Remove redundant info that is now in sudoers.ldap.pod

Reorganize the first section a bit.  Substitute the proper path for
/etc/sudoers.

Substitute values for ldap.conf, ldap.secret and nsswitch.conf
Move schema into EXAMPLES

Substitute values for ldap.conf, ldap.secret and nsswitch.conf into
sudoers.ldap.man.

substitute for sudoers.ldap.man

Fix cut & pasto introduced when adding sudoers.ldap man page.

Fill in some of the missing pieces.  Still needs some reorganization and
editing.

Beginnings of a sudoers.ldap man page.  Currently, much of the information
is adapted from README.LDAP.

When copying gr_mem we must guarantee that the storage space for
gr_mem is properly aligned.  The simplest way to do this is to
simply store gr_mem directly after struct group.  This is not a
problem for gr_passwd or gr_name as they are simple strings.

Fix a typo/thinko in one of the calls to sudo_ldap_check_user_netgroup().
From Marco van Wieringen.

include <mps/ldap_ssl.h> in ldap.c if available

Make sure we define SIZE_MAX for yacc's skeleton.c

Use TCSAFLUSH when restoring terminal settings (and echo) to guarantee that any pending output is discarded

no longer need to specify SETENV when user has sudo ALL

sync user_args size calculation with sudo.c
Add -g group option, renaming old -g to -G
Add set_runasgr() and set_runaspw() and use them

Make set_runaspw static void

g/c set_runaspw stub

Don't add -llber twice.

fix typo

regen

Fix check that determines whether -llber is required.

For netscape-based LDAP, use ldapssl_set_strength() to implement
the checkpeer ldap.conf option.

Delay krb5_cc_initialize() until we actually need to use the cred cache,
which is what krb5_verify_user() does.
Better cleanup on failure.

Rewrite verify_krb_v5_tgt() based on what heimdal's krb5_verify_user() does.

The U suffix on constants is an ANSI feature

Add check for ber_set_option() in -llber

default if no nsswitch.conf is files only

don't tell people to mail aaron about LDAP stuff

timelimit and bind_timelimit

sync

Move ldap.secret reading into a separate function.

user_runas -> runas_pw

sync

Add and document the %p escape in the password prompt.
Based on a patch from Patrick Schoenfeld.

Check strlcpy() return values.

refactor ldap binding code into sudo_ldap_bind_s()

Make it clear that host and uri can take multiple parameters.
URI is now supported for more than just openldap
nsswitch.conf does't accept "compat"

comment cleanup and update (c) year

Move display_privs() and display_cmnd() from parse.c to sudo_nss.c.
This should make it possible to build an LDAP-only sudo binary.

Improve chaining of multiple sudoers sources by passing in the previous return value to the next in the chain

Free up parser data structures in sudo_file_close().

Free up parser data structures in sudo_file_close().

Parse uri ourself if no ldap_initialize() is present
Use ldap_create() instead of deprecated ldap_init()
Use ldap_sasl_bind_s() instead of deprecated ldap_simple_bind_s()

Add check for ldap_sasl_bind_s()
Remove -DLDAP_DEPRECATED from CFLAGS

add check for ldap_create

Add sudo_ldap_get_first_rdn() to return the first rdn of an entry's dn
using the mechanism appropriate for the LDAP SDK in use.
Use ldap_unbind_ext_s() instead of deprecated ldap_unbind_s().
Emulate ldap_unbind_ext_s() and ldap_search_ext_s() for SDK's without them.

include unistd.h

fix typo in mtim_getnsec

add check for st__tim in struct stat as used by SCO

use ldap_search_ext_s instead of deprecated ldap_search_s

add sudo_nss.h to HDRS

Replace deprecated ldap_explode_dn() with calls to ldap_str2dn()
and ldap_rdn2str().

Use ldap_get_values_len()/ldap_value_free_len() instead of the
deprecated ldap_get_values()/ldap_value_free().

sync

sync

Remove some already fixed XXXs

Same return value as non-existent sudoers if LDAP was unable to connect.

mention /etc/environment

Update to reflect recent developments.

Print nsswitch.conf, ldap.conf and ldap.secret paths in -V output.

When building up a query don't list groups in the aux group vector
that are the same as the passwd file group.  On most systems the
first gid in the group vector is the same as the passwd entry gid.

Define LDAPNOINIT before calling ldap_init(), etc. to disable user
ldaprc and system defaults that could affect how LDAP works.

Rename read_nss -> sudo_read_nss
Add --with-nsswitch to allow users to specify nsswitch.conf path or disable it.
If --with-nsswitch=no but --with-ldap, order is LDAP, then sudoers.
Fix --with-ldap-conf-file and --with-ldap-secret-file

Honor def_ignore_local_sudoers

no longer need to check def_ignore_local_sudoers here

Refactor group vector resetting into a function and also call it
from display_cmnd.
Stop after the first sucessful match in display_cmnd.
Print a newline between each display_privs method.

fix double free introduced in rev 1.218

belt and suspenders; zero out result after freeing it

Refactor line reading into a separate function, sudo_parseln(),
which removes comments, leading/trailing whitespace and newlines.
May want to rethink the use of sudo_parseln() for /etc/ldap.secret

Make the inability to read the sudoers file a non-fatal error if
there are other sudoers sources available.
sudoers_file_lookup now returns "not OK" if sudoers was not present

make it clear that the global options are from LDAP

allocate proper amount of space for error string

actual sudo nss code

nss-ify display_privs and display_cmnd.

move update_defaults() to parse.c

Use nsswitch to hide some sudoers vs. ldap implementation details
and reduce the number of #ifdef LDAP
TODO: fix display routines and error handling

First cut at nsswitch.conf support.
Further reorganizaton and related changes are forthcoming.

Add support for reading and /etc/environment file.  Still needs to
be documented and should probably only applies to OSes that have
it (AIX and Linux, maybe others).

include limits.h

reword LDAP SASL

sync

Add an example sudoRole, clarify netscape vs. openldap a bit more

Be clear on what is OpenLDAP vs. Netscape-derived

Use ldapssl_init() for ldaps support instead of trying
to do it manually with ldap_init() + ldapssl_install_routines().
Use tls_cert and tls_key for cert7.db and key3.db respectively.
Don't print debugging info for options that are not set.
Add warning if start_tls specified when not supported.

fix compilation on solaris

add missing .h and .c files for missing lib objs

fix LDAP_OPT_NETWORK_TIMEOUT setting

fix compilation on Solaris

fix typo

try to clear up which variables are for OpenLDAP and which are for netscape-derived SDKs

Add support for "ssl on" in both netscape and openldap flavors.
Only the OpenLDAP flavor has been tested.

Call cleanup() before exit in log_error() instead of calling
sudo_ldap_close() directly.  ldap_conn can now be static to sudo.c

ld -> ldap_conn

Better ldap cleanup.

Distinguish between LDAP conf settings that are connection-specific
(which take an ld pointer) and those that are default settings (which do not).

Improved warnings on error.

Make ldap config table driven and set the config *after* we open the
connection.

fix LDAP_OPT_X_CONNECT_TIMEOUT compat define

some operating systems need to link with -lkrb5support when using krb5

minor update