4 years agoredhat: parallel builds 40/13240/2
Stephan Wiesand [Mon, 2 Jul 2018 12:05:47 +0000]
redhat: parallel builds

Parallel builds can be an order of magnitude faster. Add the
_smp_mflags macro to all invocations of make in the rpm spec,
to make use of all available cores and SMT threads on the build
system. This should also help noticing new dependency issues
early. Note the macro can be overridden on the rpmbuild command

Change-Id: Idddf8b867500d1ee73ff51de9d8a173bb4cc8c68
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoredhat: speed up userland-only rpm builds 39/13239/2
Stephan Wiesand [Mon, 2 Jul 2018 11:33:20 +0000]
redhat: speed up userland-only rpm builds

When building with --define "build_modules 0", have configure
skip the Linux kernel tests, which are slow and many.

Change-Id: Ie318bf4939776c9a3f8594dcdd5be54b446f33dd
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoredhat: package new file include/opr/lock.h 38/13238/2
Stephan Wiesand [Mon, 2 Jul 2018 11:28:07 +0000]
redhat: package new file include/opr/lock.h

Commit 792dd44ac57032a3f2a4743c83c8a0208a08ecec added the
installation of include/opr/lock.h, but the rpm spec fails
to pick it up, making rpm builds fail. Add the new file
to the files list for the -devel package.

FIXES 134579

Change-Id: I998f48bd88308d81779dd775b322590eda75d5c8
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoLINUX: Detect NULL page during write_begin 42/13242/2
Andrew Deason [Thu, 5 Jul 2018 22:16:48 +0000]
LINUX: Detect NULL page during write_begin

In afs_linux_write_begin, we call grab_cache_page_write_begin to get a
page to use for writing data when servicing a write into AFS. Under
low-memory conditions, this can return NULL if Linux cannot find a
free page to use. Currently, we always try to reference the page
returned, and so this causes a BUG.

To avoid this, check if grab_cache_page_write_begin returns NULL, and
just return -ENOMEM, like other callers of grab_cache_page_write_begin

Linux's fault injection framework is useful for testing code paths
like these. The following settings made it possible to
somewhat-reliably exercise the relevant code path on a test RHEL7

    # grep ^ /sys/kernel/debug/fail_page_alloc/*

Change-Id: I00908658ae43aa3c8e12f2a0b956016d4441016c
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agorxevent: prevent negative rx_connection refCount 28/13228/4
Mark Vitale [Sat, 30 Jun 2018 21:35:09 +0000]
rxevent: prevent negative rx_connection refCount

rxi_ChallengeEvent is called directly from rxi_ChallengeOn to start the
first challenge; subsequent calls to rxi_ChallengeEvent are from the
event handler.  When called as an event, we must putConnection the
reference held by the event.  But when called directly for the first
time, the event has not been scheduled yet and so has not taken a
reference on the connection.  For this case, we must not putConnection
or the rx_connection refCount will go negative.

One reported symptom of this bug is a fileserver crash with:
  'Assertion failed! file rx.c, line 1327.'

Introduced by commit 304d758983b499dc568d6ca57b6e92df24b69de8
('Standardize rx_event usage').

Change-Id: I67122ff84ac9b1b6445ad4005e76e5f8482fd7be
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agovolser: DoVolDelete returning VNOVOL is success 76/12976/4
Jeffrey Altman [Sat, 24 Mar 2018 05:22:54 +0000]
volser: DoVolDelete returning VNOVOL is success

When moving, copying or releasing volumes, do not treat a failure
to delete a volume because the volume no longer exists as an error.
The volume clone has flags

  VTDeleteOnSalvage | VTOutOfService

assigned to it which means that the fileserver won't attach the volume
and volume has its deleteMe field assigned the value of DESTROY_ME.
Such a volume will be deleted the next time the salvager scans the
partition.  Once the transaction is complete the volume might be

Change-Id: I0bd38906e3836e0c96f3784a8bd9ad63f5b857c6
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoafs: Change afs_AllocDCache to return error codes 27/13227/3
Andrew Deason [Thu, 28 Jun 2018 18:08:47 +0000]
afs: Change afs_AllocDCache to return error codes

Currently, afs_AllocDCache can fail in 2 different situations:

- When we are out of dslots on the free/discard lists
- When we encounter an i/o error when trying to traverse the dslot

But afs_AllocDCache cannot distinguish between these two cases to its
caller in any way, since all we have to return is a struct dcache (and
so we return NULL on any error).

Currently, the caller of afs_AllocDCache in afs_GetDCache is
determining which of these cases happened by looking at
afs_discardDCList and afs_freeDCList, to see if they look empty. This
is not great for at least a couple of reasons:

- We are examining afs_discardDCList/afs_freeDCList after we drop
  afs_xdcache (but while still holding GLOCK)

- If afs_discardDCList/afs_freeDCList are somehow changed while
  afs_AllocDCache is running, we may infer the wrong reason why
  afs_AllocDCache failed. (currently impossible, but this seems

And in general, this check against afs_discardDCList/afs_freeDCList is
rather indirect. It may be easier to follow if afs_AllocDCache just
directly returned the reason why it failed.

So do that, by changing afs_AllocDCache to return an error code, and
providing the struct dcache in an output argument. This involves
similiarly changing several called functions in the same way, to
return error codes. We only define 2 such error codes with this

- ENOSPC, when we are out of free/discrad dslots
- EIO, when we encounter a disk i/o error when trying to examine the
  dslot list

Note that this commit should not change any real logic; we're mostly
just changing how errors are returned from these various functions.

Change-Id: I07cc3d7befdcc98360889f4a2ba01fdc9de50848
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoafs: Make afs_AllocDCache static 26/13226/2
Andrew Deason [Thu, 28 Jun 2018 17:50:52 +0000]
afs: Make afs_AllocDCache static

Nothing using afs_AllocDCache outside of afs_dcache.c. Declare the
function static, to ensure that nobody else uses it, and to maybe
allow for more compiler optimization.

Change-Id: I4e4d1e77e20e853fc20b3d5c5289a5f4124de7a4
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: log when a server is marked down, and why 16/12616/5
Mark Vitale [Sat, 18 Mar 2017 01:42:31 +0000]
ubik: log when a server is marked down, and why

In order to better manage voting and recovery, each ubik server tracks
(in array ubik_servers) which of its fellow quorum members are 'up' or
not.  However, ubik currently logs only when a server is "back up"; that
is, ubik_server->up transitions from 0 to 1.

Add new log messages to identify the time and reason when a server is
"marked down" (i.e., ubik_server->up transitions from 1 to 0).

Also modify two existing messages to have consistent wording with the
new "marked down" messages.  Also change them to ViceLog (log level
0) so they will always be logged.

Change-Id: I29ee93e96cb7b28b943171d1477671c540a10d78
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoafs: remove dead code 10/13210/3
Mark Vitale [Thu, 14 Jun 2018 18:38:54 +0000]
afs: remove dead code

afs_CheckLocks has been dead code since openafs-ibm-1_0.

No functional change incurred.

Change-Id: I9d57cf3bbbddef182fb128f65b04465bfe0fb492
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agovol: remove dead code 09/13209/2
Mark Vitale [Thu, 14 Jun 2018 18:03:45 +0000]
vol: remove dead code

PartitionID has been dead code since openafs-ibm-1_0.

No functional change incurred.

Change-Id: I93da25ef853716db7a0b7f945f8b19a15a055a43
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoComment out missing comerr functions from afsauthent.def 19/13219/2
Benjamin Kaduk [Fri, 15 Jun 2018 14:07:04 +0000]
Comment out missing comerr functions from afsauthent.def

Apparently commit 70c4922980d1596155b4021cd72d6895c2371e23 was overzealous
in making Windows match Unix, as these functions are not available
in the Windows build.

Change-Id: Ia24430e5069cd61c0557a07d1bd2c35a6872db8c
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoComment out opr_AssertionFailed from afsrpc.def 16/13216/3
Benjamin Kaduk [Fri, 15 Jun 2018 13:39:47 +0000]
Comment out opr_AssertionFailed from afsrpc.def

Apparently the Windows utilities link opr.lib directly, so this
caused a "multiply defined symbol" error.

Change-Id: I0499f789a493960b99052e00763703698b3f9517
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoComment out (again!) xdr_Capabilities from afsrpc.def 15/13215/2
Benjamin Kaduk [Fri, 15 Jun 2018 13:16:26 +0000]
Comment out (again!) xdr_Capabilities from afsrpc.def

This shows up as an "unresolved external" when linking (though apparently
this error does not cause a buildbot failure), noticed when viewing
a related windows build log.

