testprogs: fix driver levels in spoolss test.

Guenther

testprogs: test each printer, do not abort after first failure.

Guenther

testprogs: fix EnumPrintProcessorDatatypes spoolss test.

Guenther

testprogs: add more error codes to spoolss test.

Guenther

s3: Add a zfsacl:denymissingspecial parameter

When setting an ACL without any of the user/group/other entries, ZFS
automatically creates them. This can at times confuse users a lot. This
parameter denies setting such an acl, users explicitly have to for example set
an ACE with everyone allowing nothing. Users need to be educated about this,
but this helps avoid a lot of confusion.

tsocket: Added doxygen config file.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

tsocket: Added complete doxygen documentation.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

Merge remote branch 'origin/master' into alpha11release

and we move on towards Samba4 alpha12!

more WHATSNEW4

This is Samba4 alpha11!

release notes for Samba4 alpha11 (to be released this week)

s4/torture: Parameterize output in LOCK tests based off server support

Two new torture parameters:

* smbexit_pdu_support: if the Server supports the Exit command

* range_not_locked_on_file_close: whether the server returns the
  NT_STATUS_RANGE_NOT_LOCKED error when a file is closed which has a
  pending lock request.  Windows returns this error, though per the
  spec, this error should only be returned to an unlock request.

Revert "s4:provision_users.ldif - Import all essential groups for Windows Server 2008 mode"

This reverts commit 5c174c68ccba7506147feab1d09ad676792139b3.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

Revert "s4:provision_users.ldif - Remove foreign security principal S-1-5-17 for now"

This reverts commit 61dfd3dc1dce2c0dd6693de80930af312ad3e39f.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

Revert "s4:provision_users.ldif - Fix memberships regarding the denied password RODC replication group"

This reverts commit 9ee895fcf6327b1c2f5ee09fa565bd62974e9c58.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

Revert "s4:provision_users.ldif - Add objects for IIS"

This reverts commit 91e210028790397996659116446e6add452707f6.

This series of commits broke 'make test'.

Matthias, please make sure you run a _full_ make test before every
push.

s4-selftest: when a command fails show both normal and expanded command

It is sometimes hard to tell which varient of something like
$SMB_CONF_PATH or $USERNAME is being used in a test. By giving both
the expanded command ($command with environment variables expanded)
and non-expanded command it is easier to reproduce bugs outside the
test environment.

s4-test: fixed make test without having done make install

client.conf didn't specify "setup directory"

s4:upgradeprovision - fix up the script regarding linked attributes

We have to try to add new objects until between two iterations we didn't make
any progress. Either we are then done (no objects remaining) or we are
incapable to do this fully automatically.

The latter can happen if important system objects (builtin groups, users...)
moved (e.g. consider one of my recent comments). Then the new object can't be
added if it contains the same "sAMAccountName" attribute as the old one. We
have to let the user delete the old one (also to give him a chance to backup
personal changes - if needed) and only then the script is capable to add the
new one onto the right place. Make this clear with an exhaustive error output.

I personally don't see a good way how to do this better for now so I would leave
this as a manual step.

s4:upgradeprovision - Reformat comments

Make them break at line 80 (better readability).

s4:repl_meta_data - Transform a "1" into a "true" on a boolean variable

s4:provision_users.ldif - Add objects for IIS

Some WSPP locations point out that they're defacto-standards for Windows Server deployments starting with 2008. So we should add them to s4 too.

s4:provision_self_join_modify.ldif - Point out that account "dns" is s4 specific

s4:provision_users.ldif - Fix memberships regarding the denied password RODC replication group

s3: Remove some unused variables

s3: Fix some nonempty blank lines

s3: Use sid_check_is_domain instead of a direct sid_equal

s3: Use sid_check_is_in_our_domain instead of a direct sid_peek_check_rid

s3: Replace most calls to sid_append_rid() by sid_compose()

s3: Remove unused samr_make_sam_obj_sd

s3: Remove the typedef for "auth_serversupplied_info"

s3: Remove the typedef for "auth_usersupplied_info"

s3: Trim libnss_wins.so

s3: Trim down some utilities a bit

s4:provision_users.ldif - Remove foreign security principal S-1-5-17 for now

This belongs to the AD IIS stuff where I don't know yet if we should import it.

s4:provision_users.ldif - Import all essential groups for Windows Server 2008 mode

Additionally I had to fix some bugs (especially wrong "groupTypes") and
reordered the objects using the SID (this is easier when enhancing the file).

s4-ldb: display security descriptors with correct SDL for known SIDs

This makes it much easier to compare SDs

s4-dsdb: added samdb_domain_sid_cache_only()

s3: Remove a pointless "else" branch from add_ccache_to_list()

s3: Slightly simplify winbindd_store_creds

s3: Fix a segfault in winbindd_dual_ccache_ntlm_auth()

ntlmssp_update allocates the reply_blob as a child of ntlmssp_state. This means
with ntlmss_end() it will be gone. winbindd_dual_ccache_ntlm_auth used the blob
after the ntlmssp_end().

s4-drs: instanceType is always sent, regardless of UDV values

s4-debug: lower the verbosity of a couple of common log messages

s4-samldb: fixed primaryGroupID when promoting a machine to a DC

The machine gets a primaryGroupID of DOMAIN_RID_DCS. This is done
without changing the member attributes of its groups.

s4-schema: fixed the SDDL for the schema root security descriptor

This was preventing a DCPROMO client from allowing outgoing
replication

s4-drs: add a local UDV entry even when no replUpToDateVector present on NC

This allows us to filter correctly for a NC that we have created but
not pulled from anyone.

