s/newrole/sudo/

Only put login_cap(3) in SEE ALSO section if we have login.conf support

regen

Substitute in comment characters for lines partaining to login.conf,
BSD auth and SELinux and only enable them if pertinent.

Substitute in comment characters for lines partaining to login.conf,
BSD auth and SELinux and only enable them if pertinent.

Substitute in comment characters for lines partaining to login.conf,
BSD auth and SELinux and only enable them if pertinent.

Substitute in comment characters for lines partaining to login.conf,
BSD auth and SELinux and only enable them if pertinent.

Substitute in comment characters for lines partaining to login.conf,
BSD auth and SELinux and only enable them if pertinent.

Remove the =cut on the first line (above the copyright notice) to quiet
pod2man.  Also remove the hackery in the FILES section and just deal
with the fact that there will a newline between each pathname.

run sudo.man.pl when generating sudo.man.in

comment out SELinux manual bits unless --with-selinux was specified

document role and type defaults for SELinux

Document "sudo -ll" and make "sudo -l -l" be equivalent.

Treat k*bsd*-gnu like Linux, not BSD.
Fixes compilation problems on Debian GNU/kFreeBSD.

Avoid Heimdal'isms introduced in the rev 1.32 rewrite of verify_krb_v5_tgt()

Remove dependence on VALIDATE_NOT_OK in logging functions.
Split log_auth() into log_allowed() and log_denial()
Replace mail_auth() with should_mail() and a call to send_mail()

Add debugging so we can tell if the krb5 ccache is accessible

mention --with-selinux

regen

add Sudo tag

Add support for SELinux RBAC.  Sudoers entries may specify a role and type.
There are also role and type defaults that may be used.  To make sure a
transition occurs, when using RBAC commands are executed via the new sesh
binary.  Based on initial changes from Dan Walsh.

Add support for SELinux RBAC.  Sudoers entries may specify a role and type.
There are also role and type defaults that may be used.  To make sure a
transition occurs, when using RBAC commands are executed via the new sesh
binary.  Based on initial changes from Dan Walsh.

Add support for SELinux RBAC.  Sudoers entries may specify a role and type.
There are also role and type defaults that may be used.  To make sure a
transition occurs, when using RBAC commands are executed via the new sesh
binary.  Based on initial changes from Dan Walsh.

Add long list (sudo -ll) support for printing verbose LDAP and sudoers
file entries.  Still need to update manual.

Unify the -l output for file and ldap based sudoers and use lbufs for both.
The ldap output does not currently include options that cannot be represented
as tags.  This will be remedied in a long list output mode to come.

Use a specific error message for errno == EAGAIN when setuid() et al fails.
On Linux systems setuid() will fail with errno set to EAGAIN if changing
to the new uid would result in a resource limit violation.

Unlimit nproc on Linux systems where calling the setuid() family
of syscalls causes the nroc resource limit to be checked.  The
limits will be reset by pam_limits.so when PAM is used.  In the
non-PAM case the nproc limit will remain unlimited but there doesn't
seem to be a way around that other than having sudo parse
/etc/security/limits.conf directly.

Only read /etc/environment on Linux and AIX

Use SUDO_DEFINE_UNQUOTED instead of AC_DEFINE_UNQUOTED to prevent
ldap.conf and ldap.secret paths from going into config.h.
Avoid single quotes in variable expansion when using SUDO_DEFINE_UNQUOTED
since in some versions of bash they will end up literally in the resulting
define.

mention --with-nsswitch=no

ldap_ssl.h depends on ldap.h being included first

Include ldap_ssl.h if we can find it.  Needed for the ldapssl_set_strength
defines on HP-UX at least.

sync

sync

regen

Use 78n line length when formatting cat pages.

Remove redundant info that is now in sudoers.ldap.pod

Reorganize the first section a bit.  Substitute the proper path for
/etc/sudoers.

Substitute values for ldap.conf, ldap.secret and nsswitch.conf
Move schema into EXAMPLES

Substitute values for ldap.conf, ldap.secret and nsswitch.conf into
sudoers.ldap.man.

substitute for sudoers.ldap.man

Fix cut & pasto introduced when adding sudoers.ldap man page.

Fill in some of the missing pieces.  Still needs some reorganization and
editing.