Change-Id: I8bd5e344c1b0e12e0c70e0340bacbc6a94984767
Reviewed-by: Benjamin Kaduk <>
Tested-by: Benjamin Kaduk <>

4 years agoubik: do not assign variables in logging argument lists 11/13211/2
Michael Meffie [Thu, 14 Jun 2018 19:01:18 +0000]
ubik: do not assign variables in logging argument lists

Several logging statements in ubik contain an assignment statement
within the logging function call argument list, which would set a
variable as side effect of evaluating the function call arguments.

These embedded assignments are problematic since the logging function
calls have been replaced by ViceLog macros, which avoid the overhead of
a function call depending on logging levels.

Remove the embedded assignments within the logging argument lists so the
variables are always set regardless of the logging level.

Change-Id: Ifc0f32df2d01f9d8105b49e2c56a95758b184449
Tested-by: BuildBot <>
Reviewed-by: Joe Gorse <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Benjamin Kaduk <>

4 years agoRemove the unused opr_AssertFailU() function 13/13213/2
Benjamin Kaduk [Fri, 15 Jun 2018 01:37:46 +0000]
Remove the unused opr_AssertFailU() function

Change-Id: Idb55adeea508d3376269bce998eb8b1c3e4cbd59
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoUn-export opr_AssertFailU 12/13212/2
Benjamin Kaduk [Fri, 15 Jun 2018 01:35:46 +0000]
Un-export opr_AssertFailU

It appears to have been created for parity with osi_AssertFailU, but
was then never used.

It is safe to remove the export line, since this export has never
been in a released version of OpenAFS.

Change-Id: Ia0bdaec891450fe9a3ca10badcaba68bea27c466
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agomcas: Make sure 'padding' is null-terminated 64/13164/4
Pat Riehecky [Wed, 6 Jun 2018 16:10:25 +0000]
mcas: Make sure 'padding' is null-terminated

With 'padding' explicitly filled with all spaces string copy operations
may result in unexpected values.  Padding is extended by 1 and null
terminated to avoid unexpected behavior.
(via cppcheck)

Change-Id: I8a9845ae87002018705ad23c2b089c8ef571b7bc
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agolibafsrpc: export more xdr functions 39/13139/4
Benjamin Kaduk [Fri, 1 Jun 2018 00:02:18 +0000]
libafsrpc: export more xdr functions

Most of the xdr functions in the library text are to support RXAFS and
RXAFSCB RPCs, which we explicitly do not expose from libafsrpc.
As such, they do not need to be in the export list, but a couple of
generic ones probably should be exported.

Do so, for both Unix and Windows.

Change-Id: I12ddf2427d807f4ee7b07af1e1c498fc119a0f1c
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agolibafsrpc: export some more rx functions 38/13138/4
Benjamin Kaduk [Fri, 1 Jun 2018 00:00:03 +0000]
libafsrpc: export some more rx functions

Change-Id: I6aea7eff7a5bc957896a5a7457a945dd0feaec88
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoExport missing opr functions from libafsrpc 37/13137/3
Benjamin Kaduk [Thu, 31 May 2018 23:40:21 +0000]
Export missing opr functions from libafsrpc

Our assertion macros expand to function calls, and we have assertions
included in macros in installed headers, so the public needs to be
able to link against them.

Export for both Unix and Windows.

Change-Id: Ibd1da844f274398e9296f00241b1be48bb95e4fe
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agolibafsauthent: export additional xdr_ functions 31/13131/5
Benjamin Kaduk [Mon, 28 May 2018 03:54:01 +0000]
libafsauthent: export additional xdr_ functions

Formally, we need to use xdr_free to deallocate storage for RPC output
variables, in case the XDR stack uses a different allocator than the
standard application allocator.  Some types have non-autogenerated
wrappers exposed already (e.g., token_FreeSet()), but for a handful of
the base ptint types we need to expose the xdr routines in order for a
safe way to deallocate their storage to be available.

Change-Id: Iaac349cfaa1a07d5908a88e4c230874c6301471a
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoafs: Stop looking for dcaches on Get*DSlot errors 34/13034/6
Andrew Deason [Thu, 26 Apr 2018 17:27:12 +0000]
afs: Stop looking for dcaches on Get*DSlot errors

In various places in the code, we'll be looking for a dslot, calling
afs_GetValidDSlot (or afs_GetUnusedDSlot) in a loop. In a few places,
we currently keep looking for the dslot when we get an error back,
since afs_GetValidDSlot may return successfully for other slots, and
we might find the dslot we're looking for.

This behavior was introduced in a few commits, including:

- commit 2679af76 (afs: Traverse discard/free dslot list if errors)
- commit 00fd34a6 (afs: Handle easy GetValidDSlot errors)
- commit 9a558660 (afs: Cope with afs_GetValidDSlot errors)

This behavior means that if afs_GetValidDSlot/afs_GetUnusedDSlot
returns an error for a particular dcache slot, but other slots are
okay, then we may still find the dcache we're looking for.

However, by far the most common reason that
afs_GetValidDSlot/afs_GetUnusedDSlot fails is because our disk cache
is completely unusable; it is very rare that only a few slots cannot
be used, but others are fine (this would mean that the disk cache was
corrupted in oddly specific ways, or there are small isolated errors
in the underlying disk). So continuing the dcache search in these
situations is not very useful.

On Linux, this is most commonly seen by the underlying disk cache i/o
calls returning -EINTR, which can happen if a SIGKILL signal is
pending for the current process when we try to do the i/o. In this
situation, all attempts to read in a dslot from disk will fail; trying
other slots or waiting will not improve the situation. Depending on
which specific code path encounters an afs_Get*DSlot error, we can
then flood the log with "disk cache read error in CacheItems" messages
emitted from afs_UFSGetDSlot, since we keep calling afs_Get*DSlot in
our loop.

The worst offender of this is usually afs_GetDSlotFromList via
afs_AllocDCache, since we end up calling afs_GetUnusedDSlot for every
single dslot in the free and discard lists. However, our other call
sites that are looking for dcaches for a specific file can still
generate quite a few of these messages, since we'll end up calling
afs_GetValidDSlot for every slot in a dcache hash chain.

So to avoid flooding the log in these situations, change most callers
of afs_GetValidDSlot and afs_GetUnusedDSlot to stop on the first
error, and act like we never found a dcache that we were looking for.

This commit also adjusts one caller in afs_ProcessOpCreate, which was
not handling errors from afs_GetValidDSlot at all, and changes
FlushVolumeData to be able to return error codes.

Change-Id: I3047da690d39c000ef59dfc0ad526ecc5e382104
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoafs: Avoid GetDCache delays on screwy cache 33/13033/3
Andrew Deason [Thu, 26 Apr 2018 17:01:57 +0000]
afs: Avoid GetDCache delays on screwy cache

Currently, if our afs_AllocDCache call fails in afs_GetDCache, we
retry once per second for 5 minutes. The reasoning is that we're out
of dcache slots, and so if we wait a little while, maybe something
will become freeable and we can continue.

However, afs_AllocDCache can also fail if we have plenty of free
dslots, but we are unable to successfully call afs_GetUnusedDSlot() on
any of them. This can happen if our disk cache is screwed up, and so
waiting and retrying will not make things better (but we'll spew a ton
of "disk cache read error in CacheItems slot" errors in the log each
time, and do so 300 times).

So instead, only do our sleep/retry loop if we actually appear to be
out of free or discarded dslots. Otherwise, just return an error
immediately, since sleeping and retrying will not make anything

Change-Id: I331913ab882216e3f71cc44da91f7f7d33c34004
Reviewed-by: Mark Vitale <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoafs: Avoid GetDCache panic on AllocDCache failure 32/13032/3
Andrew Deason [Thu, 26 Apr 2018 17:02:18 +0000]
afs: Avoid GetDCache panic on AllocDCache failure

Currently, in afs_GetDCache, if afs_AllocDCache fails, we retry for 5
minutes and then panic. Panicing in this situation is completely
unnecessary; afs_GetDCache can fail for a variety of other mundane
reasons (such as, if we can't fetch the requested data from the
relevant fileserver).

It may seem unusual for afs_AllocDCache to fail for over 5 minutes
(this is supposed to mean that we're out of dslots, and our attempts
to free up dslots have failed). However, afs_AllocDCache can also fail
if we are having issues in accessing the disk cache, and so we may not
be out of cache space or dslots at all; we just can't access the
cache. In this case, afs_AllocDCache can easily fail forever; waiting
longer or trying to free up cache space isn't going to help.

So, to avoid panicing in such situations, just make afs_GetDCache
return an error. We just need to make sure afs_xdcache is unlocked,
and then we can just jump to 'done', like plenty of other codepaths
do; no extra cleanup is required.

Also since we are removing a panic, add a log message when this
situation happens, so EIO errors don't suddenly pop up silently.