s4-drs: give DN of failed replication partition

s4-drs: base is_nc_prefix on instanceType

for extended operations comparing to the ncRoot_dn is not correct

s4-drs: having no SPNs to change is not an error

s4-drs: fixed writespn to ignore add/delete errors

When a SPN is added and already exists, it is ignored. Similarly, when
a SPN is deleted and doesn't exist, it is ignored.

s4-dsdb: added samdb_ldb_val_case_cmp()

s4-drs: moved the DsWriteAccountSpn call to its own file

s4-libnet: dsdb_wellknown_dn() in vampire code

s4-drs: need to set the getncchanges extended_ret on success too

s4-drs: calculate and send a uptodateness_vector with replication requests

This stops us getting objects changes twice if they came via an
indirect path.

s4-drs: be less verbose when we filter objects by UDV

s4-drs: added filtering by udv in getncchanges

When a client supplied an uptodateness_vector, we can use it to filter
what objects we return. This greatly reduces the amount of replication
traffic between DCs.

s4-idl: give a enum for attribute cn and a 'NONE' attribute

The 'NONE' attribute has value 0xFFFFFFFF. Adding this ensures the
compiler will complain if it is set to use 16 bit enums. We rely on
being able to store 32 bits in an attid enum.

s4-drs: fixed the NC in the getncchanges RID alloc reply

the search happens on a different DN to the NC of the request, but the
reply is with the original NC

s4-debug: removed debug_ctx(). It didn't catch on :-)

There was only one user, which isn't worth it for the overhead.

s4-messaging: remove only usage of debug_ctx()

s4-messaging: fixed a memory leak in messaging_path()

It is a bit convoluted to fix, as cluster_id_string() may return a
const string.

s4-drs: fixed usage of ldb_dn_new()

s4-ldb: validate the type of the ldb argument to ldb_dn_new()

It has been a common bug to get the first two arguments the wrong way
around

Fix comment

Re-fix bug 5202 - cannot change ACLs on writable file with "dos filemode=yes"

This bug re-occurred for 3.3.x and above.

The reason is that to change a NT ACL we now have to open the file requesting
WRITE_DAC and WRITE_OWNER access. The mapping from POSIX "w" to NT permissions
in posix_acls doesn't add these bits when "dos filemode = yes", so even though
the permission or owner change would be allowed by the POSIX ACL code, the
NTCreateX call fails with ACCESS_DENIED now we always check NT permissions
first.

Added in the mapping from "w" to WRITE_DAC and WRITE_OWNER access.

Jeremy.

s4:provision_self_join.ldif - Adapt comment after implementation of distributed RIDs

s4-kdc: Migrate tcp connections to tsocket.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s4:kdc: use LIBSAMBA_TSOCKET

metze

s4:kdc: the ->process function returns "bool"

metze

libcli/util: add tstream_read_pdu_blob_send/recv

This will take the some full_request callback function
as the Samba4 packet code.

metze

s3-time: fix build warnings after we moved to shared time functions.

Bjoern, please check.

Guenther

s3-docs: mention -K option in pdbedit manpage.

Guenther

s4-drs: added two more SPNs in addentry

w2k8r2 wants these after a DCPROMO

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-schema: fixes for W2K8-R2 schema

The schema from WSPP had a number of typos that prevented it from
working. These changes allow it to work with Samba, and allow w2k8r2
to run DCPROMO against Samba successfully

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-schema: added msDS-NcType to schema container

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-schema: fixed attributes of aggregate schema

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-schema: switch to W2K8-R2 schema

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-schema: added adminDisplayName and adminDescription

These are missing from the WSPP schemas

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-schema: added some debug for bad attributes

s4-provision: added W2K8-R2 schema as provided by WSPP

s4-samba3samtest: we need to force netbios name as well

needed for when run in CLIENT context

s4-samba3sid: fixed error returns when res->count != 1 and oom

s4-samba3samtest: force workgroup so the domain is right

the samba3sid backend looks at lp_sam_name() which is based on the
workgroup

s4-samba3sid: the sambaNextRid attribute is actually the previous RID

Not well named .... though same mistake that MS made with rIDNextRid

s4-samba3sam: use samba3sid module

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: added a samba3sid module

This module allocates SIDs using the Samba3 algorithm, for use with
the samba3sam module.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-acl: fixed acl.py test to use correct ldif

same problem as sec_descriptor.py

s4-secdesc: fixed the sec_descriptor.py test

The test was using a "changetype: add" to try and add a member to a
group, where it should use a "changetype: modify" with a "add: member"

Also fixed the recovery when the test fails part way through (delete
the test users at the start as well as the end)

Nadya, please check!

s4-samba3samtest: use system credentials for creating users

s4-dsdb: fixed const misuse in acl module

s4-dsdb: use dsdb_module_am_system() in acl module

s4-dsdb: allow specification of a SID if we are system

needed for samba3sam test

s4-dsdb: added dsdb_module_am_system()

better than each module inventing their own

s4-dsdb: squash some unknown structure warnings

s4-partition: fixed selection of partitions on exact match

When a search is on the root of a partition on the global catalog,
don't search partitions above that one.

s4-scripting: we need to use a base search for the NTDS GUID

now we have nTDSConnections structures we can get more than 1 reply

s4:dsdb/repl: convert dreplsrv_op_pull_source_send/recv to tevent_req

metze

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-smbd: setup the default event contexts for other process models