s4:schema/schema_set.c - free LDB message diffs

Especially the "free"s after "ldb_msg_diff" are very important since the diff
message is allocated on the long-living LDB context.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4:auth/session.c - free "group_string" when not needed

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4:dsdb Fix possible schema segfaults for DRS-replication based schema

The problem here is that if the schema has been modified on the source
domain, there may be attributes that appear over DRS with 0 values (to
indicate that any existing values on the target should be deleted).
This would confuse the previous version of this macro.

Andrew Bartlett

s4-smbtorture: remove duplicate torture_assert_sid_equal macro.

Guenther

s4-smbtorture: fix incorrect IDL for QueryMultipleValue (aka RVALENT).

Found by torture test.

Guenther

s4-smbtorture: add more sophisticated tests for winreg_QueryMultipleValues{2}.

Guenther

s4:ntvfs/ipc/vfs_ipc.c - remove unused code

Spotted by the Solaris 10 compiler

s4:ntvfs/ipc/vfs_ipc.c - add casts to suppress warnings on Solaris 10

s4:ntp_signd/ntp_signd.c - add casts to suppress warnings on Solaris 10

s4:rpc_server/browser.c - remove unused code

Spotted by the Solaris 10 compiler

s4:smb_server/smb2/find.c - remove unused code

Spotted by the Solaris 10 compiler

s4:smb_server/blob.c - remove unused code

Spotted by the Solaris 10 compiler

s4:dsdb/new_partition.c - remove the "ldb_next_request" call which we find also below the "if" block

ldb:ldb_map_outbound.c - "ldb_parse_tree_collect_attrs" - remove unneeded return value

ldb:ldb_modules.c - "ldb_dso_load_symbol" - remove unneeded caste before "dlsym"

s4:ldb - "ldb_dn_update_components" - fix free of invalid DN parts

Use "LDB_FREE" for such free operations and in addition wipe also the casefolded
DN out.

ldb:ldb_dn.c - "ldb_dn_set_extended_component" - free the linearized string when the components change

s4:ldb_dn.c - make the code parts which free extended components consistent

Cosmetic

ldb:ldb_dn - "ldb_dn_explode" - move the "dn->comp_num" initalisation upwards and use "LDB_FREE" for freeing "dn->components"

Mostly cosmetic - no behaviour change

s4-smbtorture: remove some pointless mem_equal tests in LOCAL-NDR-WINREG testsuite.

Guenther

s4-smbtorture: handle NT_STATUS_NOT_IMPLEMENTED in GetForestTrustInformation test.

When skipping over it, we can at least verify the credential chain.

Guenther

s4-smbtorture: use TEST_MACHINE_NAME in test_netr_GetForestTrustInformation().

Guenther

s4-smbtorture: add netr_GetForestTrustInformation test to RPC-NETLOGON.

Guenther

s3-utils: remove rpccheck.

Impossible to get this to compile after the conversion to pidl.

Guenther

Revert "s4/dsdb: Fixed partition_search() not to pass special DN's to LDAP backend."

This reverts commit ed4c107bc1eac8531fdd8d09f7698efcbc7ecb14.

See post "Endi's Bug 7530 patches (LDAP backend)" on samba-technical.

Revert "s4/auth: Fixed authsam_expand_nested_groups() to find entry SID if not available in the DN."

This reverts commit fa9557fee3ca546878d99b77f1ff37f724c37024.

See post "Endi's Bug 7530 patches (LDAP backend)" on samba-technical.

s4-smbtorture: add NDR torture test for winreg_QueryMultipleValues2.

Guenther

s4-smbtorture: add RPC torture test for winreg_QueryMultipleValues2.

Guenther

winreg: fix winreg_QueryMultipleValues2 IDL.

Guenther

winreg: fix winreg_QueryMultipleValues() IDL and torture tests.

Guenther

s3-client: Make sure we only write to an opened file.

Found by clang-analyzer.

s3-winbind: Make sure we crash if domain is really not found.

Found by clang-analyzer.

s3-net: Make sure we don't call free on garbage.