Change-Id: I9b8dd6c861b8066822c44758566c05abd7dc1660
Reviewed-by: Mark Vitale <>
Reviewed-by: Benjamin Kaduk <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Tested-by: BuildBot <>

4 years agorxgk: Define some protocol constants 39/12939/3
Andrew Deason [Thu, 1 Mar 2018 00:25:46 +0000]
rxgk: Define some protocol constants

rxgk_int.xg is missing a few constants mentioned in the respective
protocol specs:

- The RPC-L definitions for PrAuthName are defined, but no
  PRAUTHTYPE_* constants for the 'kind' field are defined. Define at
  least PRAUTHTYPE_GSS, which rxgk uses.

- The rxgk spec indicates a size of 20 for the nonces used in rxgk
  challenge and response packets. Define a constant
  (RXGK_CHALLENGE_NONCE_LEN) for this value, to make it easier to
  define similarly-sized structures.

- The rxgk-afs spec defines the time value of 0 as a special "never
  expires" value. Define a constant (RXGK_NEVERDATE) to represent it.

Change-Id: I07e1a1b19d1c887fd3e1a1d0f270d5af7b8581b0
Reviewed-by: Mark Vitale <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: make ContactQuorum_* routines static 78/13078/3
Mark Vitale [Fri, 4 May 2018 19:42:14 +0000]
ubik: make ContactQuorum_* routines static

Most of the ContactQuorum_* routines are only used in ubik.c, so make
them all static - except for ContactQuorum_DISK_SetVersion, which is
called from disk.c.

Change-Id: I7d1ccd839e01ea8ee8d768dd369a892773361b05
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: remove unused ContactQuorum_DISK_Write 77/13077/3
Mark Vitale [Wed, 9 May 2018 20:50:55 +0000]
ubik: remove unused ContactQuorum_DISK_Write

This function is not used; remove it.

No functional change is incurred by this commit.

Change-Id: I7e3bb26fb62b0e28c8703154eb3df384d4dbc32d
Reviewed-by: Andrew Deason <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: disambiguate "Synchonize database with server" msgs 15/12615/4
Mark Vitale [Mon, 8 May 2017 21:50:00 +0000]
ubik: disambiguate "Synchonize database with server" msgs

Ubik issues the same message in two very different cases:
- sync server issues DISK_GetFile to obtain the latest version
- non-sync server receives DISK_SendFile from the sync server

Modify the messages so they provide more information and are
distinguishable from each other.

Change-Id: I99e8adc7229260f478a0df15791216e090d2e113
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Benjamin Kaduk <>

4 years agoxdr: remove dead code, whitespace from xdr_enum 76/13076/4
Mark Vitale [Tue, 5 Jun 2018 18:12:20 +0000]
xdr: remove dead code, whitespace from xdr_enum

The 'enum sizecheck' declaration has been unused since openafs-ibm-1_0; it is
apparently vestigial from the original XDR code.  Remove it, along with some
extraneous whitespace.

No functional change is incurred by this commit.

Change-Id: I9f725ab6aff6cafa911975e9edaed8f07c8a328a
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Benjamin Kaduk <>

4 years agoxdr: avoid xdr_enum memory overrun 75/13075/4
Mark Vitale [Wed, 6 Jun 2018 19:23:26 +0000]
xdr: avoid xdr_enum memory overrun

Since openafs-ibm-1_0, xdr_enum has used xdr_long to read and write, even
though enum_t is defined as int.  For systems where sizeof(int) ==
sizeof(long), this works by accident.  But other systems (e.g., DARWIN
ARCHFLAGS=x86_64) xdr_enum will overrun its int-sized second parameter.  For
XDR_DECODE, this results in memory corruption.

This was first noticed with OpenAFS 1.8.0 on macOS 10.13; if aklog is issued
while already holding a token, it will fail in token_SetsEquivalent with a
segfault in decodeToken.  The root cause is that the address passed to
decodeToken had been overwritten by a previous call to tokenType -> xdr_enum ->

Instead, modify xdr_enum to use xdr_int for its work.

Change-Id: I671d55588d88e0640f365624b83bd04b53dc97cc
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Benjamin Kaduk <>

4 years agolibafsauthent: export ugen_ClientInit* 30/13130/2
Benjamin Kaduk [Sun, 27 May 2018 21:23:16 +0000]
libafsauthent: export ugen_ClientInit*

Windows was only exporting the bare version and not the Cell/Flags/Server
versions; Unix was exporting none of them.

These routines for obtaining a ubik client are more generic than the
historical (and already exported) ubik_ClientInit routine, allowing for
the use of an alternative configuration directory, additional flags,
and the like.

Change-Id: I6577ef5f95d2b801c049befa9fddd3b605ff80f5
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agolibafsauthent: Export more token-manipulation functions 29/13129/2
Benjamin Kaduk [Sun, 27 May 2018 21:03:12 +0000]
libafsauthent: Export more token-manipulation functions

For both Windows and Unix.

Change-Id: Icd90a2fd3f674b13dd44323d9bc20a8f1070a16e
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agolibafsauthent: export ktc token 'Ex' routines for Unix 28/13128/2
Benjamin Kaduk [Sun, 27 May 2018 20:18:12 +0000]
libafsauthent: export ktc token 'Ex' routines for Unix

We need these to handle the modern identity structures (they are
already exported on Windows).

Change-Id: I3a3f766e9c9a9fad96f2656c4f066a67cacee4a6
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agolibafsauthent: export more afsconf_ functions 27/13127/2
Benjamin Kaduk [Sun, 27 May 2018 19:18:07 +0000]
libafsauthent: export more afsconf_ functions

We have new functions for (among other things) typed keys, and generic
rx identity management; expose them as well as the legacy key- and user-
management functions, on both Unix and Windows.

Change-Id: Id9bc394d631f9c00915520aff763af497ef2035b
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoSynchronize libafsauthent afsconf_ exports with windows 26/13126/2
Benjamin Kaduk [Sun, 27 May 2018 18:11:05 +0000]
Synchronize libafsauthent afsconf_ exports with windows

The Windows library was exporting several more afsconf_* symbols
than the Unix one; bring them into sync.

Change-Id: Ifba074124a0a3cfeed256553d7dbedbebd3c2996
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoafs: fix broken volume callbacks (e.g. vos release) 90/13090/2
Mark Vitale [Fri, 25 May 2018 21:05:28 +0000]
afs: fix broken volume callbacks (e.g. vos release)

Commit e99bfcfaa3bca3e65f03928718c2c9eb5eff7c8c ('afs: use jenkins hash
for dcache, vcache tables') introduced new hashing implementations for
the dcache and vcache hash tables.  Unfortunately, a typo introduced a
bug into the VCHashV hash function; instead of hashing by volume id, it
currently hashes by vnode.

The most common symptom is that volume callbacks (RXAFSCB_Callback with
fid <volid>:0:0) fail to find and invalidate all the files for the
specified volume.  This typically manifests as persistent stale RO
content after a 'vos release' for new RW content.

This bug only affects the Unix cache manager; the Windows cache manager
implementation of RXAFSCB_Callback was unaffected.

Change-Id: I7edca660671b880a69f0c499d54adffbbe62d2b2
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoRemove pointless assignments 86/13086/3
Pat Riehecky [Fri, 25 May 2018 17:03:35 +0000]
Remove pointless assignments

scan-build identified these var assignements as being unused or redundant.

Change-Id: I3b51e3e1503c0724a2cf1bab37e1c02f4ae533b2
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoConvert extended character set to unicode 88/13088/2
Pat Riehecky [Fri, 25 May 2018 17:48:15 +0000]
Convert extended character set to unicode

Change-Id: I9989f16ac670e007827ecfe8e02daf9b36d98d4e
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoAdd missing va_end 87/13087/3
Pat Riehecky [Fri, 25 May 2018 17:11:54 +0000]
Add missing va_end

Per man va_start:
Each invocation of va_start() must be matched by a corresponding
invocation of va_end() in the same function.

Change-Id: I703bb3e633435f9c9a62717333a6027476b6bab8
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoAdd braces to empty conditional blocks 81/13081/5
Pat Riehecky [Wed, 23 May 2018 20:50:45 +0000]
Add braces to empty conditional blocks

GCC 7+ is able to quickly optimize away empty if/else blocks if the braces are
provided.  While this adds some additional syntax, it should also result
in faster optimization, so change our empty blocks after conditionals to use

FIXES 134377

Change-Id: I2b5e39fd8a3819e07077c2a4f28a9aa5ac432e1e
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Benjamin Kaduk <>

4 years agoWindows: define AFS_IHANDLE_PIO_ENV for ihandle pio 70/12270/4
Michael Meffie [Mon, 25 Apr 2016 15:19:10 +0000]
Windows: define AFS_IHANDLE_PIO_ENV for ihandle pio

Support for positional i/o in the ihandle package was added to the
windows platform in commit 50b6a116a1c412d0e6d7442d13d6e92c9dbb35ee
using native windows functions.  That commit also defined HAVE_PIO in
the windows version of the afsconfig.h file. Unfortunately, that
definition of HAVE_PIO is not limited to the ihandle package.

