ed64d0458beb4ce)
(cherry picked from commit dbe41dce7491df93a26bb0f4bd2a33b53fe90188)
(cherry picked from commit 04fa292f6e7948c10da378ca4b8a741324478008)

s3:docs: Document "aio write behind".

Part of a fix for bug #6890 (Some smb.conf parameters are undocumented).

Karolin
(cherry picked from commit fde7c2ab19bc7442d8ee9d85ab2fe54e0cfb4782)
(cherry picked from commit 267ebc03b43dd8c11f5aebf341620b0d94d95135)
(cherry picked from commit 93bbbd3cc776e4aa69239cb086067ec953fc8c8e)
(cherry picked from commit 65a3f18ccd9aa8b4ec31e9e7e5465631ee53afca)

s3:docs: Document "ldap page size".

Part of a fix for bug #6890 (Some smb.conf parameters are undocumented).

Karolin
(cherry picked from commit 9478ec35b5349f50a61bbe2aa88af88577918e91)
(cherry picked from commit 940121d666b9e0645584c93db178b763ac5c8c04)
(cherry picked from commit a1d8a6127448fbdc25d1d87a2541a2ea8e430e17)
(cherry picked from commit eeea76ff150964c7b6db87fb670dbfd1ae68608e)

s3:docs: Document "enable core files".

Part of a fix for bug #6890 (Some smb.conf parameters are undocumented).

Karolin
(cherry picked from commit b03ad70848e6ea889f382c0cb9f21057370f1ab6)
(cherry picked from commit 15f7b70b0e6b6bd2604255cff1c351bb0425e9f3)
(cherry picked from commit 5832bc1c5896b391131952a06013154cbdafe3f9)
(cherry picked from commit f83733838bf94348c98dbc724d86c9021053639b)

s3: Fix bug 6338 -- net rpc trustdom list always display "none"
(cherry picked from commit ff9d20909cdce671d92f1d5cee1249db465efa9b)

docs: Fix Bug 6922: Add Registry patchfile for Win7 domain join.

Patchfile from SATOH Fumiyasu <fumiyas@osstech.co.jp>.

Thanks!

Guenther
(cherry picked from commit 95d0f0aab01fdd751841d57cebe6150cd6fdf80c)
(cherry picked from commit 91deb46d6a4dc1e5290e816c40925598e2c6ded9)

clikrb5: Prefer krb5_free_keytab_entry_contents to krb5_kt_free_entry.

Both functions exist in MIT Kerberos >= 1.7, but only
krb5_free_keytab_entry_contents has a prototype.

Part of a fix for bug #6918 (Build breaks with krb5-client-1.7-6.1.i586).
(cherry picked from commit f7f183aba2c53426620bab7e934ce79b516dc4fc)

s3:idmap_ldap: trim the " chars from the location string in idmap_ldap_db_init

Fix bug #6910 (idmap_ldap stumbles over idmap backend = ldap:"ldap://ldap1
ldap://ldap2"=.

When idmap backend is specified as
idmap backend = ldap:"ldap://server1 ldap://server2"
then currently "ldap://server1 ldap://server2" was passed to
ldap_initialize including the quotes, leading to an ldap error.

Michael
(cherry picked from commit 67f1d0ac6edecec4efb100ae61bc23bd321f518f)

s3: fixed krb5 build problem on ubuntu karmic

Karmic has MIT krb5 1.7-beta3, which has the symbol
krb5_auth_con_set_req_cksumtype but no prototype for it.

See also http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=531635
(cherry picked from commit a6e4cb500b4162cae1d906a1762507370b4ee89e)

Part of a fix for bug #6918.
(cherry picked from commit fbaed41c8f583f633673aca2f600c517744d28b5)

s3-rpc_client: make sure cli_rpc_pipe_open_schannel() does not always return NT_STATUS_OK.

Guenther

Part of a fix for bug #6697.
And hopefully a fix for bug #6889.
(cherry picked from commit b6f1eced1f88b747c4cc8077ebf6bf4370100e09)

s3-rpc_client: protect rpc_pipe_np_smb_conn against a NULL struct rpc_pipe_client.

