Check strlcpy() return values.

refactor ldap binding code into sudo_ldap_bind_s()

Make it clear that host and uri can take multiple parameters.
URI is now supported for more than just openldap
nsswitch.conf does't accept "compat"

comment cleanup and update (c) year

Move display_privs() and display_cmnd() from parse.c to sudo_nss.c.
This should make it possible to build an LDAP-only sudo binary.

Improve chaining of multiple sudoers sources by passing in the previous return value to the next in the chain

Free up parser data structures in sudo_file_close().

Free up parser data structures in sudo_file_close().

Parse uri ourself if no ldap_initialize() is present
Use ldap_create() instead of deprecated ldap_init()
Use ldap_sasl_bind_s() instead of deprecated ldap_simple_bind_s()

Add check for ldap_sasl_bind_s()
Remove -DLDAP_DEPRECATED from CFLAGS

add check for ldap_create

Add sudo_ldap_get_first_rdn() to return the first rdn of an entry's dn
using the mechanism appropriate for the LDAP SDK in use.
Use ldap_unbind_ext_s() instead of deprecated ldap_unbind_s().
Emulate ldap_unbind_ext_s() and ldap_search_ext_s() for SDK's without them.

include unistd.h

fix typo in mtim_getnsec

add check for st__tim in struct stat as used by SCO

use ldap_search_ext_s instead of deprecated ldap_search_s

add sudo_nss.h to HDRS

Replace deprecated ldap_explode_dn() with calls to ldap_str2dn()
and ldap_rdn2str().

Use ldap_get_values_len()/ldap_value_free_len() instead of the
deprecated ldap_get_values()/ldap_value_free().

sync

sync

Remove some already fixed XXXs

Same return value as non-existent sudoers if LDAP was unable to connect.

mention /etc/environment

Update to reflect recent developments.

Print nsswitch.conf, ldap.conf and ldap.secret paths in -V output.

When building up a query don't list groups in the aux group vector
that are the same as the passwd file group.  On most systems the
first gid in the group vector is the same as the passwd entry gid.

Define LDAPNOINIT before calling ldap_init(), etc. to disable user
ldaprc and system defaults that could affect how LDAP works.

Rename read_nss -> sudo_read_nss
Add --with-nsswitch to allow users to specify nsswitch.conf path or disable it.
If --with-nsswitch=no but --with-ldap, order is LDAP, then sudoers.
Fix --with-ldap-conf-file and --with-ldap-secret-file

Honor def_ignore_local_sudoers

no longer need to check def_ignore_local_sudoers here

Refactor group vector resetting into a function and also call it
from display_cmnd.
Stop after the first sucessful match in display_cmnd.
Print a newline between each display_privs method.

fix double free introduced in rev 1.218

belt and suspenders; zero out result after freeing it

Refactor line reading into a separate function, sudo_parseln(),
which removes comments, leading/trailing whitespace and newlines.
May want to rethink the use of sudo_parseln() for /etc/ldap.secret

Make the inability to read the sudoers file a non-fatal error if
there are other sudoers sources available.
sudoers_file_lookup now returns "not OK" if sudoers was not present

make it clear that the global options are from LDAP

allocate proper amount of space for error string

actual sudo nss code

nss-ify display_privs and display_cmnd.

move update_defaults() to parse.c

Use nsswitch to hide some sudoers vs. ldap implementation details
and reduce the number of #ifdef LDAP
TODO: fix display routines and error handling

First cut at nsswitch.conf support.
Further reorganizaton and related changes are forthcoming.