Remove the project-wide HAVE_PIO definition from the windows afsconfig.h
file and define the new AFS_IHANDLE_PIO_ENV symbol when position i/o
support is available in the ihandle package.

Build the fallback ih_pread and ih_pwrite functions (which use lseek)
only when positional i/o is not available in the ihandle package for the
current platform.

Use AFS_IHANDLE_PIO_ENV instead of HAVE_PIO in ih_open() to determine
when it is is safe to share ihandles among threads.

Change-Id: I39b078177bc5a2f1daf8a8f8e6bfb1c76e6dfaf7
Reviewed-by: Andrew Deason <>
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Mark Vitale <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: convert ubik_print to ViceLog 19/12619/5
Michael Meffie [Mon, 25 Apr 2016 15:06:11 +0000]
ubik: convert ubik_print to ViceLog

Use the server logging macros instead of the utility functions to avoid
function call overhead, especially at logging level 25.  The server
logging macros perform a logging level check in-line to avoid the
unnecessary ubik_dprint* calls.

Change-Id: Ia86efad6257b764f0922957017fe8326f0de76d3
Reviewed-by: Andrew Deason <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Mark Vitale <>
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoptserver: improve PR_GetHostCPS logging 43/13043/3
Mark Vitale [Tue, 24 Apr 2018 18:41:11 +0000]
ptserver: improve PR_GetHostCPS logging

The IP address of the host is logged as a signed number.  Instead, log
it as the unsigned (and hex) representation of the host IP addr.

Change-Id: Ic8b2b7da852a3dc7e9984b63da70d0403845452e
Reviewed-by: Michael Meffie <>
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoExport afs_getDirPath from shared libraries 59/13059/2
Benjamin Kaduk [Sat, 5 May 2018 20:59:08 +0000]
Export afs_getDirPath from shared libraries

Add this function to the export list for libafsauthent on Windows
and Unix.

Change-Id: Ib6f219e407b75a6052d6e29008977c8545b2aa36
Reviewed-by: Anders Kaseorg <>
Tested-by: Anders Kaseorg <>
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoRename getDirPath to afs_getDirPath in preparation for export 58/13058/2
Benjamin Kaduk [Sat, 5 May 2018 20:42:51 +0000]
Rename getDirPath to afs_getDirPath in preparation for export

The symbol name getDirPath is rather generic and we probably shouldn't
squat on it in the application's namespace.  In preparation for exporting
this functionality from the Unix shared libraries, rename it to

Retain a Windows-only wrapper getDirPath that can continue to be
exported from libafsauthent on Windows, for ABI compatibility.
New consumers should use afs_getDirPath.

Change-Id: Ie3f3f7b0662451353834d2e3b5c3dd1131c1935e
Tested-by: BuildBot <>
Reviewed-by: Anders Kaseorg <>
Tested-by: Anders Kaseorg <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoRemove duplicates from 57/13057/2
Benjamin Kaduk [Sat, 5 May 2018 20:35:03 +0000]
Remove duplicates from

Remove the extra copy of things which appeared twice.

Change-Id: I95542172f28759852a76589d05845869cf7e9c9a
Tested-by: BuildBot <>
Reviewed-by: Anders Kaseorg <>
Tested-by: Anders Kaseorg <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoExport ubik_PR_ symbols from libafsauthent 56/13056/2
Benjamin Kaduk [Sat, 5 May 2018 19:42:31 +0000]
Export ubik_PR_ symbols from libafsauthent

Also export from liboafs_prot the ones missing from this set.

This brings the unix exports in sync with the Windows exports
(of ubik_PR_ symbols), and is tested as being sufficient to compile

Change-Id: I77941aa7fbbcb154c67769fe875474920d86d756
Tested-by: BuildBot <>
Tested-by: Anders Kaseorg <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoExport comerr initialization functions from libafsauthent 55/13055/3
Benjamin Kaduk [Sat, 5 May 2018 19:00:27 +0000]
Export comerr initialization functions from libafsauthent

Add to the libafsauthent export symbol list these comerr initialization
functions so that they are usable by consumers.

Change-Id: I72c6f9402a46aff6fa2719c0b9e0974c7ff7b57e
Tested-by: BuildBot <>
Reviewed-by: Anders Kaseorg <>
Tested-by: Anders Kaseorg <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoopr: install afs/opr.h and opr/lock.h 54/13054/2
Benjamin Kaduk [Sat, 5 May 2018 18:11:00 +0000]
opr: install afs/opr.h and opr/lock.h

These headers are (transitively) referenced from rx_pthread.h, which is pulled
in from rx.h when AFS_PTHREAD_ENV is defined.  As such, we are presenting an
incomplete public API without this header.

Change-Id: I8afd1d635534910739ec37d56201a86998962cfa
Tested-by: BuildBot <>
Reviewed-by: Anders Kaseorg <>
Tested-by: Anders Kaseorg <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: remove redundant memset from udisk_write 21/12621/4
Mark Vitale [Fri, 19 May 2017 20:34:21 +0000]
ubik: remove redundant memset from udisk_write

When udisk_write is extending the database, DRead will return a null
buffer.  udisk_write then calls DNew to get a brand new buffer for the
extension write, and clears it with memset.  However, this is redundant,
since DNew has already cleared the new buffer.

Remove the redundant memset.

No functional change should be incurred by this commit.

Change-Id: Ia6768098fb3c67475c8948c874b92b91bf17cdb7
Reviewed-by: Benjamin Kaduk <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Tested-by: BuildBot <>

4 years agoubik: death to orphaned signals 20/12620/3
Mark Vitale [Wed, 17 May 2017 20:32:20 +0000]
ubik: death to orphaned signals

ubik has a few very old "orphaned" LWP events that are signalled via
LWP_NoYieldSignal, but have no matching waits (LWP_WaitProcess).

Each "signal" runs the LWP waiting element list for each LWP on the
blocked queue; this may add up to substantial wasted overhead on a
heavily loaded ubik server.

Remove the orphaned signals.

No functional difference should be incurred by this commit.

Change-Id: I66eba45975a829216e7af1927e51ec6aab63f570
Reviewed-by: Andrew Deason <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Mark Vitale <>
Tested-by: Andrew Deason <>
Reviewed-by: Benjamin Kaduk <>

4 years agolwp: Fix possible memory leak from scan-build 80/13080/3
Pat Riehecky [Wed, 23 May 2018 20:42:09 +0000]
lwp: Fix possible memory leak from scan-build

It is possible for LWP_CreateProcess to return early. When it does, it
should free up any memory it allocated before leaving scope.

Change-Id: Ib5644d36dc01bbac33804f4a039661ce2c78969d
Reviewed-by: Andrew Deason <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Mark Vitale <>
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoutil: check for trailing characters in partition names 39/13039/4
Michael Meffie [Sat, 28 Apr 2018 03:08:34 +0000]
util: check for trailing characters in partition names

The function which maps partition names to partition ids currently
ignores trailing characters in the partition names. For example, the
partition name "/vicepbogus" is currently considered a valid partition
name ("/vicepbogus" maps to "bo" which is id 66). Although this is not a
regression, it is problematic for several reasons.

Firstly, this can lead to duplicate partition ids on the server, for
example "/vicepbad" and "/vicepbar" both map to the same partition id
("ba" is id 52).

Second, partitions are internally tracked by numeric id. The partition
names are generated from numeric ids when reporting partition names.
This means the trailing characters are lost when reporting the partition
names. For example, vos reports the attached partition "/vicepbad" as

Third, it could be possible (but perhaps unlikely) in the future to
extend the range of partition ids, so the trailing characters could
become significant at that time.

Finally, it could be confusing to admins that such partition names are
attached by the fileserver. For example, "/vicepaa-backup" is attached
and is used by the fileserver as partition id 26.

This change adds a check for trailing characters in partition names in
the volutil_GetPartitionID function, so it is more strict in what it
accepts as a valid partition name.  That function will now return -1
(illegal partition name) when trailing characters are found in
partition names.