Guenther

Part of a fix for bug #6697.
(cherry picked from commit 1fe281e25708b999a3e9ef1d5808a79995fbb438)

Second part of the fix for bug 6828 - infinite timeout occurs when byte lock held outside of samba. Fixes case where a connection with a pending lock can me marked "idle", and ensures that the lock queue timeout is always recalculated. Jeremy.
(cherry picked from commit 31bb625273aac6e3e19f95465580b3bcb1885549)

Fix bug 6875 - trans2 FIND_FIRST2 response --> FIND_FIRST2 Data -> Fille Attributes are returned as 0x220 for LANMAN2.1 dialect Jeremy.
(cherry picked from commit f871ff6367b7bd1b49e8aab649f614fd511bfa6a)

Fix bug 6880 - cannot list workgroup servers reported by Alban Browaeys <prahal@yahoo.com> with fix. Revert 2e989bab0764c298a2530a2d4c8690258eba210c with extra comments - this broke workgroup enumeration. Jeremy.
(cherry picked from commit ed99189208b65bcc1a108c4f1a60c0535e75022c)

Fix bug 6867 - trans2findnext returns reply_nterror(req, ntstatus) In a directory with a lot of files. Jeremy.
(cherry picked from commit 92c618cf167b3e9b18db986b05b2c4188b57f882)

s3: Fix crash in pam_winbind, another reference to freed memory.

Fix bug #6840.

Signed-off-by: Bo Yang <boyang@samba.org>
(cherry picked from commit 1791b1cc43ce744c73b473aff0e311acbdf0ee4e)

Fix bug 6829 - smbclient does not show special characters properly. All successful calls to cli_session_setup() *must* be followed by calls to cli_init_creds() to stash the credentials we successfully connected with. There were 2 codepaths where this was missing. This caused smbclient to be unable to open the \srvsvc pipe to do an RPC netserverenum, and cause it to fall back to a RAP netserverenum, which uses DOS codepage conversion rather than the full UCS2 of RPC, so the returned characters were not correct (unless the DOS codepage was set correctly). Phew. That was fun to track down :-). Includes logic simplification in libsmb_server.c Jeremy.
(cherry picked from commit bbeda1398687b79596769a5d046e1e0f249bd382)

Fix bug 6828 - infinite timeout occurs when byte lock held outside of samba Jeremy.
(cherry picked from commit 4fce98ce2578f4bc5063a766fdacbdd5f840e446)

s3: Don't fail authentication when one or some group of require-membership-of is invalid.

Signed-off-by: Bo Yang <boyang@samba.org>
Fix bug #6826.
(cherry picked from commit 74b861908edc427d57928a7af0aa7ffd5fdb8d5a)

s3:packaging: Adapt directory name.

Karolin
(cherry picked from commit 606ec3a311067377ec3d633ee23155f6800dc73f)

cifs.upcall: do a brute-force search for KRB5 credcache

A few weeks ago, I added some code to cifs.upcall to take the pid sent
by the kernel and use that to get the value of the $KRB5CCNAME
environment var for the process. That works fine on the initial mount,
but could be problematic on reconnect.

There's no guarantee on a reconnect that the process that initiates the
upcall will have $KRB5CCNAME pointed at the correct credcache. Because
of this, the current scheme isn't going to be reliable enough and we
need to use something different.

This patch replaces that scheme with one very similar to the one used by
rpc.gssd in nfs-utils. It searches the credcache dir (currently
hardcoded to /tmp) for a valid credcache for the given uid. If it finds
one then it uses that as the credentials cache. If it finds more than
one, it uses the one with the latest TGT expiration.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
Addresses bug #6810.
(cherry picked from commit 6eacb25d736d47e1b4572aec5a143b15fbed619e)

cifs.upcall: make using ip address conditional on new option

Igor Mammedov pointed out that reverse resolving an IP address to get
the hostname portion of a principal could open a possible attack
vector. If an attacker were to gain control of DNS, then he could
redirect the mount to a server of his choosing, and fix the reverse
resolution to point to a hostname of his choosing (one where he has
the key for the corresponding cifs/ or host/ principal).

That said, we often trust DNS for other reasons and it can be useful
to do so. Make the code that allows trusting DNS to be enabled by
adding --trust-dns to the cifs.upcall invocation.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit 6aa0f05509ec1b8578021051f83627f4ca296ef8)

cifs.upcall: switch to getopt_long

...to allow long option names.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit 8fed5de25979654baf1c62b0346c725b9c6b6866)

cifs.upcall: fix IPv6 addrs sent to upcall to have colon delimiters

Current kernels don't send IPv6 addresses with the colon delimiters, add
a routine to add them when they're not present.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit 177e5437a75267fdfce8ba693f039a10344e5974)

cifs.upcall: use ip address passed by kernel to get server's hostname

Instead of using the hostname given by the upcall to get the server's
principal, take the IP address given in the upcall and reverse resolve
it to a hostname.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit ff1b2c8725e21ed7fc944020a1c1cc12a80a9bec)

cifs.upcall: clean up flag handling

Add a new stack var to hold the flags returned by the decoder routine
so that we don't need to worry so much about preserving "rc".

