s4:provision - Fix up ProvisioningError class as suggested by Jelmer

s4:samdb/tools - That should fix now the last failures

s4:libnet_become_dc - bump down the level requested by abartlet

s4:scripts - Reintroduce "-H" parameter

I removed it since on some scripts it was present, on others not - so I thought
it wouldn't be really needed. This was a bad decision (pointed out by abartlet).
So I reintroduce it on all scripts (to have consistent parameters).

Revert "blackbox:test_kinit - Remove the "-H" (hive) parameter"

This reverts commit d4389a230b6aea5a0b2a98e255b14a59c8248b0b.

This revert changed the behaviour which I didn't expect. Thanks abartlet to
point this out!

s4:provision Make us Windows 2008 level by defualt again

Also add a note to clarify that this should not be changed without
discussion and consensus.  We don't want this bouncing around.

Paramater support to allow optional selection of Win2003 mode welcomed.

Andrew Bartlett

s3:secrets_schannel: revert to using version 1

It doesn't really matter if the entries
have invalid context in it. Older versions of samba
refuse to open the file if the version doesn't match.

If we can't parse individual records, we'll fail schannel binds,
but the clients are supposed to reestablish the netlogon secure channel
by doing ServerReqChallenge/ServerAuthenticate* again. This
will just overwrite the old record.

metze

s3:winbindd: avoid writing to a closed connection and generate SIGPIPE

metze

async_sock: return -1/EPIPE if we're getting an end of file on read.

This makes the error handling in the callers easier.

metze

s3:lib/select: don't overwrite errno in the signal handler

metze

tevent: make sure we don't set errno within the signal handler function.

metze

s4:dsdb/resolve_oids: add fast pathes for the common operations without oids

metze

s4:dsdb/resolve_oids: check return values in recursion

metze

s4:py_security Add missing header

s4:provision Use code to store domain join in 'net join' as well

This ensures we only have one codepath to store the secret, and
therefore that we have a single choke point for setting the
saltPrincipal, which we were previously skipping.

Andrew Bartlett

s4:ldb print out which LDB the transaction is still active on.

s4:provision split provision of DNS zone and self join keytab

s4-selftest: disable RAP-SCAN test

also pointless now we have docs

s4-selftest: disable RPC-COUNTCALLS

The RPC-COUNTCALLS was useful when we were working out IDL by hand

Merge branch 'master' of git://git.samba.org/samba

s4:python tools - try to fix some test problems

s4:samba3sam.py test - remove the primary group ID attribute here

This shouldn't be specified on creation time (Windows Server doesn't allow that).
Hope this also fixes the test (see buildfarm).

s4:sec_descriptor - fix constant

blackbox:test_kinit - Remove the "-H" (hive) parameter

The "enableaccount" script works only on local LDB anymore - therefore remove
this parameter.

Disable descriptor module unless enabled in smb.conf

Since this code may still have some problems, it is not executed by default.
To enable descriptor inheritance add:
acl:inheritance = true
in your smb.conf

s4:dsdb/common/util - Check for the right forest/domain function level

This adds a function which performs the check for the supported forest and
domain function levels. On an unsuccessful result a textual error message can
be created (parameter "errmsg" != NULL) which gives hints for the user to help
him fixing the issue.

s4:server.c - add linespace (only cosmetic)

talloc: fixed talloc_disable_null_tracking()

When we disable null tracking, we need to move any existing objects
that are under the null_context to be parented by the true NULL
context.

We also need a new talloc_enable_null_tracking_no_autofree() function,
as the talloc testsuite cannot cope with the moving of the autofree
context under the null_context as it wants to check exact counts of
objects under the null_context, and smbtorture has a large number of
objects in the autofree_context from .init functions

s4:domainlevel - fixed another error

The second "nTMixedDomain" attribute (under Partitions/Domain-DN) is only a
copy of the one under the directory root object. Therefore there doesn't exist
the "Windows 2000 Mixed" forest level.