Change-Id: Iad9aee05fcf439cac9afcd89cf367be693261fbd
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>

4 years agovol: check for bad partition names 38/13038/2
Michael Meffie [Sat, 28 Apr 2018 02:59:57 +0000]
vol: check for bad partition names

Currently, servers attempt to attach any partition name starting with
"/vicep", even partition names which map to out of range partition ids.
Examples of such misnamed partitions are "/vicepzz", "/vicep0", and

The presence of these misnamed partitions cause the server processes to
crash on startup, since the out of range partition ids are used as an

Add a check for the bad partition names in VCheckPartitions to avoid
attaching them. Log a warning for such partitions to let the admins know
why the partitions are not attached.

Change-Id: I553ce6cc8bc751b9ed789312f7efb4e0f737a52e
Reviewed-by: Benjamin Kaduk <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Mark Vitale <>
Tested-by: Benjamin Kaduk <>

4 years agoubik: Make udisk_Log* functions static 69/13069/2
Andrew Deason [Thu, 10 May 2018 21:23:48 +0000]
ubik: Make udisk_Log* functions static

Nothing uses the udisk_Log* functions outside of disk.c. Declare these
static to make sure they stay that way, to make it easier to change
their semantics.

Change-Id: I068684782b22af788ce892c995a6d80f2d9fb2e0
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: Remove 'mtime' from ubik_stat 68/13068/2
Andrew Deason [Thu, 10 May 2018 21:05:10 +0000]
ubik: Remove 'mtime' from ubik_stat

Nothing uses the 'mtime' field from ubik_stat. Remove it.

Change-Id: I7611a7ca5aa5743be43aefafeda5ecf9a5d47598
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoviced: SRXAFS_InlineBulkStatus set InterfaceVersion on error 67/13067/2
Jeffrey Altman [Fri, 11 May 2018 19:44:24 +0000]
viced: SRXAFS_InlineBulkStatus set InterfaceVersion on error

AFSFetchStatus.InterfaceVersion is required to be "1" for any
of the fields in the structure to be considered valid.  Therefore,
InterfaceVersion must be set to one when returning an 'errorCode'

When RXAFS_InlineBulkStatus was introduced by OpenAFS in
362d26c733b086d26f013bd229af979a112098f5 not only wasn't
InterfaceVersion set but neither was the memory allocated
to OutStats initialized.  As a result the InterfaceVersion field
value could be not only zero but random.  The OutStats memory
was initialized to zeros beginning with

Change-Id: I5ca1b08cb32d01843a1c6dee87d8ba1d560396c8
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: clones should not request votes 54/12654/3
Marcio Barbosa [Tue, 15 May 2018 21:10:45 +0000]
ubik: clones should not request votes

Clones should not be able to become the sync-site. To make it possible,
regular sites do not vote for a site tagged as clone. In other words,
the clones ask for votes but they cannot be the sync-site. Knowing that
their requests for votes should be refused by the regular sites, they
should never have enough votes to win the election.

In addition to the unnecessary network traffic created by these
unnecessary requests, this current approach can be problematic in some
specific situations. As an example, consider the following scenario:

    The user wants to turn a regular site, called host1, into a clone.
    To do so, he runs the following commands on every single server:

    $ bos removehost -server <server> -host host1
    $ bos addhost -server <server> -host host1 -clone

After that, he restarts the servers, one by one. Depending on the delay
between the restarts, a clone can become the sync-site. This is possible
because the clones request votes from the other sites. If enough regular
sites are not aware (yet) that the request for vote came from a clone,
the clone in question can get enough votes to win the election.

To fix the problems mentioned above, do not request votes if you cannot
be the sync-site.

Change-Id: Ic3569af8264dfff32f2a86b8dd99b922193f010a
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoafs: alloc openafs_lck_grp before osi_Init() on darwin 65/13065/3
Marcio Barbosa [Thu, 10 May 2018 03:46:01 +0000]
afs: alloc openafs_lck_grp before osi_Init() on darwin

Commit a27bed59cae1a4244429c752edfde0a8363c8a3b moved init_hckernel_init
to osi_Init. On Darwin (AFS_DARWIN80_ENV), MUTEX_INIT
(called by init_hckernel_init) uses openafs_lck_grp as the argument of
one of the functions called during the initialization of the mutex in
question. Since openafs_lck_grp was not allocated yet, we crash.

To fix this problem, call MUTEX_SETUP() before osi_Init() on Darwin.

Change-Id: Ib53118208d3ca7982e712768f334299e3d948805
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agorx: fix atomics on darwin 63/13063/3
Marcio Barbosa [Mon, 14 May 2018 19:46:26 +0000]
rx: fix atomics on darwin

As described by commit b2a21422129ca1eeeb5ea1a1f7b08b537fd2a9f7, the API
used for atomic operations in kernel space is not the same as the one
used in user space. To fix this problem, the commit mentioned above
introduced macros to correct the name of these functions in kernel space.
Unfortunately, the return value of the functions used in kernel space is
not the same as the ones used in user space. Generally speaking, the
kernel space atomic functions return the original value of the variable
received as an argument before the operation in question. On the other
hand, the user space atomic functions return the new value, after the
operation has been performed. To fix this problem, this commit provides
a new set of inline functions (only used in kernel space) with the
expected return values.

Also, in order to get the inline implementations of the OSAtomic
interfaces in terms of the <stdatomic.h> primitives, commit
74f837fd943ddfa20d349a83d6286a0183cb4663 defines OSATOMIC_USE_INLINED
on OS X 10.12. However, the definition of this macro only affects the
user space legacy interfaces for atomic operations. The kernel space
interfaces for atomics are not deprecated and OSATOMIC_USE_INLINED does
not affect these functions. To fix this problem, only define
OSATOMIC_USE_INLINED in user space (OS X 10.12+).

Change-Id: Ia6cbc76daa7068625dc9f6dff385d0568d6503bd
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoLINUX: Remove unused osi_fetchstore.c 61/13061/4
Andrew Deason [Wed, 9 May 2018 00:09:42 +0000]
LINUX: Remove unused osi_fetchstore.c

Ever since commit ae5f411c (Linux 4.4: Do not use splice()), most of
osi_fetchstore.c has been '#if 0'd out. The only portion that isn't is
a function definition that is unreferenced (afs_linux_read_actor).

Remove the unused code, and other '#if 0' references to it; the code
can always be added back later when we can actually use it.

Change-Id: Ifc062d5665393aa6693eb0db63aa23e4feb44df4
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agoafs: WriteThroughDSlots: Avoid write error panic 47/13047/4
Andrew Deason [Mon, 30 Apr 2018 22:58:43 +0000]
afs: WriteThroughDSlots: Avoid write error panic

Currently, afs_WriteThroughDSlots panics if our call to
afs_WriteDCache fails. Since afs_WriteThroughDSlots is called every
minute by a background daemon, this means that if our cache fs becomes
inaccessible (by being forced read-only, or for any other reason), we
are virtually guaranteed to panic relatively quickly.

To try to avoid this at least for some cases, change
afs_WriteThroughDSlots to return an error to our caller when we
encounter such an error. For our background task, we can just ignore
the error and retry the writes on a future iteration. During shutdown,
we still panic if we encounter an error, to try to avoid silently
allowing a corrupt cache to be used on subsequent boots.

Change-Id: Ia5f180a5c709881c3e884629c02e9ff93729fa88
Reviewed-by: Benjamin Kaduk <>
Reviewed-by: Michael Meffie <>
Tested-by: BuildBot <>

4 years agoafs: Avoid afs_GetDCache panic on cache open error 46/13046/4
Andrew Deason [Mon, 30 Apr 2018 22:33:14 +0000]
afs: Avoid afs_GetDCache panic on cache open error

When we need to populate a dcache entry, afs_GetDCache calls
afs_CFileOpen to get a handle for our file backing that dcache.
Currently, if we cannot open the file, we panic.

To handle this a little more gracefully, just return an error from
afs_GetDCache instead. The relevant userspace request will probably
fail with EIO, but this is better than possibly crashing the whole

Change-Id: If570ecc7f0fd0aab8340b568fc6cb2e2d316f35a
Reviewed-by: Benjamin Kaduk <>
Tested-by: Benjamin Kaduk <>

4 years agoUse afs_DestroyReq in afs_PrefetchNoCache() 60/13060/2
Benjamin Kaduk [Tue, 8 May 2018 23:04:21 +0000]
Use afs_DestroyReq in afs_PrefetchNoCache()

Since commit 76ad941902c650a4a716168d3cbe68f62aef109f we use afs_DestroyReq()
instead of osi_Free() directly.

Also update the UKERNEL version of the function to afs_CreateReq() properly.