Found by clang-analyzer.

s3-net: Use talloc_asprintf and return if file is in wrong format.

Found by clang-analyzer.

s3-librpc: Fixed GUID_from_data_blob() with length of 32.

If we hit the case that the blob length is 32. The code goes to the end
of the function and generates a GUID with garbage.
So try to convert the blob to the GUID and return.

Fixed incorrect use of cn instead of lDAPDisplayName

s4:secrets Ensure secrets.ldb uses the same hooks as the rest of Samba

This ensures that, for example, the utf8 functions are the same,
the GUID handler is the same and the NOSYNC flag is applied.

Andrew Bartlett

s4:selftest Split out PKINIT tests from test_kinit.sh and test enc types

This allows us to run the PKINIT tests only against the main DC (for
which the certificates were generated), while testing the available
encryption types in each functional level.

In particular, we need to assert that AES encryption is available in
the 2008 functional level.

Andrew Bartlett

s4:kdc Rework the 'allowed enc types' calculation

This changes the calculation to apply the allowed enc types to all
uses of the key (no point allowing a weak kinit to a key the server
wanted strongly protected).  It also ensures that all the non-DES keys
are available on the krbtgt in particular, even as it does not have a
msds-SupportedEncryptionTypes attributes.

Andrew Bartlett

s4:auth Query LDB for msds-SupportedEncryptionTypes for the KDC

The KDC needs this to determine what encryption types an entry supports

Andrew Bartlett

s4:kerberos Add functions to convert msDS-SupportedEncryptionTypes

This will allow us to interpret this attibute broadly in Samba.

Andrew Bartlett

s4:libnet_join Fix typo in msDS-SupportedEncryptionTypes

s4:provision Add an msDS-SupportedEncryptionTypes entry to our DC

This ensures that our DC will use all the available encyption types.

(The KDC reads this entry to determine what the server supports)

Andrew Bartlett

build: only use git when found by configure

this rebuilds version.h whenever the git version changes, so we always
get the right version with samba -V. That adds about 15s to the build
time on each git commit, which shouldn't be too onerous

build: allow LOAD_ENVIRONMENT() to pass when no configure has been run

this returns an empty environment

build: allow always=True/False on SAMBA_GENERATOR()

this allows us to force a rule to always run. Will be used by
samba_version

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4/repl_meta_data: remove duplicated (and commented out) log

s4/ndr: Fix tuncating of constant to a 'long' type

s4:lib/registry/ldb.c - add a missing brace

Sorry didn't check that earlier.

s4:lib/registry/ldb.c - fix memory handling in "ldb_open_key"

s4:lib/ldb/registry.c - handle the classname in the right way

This is for "ldb_get_key_info".

s4:lib/registry/ldb.c - remove really useless "local_ctx"

"mem_ctx" should fit for these few local allocations.

s4:lib/registry/ldb.c - retrieve the classname correctly in "ldb_get_subkey_by_id"

s4:lib/registry/ldb.c - change the "ldb_get_value" implementation to use the value cache and not an LDB lookup

In addition this fixes the use of special characters in registry object names.

s3: Change exit on immediate socket failure.

    This change makes it so socket errors early in the smbd child
    process cause orderly exits not coredumps.

Signed-off-by: Jeremy Allison <jra@samba.org>

s4:auth/sam.c - "authsam_expand_nested_groups" - small performance improvement

We can save one search operation if "only_childs" is false and when we had no
SID passed as extended DN component.

s4:auth/sam.c - "authsam_expand_nested_groups" - cosmetic/comments

s4:auth/sam.c - "authsam_expand_nested_groups" - use "dsdb_search_dn" where possible

And always catch LDB errors

selftest: Remove accidentally committed dummy test.