Fixed a difference in domain sid type when SID is provided by user.

s4:ldb_parse - Fix the type of an array entry

I found this through a compile warning. Hope that I got this right.

s4:provision_configuration - fix "sPNMappings"

I reread some docs about this attributes and it seems that this as mapping
attribute isn't host specific but in common for the whole domain. To allow
Windows DCs to join our s4 domain sooner or later we have to provide the full
attribute.

s4:domainlevel - further improvements

- The tool displays now also mixed/interim domain levels and warns about them
  (s4 isn't capable to run on them)
- But it allows now also to raise/step-up from them
- It displays now also levels higher than 2008 R2 (altough we don't support them
  yet) but to be able to get a correct output

blackbox/test_ldb.sh: test searching using OIDs instead of names for attributes and classes

metze

s4:provision: add the 'resolve_oids' on the top of the module stack

metze

dsdb/samdb: add resolve_oids module

Windows Servers allow OID strings to be used instead of
attribute/class names.

For now we only resolve the OIDs in the search expressions,
the rest will follow.

metze

s4:build: require ldb 0.9.7

metze

s4:ldb: add ldb_parse_tree_copy_shallow() and change version to 0.9.7

metze

librpc: rerun 'make idl'

metze

drsblobs.idl: fix repsFromTo2 blob size calculation

metze

rerun: make idl

metze

drsblobs.idl: add decoding for repsFromTo2

This is used in windows 2008.

metze

s4-auth: add SID_NT_ENTERPRISE_DCS is a server trust account

s4-drs: security checking on DRS needs to default to on

s4-ldb: display an error if we can't decode a NDR blob

s4-repl: need param.h for lp_parm_bool

Handle dsdb_class_by_lDAPDisplayName returned values in schema_inferiors.c

Move replmd_drsuapi_DsReplicaCursor2_compare to a common place.

Add drs_security_level_check for dcesrv calls security checks

There is also an option to disable the security check
by specifying in the smb.conf file:
drs:disable_sec_check = true

s4:provision_basedn_modify - fix the "auditPolicy" attribute

I had to think about how to encode the string 0x0001 (taken from Windows Server).
The problem is due to the "0" byte at the beginning of it. BASE64 encoding
seems a good method to do it.

s4:utils Remove typo...

s4:dsdb Print the partition we failed to suggest replication for

libcli:nbt move prototypes of lmhosts functions to libnbt.h

s4:utils Explian fix for testparm -v

The problem here was that we take an address of a bool, and then (via
a void*) cast it to a int *, so put this in a comment.

Andrew Bartlett

s4-ldb: bump minimum version in ldb too

more include minimisation

tdb: increase minor version

we depend on reads in transactions for s4 replication

s4-smbd: removed unnecessary includes

s4-scripts: make minimal_includes handle our -I overrides

s4-smbd: minimise includes in smbd/ and smb_server

s4-testparm: fixed -v option

never pass a bool pointer to popt

s4-rpc_server: removed remaining unnecessary #includes

s4-rpc: remove some unnecessary #include lines

I should remember to run script/minimal_includes.pl more often

s4:samdb.py - further rework

- I added a comment to the "new user" operation to point out that this works
  only on s4, since we add also ID mapping entries for winbind there
- The "new user" operation adds now the password through the "set password"
  operation which I find better due to the re-use principle
- Remove the word "DC" after "SAMBA 4" in the comment over the "set password"
  operation since this note and operation applies also to s4 in standalone mode

pidl: update expected output for NDR64 changes

s4-netlogon: implement dcesrv_netr_DsRAddressToSitenamesExW

We don't implement sites properly at the moment so we just return
Default-First-Site-Name

s4-resolve: fixed a crash bug on timeout

We were creating the name resolution context as a child of lp_ctx,
which meant when we gave up on a connection the timer on name
resolution kept running, and when it timed out the callback crashed as
the socket was already removed.

s4-pipes: convert pipe names to lowercase and validate

clients may provide arbitrary names, but we only want lowercase alnum
names

s4-server: kill main daemon if a task fails to initialise

When one of our core tasks fails to initialise it can now ask for the
server as a whole to die, rather than limping along in a degraded
state.

