s4-ntp_signd: Migrate to tsocket.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

Fixed a problem with incorrect default SD owner/group.

s3: Fix a winbind segfault in "trusted_domains"

We have to initialize domain->backend by calling "get_cache" before doing a
query

Thanks to Christian Ambach to find this :-)

Comparison tool for LDAP servers (using Ldb)

This tool is integrated with Samba4 Ldb. It provides a useful output
where you can find easy differences in objects or attributes within
naming context (Domain, Configuration or Schema).

Added functionality for two sets of credentials.

Merge branch 'master' of git://git.samba.org/samba

Fix bug #7034 - vfs_cap causes signal 11 (SIGSEGV)

Fix two uses of strncat -> strlcat. Ensure proper use of strncpy when setting socket name.

Jeremy.

Make file access control decisions a lot easier to debug (at level 10).

Jeremy.

Fix bug #7033 - SMBrmdir call always returns true, even on failure to delete a directory.

Argh. Missed the second (and essential) part of the fix for the above :-(.

Jeremy

Fix bug #7033 - SMBrmdir call always returns true, even on failure to delete a directory.

There is a codepath missing to propagate back error returns from the rmdir
POSIX call inside close_directory when delete on close is set. This means doing
an rmdir on a Windows command line will always report success, even when the
directory was not deleted. This fix adds that codepath back into Samba.

Jeremy.

Fix bug #6876 - Delete of an object whose parent folder does not have delete rights fails even if the delete right is set on the object.

Final fix for the vfs_acl_xattr and vfs_acl_tdb code.
Ensure we can delete a file even if the underlying POSIX
permissions don't allow it, if the Windows permissions do.

Jeremy.

Remove the global char *LastDir.

This is no longer used for anything.

s3: Lift the version of the scannedonly VFS module

s3: Add the "scannedonly" vfs virus scanner interface module

Strip trailing spaces

docs: fix xml tag in the pdbedit manpage

Michael

s3:auth: add comment to nulling out stolen sampass

Adding this comment makes me think, I could also
have changed make_server_info_sam() talloc_move
instead of talloc_steal, but that would have
changed the signature... Well the comment is a
first step. :-)

Michael

s3: Remove a pointless if-statement

s4-selftest: RPC-SAMR-PASSWORDS-BADPWDCOUNT fails against s4.

Seems like account lockout is not implemented at all yet.

Guenther

testprogs: remove unused test_EachDriver from spoolss test.

Guenther

testprogs: add EnumPrinterKey test to spoolss test.

Guenther

s4-smbtorture: fix GetAliasMembership test in RPC-SAMR.

Guenther

s4-smbtorture: add RPC-SAMR-PASSWORDS-BADPWDCOUNT torture test.

This test checks the behavior (since w2k3 sp1) of the badPwdCount samr attribute
in relation to password history and successfull and unsucessful netlogon
samlogons.

Michael, please check. This should help verifiying Bug #4347.

Guenther

s4-smbtorture: allow test_SamLogon to test interactive samlogon in RPC-SAMR family of tests.

Guenther

s3-lanman: Allow a level2 descriptor for a level1 NetShareGetInfo

Windows seems to allow this

http://lists.samba.org/archive/samba-technical/2009-November/068116.html

has a dump of this.

Fix comment/debug messages

testprogs: fix driver levels in spoolss test.

Guenther

testprogs: test each printer, do not abort after first failure.

Guenther

testprogs: fix EnumPrintProcessorDatatypes spoolss test.

Guenther

testprogs: add more error codes to spoolss test.

