This commit was manufactured by cvs2svn to create tag
'release-3-0alpha20'.

preparing for release of 3.0alpha20

sync with SAMBA_3_0

Fix segfault in sam_context_enum_domains - reported by Kai

Don't define PASS_MUST_CHANGE_AT_NEXT_LOGON twice..

Change pdb_xml functions to return NTSTATUS

Change pdb_mysql function to return NTSTATUS

Make functions return NTSTATUS instead of BOOL

Add -r parameter to smbgroupedit. With -r you can manually choose
a rid.

Volker

Patch from "Kai Krueger" <kai@kruegernetz.de> to get some more of our access
control bits right on the SAMR pipe.

Andrew Bartlett

forgot include file, sorry

Patch from "Stefan (metze) Metzmacher" <metze@metzemix.de> to do a *much*
better job of working with usrmgr.   Previously we were blanking out entires,
and all sort of mischif.

The new patch (which I've now had a chance to test/modify) also takes care not
to expand % values (ie we go \\%L\%U -> \\server\user, we don't want to store
\\server\user back) and to correctly notice 'not set' compared to 'null string'
etc.

Andrew Bartlett

move all the passdb internal interface to NTSTATUS
only the interface has been fully moved to NTSTATUS
not all the plugins make full use of it, but have been all converted.

My testings passed completely, however a bit of more testing is welcome

Simo.

notify user when no {domains,accounts} were found

Add samtest command 'enum_accounts' + few typo fixes in sam/interface.c

add samtest commands:
 - show_domain
 - context

fix getpass replacement check (i thought I fixed this a few days
ago....)

Make it clear what this if statement applies to, and what it doesn't

remove extern for AllowDebugChange since we don't use it

Fix the circular dependency that was preventing 'domain master = auto' (the
default) from working.

Andrew Bartlett

Metze claims that without this his win2k server gets horribly confused looking
for all sorts of AD things in lp_realm().  We need to get some non-Win2k
NTLMSSP and chase this up a bit, but this will do for now.

(Hmm, this might affect NTLMv2 as well)

Andrew Bartlett

Whenever we deal with adding machine/trusted domain accounts, always reset the
flag to what we expect.  This handles the 'upgrade' from unixsam beter (where
all $ terminated accounts are machines).

Andrew Bartlett

Don't crash when a backend doesn't have a setsampwent function available - bug reported by metze

This patch from "Stefan (metze) Metzmacher" <metze@metzemix.de> cleans up
pdb_ldap and adds a 'ldap passwd sync' option.

The idea with this option is to do allow an ldap backend to do all the fancy
password hashing etc - and to tell smbd no to try and double-up.  Using 'ldap
passwd sync = only' will do this, but is not recommended unless such a backend
is in place...

Running 'ldap passwd sync = yes' just gets you the same as doing 'pam passwd
sync = yes' and having both PAM and pam_ldap correctly configured for 'magic
root' behaviour, but only using ldap connection, and one set of credentials.

This also gets us closer to allowing ldap to say 'password too short' etc,
which might assist in maintaining a consistant password policy.

Andrew Bartlett

Fix debuglevel command-line argument

Compile samtest with LIBADS_OBJ and PASSDB_OBJ...

samtest should load smb.conf by default
add command-line option to samtest to specify alternate config file - use /dev/null
to don't load any config file..
add 'conf' command to load specified config file

At least try to get this function picked up by the autoprototyper

Kill of Get_Pwnam_Modify and smb_getpwnam().  The latter assumes some things
that just don't apply any more - now that we always keep username and domain
seperate.  Also, the policy it was trying to permit is now implemented by the
auth code.

Andrew Bartlett

Another patch from metze, towards his work on sam_ads.

See mx-ldap.sf.net for his current progress.

Header files should not include includes.h - therein lies maddness, particuarly
if we ever want to get rid of the magic macros.

Actually pick up the kerberos libs in RedHat - the previous shell construct
didn't seem to work properly.

Andrew Bartlett

If adding a user to ldap, make sure we have the 'account' structural class, or
else we can't add to OpenLDAP 2.1

Move to common user token debugging, and ensure we always print both the
NT_TOKEN and the unix credentials - as we incresingly use the NT stuff we want
to make it easy to check they don't get out of wack.

Andrew Bartlett

Avoid a segfault in net join when you have not done an kinit, and it's falling
back to NTLMSSP.  We need to get the password out of the user, and this
eventually does.

Andrew Bartlett

The security descriptor in a PRINTER_INFO_2 could be NULL. (Bong?)

Merge of "profile acls" code.
Jeremy.

merge from APP_HEAD

Hold lock on NEXTJOB record for a very short time. Jerry needs to add code
to make this rebust w.r.t. stored devicemodes.
Jeremy.

Moved -ve cache check to correct place.
Jeremy.

enum_domains shouldn't crash when there are no domains available

Fix bug in get_methods_by_name
Fix bug in enum_domains
Add samtest commands:
 - lookup_sid
 - lookup_name
 - enum_domains
 - lookup_domain

- Don't put pointer to sam_domain_handle in sam_methods but single domainsid and domainname
- Allocate sam_methods, set domain_sid, domain_name and backend_name in make_sam_methods_backend_entry instead of in the backend
- Remove sam_context and domain_sid pointers from the sam_init_function - we don't need those arguments anymore since they're
  available in sam_methods as well

This is a first working version of net rpc vampire. First do a net rpc
getsid, then join as a BDC, and then watch net rpc vampire suck out
the good stuff out of a PDC :-). It's not perfect, but it does quite a
bit for me. Watch out for more.