Beginnings of a sudoers.ldap man page.  Currently, much of the information
is adapted from README.LDAP.

When copying gr_mem we must guarantee that the storage space for
gr_mem is properly aligned.  The simplest way to do this is to
simply store gr_mem directly after struct group.  This is not a
problem for gr_passwd or gr_name as they are simple strings.

Fix a typo/thinko in one of the calls to sudo_ldap_check_user_netgroup().
From Marco van Wieringen.

include <mps/ldap_ssl.h> in ldap.c if available

Make sure we define SIZE_MAX for yacc's skeleton.c

Use TCSAFLUSH when restoring terminal settings (and echo) to guarantee that any pending output is discarded

no longer need to specify SETENV when user has sudo ALL

sync user_args size calculation with sudo.c
Add -g group option, renaming old -g to -G
Add set_runasgr() and set_runaspw() and use them

Make set_runaspw static void

g/c set_runaspw stub

Don't add -llber twice.

fix typo

regen

Fix check that determines whether -llber is required.

For netscape-based LDAP, use ldapssl_set_strength() to implement
the checkpeer ldap.conf option.

Delay krb5_cc_initialize() until we actually need to use the cred cache,
which is what krb5_verify_user() does.
Better cleanup on failure.

Rewrite verify_krb_v5_tgt() based on what heimdal's krb5_verify_user() does.

The U suffix on constants is an ANSI feature

Add check for ber_set_option() in -llber

default if no nsswitch.conf is files only

don't tell people to mail aaron about LDAP stuff

timelimit and bind_timelimit

sync

Move ldap.secret reading into a separate function.

user_runas -> runas_pw

sync

Add and document the %p escape in the password prompt.
Based on a patch from Patrick Schoenfeld.

Check strlcpy() return values.

refactor ldap binding code into sudo_ldap_bind_s()

Make it clear that host and uri can take multiple parameters.
URI is now supported for more than just openldap
nsswitch.conf does't accept "compat"

comment cleanup and update (c) year

Move display_privs() and display_cmnd() from parse.c to sudo_nss.c.
This should make it possible to build an LDAP-only sudo binary.

Improve chaining of multiple sudoers sources by passing in the previous return value to the next in the chain

Free up parser data structures in sudo_file_close().

Free up parser data structures in sudo_file_close().

Parse uri ourself if no ldap_initialize() is present
Use ldap_create() instead of deprecated ldap_init()
Use ldap_sasl_bind_s() instead of deprecated ldap_simple_bind_s()

Add check for ldap_sasl_bind_s()
Remove -DLDAP_DEPRECATED from CFLAGS

add check for ldap_create

Add sudo_ldap_get_first_rdn() to return the first rdn of an entry's dn
using the mechanism appropriate for the LDAP SDK in use.
Use ldap_unbind_ext_s() instead of deprecated ldap_unbind_s().
Emulate ldap_unbind_ext_s() and ldap_search_ext_s() for SDK's without them.

include unistd.h

fix typo in mtim_getnsec

add check for st__tim in struct stat as used by SCO

use ldap_search_ext_s instead of deprecated ldap_search_s

add sudo_nss.h to HDRS

Replace deprecated ldap_explode_dn() with calls to ldap_str2dn()
and ldap_rdn2str().

Use ldap_get_values_len()/ldap_value_free_len() instead of the
deprecated ldap_get_values()/ldap_value_free().

sync

sync

Remove some already fixed XXXs

Same return value as non-existent sudoers if LDAP was unable to connect.

mention /etc/environment

Update to reflect recent developments.

Print nsswitch.conf, ldap.conf and ldap.secret paths in -V output.

When building up a query don't list groups in the aux group vector
that are the same as the passwd file group.  On most systems the
first gid in the group vector is the same as the passwd entry gid.

Define LDAPNOINIT before calling ldap_init(), etc. to disable user
ldaprc and system defaults that could affect how LDAP works.

Rename read_nss -> sudo_read_nss
Add --with-nsswitch to allow users to specify nsswitch.conf path or disable it.
If --with-nsswitch=no but --with-ldap, order is LDAP, then sudoers.
Fix --with-ldap-conf-file and --with-ldap-secret-file

Honor def_ignore_local_sudoers