sync

Remove some already fixed XXXs

Same return value as non-existent sudoers if LDAP was unable to connect.

mention /etc/environment

Update to reflect recent developments.

Print nsswitch.conf, ldap.conf and ldap.secret paths in -V output.

When building up a query don't list groups in the aux group vector
that are the same as the passwd file group.  On most systems the
first gid in the group vector is the same as the passwd entry gid.

Define LDAPNOINIT before calling ldap_init(), etc. to disable user
ldaprc and system defaults that could affect how LDAP works.

Rename read_nss -> sudo_read_nss
Add --with-nsswitch to allow users to specify nsswitch.conf path or disable it.
If --with-nsswitch=no but --with-ldap, order is LDAP, then sudoers.
Fix --with-ldap-conf-file and --with-ldap-secret-file

Honor def_ignore_local_sudoers

no longer need to check def_ignore_local_sudoers here

Refactor group vector resetting into a function and also call it
from display_cmnd.
Stop after the first sucessful match in display_cmnd.
Print a newline between each display_privs method.

fix double free introduced in rev 1.218

belt and suspenders; zero out result after freeing it

Refactor line reading into a separate function, sudo_parseln(),
which removes comments, leading/trailing whitespace and newlines.
May want to rethink the use of sudo_parseln() for /etc/ldap.secret

Make the inability to read the sudoers file a non-fatal error if
there are other sudoers sources available.
sudoers_file_lookup now returns "not OK" if sudoers was not present

make it clear that the global options are from LDAP

allocate proper amount of space for error string

actual sudo nss code

nss-ify display_privs and display_cmnd.

move update_defaults() to parse.c

Use nsswitch to hide some sudoers vs. ldap implementation details
and reduce the number of #ifdef LDAP
TODO: fix display routines and error handling

First cut at nsswitch.conf support.
Further reorganizaton and related changes are forthcoming.

Add support for reading and /etc/environment file.  Still needs to
be documented and should probably only applies to OSes that have
it (AIX and Linux, maybe others).

include limits.h

reword LDAP SASL

sync

Add an example sudoRole, clarify netscape vs. openldap a bit more

Be clear on what is OpenLDAP vs. Netscape-derived

Use ldapssl_init() for ldaps support instead of trying
to do it manually with ldap_init() + ldapssl_install_routines().
Use tls_cert and tls_key for cert7.db and key3.db respectively.
Don't print debugging info for options that are not set.
Add warning if start_tls specified when not supported.

fix compilation on solaris

add missing .h and .c files for missing lib objs

fix LDAP_OPT_NETWORK_TIMEOUT setting

fix compilation on Solaris

fix typo

try to clear up which variables are for OpenLDAP and which are for netscape-derived SDKs

Add support for "ssl on" in both netscape and openldap flavors.
Only the OpenLDAP flavor has been tested.

Call cleanup() before exit in log_error() instead of calling
sudo_ldap_close() directly.  ldap_conn can now be static to sudo.c

ld -> ldap_conn

Better ldap cleanup.

Distinguish between LDAP conf settings that are connection-specific
(which take an ld pointer) and those that are default settings (which do not).

Improved warnings on error.

Make ldap config table driven and set the config *after* we open the
connection.

fix LDAP_OPT_X_CONNECT_TIMEOUT compat define

some operating systems need to link with -lkrb5support when using krb5

minor update

regen

sync

add -g support for LDAP

The -i and -s flags can now take an optional command.

Add passprompt_override flag to sudoers that will cause the prompt
to be overridden in all cases.  This flag is also set when the
user specifies the -p flag.

Move setting of login class until after sudoers has been parsed.
Set NewArgv[0] for -i after runas_pw has been set.

Move the dgettext check.

Add basic support for looking up the string "Password: " in the PAM
localized text db.  This allows us to determine whether the PAM
prompt is the default "Password: " one even if it has been localized.

TODO: concatenate non-std PAM prompts and user-specified sudo prompts.

Use AC_FUNC_GETGROUPS instead of a home-grown attempt that was insufficient.

Fix typos; Martynas Venckus

Don't assume runas_pw is set; it may not be in the -g case.

Set aux group vector for PERM_RUNAS and restore group vector for
PERM_ROOT if we previously changed it.  Stash the runas group vector
so we don't have to call initgroups more than once. Also add no-op
check to check_perms.

Add support for runas groups.  This allows the user to run a command
with a different effective group.  If the -g option is specified
without -u the command will be run as the current user (only the
group will change).  the -g and -u options may be used together.
TODO: implement runas group for ldap
      improve runas group documentation
      add testsudoers support

fix setting of mandir

document that ALL implies SETENV

s/setenv_ok/setenv_implied/g

hostname_matches() returns TRUE on match in sudo 1.7.

use strcmp, not strcasecmp when comparing ALL

Make sudo ALL imply setenv.  Note that unlike with file-based sudoers
this does affect all the commands in the sudoRole.

sudo "ALL" now implies the SETENV tag but, unlike an explicit tag, it
is not passed on to other commands in the list.

Add missing sudo_setpwent() and sudo_setgrent() calls.  Also
use sudo_getpwuid() instead of getpwuid().

Expand on the dangers of not using visudo to edit sudoers.

Don't quote *?[]! on output since the lexer does not strip off the
backslash when reading those in.

expand "u_foo" types to "unsigned foo" to avoid compatibility issues.

Refactor log line generation in to new_logline().

fix typo

Add configure check for struct in6_addr instead of relying on AF_INET6
since some systems define AF_INET6 but do not include IPv6 support.

Fix block to add -lutil for FreeBSD and NetBSD when logincap is in use.

POSIX states that struct timespec be declared in time.h so check
there regardless of the value of TIME_WITH_SYS_TIME.

Instead of defining a macro to call the appropriate method for
turning on/off echo, just define tc[gs]etattr() and the related
defines that use the correct terminal ioctls if needed.
Also go back to using TCSAFLUSH instead of TCSADRAIN on all but QNX.

g/c @ALLOCA@

regen

Add --disable-pam-session configure option to disable calling
pam_{open,close}_session.  May work around bugs in some PAM
implementations.

quiet gcc warnings

Avoid printing the prompt if we are already backgrounded.
E.g. if the user runs "sudo foo &" from the shell.  In this
case, the call to tcsetattr() will cause SIGTTOU to be delivered.

Reorder things such that the definition of env_reset come right
before the env variable lists.

Shrink type and seqno in struct alias from int to u_short

Add a sequence number in the aliases for loop detection.  If we find
an alias with the seqno already set to the current (global) value we
know we've visited it before so ignore it.

PAM wants the full tty path so add user_ttypath which holds the
full path to the tty or is NULL if no tty was present.

Set PAM_RHOST to work around a bug in Solaris 7 and lower that
results in a segv.

regen

rename lh_ -> tq_

remove some useless casts

pull in inttypes.h for SIZE_MAX; we avoid stdint.h since inttypes.h predates the final C99 spec and the standard specifies that it shall include stdint.h anyway

Since we ship with a pre-generated parser there is no need to
ship a bogus alloca implementation.

regen

remove initial setting of CHECKSIA, we require that it be unset if not used

add list.c to SRCS

regen

only do SIA checks on Digital Unix

regen

sync

Remove call to krb5_cc_register() as it is not needed for modern kerb5.

regen