With this, we can drop privs before trying to find the location of
the credcache.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit fe57399ac4ddbdc601871579478b996cfc85fcee)

cifs.upcall: try getting a "cifs/" principal and fall back to "host/"

cifs.upcall takes a "-c" flag that tells the upcall to get a principal
in the form of "cifs/hostname.example.com@REALM" instead of
"host/hostname.example.com@REALM". This has turned out to be a source of
great confusion for users.

Instead of requiring this flag, have the upcall try to get a "cifs/"
principal first. If that fails, fall back to getting a "host/"
principal.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit e919c3ac1229eae35614b92a9daebc71e770ca1b)

cifs.upcall: declare a structure for holding decoded args

The argument list for the decoder is becoming rather long. Declare an
args structure and use that for holding the args. This also simplifies
pointer handling a bit.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit 0b516e8e9e5b1c4b2ab32b27c37ec708d6afd5d2)

cifs.upcall: formatting cleanup

Clean up some unneeded curly braces, and fix some indentation.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit 56de963329bed9a06d27d70dad1d6a21f5f9213a)

cifs.upcall: clean up logging and add debug messages

Change the log levels to be more appropriate to the messages being
logged. Error messages should be LOG_ERR and not LOG_WARNING, for
instance.

Add some LOG_DEBUG messages that we can use to diagnose problems with
krb5 upcalls. With these, someone can set up syslog to log daemon.debug
and should be able to get more info when things aren't working.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit e9b932b242cac1061a19da9421b515cacf6c631b)

Attempt to fix the build -- jlayton, please check!
(cherry picked from commit 223bee1fc5f655adb61db603a5423c8bf4a5f582)

cifs.upcall: use pid value from kernel to determine KRB5CCNAME to use

If the kernel sends the upcall a pid of the requesting process, we can
open that process' /proc/<pid>/environ file and scrape the KRB5CCNAME
value out of it.

Signed-off-by: Jeff Layton <jlayton@redhat.com>
(cherry picked from commit 9ecd9e7dbd6f5f6a07614084207b4891a93ca79b)

s3:winbind: Fix bug 6793 -- segfault in winbindd_pam_auth
(cherry picked from commit 96b600d429561f3ea155ffcb51a87c0d74151f52)

s3/aio: Correctly handle aio_error() and errno.

Fix bug #6805.
(cherry picked from commit 4a6a623affe9e055340fee51d10bc321e175a31b)

Fix bug 6811 - pam_winbind references freed memory. s3: Fix reference to freed memory in pam_winbind.
(cherry picked from commit 80c18ba49f4751dc104062de6a438f00a7afc39d)

WHATSNEW: Start WHATSNEW for 3.3.10.

Karolin
(cherry picked from commit 1b2536765b8678ac27c213244b4b301b142a17bd)

VERSION: Raise version number up to 3.3.10.

Karolin
(cherry picked from commit 6147260f3d258d58f71f3bf32717d50419c68a9e)

WHATSNEW: Update changes.

Karolin
(cherry picked from commit 0e52cec95a7b6040a1dd6e6bb5c5439fd3378a32)

WHATSNEW. Update changes since 3.3.8.

Karolin
(cherry picked from commit 680e39a6795729dfa5e9a748e189f1424324434f)

s3:wbc_sid: Fix build.

Use talloc_free instead of TALLOC_FREE.

Signed-off-by: Volker Lendecke <vl@samba.org>
(cherry picked from commit 95389ecdeb2e1d9d9512210a92c05c7a2d753409)

s3: Fix a memleak reported by dmarkey (cherry picked from commit 5aeb954ba9382e1975c64ac96f1e377ed6af3ae0)

Fix bug #6797.
(cherry picked from commit 68c77a51410bd3a1a0fbe61d6714a9a95b4d82cd)

s3:smbclient: Fix bug 6606 (reported as 6744) in 3.3

This is a port of 1f34ffa0ca and 24309bdb2efc to 3.3.