Guenther

s3: Add a zfsacl:denymissingspecial parameter

When setting an ACL without any of the user/group/other entries, ZFS
automatically creates them. This can at times confuse users a lot. This
parameter denies setting such an acl, users explicitly have to for example set
an ACE with everyone allowing nothing. Users need to be educated about this,
but this helps avoid a lot of confusion.

tsocket: Added doxygen config file.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

tsocket: Added complete doxygen documentation.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

Merge remote branch 'origin/master' into alpha11release

and we move on towards Samba4 alpha12!

more WHATSNEW4

This is Samba4 alpha11!

release notes for Samba4 alpha11 (to be released this week)

s4/torture: Parameterize output in LOCK tests based off server support

Two new torture parameters:

* smbexit_pdu_support: if the Server supports the Exit command

* range_not_locked_on_file_close: whether the server returns the
  NT_STATUS_RANGE_NOT_LOCKED error when a file is closed which has a
  pending lock request.  Windows returns this error, though per the
  spec, this error should only be returned to an unlock request.

Revert "s4:provision_users.ldif - Import all essential groups for Windows Server 2008 mode"

This reverts commit 5c174c68ccba7506147feab1d09ad676792139b3.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

Revert "s4:provision_users.ldif - Remove foreign security principal S-1-5-17 for now"

This reverts commit 61dfd3dc1dce2c0dd6693de80930af312ad3e39f.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

Revert "s4:provision_users.ldif - Fix memberships regarding the denied password RODC replication group"

This reverts commit 9ee895fcf6327b1c2f5ee09fa565bd62974e9c58.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

Revert "s4:provision_users.ldif - Add objects for IIS"

This reverts commit 91e210028790397996659116446e6add452707f6.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

s4-selftest: when a command fails show both normal and expanded command

It is sometimes hard to tell which varient of something like
$SMB_CONF_PATH or $USERNAME is being used in a test. By giving both
the expanded command ($command with environment variables expanded)
and non-expanded command it is easier to reproduce bugs outside the
test environment.

s4-test: fixed make test without having done make install

client.conf didn't specify "setup directory"

s4:upgradeprovision - fix up the script regarding linked attributes

We have to try to add new objects until between two iterations we didn't make
any progress. Either we are then done (no objects remaining) or we are
incapable to do this fully automatically.

The latter can happen if important system objects (builtin groups, users...)
moved (e.g. consider one of my recent comments). Then the new object can't be
added if it contains the same "sAMAccountName" attribute as the old one. We
have to let the user delete the old one (also to give him a chance to backup
personal changes - if needed) and only then the script is capable to add the
new one onto the right place. Make this clear with an exhaustive error output.

I personally don't see a good way how to do this better for now so I would leave
this as a manual step.

s4:upgradeprovision - Reformat comments

Make them break at line 80 (better readability).

s4:repl_meta_data - Transform a "1" into a "true" on a boolean variable

s4:provision_users.ldif - Add objects for IIS

Some WSPP locations point out that they're defacto-standards for Windows Server deployments starting with 2008. So we should add them to s4 too.

s4:provision_self_join_modify.ldif - Point out that account "dns" is s4 specific

s4:provision_users.ldif - Fix memberships regarding the denied password RODC replication group

s3: Remove some unused variables

s3: Fix some nonempty blank lines

s3: Use sid_check_is_domain instead of a direct sid_equal

s3: Use sid_check_is_in_our_domain instead of a direct sid_peek_check_rid

s3: Replace most calls to sid_append_rid() by sid_compose()

s3: Remove unused samr_make_sam_obj_sd

s3: Remove the typedef for "auth_serversupplied_info"

s3: Remove the typedef for "auth_usersupplied_info"

s3: Trim libnss_wins.so

s3: Trim down some utilities a bit

s4:provision_users.ldif - Remove foreign security principal S-1-5-17 for now

This belongs to the AD IIS stuff where I don't know yet if we should import it.

s4:provision_users.ldif - Import all essential groups for Windows Server 2008 mode

Additionally I had to fix some bugs (especially wrong "groupTypes") and
reordered the objects using the SID (this is easier when enhancing the file).

