s4:lib/registry/ldb.c - add a missing brace

Sorry didn't check that earlier.

s4:lib/registry/ldb.c - fix memory handling in "ldb_open_key"

s4:lib/ldb/registry.c - handle the classname in the right way

This is for "ldb_get_key_info".

s4:lib/registry/ldb.c - remove really useless "local_ctx"

"mem_ctx" should fit for these few local allocations.

s4:lib/registry/ldb.c - retrieve the classname correctly in "ldb_get_subkey_by_id"

s4:lib/registry/ldb.c - change the "ldb_get_value" implementation to use the value cache and not an LDB lookup

In addition this fixes the use of special characters in registry object names.

s3: Change exit on immediate socket failure.

    This change makes it so socket errors early in the smbd child
    process cause orderly exits not coredumps.

Signed-off-by: Jeremy Allison <jra@samba.org>

s4:auth/sam.c - "authsam_expand_nested_groups" - small performance improvement

We can save one search operation if "only_childs" is false and when we had no
SID passed as extended DN component.

s4:auth/sam.c - "authsam_expand_nested_groups" - cosmetic/comments

s4:auth/sam.c - "authsam_expand_nested_groups" - use "dsdb_search_dn" where possible

And always catch LDB errors

selftest: Remove accidentally committed dummy test.

s4/spnupdate: Fixed spnupdate to use secrets credentials when accessing SamDB.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4/libcli: Register LDB_CONTROL_REVEAL_INTERNALS and DSDB_CONTROL_PASSWORD_CHANGE_STATUS_OID controls.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4/dsdb: Fixed partition_search() not to pass special DN's to LDAP backend.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4/auth: Fixed authsam_expand_nested_groups() to find entry SID if not available in the DN.

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s3: Make some routines static in smbldap

s4:repl_meta_data LDB module - fix counter type

s4:acl LDB module - fix counter type

s4:dcesrv_drsuapi.c - fix a counter variable

s4:selftest - also "rpc.samr.users.privileges" does work now

s4:lsa RPC server - Fix up "dcesrv_lsa_DeleteObject"

- Return always "NT_STATUS_OK" on success
- Remove "talloc_free"s on handles since the frees are automatically performed by
  the DCE/RPC server code

s4:knownfail - "pwdLastSet" test does work now

s4:torture/rpc/samr.c - test_SetPassword_LastSet - introduce the delays also for s4

s4:torture - SAMR password tests - activate support for password sets on level "18" and "21"

s4:selftest - activate the lanman password changes

This is needed for a working "OemChangePasswordUser2" operation.

s4:dcesrv_samr_SetUserInfo - implement right "pwdLastSet" behaviour

Behaviour as the torture SAMR passwords tests show.

s4:dcesrv_samr_SetUserInfo - deny operations when "fields_present" is 0

Taken from s3

s4:dcesrv_samr_SetUserInfo - port the "SAMR_FIELD_LAST_PWD_CHANGE" check from s3 to s4

s4:dcesrv_samr_SetUserInfo - implement password set level 21

s4:dcesrv_samr_SetUserInfo - implement case 18 which allows to reset the user password

s4:OemChangePasswordUser2 - return "NT_STATUS_WRONG_PASSWORD" when we haven't activated the the lanman auth

This is what s3 does.

s4:samr_password.c - add a function which sets the password through encrypted password hashes

Used for password sets on "samr_SetUserInfo" level 18 and 21.

s4-smbtorture: fix typo.

Not my day...

Guenther

s4:torture/rpc/samr.c - test_SetPassword_LastSet - fix "pwdLastSet" test

- Remove superflous checks (on level 18, 24, 26 we do always have "pwdLastSet"
  resets if "password_expired" > 0)
- Fixed some bugs

Signed-off-by: Günther Deschner <gd@samba.org>

s4-smbtorture: add trustDomainPasswords blob test to LOCAL-NDR testsuite.

Our parsing of this struct is incorrect atm. and apparently also causes the s4
server to crash.

Thanks to Sumit Bose <sbose@redhat.com> for providing the auth data retrieved
from a w2k3 domain.msc operation.

Guenther

s3-registry: missed one perflib keyname delimiter.