Fix file corruption using smbclient with NT4 server.
(cherry picked from commit b0fdc578fb10062c36ce2df18ab37cab57a89692)

Correct fix for bug 6781 - Cannot rename subfolders in Explorer view with recent versions of Samba. Without this fix, renaming a directory ./a to ./b, whilst a directory ./aa was already open would fail. Jeremy.
(cherry picked from commit 1f604d26d038956a6ddde892610c9b2254268160)

Fix bug 6769 - symlink unlink does nothing. Jeremy.
(cherry picked from commit fdc28f6700c97e1276e3d6ae1f242f7daa9bab9e)

s3:mount.cifs: make "mount.cifs -V" print the version, not usage.

(cherry-picked from d7ca4997017e86b6f23ced64f1f1672bfb15716b)

Also make "mount.cifs -h" not exit with error exit code but with return code 0.

Michael

Part 2/2 of a fix for bug #6692 (mount.cifs segfault).
(cherry picked from commit d41131948346619be98514331d7059d9bffecac5)

Revert "cifs mount did not properly display version string when no other parameters passed in."

This reverts commit c7bf0f4c222ae46be2a751997e03197832b494cd.

Part 1/2 of a fix for bug #6692.
(cherry picked from commit 2cda51b4e6fba53c04f87e4c2dd99a952a63d812)

WHATSNEW: Add more coherent explanation for bug #6680.

Karolin
(cherry picked from commit 6c4fe1086020d7bc278d84c56b6cbcc6e3a64b5d)

s3-pamsmbpass: copy _pam_get_item and _pam_get_data from pam_winbind.

Fix bug #6790.

Guenther
(cherry picked from commit baa2c10b11a960dd70b3d32b4868a303d85ca9b2)

WHATSNEW: List major enhancements.

Karolin
(cherry picked from commit 113e33cc8d9cb4f68345a39081580db18c0468d8)

WHATSNEW: Update release notes.

Karolin
(cherry picked from commit 30064fe10bab01bea629b0564078323725bdea03)

s3-{u}mount.cifs: remove unrequired dependency on popt.

Fixes bug #6789.

Guenther
(cherry picked from commit f8b2fc49937a72fe64c3e4310141f45fb7d679bf)

s3:winbind: Only ever handle one event after a select call

While handling an fd event, the situation with other fds can change. I've just
seen a winbind stuck in the accept() call on the privileged pipe. I can only
imagine this happen because under high load we first handled other requests and
meanwhile the client on the privileged pipe went away.
(cherry picked from commit a4df4406f12281db60fd6612c6ebf93d77af9152)

Fix bug 6776 - Running overlapping Byte Lock test will core dump Samba daemon. Re-write core of POSIX locking logic. Jeremy.
(cherry picked from commit faf7197b3b4ac9fefeb0fca31a888c9e84bed92f)

s3:smbd: Fix bug 6690, wrong error check
(cherry picked from commit 076e24cbaf9009f744978b03ddf6ef593d90e9c1)

s3:winbindd_cm: don't invalidate the whole connection when just samr gave ACCCESS_DENIED

metze
(cherry picked from commit c6d485583aba69b38b2972224e27edb60c3bf09a)

s3:rpc_server: we need to make a copy of my_name in serverinfo_to_SamInfo3()

This is important for the case the server_info already contains a logon_server.

metze
(cherry picked from commit 855ac932cf86272aaf02bf68e1fbf0e0a2902982)

s3-rpc_client: fix rpccli_set_timeout to cope with abstract transport.

taken from: b7094c0b804984de8e0b50c17e7908a2685df557

Guenther
(cherry picked from commit 3ca4a7bb33c56aa813247d0ea51863d7ded2e5de)

s3:winbind: Fix an uninitialized variable (cherry picked from commit 0724649a8a7c04d015317d9dc2ae43ee87c1bd25)
(cherry picked from commit b50ae28be07b93eef04e6e4b9eeb9fc440e21bd4)

s3-winbindd: Fix Bug #6711: trusts to windows 2008 (2008 r2) not working.

Winbindd should always try to use LSA via an schannel authenticated ncacn_ip_tcp
connection when talking to AD for LSA lookup calls.

In Samba <-> W2k8 interdomain trust scenarios, LookupSids3 and LookupNames4 via an
schannel ncacn_ip_tcp LSA connection are the *only* options to successfully resolve
sids and names.

Guenther
(cherry picked from commit 6a8ef6c424c52be861ed2a9806f917a64ec892a6)
(cherry picked from commit acc5e6012adca290ddc067a4ed25a8161b74250e)

s3-winbindd: add cm_connect_lsa_tcp().

Guenther
(cherry picked from commit 58f2deb94024f002e3c3df47f45454edc97f47e1)
(cherry picked from commit 7e4e12f120c666f31af042ab59fd9478017740ea)