pidl: fix printing of server side ndr request debug messages

The macros NDR_PRINT_IN_DEBUG and NDR_PRINT_OUT_DEBUG are made for
the client side. For the server side, the NDR_SET_VALUES flag needs
to be added for the OUT struct and not for the IN struct, otherwise,
the OUT part can print uninitialized data and the IN part may
recalculate string lengths illegally.

s3: Fix some error messages

Eliminate any chance of a class of "uninitialized auto variable" errors.

Jeremy.

tdb: workaround starvation problem in locking entire database.

We saw tdb_lockall() take 71 seconds under heavy load; this is because Linux
(at least) doesn't prevent new small locks being obtained while we're waiting
for a big log.

The workaround is to do divide and conquer using non-blocking chainlocks: if
we get down to a single chain we block.  Using a simple test program where
children did "hold lock for 100ms, sleep for 1 second" the time to do
tdb_lockall() dropped signifiantly.  There are ln(hashsize) locks taken in
the contended case, but that's slow anyway.

More analysis is given in my blog at http://rusty.ozlabs.org/?p=120

This may also help transactions, though in that case it's the initial
read lock which uses this gradual locking routine; the update-to-write-lock
code is separate and still tries to update in one go.

Even though ABI doesn't change, minor version bumped so behavior change
can be easily detected.

Signed-off-by: Rusty Russell <rusty@rustcorp.com.au>

s3-selftest: move make test to selftest.

The old "make test" can be still called as "make oldtest".

Guenther

s3-selftest: fix testparm tests as non-root.

Thanks to Andreas for pointing this out.

Guenther

s3-smbd: Publish nt printers.

Reloading of the printers requires rpc services up and running! The
first call in reload_services will be skipped.

Signed-off-by: Simo Sorce <idra@samba.org>

s3-smbd: Move rpc services init to smbd parent.

The move to the parent makes it possible to use an internal rpc pipe
really early and as we migrated serveral parts of samba to rpc function
this is required. This should speed up the fork of a smbd a bit cause
the rpc services are already running.

We still have several problems here which aren't solved. We don't have a
dependency tree here. For example we have to make sure that the registry
is initialized before we can use the winreg pipe. The spoolss server
requires winreg, so we have to start winreg before we can start the
spoolss server. I'm sure there are more dependencies.

Signed-off-by: Simo Sorce <idra@samba.org>

s3-smbd: Regroup some init functions.

Signed-off-by: Simo Sorce <idra@samba.org>

s3-smbd: Fixed indent.

Signed-off-by: Simo Sorce <idra@samba.org>

s3-loadparm: Added some comments to lp_load_ex calls.

Signed-off-by: Simo Sorce <idra@samba.org>

s3-smbd: Cleanup the order of the init functions.

Signed-off-by: Simo Sorce <idra@samba.org>

s3-smbd: Make sure the event context is initialized.

Signed-off-by: Simo Sorce <idra@samba.org>

s3-build: remove pointless RPC_PARSE_OBJ2.

Guenther

s3-waf: remove pointless RPC_PARSE_SRC2.

Guenther

s3: Replace some cli_errstr calls by nt_errstr

s3-libnet: also remove libnet/libnet_samsync_keytab.c.orig.

Guys, what are you doing here ? ;-)

Guenther

s3-libnet: remove source3/libnet/libnet_join.c.orig, added by a previous commit.

Guenther

s3-dcerpc: fix build warning seen with -O3.

"warning: assuming signed overflow does not occur when assuming that (X + c) < X is always false"

Guenther

s3-krb5 Only build ADS support if arcfour-hmac-md5 is available

Modern Kerberos implementations have either defines or enums for these
key types, which makes doing #ifdef difficult.  This shows up in files
such as libnet_samsync_keytab.c, the bulk of which is not compiled on
current Fedora 12, for example.

The downside is that this makes Samba unconditionally depend on the
arcfour-hmac-md5 encryption type at build time.  We will no longer
support libraries that only support the DES based encryption types.
However, the single-DES types that are supported in common with AD are
already painfully weak - so much so that they are disabled by default
in modern Kerberos libraries.

If not found, ADS support will not be compiled in.

This means that our 'net ads join' will no longer set the
ACB_USE_DES_KEY_ONLY flag, and we will always try to use
arcfour-hmac-md5.

A future improvement would be to remove the use of the DES encryption
types totally, but this would require that any ACB_USE_DES_KEY_ONLY
flag be removed from existing joins.