Volker

Make sure that Alfred Perlstein's changes get into head as smbprint and
that the old one becomes smbprint.old.

We still need to hack smbprint some more to make sure that we can pass
the username and password in a file rather than on the command line where
local hackers can see it.

Typos! Fix 'em!

Removed call to configure for VFS modules.

Updated in preparation for samba-3.0.0alpha20

Don't uppercase the username and domain in a session setup.

Ok, what's this? Samba as a PDC wants to authenticate a user coming in
to a native NT member server. If the logoff time in the samlogon reply
is set to something else but infinity, the tree connect to the member
server comes back with 'bad uid'. In my traces, NT PDC sends
0x7fff.. always. Weird, but true.

I would really like others to double-check this. If you have questions
regarding the setup, feel free to ask!

Thanks!

Volker

Update some help. People keep forgetting that!

Add net getlocalsid [name]

Ok, getting a bit more ambitious. Stop me, if this is wrong. ;-)

When creating a group you have to take care of the fact that the
underlying unix might not like the group name. This change gets around
that problem by giving the add group script the chance to invent a
group name. It then must only return the newly created numerical gid.

Volker

Cosmetic fix for debug message.

tdbdump also needs signal.h. Thanks to Guenther Deschner <gd@suse.de>

Volker

Add the ability to view/set the current local domain SIDs.

Volker

* fix getpass check
* merge in AIX fixes from SAMBA_2_2

Fix typo.

Small, long overdue, fix for libsmbclient.

Change parsing of policy and privs delta to what Ethereal says.

Volker

Sorry for the new parameter, but I think to really reflect what's coming
in via deltas, we need a way to set a user's primary group.

Volker

Merge back Richard's FreeBSD sendfile fixes.
Jeremy.

enable 'map hidden' and 'create mask' to allow the new OPEN test to
succeed

"@" is valid in NetBIOS domain names.
Jeremy.

Add framework for samtest commands

reran autoconf

CUPS merge from SAMBA_2_2

change ADS negprot to match more closely the options used by w2k. This
affects the principal used and the order of SPNEGO OIDs

allow --with-krb5 to override the location of the kerberos libs on
redhat

remove proto headers on realclean

Use sendfile in readbraw.
Jeremy.

Move functionality to check whether entries for lp_workgroup() and "BUILTIN"
exist and add them if necessary from check_correct_backend_entries into
sam_context_check_default_backends. The reason for this is that we don't
always want to have BUILTIN and lp_workgroup() in a sam_context, for example
when doing sam2sam. check_correct_backend_entries has been renamed to
'check_duplicate_backend_entries' since that's what it currently does.

The sam_context_check_default_backends() function is only called
by sam_get_static_context(BOOL reload) currently currently.

tdb tools need #include <signal.h>
Jeremy.

Merge in first command for 'samtest'
Fix small bug in sam/interface.c
Make sam backend to default to a define

trivial comment fix

Remove hardcoded -I stuff.  Hooray!

Clean up python extensions in clean target.

Pass more flags down to setup.py so we don't have to hard code any
-I directives.

Bong!  The devmode could be NULL.  Don't crash if this is the case.

Fixed bug in keyword args for enumprinterdataex

Moving to subdirectory.

Implement printerdata_ex as Python dictionary.  Read only at the moment.

Added "use sendfile" per share option.
Jeremy.

HPUX sendfile is now detected correctly.
Jeremy.

printjob merge from APP_HEAD regarding device modes

Update introduction somewhat

samtest and vfstest binaries shouldn't go into CVS...

Display the repr() of non-string dictionary values.

First code for 'net rpc vampire'. We should probably find a more
positive name for this. It creates users and global groups. More to come.

Volker

Add a synonym for samdump ...

Fixed compiler error when HAVE_KRB5 not defined.

We had a race condition when changing a machine acount password as we
were no longer locking the secrets entry. I saw this on a live system.
Jeremy.

Never, *ever* hold a mutex lock in the message database where there may
be traversals being attempted. Yes, this was from bitter experience (and
an out of control server :-). Also allow callers to break out of a tdb_chainlock
with sigalarm if desired.
Jeremy.

Reverted my earlier change. It was incorrect. We must be protected by
pidfile before doing secrets_init().
Jeremy.

Only create the pidfile once we're ready to receive requests.
This allows external programs to correctly synchronise with us.
Jeremy.

Actually use sendfile if selected.
Jeremy.

Add clock skew handling to our kerberos code. This allows us to cope with
the DC being out of sync with the local machine.

disable stat cache when case sensitive

more const cleanups

another const cleanup

Added --with-ldap (default=yes) option.  We should now be able to
compile a non-ADS, non-LDAP version of Samba on a machine with
Kerberos and LDAP libraries installed.

This shouldn't break anything - let's keep an eye on the build
farm just in case.