Add support for reading and /etc/environment file.  Still needs to
be documented and should probably only applies to OSes that have
it (AIX and Linux, maybe others).

include limits.h

reword LDAP SASL

sync

Add an example sudoRole, clarify netscape vs. openldap a bit more

Be clear on what is OpenLDAP vs. Netscape-derived

Use ldapssl_init() for ldaps support instead of trying
to do it manually with ldap_init() + ldapssl_install_routines().
Use tls_cert and tls_key for cert7.db and key3.db respectively.
Don't print debugging info for options that are not set.
Add warning if start_tls specified when not supported.

fix compilation on solaris

add missing .h and .c files for missing lib objs

fix LDAP_OPT_NETWORK_TIMEOUT setting

fix compilation on Solaris

fix typo

try to clear up which variables are for OpenLDAP and which are for netscape-derived SDKs

Add support for "ssl on" in both netscape and openldap flavors.
Only the OpenLDAP flavor has been tested.

Call cleanup() before exit in log_error() instead of calling
sudo_ldap_close() directly.  ldap_conn can now be static to sudo.c

ld -> ldap_conn

Better ldap cleanup.

Distinguish between LDAP conf settings that are connection-specific
(which take an ld pointer) and those that are default settings (which do not).

Improved warnings on error.

Make ldap config table driven and set the config *after* we open the
connection.

fix LDAP_OPT_X_CONNECT_TIMEOUT compat define

some operating systems need to link with -lkrb5support when using krb5

minor update

regen

sync

add -g support for LDAP

The -i and -s flags can now take an optional command.

Add passprompt_override flag to sudoers that will cause the prompt
to be overridden in all cases.  This flag is also set when the
user specifies the -p flag.

Move setting of login class until after sudoers has been parsed.
Set NewArgv[0] for -i after runas_pw has been set.

Move the dgettext check.

Add basic support for looking up the string "Password: " in the PAM
localized text db.  This allows us to determine whether the PAM
prompt is the default "Password: " one even if it has been localized.

TODO: concatenate non-std PAM prompts and user-specified sudo prompts.

Use AC_FUNC_GETGROUPS instead of a home-grown attempt that was insufficient.

Fix typos; Martynas Venckus

Don't assume runas_pw is set; it may not be in the -g case.

Set aux group vector for PERM_RUNAS and restore group vector for
PERM_ROOT if we previously changed it.  Stash the runas group vector
so we don't have to call initgroups more than once. Also add no-op
check to check_perms.

Add support for runas groups.  This allows the user to run a command
with a different effective group.  If the -g option is specified
without -u the command will be run as the current user (only the
group will change).  the -g and -u options may be used together.
TODO: implement runas group for ldap
      improve runas group documentation
      add testsudoers support

fix setting of mandir

document that ALL implies SETENV

s/setenv_ok/setenv_implied/g

hostname_matches() returns TRUE on match in sudo 1.7.

use strcmp, not strcasecmp when comparing ALL

Make sudo ALL imply setenv.  Note that unlike with file-based sudoers
this does affect all the commands in the sudoRole.

sudo "ALL" now implies the SETENV tag but, unlike an explicit tag, it
is not passed on to other commands in the list.

Add missing sudo_setpwent() and sudo_setgrent() calls.  Also
use sudo_getpwuid() instead of getpwuid().

Expand on the dangers of not using visudo to edit sudoers.

Don't quote *?[]! on output since the lexer does not strip off the
backslash when reading those in.

expand "u_foo" types to "unsigned foo" to avoid compatibility issues.

Refactor log line generation in to new_logline().

fix typo

Add configure check for struct in6_addr instead of relying on AF_INET6
since some systems define AF_INET6 but do not include IPv6 support.

Fix block to add -lutil for FreeBSD and NetBSD when logincap is in use.

POSIX states that struct timespec be declared in time.h so check
there regardless of the value of TIME_WITH_SYS_TIME.

Instead of defining a macro to call the appropriate method for
turning on/off echo, just define tc[gs]etattr() and the related
defines that use the correct terminal ioctls if needed.
Also go back to using TCSAFLUSH instead of TCSADRAIN on all but QNX.

g/c @ALLOCA@

regen

Add --disable-pam-session configure option to disable calling
pam_{open,close}_session.  May work around bugs in some PAM
implementations.

quiet gcc warnings