Andrew Bartlett

Signed-off-by: Simo Sorce <idra@samba.org>

s3:libnet Add other required headers for libnet_samsync_keytab.c

Due to missing defines in modern kerberos libraries, this code was
not compiled and so this wasn't noticed.

Andrew Bartlett

Signed-off-by: Simo Sorce <idra@samba.org>

tdb: add TDB_DEPS variable filled with required libraries

This is required for Solaris, which needs to link in librt to make use of
fdatasync().

s3-build: pointless to link in libads and dcutils into smbcacls.

Guenther

s3-build: separate out libads_printer.

Guenther

s3-waf: separate out libads_printer.

Guenther

s3-selftest: add testparm tests to selftest.

Guenther

Fix bug #7617 - smbd coredump due to uninitialized variables in the performance counter code.

In the file rpc_server.c, function _winreg_QueryValue()

uint8_t *outbuf

Should be :

uint8_t *outbuf = NULL;

As it is later freed by

      if (free_buf) SAFE_FREE(outbuf);

in some cases, this frees the unintialized outbuf, which causes a coredump.

s3-libnet: fix bug #6364: Pull realm from supplied username on libnet join

s3-waf: fix the build.

Guenther

s3: fall back to cups-config for underlinked libs

some OpenBSD systems have underlinked cups libraries. If linking against cups
alone fails, try to link against all the cups-config --libs cruft, which we
usually don't want. (bugzila #7244)

Revert "s3: Use cups-config --libs"

This reverts commit 911db761148. This was introduced in 18f1f5b56b140
intentionally.

ntlmssp: fix unitialized variable in ntlmssp_server_postauth().

Guenther

pidl:Samba3/ClientNDR: implement rpccli_ stubs on top of dcerpc_ stubs

metze

s3:Makefile: link in dcerpc client stubs

metze

s3:winbindd: add wbint dcerpc_binding_handle backend

metze

s3:rpc_server: add rpc_pipe_open_internal dcerpc_binding_handle backend

metze

s3:rpc_client: add dcerpc_binding_handle backend

metze

s4:librpc/rpc: make struct dcerpc_binding_handle private

metze

pidl:Samba4/NDR/Client: add sync dcerpc_pipe based stubs as compat for OpenChange

This will activate the compat wrappers for all functions of an interface:
 #define DCERPC_IFACE_MYPROTO_COMPAT 1
 #include <ndr_myproto_c.h>

This will activates the compat wrappers just for specific functions:
 #define DCERPC_CALL_MYFN1_COMPAT 1
 #define DCERPC_CALL_MYFN2_COMPAT 1
 #include <ndr_myproto_c.h>

metze

pidl:Samba4/NDR/Client: add non struct base dcerpc_binding_handle client stubs

metze

pidl:Samba4/NDR/Client: convert code to $self->pidl()

metze

pidl:Samba4/NDR/Client: s/interface/if/

metze

pidl:Samba4/NDR/Client: make use of the new dcerpc_binding_handle_call() infrastructure

metze

pidl:Samba4/NDR/Client: remove old dcerpc_pipe based sync stubs

They're unused in Samba and only used by OpenChange.
I'll add a compat functions for OpenChange later.

metze

s4:librpc/rpc: add dcerpc_binding_handle dcerpc_pipe backend

metze

librpc/rpc: add dcerpc_binding_handle abstration

metze

s4:librpc/rpc: fix dcerpc_log_packet() prototype

metze

s4:librpc/rpc: autodetect the need of async call logic

metze

pidl:Samba3/ClientNDR: ignore "todo" functions

metze

testprogs/midltests: add some example IDL files and there midltests.exe output

metze

s3: Reduce the load on the echo handler

If the parent is fast enough, the echo handler should not step in. When the
socket becomes readable, the echo handler goes to sleep for a second. If within
that second, the parent has picked up the SMB request from the net, the echo
handler will just go back to select().

s3: Slightly simplify the logic in smbd_server_echo_handler

s3: Slightly simplify the logic in smbd_server_connection_handler

s3: ?true:false is a *bit* pointless :-)

Fix a typo

smbtorture: Don't crash RAW-QFILEINFO if there's no alternate name.

smbtorture: Make BASE-OPENATTR report a failure if it fails.

s3-waf: fix the waf build with more recent MIT krb5 libs.

(such as MIT krb5 1.7.1 on fedora 13).

This whole area needs more work and love later, for now it builds at least.

Kai, please check.