FIXES 134533

Change-Id: I4a13f6232dbed12ee00ce219cb5f515529fff58c
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoLINUX: Return NULL for afs_linux_raw_open error 45/13045/3
Andrew Deason [Mon, 30 Apr 2018 22:30:56 +0000]
LINUX: Return NULL for afs_linux_raw_open error

Currently, afs_linux_raw_open (and by extension, LINUX's
implementation of osi_UFSOpen) panic when they are unable to open the
given cache file. To allow callers to handle the error more
gracefully, change afs_linux_raw_open and osi_UFSOpen to return NULL
on error, instead of panic'ing. Expand the language a little on the
message logged while we're here, since the system might keep running
after this situation now.

This commit also changes all callers that did not already handle
afs_linux_raw_open/osi_UFSOpen errors to assert on errors, so we still
panic for all situations where we encounter an error. More graceful
behavior will be added in future commits; this commit does not change
the behavior on its own.

An error on opening cache files can legitimately happen when there is
corruption in the filesystem backing the disk cache, but possibly the
easiest way to generate an error is if the filesystem has been
forcibly mounted readonly (which can happen at runtime due to
filesystem corruption or various hardware faults). The latter will
generate -EROFS (-30) errors, but of course other errors are probably

Change-Id: I1462ec43c76c0b07e9368b37a9dbaedf6b6f4409
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoBSD: Work around panic in FlushVCache 14/13014/3
Benjamin Kaduk [Fri, 13 Apr 2018 13:07:59 +0000]
BSD: Work around panic in FlushVCache

Commit 64cc7f0ca7a44bb214396c829268a541ab286c69 created the very useful
afs_StaleVCache() helper function, but unfortunately it also introduced
a subtle change into how we check for whether a vcache may be a directory.
Previously, we just used the low bit of the Fid's Vnode number, since files
have an even number and non-files an odd number.  The new version uses
that check but also explicitly checks `vType(avc)` against VDIR, and this new
check involves consulting information stored in the associated vnode entry,
not the vcache directly.  The afs_FlushVCache() implementation for
XBSD and DARWIN NULLs removes the cross-linkage between vcache and vnode,
so that AFSTOV(avc) becomes NULL.  Just a few lines later, it calls
afs_StaleVCacheFlags(), at which point vType() dereferences a bad pointer
(offset from a NULL pointer) and panics.  This would happen during shutdown,
or other periodic reclaim/flush events that can be scheduled.

Change-Id: I0800e5c743cedcbec628bfa8c8ea8978c2488c1c
Reviewed-by: Mark Vitale <>
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Benjamin Kaduk <>

4 years agoredhat: PACKAGE_VERSION macro no longer exists 31/13031/2
Stephan Wiesand [Thu, 26 Apr 2018 17:50:06 +0000]
redhat: PACKAGE_VERSION macro no longer exists

Commit 0d0e7699c9f789214205fe6837cded1a4c95f9c0 replaced all uses
of the %PACKAGE_VERSION macro in the spec with the %version one, but
missed an instance in the kmodtool script. Fix this, to avoid a
warning during rpmbuild.

Change-Id: I363241f45c5261aaf2fa0619fb159022f6dbd56a
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoredhat: Make separate debuginfo for kmods work with recent rpm 30/13030/2
Stephan Wiesand [Thu, 26 Apr 2018 17:33:31 +0000]
redhat: Make separate debuginfo for kmods work with recent rpm

Commit 443dd5367e0cd9050ad39a6594c5be521271b4e9 introduced the
creation of separate debuginfo packages for kmod packages, and
commmit 387ae9536888419d7b101513e04e1c644e3218d6 moved the code
from the spec into the kmodtool script.

Recent versions of rpm (the issue was found on Fedora 27) extract
the debuginfo data from a copy of the original files having the
package version-release as a suffix. This broke the original
change since the regular expression passed to
no longer matched the name of the openafs.ko file. The file list
for the -debuginfo package remained empty, which caused rpmbuild
to fail.

Relax the regex to match the previous and current file names we
are after. It is possible but unlikely that .*openafs\.ko.* will
ever match any file not being a kernel module.

Change-Id: I57178ed2c593551ede6f4ab2679dd0360dc362cf
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Tested-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agorx: connection aborts send serial zero when no conn available 32/12932/3
Jeffrey Altman [Fri, 23 Feb 2018 23:47:46 +0000]
rx: connection aborts send serial zero when no conn available

When no connection object is available, send serial number zero (0)
instead of one (1).  There is no harm in sending one (1) but it might
be confused as the first packet sent on the connection.  Multiple
connection aborts sent would all be sent with serial one (1).

Serial number zero (0) can be an indication to humans reading packet
traces that the sender has no knowledge of the connection.

Change-Id: I1951284f810170bd130e4f1d8ed93b903cd66659
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agorx: pass serial number to rxi_SendRawAbort 31/12931/3
Jeffrey Altman [Fri, 23 Feb 2018 23:26:24 +0000]
rx: pass serial number to rxi_SendRawAbort

The practice of stamping abort packets with the connection's next
serial number was altered by a0ae8f514519b73ba7f7653bb78b9fc5b6e228f8.

This change restores the prior behavior by passing a serial number
as a parameter to rxi_SendRawAbort() so that the serial number can
be obtained from the connection instead of hard coded as 1.

Change-Id: I0fb516b2c596e675fa4bc44598a697de81d36d83
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoautoconf: add kernel module to the summary 05/13005/2
Michael Meffie [Mon, 9 Apr 2018 23:54:54 +0000]
autoconf: add kernel module to the summary

Add the kernel module to the list of optional build items in the
configure summary to indicate whether the kernel module build is

Change-Id: I11d247ac66d8119910a90a0240b0ce5854449db4
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoautoconf: remove uss from configure summary 04/13004/2
Michael Meffie [Mon, 9 Apr 2018 23:50:28 +0000]
autoconf: remove uss from configure summary

Commit 00a33b26d74aa067086ddc340efb82184715857f (uss: always build uss)
made the uss build unconditional. Remove it from the list of optional
items in the configure summary.

Change-Id: Ia249451c574974b4f0892c4d6d626c57404ea8ce
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoautoconf: remove more linux 2.4 references 03/13003/2
Michael Meffie [Mon, 9 Apr 2018 20:42:41 +0000]
autoconf: remove more linux 2.4 references

Remove old linux 2.2 and 2.4 references in the autoconf macros left over
from the linux 2.2 and 2.4 days.

Change-Id: Ie859d938fa1fee1d98a035b55e5e41120b66bc69
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoredhat: remove the script 96/12996/2
Michael Meffie [Fri, 6 Apr 2018 03:43:34 +0000]
redhat: remove the script

Commit ec706b21530240d7fb66bad2f08513eff8f7c335 (Remove Linux 2.4 compat
from RedHat packaging) removed the use of the script, which was used in the linux 2.4 days to look
up the current kernel version.  Nowadays, we use the openafs-kmodtool
script to determine the kernel version.

Remove the unused script from the package

Change-Id: I6494812004f7b59c786ff670ff37c2fdc354f371
Tested-by: BuildBot <>
Reviewed-by: Stephan Wiesand <>
Reviewed-by: Benjamin Kaduk <>

4 years agoredhat: remove extra kernel version check 95/12995/2
Michael Meffie [Fri, 6 Apr 2018 02:56:50 +0000]
redhat: remove extra kernel version check

Commit a1c072ac562ccf74e5afb8449db1bcef86aef362 (redhat: fix rpmbuild command
line option defaults) added logic to set the default value of the kernvers
variable when not specified as an rpmbuild command line option.

This default value is not necessary, since 'kmodtool verrel' already returns
the current running kernel version by default.  The result of 'kmodtool verrel'
sets the kverrel variable, which holds the value of the kernel version we are
building.  The kernvers variable is only used as an argument to 'kmodtool
verrel' and may be empty by default to indicate the current version should be

Remove the unnecessary setting of the default value of kernvers.

Also update the information banner to show the value of kverrel, which is the
actual version we are building, instead of kernvers, which is empty be default.

Change-Id: I45ded3b4f61ec60a64288b89c1d553df9fa7b867
Tested-by: BuildBot <>
Reviewed-by: Stephan Wiesand <>
Reviewed-by: Benjamin Kaduk <>

4 years agoRemove warning "find_preferred_connection: no connection and !create" 64/12964/2
Ian Wienand [Tue, 20 Mar 2018 03:01:43 +0000]
Remove warning "find_preferred_connection: no connection and !create"

find_preferred_connection() is called with !create via
afs_ConnByHost->afs_ConnBySA to determine if there is a cached
connection available.  Don't warn, as it will next be called with the
create flag to create the connection anyway.

Change-Id: I02c2150a04ef20c54da793926fb402b946311f9a
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoFBSD: param.h consistency 90/12990/4
Stephan Wiesand [Wed, 4 Apr 2018 15:09:39 +0000]
FBSD: param.h consistency

Commit 88dc4d93f5ef080da8f56fac453f095e6c79d4a0 ("Add param.h
files for recent FreeBSD") introduced an inconsistency between
the i386 and amd64 param.h files for 11.1 and 12.0 regarding
the *_FBSD101_ENV #defines.

