TODO: libcli/auth: add support for AES/HMAC-SHA256 schannel support

metze

TODO: libcli/auth: add fallback logic to netlogon_creds_server_init()

It seems that we need to try fallback to weak sessions key
as W2K8R2 sends the strong key flag, but doesn't use
strong keys, if it has strong key support disabled.

TODO: real names and reference to registry key
metze

libcli/auth: add netlogon_creds_step_crypt() and netlogon_creds_first_step()

This abstracts the usage of crypto functions instead of directly calling
des_crypt112().

metze

libcli/auth: remove some useless lines

metze

libcli/auth: remember schannel type in netlogon_creds_server_init()

metze

Add some const to dsgetdcname

Do an early TALLOC_FREE

netlogon: give netlogon w7/w2k8r2 AES negotiate flag proper name (see bug #6099 for details).

Guenther

fixed DRS rename of deleted objects

The objectclass module checks that the target parent exists, and
refuses renames if it doesn't exist. For this to work for deleted
objects we have to do the search in the objectclass module with the
"show deleted" control enabled.

fixed a double free bug on error in net export

s4:python Fix the reprovision test by deleting 'deleted' objects too.

We were failing because CN=Deleted Objects, which is marked as
'deleted' itself, could not be re-added in a reprovision.

Andrew Bartlett

s4:dsdb Rework show_deleted module not to liniearise the LDAP filter

Instead, use the fact that the ldb_parse_tree structure is public to
construct the 'and not deleted' clause as a structure, and apply each
filter tree to that template.

Andrew Bartlett

Help debug for bug 6651 - smbd SIGSEGV when breaking oplocks.
Should help track if we get invoked with an invalid fd from
the signal handler.
Jeremy.

Second attempt at fix for bug 6529 - Offline files conflict with Vista and Office 2003.
Confirmation from reporter that this fixes the issue in master on ext3/ext4.
Back-ports to follow.
Jeremy.

Allow systems with timestamp granularity of 1sec to work with
this test.
Jeremy.

Use existing time_t rounding function, don't invent my own.
Jeremy.

netlogon: add (yet) undocumented netlogon negotiate bit to bitmap.

This bit is set by the Win7 client while joining.

Guenther

s3-netlogon: Only hand out rid when netlogon credential chain has been setup sucessfully.

Guenther

Second part of fix for 6529 - Offline files conflict with Vista and Office 2003.
ext4 may be able to store ns timestamps, but the only API to *set* timestamps
takes usec, not nsec. Round to usec on set requests.
Jeremy.

Fix make test.
Jeremy.

make smbcontrol smbd ping work proper checking for arguments handle short pid_t correctly

libndr: add missing protoypes for double type.

Guenther

tevent: avoid using reserved c++ word.

Guenther

s4:dsdb Use talloc_strndup() to ensure OIDs are null terminated

The OIDs are not NULL terminated by the python caller, in line with
the LDB API, but we need them to be here, as we were casting them to a
string.

Andrew Bartlett

s4:ldb Add python binding and test for ldb_msg_diff()

s4:dsdb Add const

s4:dsdb remove unused variable

s4:dsdb use talloc_strndup() in GET_STRING_LDB() rather than walk off the end

The problem is that samdb_result_string() and
ldb_msg_find_attr_as_string() both simply cast the string, rather than
ensuring the return value is NULL terminated.  This may be best
regarded as a flaw in LDB, but fixing it there is going to be more
difficult.

Andrew Bartlett

note the semantic change in talloc_free from 2.0

fixed typo in talloc doc XML

LIBREPLACEOBJ now contains the full path

updated XML source for talloc man page

added talloc_set_log_* documentation

updated talloc guide for recent API changes

make lib/replace more usable in standalone builds

This makes the lib/replace m4 work in lib/talloc as a standalone build

fixed getpass m4

This allows the getpass.m4 code to work in standalone talloc builds

s3:lib: setup talloc log and abort functions

metze

s3:configure: require talloc >= 2.0.0

metze

s4:cmdline: setup talloc log and abort functions

metze

s4:build: require talloc >= 2.0.0

metze

talloc: add --enable-talloc-compat1 to build a compat library for talloc 1.x.x

metze

talloc: update talloc.exports and talloc.signatures

metze

talloc: add defines and functions for TALLOC_MAJOR/MINOR_VERSION

We also use the major and minor versions in the TALLOC_MAGIC,
so that we can detect if two conflicting versions of talloc
are loaded in one process. In this case we use talloc_log() to
output a very useful debug message before we call
talloc_abort().