s4-ldb: display security descriptors with correct SDL for known SIDs

This makes it much easier to compare SDs

s4-dsdb: added samdb_domain_sid_cache_only()

s3: Remove a pointless "else" branch from add_ccache_to_list()

s3: Slightly simplify winbindd_store_creds

s3: Fix a segfault in winbindd_dual_ccache_ntlm_auth()

ntlmssp_update allocates the reply_blob as a child of ntlmssp_state. This means
with ntlmss_end() it will be gone. winbindd_dual_ccache_ntlm_auth used the blob
after the ntlmssp_end().

s4-drs: instanceType is always sent, regardless of UDV values

s4-debug: lower the verbosity of a couple of common log messages

s4-samldb: fixed primaryGroupID when promoting a machine to a DC

The machine gets a primaryGroupID of DOMAIN_RID_DCS. This is done
without changing the member attributes of its groups.

s4-schema: fixed the SDDL for the schema root security descriptor

This was preventing a DCPROMO client from allowing outgoing
replication

s4-drs: add a local UDV entry even when no replUpToDateVector present on NC

This allows us to filter correctly for a NC that we have created but
not pulled from anyone.

s4-drs: give DN of failed replication partition

s4-drs: base is_nc_prefix on instanceType

for extended operations comparing to the ncRoot_dn is not correct

s4-drs: having no SPNs to change is not an error

s4-drs: fixed writespn to ignore add/delete errors

When a SPN is added and already exists, it is ignored. Similarly, when
a SPN is deleted and doesn't exist, it is ignored.

s4-dsdb: added samdb_ldb_val_case_cmp()

s4-drs: moved the DsWriteAccountSpn call to its own file

s4-libnet: dsdb_wellknown_dn() in vampire code

s4-drs: need to set the getncchanges extended_ret on success too

s4-drs: calculate and send a uptodateness_vector with replication requests

This stops us getting objects changes twice if they came via an
indirect path.

s4-drs: be less verbose when we filter objects by UDV

s4-drs: added filtering by udv in getncchanges

When a client supplied an uptodateness_vector, we can use it to filter
what objects we return. This greatly reduces the amount of replication
traffic between DCs.

s4-idl: give a enum for attribute cn and a 'NONE' attribute

The 'NONE' attribute has value 0xFFFFFFFF. Adding this ensures the
compiler will complain if it is set to use 16 bit enums. We rely on
being able to store 32 bits in an attid enum.

s4-drs: fixed the NC in the getncchanges RID alloc reply

the search happens on a different DN to the NC of the request, but the
reply is with the original NC

s4-debug: removed debug_ctx(). It didn't catch on :-)

There was only one user, which isn't worth it for the overhead.

s4-messaging: remove only usage of debug_ctx()

s4-messaging: fixed a memory leak in messaging_path()

It is a bit convoluted to fix, as cluster_id_string() may return a
const string.

s4-drs: fixed usage of ldb_dn_new()

s4-ldb: validate the type of the ldb argument to ldb_dn_new()

It has been a common bug to get the first two arguments the wrong way
around

Fix comment

Re-fix bug 5202 - cannot change ACLs on writable file with "dos filemode=yes"

This bug re-occurred for 3.3.x and above.

The reason is that to change a NT ACL we now have to open the file requesting
WRITE_DAC and WRITE_OWNER access. The mapping from POSIX "w" to NT permissions
in posix_acls doesn't add these bits when "dos filemode = yes", so even though
the permission or owner change would be allowed by the POSIX ACL code, the
NTCreateX call fails with ACCESS_DENIED now we always check NT permissions
first.

Added in the mapping from "w" to WRITE_DAC and WRITE_OWNER access.

Jeremy.

s4:provision_self_join.ldif - Adapt comment after implementation of distributed RIDs

s4-kdc: Migrate tcp connections to tsocket.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s4:kdc: use LIBSAMBA_TSOCKET

metze

s4:kdc: the ->process function returns "bool"

metze

libcli/util: add tstream_read_pdu_blob_send/recv

This will take the some full_request callback function
as the Samba4 packet code.

metze

s3-time: fix build warnings after we moved to shared time functions.

Bjoern, please check.

Guenther

s3-docs: mention -K option in pdbedit manpage.

Guenther