Guenther

s3: More cleanup in winbindd_ads.c:query_user

We can't ads_msgfree after the ads struct has been killed. Do early returns.

s3: Fix a valgrind error

nss_get_info_cached does not necessarily fill in gid

s3: Re-arrange winbindd_ads.c:query_user

We can't access the LDAP message after nss_get_info_cached has potentially
destroyed the ads_struct

s3: free -> SAFE_FREE

s3: Do an early TALLOC_FREE

s3-registry: fix printing keyname delimiter.

Guenther

s3-registry: fix perfmon keyname delimiter.

Guenther

s3-net: Make sure that the data blob is initialized.

Found by clang-analyzer.

s3-eventlog: Fixed the keyname delimiter for the registry key.

s3-registry: Fixed keyname delimiter in KEY_CURRENT_VERSION_NORM.

s3-smbd: Make sure that status is initialized when used.

Found by clang-analyzer.

s3-lanman: Make sure count is not used uninitialized if we jump to out.

Found by clang-analyzer.

s3-vfs: Make sure that retval isn't used uninitialized.

Found by clang-analyzer.

s3-passdb: Make sure dn is initialized and don't free it.

dn is just a pointer to a memory which hasn't been duplicated.

Found by clang-analyzer.

s3-passdb: Make sure we don't call free on a garbage pointer.

Found by clang-analyzer.

s3-lanman: Make sure that job_info is not undefined.

Found by clang-analyzer.

s3-nmbd: Leave the sync function if there are no syncs.

Found by clang-analyzer.

s3-libsmb: Make sure that finfo is initialized.

Found by clang-analyzer.

s3-eventlog: make sure _eventlog_OpenEventLogW fails when we cannot open the registry key.

Guenther

s3: Fix some valgrind errors

Essentially the same change as 15297ee, this time for the client side.

Günther, Andrew B, please check!

Thanks,

Volker

s3-passdb: Make sure that we don't assign garbage.

librpc: Use switch in GUID_from_data_blob().

nss_wrapper: Fixed a possible NULL pointer problem.

s4:ldap_server: don't start if we can't bind to port 389

metze

Implementation of self membership validated right.

When this right is granted, the user can add or remove themselves from a group even
if they dont have write property right.

s4/test: Run DrsDeleteObjectTestCase as part of S4 testing

I put this test in the end of the list of tests as it
runs with 'vampire_dc' environment running.

Currently there are tests that are failing when we have
2 DCs constantly replicating in the test environment
(this, of course, should be fixed in the near future)

s4/drs: re-implement 'renaming' object replication

We should rename objects only after we make sure, that
changes on the partner DC are newer than what we have.
This fixes a bug, when we have following situation with 2 DCs:
- we have an object O on the two DCs
- we rename (delete) object O on DC1
- DC1 replicates from DC2
In the above scenario, object O will be renamed back
to its original name (i.e. it will be restored).

Now, we check that DC2 state is older than what we have,
so nothing happens with object's DN.

s4/drs-test: Add few comments in DrsDeleteObjectTestCase test

Also remove unused code

s4:rpc_server/srvsvc/dcesrv_srvsvc.c - remove unreachable code

s4:rpc_server/wkssvc/dcesrv_wkssvc.c - remove unreachable code

s4:rpc_server/lsa/dcesrv_lsa.c - remove unreachable code

s4:lsa/lsa_lookup.c - use a better type for the "rtype" of the wellknown SIDs

To suppress warnings on Solaris 10

s4:rpc_server/drsuapi/drsutil.c - remove unreachable code

s4:rpc_server/dcesrv_auth.c - remove unreachable code

s4:winbind/wb_samba3_protocol.c - add cast to suppress warnings on Solaris 10 cc

s4:kdc/kdc.c - add cast to suppress warnings on Solaris 10 cc

s4:kdc/kpasswdd.c - remove unreachable code

s4:provision.py - fix comment regarding DNS entries

I think this should mean partially Samba4 specified (all beside the "dns"
account is standard)

s4:provision: add entries for root dns servers

metze

s4:provision: move Samba4 specific DNS stuff to its own file

metze

s4:provision: add --next-rid option

Make it possible to provision a domain with a given next rid counter.
This will be useful for upgrades, where we want to import users
with already given SIDs.

metze

s4:dsdb/ridalloc: add comment about windows behavior regarding rIDUsedPool

metze

s4:provision: don't use hardcoded values for 'nextRid' and 'rIDAvailablePool'

On Windows dcpromo imports nextRid from the local SAM,
which means it's not hardcoded to 1000.