Guenther

s4-test: Implement DRS-RPC-msDSIntId test case

s4-dsdb: fix attributes_by_msDS_IntId index sorting

s4-test: Move dsdb_schema loading into public function

I will use this function for tests implementation later

s4-test: Move RPC-DSSYNC test in DRS-RPC test suite

s4-test: Move dssync.c to torture/drs/rpc

s4-test: strip trailing white-spaces

s4:objectclass LDB module - weak the check for the "rIDSet" delete constraint

Perform it only when a "rIDSet" does exist. Requested by ekacnet for
"upgradeprovision".

s4:dsdb/common/util.c - provide a call which returns the forest function level

Sooner or later we'll need this too since not all operations depend only on the
current's domain function level (see the MS-ADTS docs).

libds/common/flags.h - fix a comment's typo

s4:dsdb/common/util.c - use LDB constants whenever possible

libcli/auth Make the source3/ implementation of the NTLMSSP server common

This means that the core logic (but not the initialisation) of the
NTLMSSP server is in common, but uses different authentication backends.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Split the NTLMSSP server into before and after authentication

This allows for a future where the auth subsystem is async, and the
session key generation needs to happen in a callback.

This code is originally reworked into this style by metze for the
source4/ implementation.

The other change here is to introduce an 'out_mem_ctx', which makes
the API match that used in source4.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Always call ntlmssp_sign_init()

There is no code path that sets nt_status before this point, without
a return.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Don't use talloc_tos() for NTLMSSP blobs for now

This code will, I hope, soon be merged in common, and the Samba4
use case does not currently support talloc_tos() properly.  Use another
context for now.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Don't permit LM_KEY in combination with NTLMv2

This is another 'belts and braces' check to avoid the use of the
weak 'LM_KEY' encryption when the client has chosen NTLMv2.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Don't reply with the LM_KEY negotiation flag when not available

This ensures the client isn't confused and we don't enter this
weaker authentication scheme when we don't really, really need to.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Don't use the lm key if the user didn't supply one.

This may help to avoid a number of possible MITM attacks where LM_KEY is
spoofed into the session.  If the login wasn't with lanman
(and so the user chose to disclose their lanman response),
don't disclose back anything based on their lanman password.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Add extra DEBUG() message for auth system failures

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s3:ntlmssp Redirect lp_lanman_auth() via 'allow_lm_key'

This will allow this to be handled via common code in the future

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

libcli/auth/ntlmssp: remove outdated comment. The version flag is well understood now.

Guenther

s3: fix the waf build.

Guenther

libcli/auth Move some source3/ NTLMSSP functions to the common code.
libcli/auth Use true and false rather than True and False in common code

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

Fix bug #7608 - Win7 SMB2 authentication causes smbd panic

We need to call setup_ntlmssp_server_info() if status==NT_STATUS_OK,
or if status is anything except NT_STATUS_MORE_PROCESSING_REQUIRED,
as this can trigger map to guest.

Jeremy.

s4 upgradeprovision, fix a typo preventing the ridset to be correctly identified

pidl:NDR: correctly handle no pointer bracket arrays with 'string'

metze

s3-winbind: Fix Bug #7568: Make sure cm_connect_lsa_tcp does not reset the secure channel.

This is an important fix as the following could and is happening:

* winbind authenticates a user via schannel secured netlogon samlogonex call,
current secure channel cred state is stored in winbind state, winbind
sucessfully decrypts session key from the info3

* winbind sets up a new schannel ncacn_ip_tcp lsa pipe (and thereby resets the
secure channel on the dc)

* subsequent samlogonex calls use the new secure channel creds on the dc to
encrypt info3 session key, while winbind tries to use old schannel creds for
decryption

Guenther

s4-rpc_server: Fixed the build of the dcerpc_server library.

Brad please check!

s4-build: use @PACKAGE_VERSION@ in s4 pc.in files

this gets replaced by vnum from the build rule

s4-build: added dcerpc_server library

OpenChange needs this for dcerpc_register_ep_server()

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s3: Remove the smbd_messaging_context from load_printers

s3: Remove the smbd_messaging_context from pcap_cache_reload

s3: Remove the smbd_messaging_context from cups_cache_reload

s3: Remove the smbd_messaging_context from cups_pcap_load_async

s3: Remove the smbd_messaging_context from smb_conf_updated

s3: Remove the smbd_messaging_context from spoolss_init_cb

s3: Remove some smbd_messaging_context references from smbd_process

s3: Pass sconn to smbd_process

s3: Lift the server_messaging_context from housekeeping_fn

s3: Lift the server_messaging_context from check_reload

s3: Make check_reload() static

s3: Lift the server_messaging_context from spoolss_setjob_1

s3: Lift the server_messaging_context from construct_printer_info6