s4-kdc: ignore unknown keytypes

don't fail hdb operations if one of the key types is unknown

Merge branch 'master' of /home/tridge/samba/git/combined

s4-drs: cope with dupliate linked attributes

With a w2k8-R2 DC, we sometimes get linked attribute updates via DRS
which are duplicates of entries that we already have. We need to cope
with this by using a remove/add pair in the ldb_modify() to avoid a
"entry already exists" error

s4:provision_configuration - "sPNMappings": "http" missed on regeneration

s4/provision_configuration - re-add the "sPNMappings"

Accidentally removed by a previous commit.

s4:scripts - Cleans also the rest under the "setup" directory up

- I removed also the "-H" parameter since those scripts are all thought for the
  use on a local s4 domain controller. Another reason is also the bind as SYSTEM
  account which itself is only possible on local binds.

s3-rpc_client: fix non initialized structure in rpccli_lsa_lookup_sids_noalloc.

Guenther

s3-smbd: fix get_ea_names_from_file() and check for pnames pointer.

This fixes smbd from crashing all the time.

Jeremy, Volker, please check.

Guenther

s4:various scripts under "setup" - Unification

- This unified the shape of those four scripts (comments, command sequence, call
  of SamDB)
- To consider the samdb.py changes regarding the filter: there is now always the
  possibility either to specify the username or the search filter

s4:domainlevel/pwsettings - Remove unused import

s4:samdb.py - Unification of the interfaces

- When a user account is requested by a call always the search filter will be
  passed as argument. This helps us to unify the API
- Add/fix some comments; in particular new comments inform the developer which
  requirements exist if he wants to use calls which manipulate the
  "userPassword" attribute (On s4 no problem - but on certain domain levels on
  Windows Server)

s4:minschema/fullschema - add correct header comments

s4:rpc_server: remove some now unused code

metze

s4:ntvfs_ipc: add real named pipe support

We now open a named via the named_pipe_auth
code and process IO via the tstream interface.

This means we support byte mode and message mode
named pipes.

We also correctly issue NT_STATUS_PIPE_BUSY
when a smb_trans request comes in and a read or smb_trans
is already pending.

We also have support for async dcerpc over ncacn_np now,
and we now can remove the ncacn_np specific hacks from the
rpc_server/ code.

metze

s4:torture: the spoolss notify test should listen on the ncacn_np endpoint

metze

s4:rpc_server: export dcesrv_add_ep() so that torture tests can use it

metze

libcli/named_pipe_auth: pass gssapi delegated credentials through the named pipe

metze

s4:service_named_pipe: accept delegated credentials

metze

librpc: rerun 'make idl'

metze

named_pipe_auth.idl: add infrastructure to pass delegated credentials

metze

s4:torture: don't use 'pipe' as variable name it's a system call

metze

s4:heimdal/gssapi/krb5: set cred_handle in _gsskrb5_import_cred

metze

Merge branch 'master' of /home/tridge/samba/git/combined

s3: Fix Coverity ID 581 -- NEGATIVE_RETURNS

s3:smbstatus: Fix bug 6703, allow smbstatus as non-root

We only require a ctdb connection when clustering is enabled. This limits the
restriction for only-root smbstatus to the clustering case.

s3:smbstatus: Fix some nonempty blank lines

s4:domainlevel - fix indentations

s4:domainlevel - Add a script which allows raising the domain/forest level

This simple script allows raising the domain and/or forest level for s4.
I integrated also the basic checks (since we don't perform them in LDB yet):
e.g. the forest level can't be higher than the domain level(s).

s4:pwsettings - Simplify the error handling a bit

python: create a script for reorgnizing an LDB file.

  This script helps to reclaim waisted place.

s4:provision - Bump down the domain and forest level to Windows 2000

- The DC level we keep on Windows Server 2008 R2 (we should call ourself
  always the newest server type)
- The domain/forest level we set to the minimum (Windows 2000 native) to
  allow all AD DC types (from Windows 2000 on) in our domain - the NT4 "mixed"
  mode isn't supported by us (discussed on mailing list) -> "nTMixedDomain" is
  set always to 0
- I'll add a script which allows to bump the DC level (basically sets the
  "msDS-Behaviour-Version" attributes on the "Partitions/Configuration/DC" and
  on the "DC" object)