Citing Benjamin Kaduk: "Traditionally we have the param.h for
a FreeBSD N.0 release include the (N-1).Y values that existed
at the time of the N.0 release, and freeze that set of (N-1).Y
values for the lifetime of FreeBSD N.x, if that makes sense."

Given that FreeBSD 11.0 was released shortly after 10.3, and
12.0 is not yet released, consistently #define
*_FBSD10{1..3}_ENV for 11.1 and *_FBSD10{1..4}_ENV for 12.0

Change-Id: Ibb7e6c4caaab7aa97b32eeec7aa0bbe998bb57f7
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoautoconf: remove check for lorder 81/12981/2
Marcio Barbosa [Thu, 29 Mar 2018 18:52:12 +0000]
autoconf: remove check for lorder

Currently, lorder is not being used. Remove the conditional that checks
if this binary exists.

Change-Id: I5ccee8b34f33ba0bda38a1d0478ff7a46f73f79c
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoredhat: Create unique debuginfo packages for kmods 77/12977/3
Stephan Wiesand [Mon, 26 Mar 2018 18:21:19 +0000]
redhat: Create unique debuginfo packages for kmods

Commit 443dd5367e0cd9050ad39a6594c5be521271b4e9 ("redhat:
separate debuginfo package for kmod rpm") introduced the
creation of separate debuginfo packages for the kmod packages.
As such, this is useful, but all debuginfo packages for a given
OpenAFS release ended up with the same name/version/release for
the kmod debuginfo package, no matter which kernel release or
variant the kmod was built for.

Move the additional black magic from the spec into the kmodtool
script where we have the means to do better: Use the same naming
and versioning conventions as for the kmod-openafs packages

Change-Id: Ibcb34e4c8efde13d0600005772751d8aeb8154aa
Tested-by: BuildBot <>
Reviewed-by: Andrew Deason <>
Reviewed-by: Michael Meffie <>
Tested-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoExport {Get,Set}ServiceSpecific from 89/10589/15
Ben Kaduk [Fri, 13 Dec 2013 21:25:47 +0000]
Export {Get,Set}ServiceSpecific from

rxgk will use service-specific data.

Change-Id: Id9e2d4b9920e771e1583b9362e61de6216c246b4
Reviewed-by: Daria Phoebe Brashear <>
Reviewed-by: Chas Williams <>
Reviewed-by: Andrew Deason <>
Tested-by: BuildBot <>
Reviewed-by: Mark Vitale <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Benjamin Kaduk <>

4 years agoAdd some time-related helpers 66/10566/16
Ben Kaduk [Mon, 9 Dec 2013 19:42:13 +0000]
Add some time-related helpers

RXGK_NOW(), a quick routine to get the current timestamp as an rxgkTime,
and secondsToRxgkTime for the more general scaling factor.

Change-Id: I0051b5c8e5ad61e35431d97454bf2741daba90cb
Reviewed-by: Andrew Deason <>
Tested-by: BuildBot <>
Reviewed-by: Mark Vitale <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Marcio Brito Barbosa <>
Reviewed-by: Benjamin Kaduk <>

4 years agoSuppress statement not reached warnings under Solaris Studio 58/12958/2
Michael Meffie [Sun, 21 Jan 2018 23:38:11 +0000]
Suppress statement not reached warnings under Solaris Studio

Solaris Studio issues warnings for statements which can not be reached,
such as statements following an infinite loop.  For example, the return
statement will generate a 'statement not reached' warning in the
following code:

    while (1) {
       /*  no breaks or gotos in this body */
    return 0;

Suppress these warnings by conditionally removing such statements when
building under Solaris Studio.

Change-Id: Ib4f465bf9c00eff0d603e5bd643db7d3a5aa0ba0
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoafs: squash empty declaration warning 57/12957/2
Michael Meffie [Sun, 14 Jan 2018 01:14:59 +0000]
afs: squash empty declaration warning

Remove spurious semi-colon which generates a warning when
building under Solaris Studio.

  "./src/afs/UKERNEL/sysincludes.h", line ...: warning: syntax error:  empty declaration

Change-Id: I022728ddfd4b8229db0a247de2470846c802a462
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agolibafs: git ignore build artifacts on Solaris 55/12955/2
Michael Meffie [Sat, 20 Jan 2018 23:34:18 +0000]
libafs: git ignore build artifacts on Solaris

Ignore build artifacts generated when building the kernel
module for Solaris:


Change-Id: Ie791c45c48ffc15547864bee568f52f74ab6020f
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoExport a few krb5 routines for rxgk 36/10936/14
Ben Kaduk [Fri, 13 Dec 2013 21:17:54 +0000]
Export a few krb5 routines for rxgk

We need oafs_h_krb5_generate_random_block when generating random
keys and oafs_h_krb5_crypto_fx_cf2 for CombineTokens.
Having oafs_h_krb5_crypto_prf_length proves very convenient for
key derivation of transport keys, so move it to the public header
and export it.
oafs_h_krb5_enctype_keysize is needed so that we can tell whether or not we
need to pass through random_to_key() when making rxgk_keys.
oafs_h_krb5_random_to_key is needed for that random_to_key() operation.

Change-Id: Ia34c8028b07df203b3885157e2d46c6bb512f608
Reviewed-by: Chas Williams <>
Reviewed-by: Andrew Deason <>
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoauth: Let superuser identities be superusers 75/10575/17
Ben Kaduk [Wed, 4 Dec 2013 18:03:15 +0000]
auth: Let superuser identities be superusers

We have a special rx_identity_kind for superusers, let it actually
be useful for something.

Change-Id: I1d551ed8e5fcfd6bdc29c6c27eee4c2ae67e1a89
Reviewed-by: Andrew Deason <>
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoSOLARIS: Check for map_addr() without 'vacalign' 47/12947/2
Andrew Deason [Wed, 7 Mar 2018 04:04:28 +0000]
SOLARIS: Check for map_addr() without 'vacalign'

Add a configure check to see if the map_addr() function contains the
'vacalign' argument or not. The argument was removed sometime around
Solaris 11.4.

Change-Id: Id11c10cf849511635bd9490c97d978b4bdaa5e06
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agohcrypto: Avoid arc4random in kernel 46/12946/2
Andrew Deason [Wed, 7 Mar 2018 21:57:56 +0000]
hcrypto: Avoid arc4random in kernel

Our HAVE_ARC4RANDOM symbol represents the availability of arc4random()
in userspace, not in the kernel. On Solaris, we'll define
HAVE_ARC4RANDOM, but the built kernel module will be unusable, since
we cannot resolve the arc4random symbol.

To to avoid this, undef HAVE_ARC4RANDOM when building hcrypto for the
kernel, just like we do with HAVE_GETUID.

Change-Id: I17472420b35e7be6b4f698082714c2e51bdb064b
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoAvoid libtool 'nm' errors 45/12945/3
Andrew Deason [Wed, 7 Mar 2018 19:28:34 +0000]
Avoid libtool 'nm' errors

Starting around Solaris 11.3, '/usr/bin/nm -p' starts reporting some
symbols with the 'C' code. libtool cannot handle this (libtool bug
 #22373), which causes global_symbol_pipe in the generated libtool
script to be empty. This causes a rather confusing error when we go to
actually use libtool to link something ("syntax error near unexpected
token '|'"; see libtool bug #20947), and prevents the build from

Address this in two ways:

For all Solaris 11 builds, default to /usr/sfw/bin/gnm over
/usr/bin/nm. This avoids any interop issues with libtool and nm, since
libtool of course works very well with GNU tooling.

In addition, try to catch any nm-related errors with libtool at
configure time, to provide a more helpful error message.

To implement these changes, create a wrapper around LT_INIT, called

Change-Id: I7d47c17f9d9401dc5dcc9676279bf1e4f53554c4
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agovenus: convert fs.c to safer string functions 23/12923/4
Michael Meffie [Thu, 22 Feb 2018 18:23:18 +0000]
venus: convert fs.c to safer string functions

Convert string handling to safer functions to avoid buffer overflows.