metze

talloc: change version to 2.0.0

metze

talloc: remove ABI compat functions

metze

talloc: remove unused build dependecies to samba

metze

talloc/testsuite: use talloc_set_log_fn() and log to stdout

metze

talloc: add talloc_set_log_fn() and talloc_set_log_stderr()

So that the application can setup a log function to get ERROR
and WARNING messages.

metze

talloc: let talloc_steal() only generate a warning if it's used with references

We have to many callers, which rely on that talloc_steal() never fails.

metze

talloc/testsuite: report __location__ of testsuite failures

metze

talloc/testsuite: add infrastructure to test aborts

metze

talloc/testsuite: reset the globals after each subtest

metze

talloc: call return after abort, because an overloaded abort function might not exit

This will be useful in the testsuite,
where we could check if an abort would happen.

metze

talloc: report the size of reference handles as 0

metze

talloc: let talloc_total_blocks() and talloc_get_size() operate on the null_context

metze

s3:winbind: Fallback to the forest root for lookupname

Thanks to Steven Danneman for watching me closely :-)

s3:winbind: Even on a domain controller, "our" domain is internal

It happens to be what we also share out via NETLOGON/SAMR, but winbind has
direct access to it via the passdb domain methods

s3:winbind: Do not drop the first user in sam_query_user_list

s3:winbind: For internal domains it is pointless to connect to a DC

s3:winbind: winbindd_dual_ndrcmd should output what it's doing

s3:winbind: Fix the talloc hierarchy in wb_queryuser_done

We need to return state->userinfo beyond the end of wb_queryuser_recv, so the
unmarshalled strings are children of that, not the state that is lost sooner.

Metze, this scheme works fine as long as we only have a single malloc'ed
entity that is returned. I think we need a different scheme in the future
when we might have more than one independent object to be returned.

Implement Metze's suggestion of trying getpwuid(0) then getpwnam(root).
Jeremy.

Log debug message when hires timestamps are available on the
share.
Jeremy.

Fix bug 6529 - Offline files conflict with Vista and Office 2003
On filesystems that can't store less than one second timestamps,
round the incoming timestamp set requests so the client can't discover
that a time set request has been truncated by the filesystem.
Needs backporting to 3.4, 3.3, 3.2 and (even) 3.0.
Jeremy

Try and fix the buildfarm by using getpwnam(root) instead
of getpwuid(0) if DEVELOPER is defined. I'm hoping the
build farm defines DEVELOPER...
Jeremy.

s4:ntp_signd Fix bug 6656 - Set protocol version to 0, as used by ntpd

The change to protocol version 1 was not intentional, and broke the
protocol established with the ntp.org project.

Andrew Bartlett

Fix coverity CID: 932 - forward null.
Jeremy.

Fix for bug 6651 - smbd SIGSEGV when breaking oplocks.
Based on a patch submitted by Petr Vandrovec <petr@vandrovec.name>.
Multiple pending signals with siginfo_t's weren't being handled correctly
leading to smbd abort with kernel oplock signals.
Jeremy

s3: fix bug #6650, authentication at member servers when winbindd is not running

Authentication of domain users on the member server fails when winbindd
is not running. This is because the is_trusted_domain() check  behaves
differently when winbindd is running and when it isn't:
Since wb_is_trusted_domain() calls wbcDomainInfo(), and this will also
give a result for our own domain, this succeeds for the member
server's own domain when winbindd is running. When winbindd is not
running, is_trusted_domain() checks (and possibly updates) the trustdom
cache, and this does the lsa_EnumTrustDom() rpc call to the DC which
does not return its own domain.

In case of winbindd not running, before 3.4, the domain part was _silently_
mapped to the workgroup in auth_util.c:make_user_info_map(),
which effectively did nothing in the member case.

But then the parameter "map untrusted to domain" was introduced
and the mapping was made to the workstation name instead of
the workgroup name by default unless "map untrusted to domain = yes".
(Commits
 d8c54fddda2dba3cbc5fc13e93431b152813892e,
 5cd4b7b7c03df6e896186d985b6858a06aa40b3f, and
 fbca26923915a70031f561b198cfe2cc0d9c3aa6)
This was ok as long as winbindd was running, but with winbindd not running,
these changes actually uncovered the above logic bug in the check.

So the correct check is to treat the workgroup as trusted / or known
in the member case. This is most easily achieved by not comparing the
domain name against get_global_sam_name() which is the host name unless
for a DC but against my_sam_name() which is the workgroup for a DC and for
a member, too. (These names are not very intuitive...)

I admit that this is a very long commit message for a one-liner, but this has
needed some tracking down, and I think the change deserves some justification.

Michael

s4:client

Put was assuming that the remote name was always absolute, and not relative to
the current remote directory.