s4/spnupdate: Fixed spnupdate to use secrets credentials when accessing SamDB.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4/libcli: Register LDB_CONTROL_REVEAL_INTERNALS and DSDB_CONTROL_PASSWORD_CHANGE_STATUS_OID controls.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4/dsdb: Fixed partition_search() not to pass special DN's to LDAP backend.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4/auth: Fixed authsam_expand_nested_groups() to find entry SID if not available in the DN.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s3: Make some routines static in smbldap

s4:repl_meta_data LDB module - fix counter type

s4:acl LDB module - fix counter type

s4:dcesrv_drsuapi.c - fix a counter variable

s4:selftest - also "rpc.samr.users.privileges" does work now

s4:lsa RPC server - Fix up "dcesrv_lsa_DeleteObject"

- Return always "NT_STATUS_OK" on success
- Remove "talloc_free"s on handles since the frees are automatically performed by
  the DCE/RPC server code

s4:knownfail - "pwdLastSet" test does work now

s4:torture/rpc/samr.c - test_SetPassword_LastSet - introduce the delays also for s4

s4:torture - SAMR password tests - activate support for password sets on level "18" and "21"

s4:selftest - activate the lanman password changes

This is needed for a working "OemChangePasswordUser2" operation.

s4:dcesrv_samr_SetUserInfo - implement right "pwdLastSet" behaviour

Behaviour as the torture SAMR passwords tests show.

s4:dcesrv_samr_SetUserInfo - deny operations when "fields_present" is 0

Taken from s3

s4:dcesrv_samr_SetUserInfo - port the "SAMR_FIELD_LAST_PWD_CHANGE" check from s3 to s4

s4:dcesrv_samr_SetUserInfo - implement password set level 21

s4:dcesrv_samr_SetUserInfo - implement case 18 which allows to reset the user password

s4:OemChangePasswordUser2 - return "NT_STATUS_WRONG_PASSWORD" when we haven't activated the the lanman auth

This is what s3 does.

s4:samr_password.c - add a function which sets the password through encrypted password hashes

Used for password sets on "samr_SetUserInfo" level 18 and 21.

s4-smbtorture: fix typo.

Not my day...

Guenther

s4:torture/rpc/samr.c - test_SetPassword_LastSet - fix "pwdLastSet" test

- Remove superflous checks (on level 18, 24, 26 we do always have "pwdLastSet"
  resets if "password_expired" > 0)
- Fixed some bugs

Signed-off-by: Günther Deschner <gd@samba.org>

s4-smbtorture: add trustDomainPasswords blob test to LOCAL-NDR testsuite.

Our parsing of this struct is incorrect atm. and apparently also causes the s4
server to crash.

Thanks to Sumit Bose <sbose@redhat.com> for providing the auth data retrieved
from a w2k3 domain.msc operation.

Guenther

s3-registry: missed one perflib keyname delimiter.

Guenther

s3: More cleanup in winbindd_ads.c:query_user

We can't ads_msgfree after the ads struct has been killed. Do early returns.

s3: Fix a valgrind error

nss_get_info_cached does not necessarily fill in gid

s3: Re-arrange winbindd_ads.c:query_user

We can't access the LDAP message after nss_get_info_cached has potentially
destroyed the ads_struct

s3: free -> SAFE_FREE

s3: Do an early TALLOC_FREE

s3-registry: fix printing keyname delimiter.

Guenther

s3-registry: fix perfmon keyname delimiter.

Guenther

s3-net: Make sure that the data blob is initialized.

Found by clang-analyzer.

s3-eventlog: Fixed the keyname delimiter for the registry key.

s3-registry: Fixed keyname delimiter in KEY_CURRENT_VERSION_NORM.

s3-smbd: Make sure that status is initialized when used.

Found by clang-analyzer.

s3-lanman: Make sure count is not used uninitialized if we jump to out.

Found by clang-analyzer.

s3-vfs: Make sure that retval isn't used uninitialized.

Found by clang-analyzer.

s3-passdb: Make sure dn is initialized and don't free it.

dn is just a pointer to a memory which hasn't been duplicated.

Found by clang-analyzer.

s3-passdb: Make sure we don't call free on a garbage pointer.

Found by clang-analyzer.

s3-lanman: Make sure that job_info is not undefined.

Found by clang-analyzer.