The initlal rIDAvailablePool starts at nextRid + 100.

I also found that the RID Set of the local dc
should be created via provision and not at runtime,
when the first rid is needed.
(Tested with dcpromo on w2k8r2, while disabling the DNS
 check box).

After provision we should have this (assuming nextRid=1000):

rIDAllocationPool: 1100-1599
rIDPrevAllocationPool: 1100-1599
rIDUsedPool: 0
rIDNextRID: 1100

rIDAvailablePool: 1600-1073741823

Because provision sets rIDNextRid=1100, the first created account
(typically DNS related accounts) will get 1101 as rid!

metze

s4:provision: pass relax control also to modify_ldif

metze

s4/net-drs: Fix error messages typo and formatting

s4/drs-test: Fix whitespaces and permissions for delete_object.py test

Sorry I've  missed to do this before

Move UCS2 macros to common code

Don't use frame as the talloc ctx in open_schannel_session_store(), as this breaks running from inetd
(we free frame below). Use NULL instead.

Jeremy.

Change talloc_autofree_context() to frame in Andrew's schannel.tdb TDB_CLEAR_IF_FIRST
changes. Using talloc_autofree_context() has undesirable effects when forked
subprocesses exit.

Jeremy.

schannel Change to TDB_CLEAR_IF_FIRST to reduce fsync()

By making this DB TDB_NOSYNC, and by making that safe with
TDB_CLEAR_IF_FIRST, we greatly reduce the fsync() load on the server.

This particularly helps the source4/ 'make test', which otherwise tries
to disable fsync() in ldb.

Andrew Bartlett

Signed-off-by: Jeremy Allison <jra@samba.org>

s3:schannel Open the schannel_state.tdb at startup

This will allow future TDB_CLEAR_IF_FIRST behaviour

Signed-off-by: Jeremy Allison <jra@samba.org>

s4:schannel Open the schannel_store.tdb at startup

This will allow TDB_CLEAR_IF_FIRST behaviour in future

Signed-off-by: Jeremy Allison <jra@samba.org>

libcli/auth make open_schannel_session_store() public

This will allow TDB_CLEAR_IF_FIRST to be used

Signed-off-by: Jeremy Allison <jra@samba.org>

s3:registry: use regdb_store_regdb_version() in regdb_init().

s3:registry: use regdb_store_regdb_version() in regdb_upgrade_v1_to_v2()

s3:registry: add a function regdb_store_regdb_version()

s3:registry: rename regdb_upgrade_to_version_2() -> regdb_upgrade_v1_to_v2()

s3:net [rpc] registry: be as user-friendly as possible wrt to the normalization change

The registry has been changed to use '\' as a key delimiter instead of '/'.
Originally, one could mix both characters in the specification of registry
key for net [rpc] registry. Now this can not work any more, since '/' is
generally treated as a valid character of a key name.

Now, to be as user-friendly as possible, the net [rpc] registry code has
been changed to still support '/' as a key name delimiter if no '\' character
is found in the given registry path string. In that case, all '/' characters
are converted to '\' characters before proceeding. If on the other hand,
a '\' character is found in the path string, then no conversion is assumed,
and it is hence assumed that the path is already in the correct form and
'/' characters are supposed to be part of the key names.

s3:registry: improve logic of upgrade code in regdb_init()

Don't overwrite unknown versions (0 or > 2) of the registry.

s3:registry: fix some debug messages in regdb_ini()

s3-registry: Convert registry key delimiter from slash to backslash.

This is needed to support keynames containing a '/' like TCP/IP. Which
is used in serveral standard paths.

Signed-off-by: Michael Adam <obnox@samba.org>

s3-registry: Added a db upgrade function to normalize the key delimiter.

This converts the key delimiter from a slash to a blackslash. We need to
support keynames with a backslash.

Signed-off-by: Michael Adam <obnox@samba.org>

s3: In make_server_info_info3, check the result of copy_netr_SamInfo3

s3: In copy_netr_SamInfo3 copy all of the sids array