Signed-off-by: Sam Liddicott <sam@liddicott.com>

Add missing CreateFile flags to smb.h

s4:ldb Python requires that a 'compare' handler return -1, 0 or 1

s4:ldb Use length-limited printf to avoid walking off end of strings

This should ensure the debug messages do not have random characters at
their ends.

Andrew Bartlett

s4:kerberos Use MIT compatible names for these enc types

This is a small start on (ie, the only trivial part of) the work shown in:
http://k5wiki.kerberos.org/wiki/Projects/Samba4_Port#Samba.27s_use_of_Heimdal_symbols.2C_with_MIT_differences
(a table of all Kerberos symbols used in Samba4, and notes on where
they differ from those provided with MIT Kerberos)

Andrew Bartlett

Fix bug 6638 - ADS Domain Member: Computer Mgr can not set share ACLs
Add good error message for share modification denial.
Jeremy.

s3-idmap: fix two uninitialized variable warnings in idmap_tdb2.

Guenther

s3:dsgetdcname: Fix a crash in dsgetdcname

When returning NT_STATUS_OK we can't leave *info == NULL, this crashes
in is_closest_site called from dsgetdcname().

Signed-off-by: Günther Deschner <gd@samba.org>

s3:dsgetdcname: Inline dsgetdcname_cache_refresh

Signed-off-by: Günther Deschner <gd@samba.org>

s4-spoolss: add stubs for new idl opcodes in spoolss server.

Guenther

s3-spoolss: add stubs for new idl opcodes in spoolss server.

Guenther

s3: re-run make samba3-idl.

Guenther

spoolss: add more spoolss calls to IDL
(spoolss_GetPrinterDriverPackagePath and spoolss_GetCorePrinterDrivers).

Guenther

Fix bug #6647 - get_root_nt_token: getpwnam("root") failed!
Not all systems may have a "root" user, but all must have a passwd
entry for a uid of zero.
Jeremy.

Fix Red Hat bugzilla bug : https://bugzilla.redhat.com/show_bug.cgi?id=516165
nautilus fails to copy files from an SMB share. This is a show-stopper
for 3.4.1 (I'll open a Samba.org bug). Although gnome-vfs is doing
*incredibly* stupid things by asking for a read size of 65535 - this
translates on the wire to a 65534 byte read followed by a 1 byte
read. Please send this back to the gnome developers that they
will ge horrid on the wire performance for this.
Jeremy.

s3:smbd: implement SMB2 Find (Query Directory)

metze

s3:smbd: store a dirptr on the files_struct for SMB2 Query Directory

metze

s3:smbd: add a generic smbd_dirptr_lanman2_entry() function

This can we used by SMB2, the key difference between
SMB1 and SMB2 is that with SMB2 entries are aligned
to 8 bytes and there's no padding at the end of the last entry.

metze

s3:smbd: implement all SMB2 Create contexts except "ExtA"

metze

s3:smbd: make smbd_check_open_rights() function non-static for use in SMB2

metze

s3 merged build: Don't build wbinfo twice.

Many, many thanks to Metze for telling me which chicken to sacrifice.

tevent: fix a comment

Michael

Make refusal of SEC_DESC_DACL_PROTECTED configurable

This adds a parameter "gpfs:refuse_dacl_protected" that defaults to false.

GPFS has no place to store the SEC_DESC_DACL_PROTECTED ACL bit. With this
parameter we give customers an option to either ignore this bit or refuse
setting an ACL with it.

s3:smbd: parse context blobs in SMB2 Create

metze

added basic support for rename in DRS replication

Added simple DRS rename support in replication. This should be done
async, and I'm not sure if we should also do any repl data updates to
indicate the rename. I'm still learning how this stuff works, but at
least this allows a rename on a DC to propogate correctly

we need the Deleted Objects container for replication

When objects are deleted they get renamed to this container. The
container needs to exist when we provision

wbinfo: Fix up s3 blackbox test. wbinfo no longer needs a config file.

s4 winbind: Quiet down the WINBINDD_DOMAIN_INFO handler stub warning

wbinfo: Reduce test noise in the wbinfo blackbox test

With the switch to libwbclient the previously stubbed out
--trusted-domains and --all-domains calls now fail. Set them to knownfail.

The previously knownfail -D test is now stubbed out, test it now.

This does not fix the issues with wbinfo -a and wbinfo -K not working on the
build farm. I have no idea whatsoever what is causing this, as those are broken
on my local machine even without my changes.

s4 winbind: Silence compile warning by adding new commands to the list

s4 winbind: Implement a stubbed out version of WINBINDD_DOMAIN_INFO