Change-Id: Ibb4f18d78724d87a002e2b0458cba2cceee8670c
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agovenus: fix format overflow warning 17/12917/4
Michael Meffie [Mon, 19 Feb 2018 19:01:56 +0000]
venus: fix format overflow warning

Recent versions of gcc generate a format overflow warning on the dfstring
buffer in fs.c.  Increase the size of the buffer to avoid a possible buffer

    fs.c: In function ‘AclToString’:
    fs.c:770:30: error: ‘%s’ directive writing up to 1024 bytes
    into a region of size between 13 and 23 [-Werror=format-overflow=]
      sprintf(dfsstring, " dfs:%d %s", acl->dfs, acl->cell);
    fs.c:770:2: note: ‘sprintf’ output between 8 and 1042 bytes into
    a destination of size 30
      sprintf(dfsstring, " dfs:%d %s", acl->dfs, acl->cell);

Change-Id: Iead8b153a62f2928fabaeee1ed126535f67d7d49
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agobutc: convert butc/dump.c to safer string handling 22/12922/3
Michael Meffie [Thu, 22 Feb 2018 21:07:55 +0000]
butc: convert butc/dump.c to safer string handling

Convert butc/dump.c to safer string handling functions to avoid buffer

Change-Id: I36338804ee5d0ac2eb818c42cf2671497cd5967f
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>

4 years agobutc: fix format overflow warning 16/12916/2
Michael Meffie [Mon, 19 Feb 2018 18:57:16 +0000]
butc: fix format overflow warning

Recent versions of gcc generate an overflow warning in the butc DUMPNAME macro
when copying values into the finishedMsg1 buffer. Increase the size of the
destination buffer to avoid a possible buffer overflow.

    dump.c:88:24: error: ‘%s’ directive writing up to 63 bytes into
    a region of size 50 [-Werror=format-overflow=]
          sprintf(dumpname, "%s (DumpId %u)", name, dbDumpId);
    dump.c:1294:5: note: in expansion of macro ‘DUMPNAME’
         DUMPNAME(finishedMsg1, nodePtr->dumpSetName, dparams.databaseDumpId);
    dump.c:88:6: note: ‘sprintf’ output between 12 and 84 bytes into
    a destination of size 50
          sprintf(dumpname, "%s (DumpId %u)", name, dbDumpId);
    dump.c:1294:5: note: in expansion of macro ‘DUMPNAME’
         DUMPNAME(finishedMsg1, nodePtr->dumpSetName, dparams.databaseDumpId);

Change-Id: Iadf87a308ab6c500a8407a269bc0fd443ff0c735
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: Log sync site for SDISK_SendFile USYNC error 43/12943/2
Andrew Deason [Wed, 7 Mar 2018 17:32:43 +0000]
ubik: Log sync site for SDISK_SendFile USYNC error

In SDISK_SendFile, we return a USYNC error if the caller is not the
sync site. Say who the sync site is when we do this, to possibly help
post-mortem debugging.

Change-Id: I62a3565fca20171be20481638c261c4659c68ab2
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>
Reviewed-by: Benjamin Kaduk <>

4 years agoAvoid empty libtool -export-symbols-regex pattern 44/12944/2
Andrew Deason [Wed, 7 Mar 2018 19:11:03 +0000]
Avoid empty libtool -export-symbols-regex pattern

Currently, in LT_LDLIB_shlib_missing, we construct our
-export-symbols-regex pattern like so (with some escaping):

    "($(sed -e 's/^/^/' -e 's/$/$/' xxx.sym | tr '\n' '|' | sed -e 's/|$//'))"

The idea is that for a .sym file consisting of, for example:


We then generate a regex like (^foo$|^bar$). However, since the 'tr'
removes all newlines, the line given to the last 'sed' in the pipeline
has no trailing newline. On some systems, such as Solaris, this causes
sed to not output anything at all, resulting in a regex pattern of
just "()".

For example:

    # on Debian
    $ echo -n foo | sed -e 's/foo/bar/'

    # on Solaris
    $ echo -n foo | sed -e 's/foo/bar/'

To avoid this, we can change the sed pipeline to not remove the
newlines until the very end. Change the way we construct our regex to
this instead:

    "($(sed -e 's/^/^/' -e 's/$/$|/' -e '$ s/|$//' xxx.sym | tr -d '\n'))"

So the sed removes the extra '|' in the last element by looking at the
last line, instead of looking at the end of the line after the 'tr'

Change-Id: Id382132f6b400bf961dbaa52138a9abd0168118d
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoLINUX: fix RedHat 7.5 ENOTDIR issues 35/12935/6
Mark Vitale [Fri, 2 Mar 2018 04:16:56 +0000]
LINUX: fix RedHat 7.5 ENOTDIR issues

Red Hat Linux 7.5 beta introduces a new file->f_mode flag
FMODE_KABI_ITERATE as a means for certain in-tree filesystems to
indicate that they have implemented file operation iterate() instead of
readdir().  The kernel routine iterate_dir() tests this flag to decide
whether to invoke the file operation iterate() or readdir().

The OpenAFS configure script detects that the file operation iterate()
is available under RH7.5 and so implements iterate() as
afs_linux_readdir().  However, since OpenAFS does not set
FMODE_KABI_ITERATE on any of its files, the kernel's iterate_dir() will
not invoke iterate() for any OpenAFS files.  OpenAFS has also not
implemented readdir(), so iterate_dir() must return -ENOTDIR.

Instead, modify OpenAFS to fall back to readdir() in this case.

Change-Id: I242276150ab2a506e1e9c5c752e3f17d36c98935
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoafs_pioctl: avoid -Wpointer-sign 34/12934/3
Benjamin Kaduk [Fri, 2 Mar 2018 02:28:23 +0000]
afs_pioctl: avoid -Wpointer-sign

Change the declaration of 'addr' to be a signed int, to match
RXAFS_CallBackRxConnAddr() and the afsd_pd_GetInt() used with it.
This was detected by clang 4.0 in FreeBSD 11.1, via -Wpointer-sign.

Change-Id: Ibd2679e6a4519db46f57693ff58221f18f6a2fe1
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>

4 years agoubik: don't set database epoch to 0 if not needed 24/12924/4
Marcio Barbosa [Thu, 22 Feb 2018 22:53:23 +0000]
ubik: don't set database epoch to 0 if not needed

If our attempt to receive a fresh database from a peer fails, we will
overwrite the version.epoch field of our current local copy of the
database with an invalid value, "0". The idea behind this approach is
to make sure that this database will not be seen as a legit copy if the
transfer is not completed properly. Although it is questionable if this
approach is still necessary (since the current version writes the data
into a temporary file), it is undisputed that the database version does
not have to be invalidated if the transfer fails in a early stage where
no data has been written and we could safely continue to reuse the local
copy for read-only queries. Early failures may happen if:

1. The peer sending the database to us is not the peer we believe to be
the sync site;

2. The sender is not authorized to call DISK_SendFile;

In both cases, the database epoch is invalidated. As a result of that,
we may have the following consequences:

1. Reads may not be allowed

Once the on disk epoch is invalidated, if the server in question is
rebooted, the invalid on disk epoch will be used to initialize the in
memory epoch. At this point, reads may not be allowed since
urecovery_AllBetter checks if the in memory epoch is greater than 1.
Reads should not be blocked forever since the sync-site will send a new
database to this remote and, as a result of that, the invalid version
will be corrected.

2. Data can be lost

If the site with the invalid epoch is the one with the most recent
database, the database can be rolled back to an earlier version during a
new quorum establishment. Consider the following scenario where we have
three sites:

Site A (up - database up to date) (sync-site)
Site B (up - database up to date)
Site C (down - old database)

The epoch of B is invalidated due to the problem fixed by this patch.
Then, A is turned off and C is turned on. In this scenario, the new
sync-site will distribute the old database held by C since its epoch is
greater than 0.

To fix the problem in question, do not set the database epoch to 0
if the local database was not modified.


Hartmut Reuter <>
    - found the problem;
    - suggested a possible solution;

Benjamin Kaduk <>
    - submitted the first version;

Andrew Deason <>
    - suggested changes;

Change-Id: I4f6a6e92aa0bd4282fab4743ea622815a009fecf
Reviewed-by: Benjamin Kaduk <>
Tested-by: BuildBot <>
Reviewed-by: Michael Meffie <>

4 years agoafs: improve -volume-ttl error messages 18/12918/3
Michael Meffie [Tue, 20 Feb 2018 16:51:01 +0000]
afs: improve -volume-ttl error messages

Change the afs call which sets the volume ttl value to return EFAULT
instead of EINVAL when given an out of range value for the volume ttl
parameter.  This is more consistent with the other op codes, which
return EFAULT when given an out of range parameter and allows the caller
to distinguish between an invalid opcode and a bad parameter.

Move the volume ttl range constants to afs_args.h, which is where
constants related to the op codes are supposed to be defined. This makes
the constants available to the caller in afsd.c as well as the
implementation in afs_call.c.

Update afsd to print a more sensible error message when the volume ttl
set calls fails due to an out of range parameter.

Change-Id: I6b3ab7d38a60464017daf06f70080a90d2a7a429
Tested-by: BuildBot <>
Reviewed-by: Benjamin Kaduk <>