s4-kcc: added DsReplicaGetInfo CURSORS2 level

s4-idl: in DsReplicaGetInfo unknown2 is actually an enumeration_context

s4-kcc: added support for CURSORS info level in DsReplicaGetInfo

s4-dsdb: take advantage of local cursor and sort

in getncchanges and repl task we don't need the extra load and sort
any more.

s4-dsdb: add our local cursor and sort in dsdb_load_udv_*()

This makes things much simpler for the callers

s4-drs: use dsdb_load_udv_v2() in getncchanges code

s4-dsdb: use dsdb_load_udv_v2() in repl task

s4-dsdb: added dsdb_load_udv_v2() and dsdb_load_udv_v1()

s4-kcc: simplify the ReplicaGetInfo implementation a bit

s4-kcc: squash a warning

s4-drs: better debug info when security checks fail

show the security token of the user at debug level 2

s4-dsdb: require admin access for DsReplicaGetInfo

s4-drs: framework for DsGetReplInfo(), includes the DS_REPL_INFO_NEIGHBORS infoType.

This patch includes the framework for the implementation of all infoTypes of
the DsGetReplInfo() call, and includes the implementation for the first one,
the DS_REPL_INFO_NEIGHBORS.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drs: give better debug info on unsupported DRS calls

s4-drs: torture test for DsGetReplInfo() (RPC-DSGETINFO test).

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-dsdb: added isGlobalCatalogReady

needed for dcdiag.exe

Second part of bug 7045 - Bad (non memory copying) interfaces in smbc_setXXXX calls.

Protect against SMB_STRDUP of null...

Jeremy.

Fix bug 7045 - Bad (non memory copying) interfaces in smbc_setXXXX calls.

In smbc_free_context libsmbclient just called free() on the string options
so it assumes the callers have malloced them before setting them via smbc_set
calls.

Change to corretly malloc/free string options to the library.

Jeremy

s4-ldb: cope with bad ptr alignment in ldb_index.c

We can't assume that a rec_ptr will come back from a tdb traverse with
alignment sufficient for a pointer.

s4 selftest: Ignore more winbind test known to fail

s4-smbtorture: add setup_schannel_netlogon_pipe() function.

Guenther

Fix bug #7036 - net rpc getsid fails in hardened windows environments.

Fix suggested by Dave.Daugherty@Centrify.com.

s4-torture: Migrate ntp_signd test to tsocket.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

Part 4 of bug #7028 - include scannedonly VFS module

Fix some issues with handling names ending in '/'.

s3-libsmbclient: Fix crash bug in SMBC_parse_path().

Patch from Tim Waugh <twaugh@redhat.com>.
This resolves https://bugzilla.redhat.com/show_bug.cgi?id=552658

LIBSMBCLIENT-OPENDIR torture test checks this as well.

Guenther

s4-smbtorture: add rather simple libsmbclient torture testsuite.

Guenther

s3:auth: fix account unlock regression introduced with fix for bug #4347

By an oversight, the patchset for #4347 made the unlocking of a locked
account after the lockout duration ineffective.
Thanks to Björn for finding this!

Michael

s3 selftest: Enable the WINBIND-STRUCT tests

s3 test: Fix WINBINDD-STRUCT tests

The struct-based tests are working in make selftest, make them work in plain
"make test" as well.

s3 selftest: Fix LOOKUP_SID test.

WINBINDD_LIST_USERS does not give a domain name if we're a DC and the user is
from our domain.

s3 selftest: Fix WINBINDD_LIST_GROUPS test

If there's no groups in the database, there are no entries in extra_data. This
caused WINBINDD_LIST_GROUPS test to fail. Use the fact that
WINBINDD_LIST_GROUPS now reports the number of groups in data.num_entries to
identify the "no groups" case.

s3 winbindd: Return number of groups in data.num_entries for WINBINDD_LIST_GROUPS

This allows to test if there's something wrong with the group list in
extra_data or if there's simply no groups in the database.

Volker, please check.

s3 selftest: Allow the enumeration of users and groups

This fixes the WINBINDD_GETPWENT test.

s3 selftest: Fix the WINBINDD_GETDCNAMEe test.

The WINBINDD_GETDCNAME test expected an NSS_STATUS_SUCCESS return from all
calls. However, this does not apply for BUILTIN and the DC's own domain.
Make the test work again by skipping those two.

s3 winbindd: Get WINBINDD_CHECK_MACHACC torture test to work again.

WINBINDD_CHECK_MACHACC used to report an NTSTATUS error and appropriate error
strings. Make this work again.

s4:provision_users.ldif - Add a comment that some objects under "Users" are now located elsewhere

This is needed due to the new RID/SID distribution system

s4:provision_users.ldif - Add objects for IIS

Some WSPP locations point out that beginning with Windows Server 2008 they're
also per default present.

Compared against Windows Server 2008

s4:provision_users.ldif - Add additional BUILTIN objects

Compared against Windows Server 2008

s4:provision_users.ldif - add the restant part of the objects needing for RODC support

RODC = Read Only Domain Controllers

Compared against Windows Server 2008

s4:provision_users.ldif - Fix up errors on existing entries

Compared against Windows Server 2008

s4:provision_users.ldif - Simple reordering

Sorted according the SID - easier for later enhancements.

s4:provision_users.ldif - Remove system objects from the wrong place

Objects like the "Cryptographic Operators", "Event Log Readers" don't belong
here but into the builtin domain.

s4:SAMR RPC - Fix the criteria for group searches

This should match the MS-SAMR documentation (section 3.1.5.5.1.1)

s4-idl: get rid of the operation specific DRS options flags

It was confusing to have several sets of incomplete options when WSPP
uses a single set.

s4-torture: switch smbtorture to the generic DRS options

s4-drs: switch the DRS server to the generic DRS options flags

s4-torture: switch to generic DRS options flags

s4-drepl: switch drepl over to using the generic DRS options flags

WSPP uses a single set of flags for all these DRS operations.

s4-idl: update the DRS_OPTIONS bits based on the latest WSPP docs

s4-drs: Uses dsdb_load_partition_usn() with urgent_uSN in s4 code

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drs: Store uSNUrgent for Urgent Replication

When a object or attribute is created/updated/deleted, according
to [MS-ADTS] 3.1.1.5.1.6, it stores the uSNUrgent on @REPLCHANGED
for the partitions that it belongs.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s3:pdb_ldap: restore Samba 3.0.x behavior and use the first "uid" value.

See bug #6157 for more details.

metze

Signed-off-by: Stefan Metzmacher <metze@samba.org>
(cherry picked from commit 25806f43ddee7e2653e907eea2c6fcc075960fa1)

s3:smbldap: add smbldap_talloc_first_attribute()

metze

Signed-off-by: Stefan Metzmacher <metze@samba.org>
(cherry picked from commit c992127f8a96c37940a6d298c7c6859c47f83d9b)

s4:dsdb: use validate_update module

metze

s4:dsdb/schema: add dsdb_syntax_OID_validate_ldb()

This is a very heavy weight way of checking this syntax,
but it's very complex and using the existing function
should be ok for now. We can optimize it later.

metze

s4:dsdb/schema: add dsdb_syntax_DN_STRING_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_DN_BINARY_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_DN_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_PRESENTATION_ADDRESS_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_UNICODE_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_DATA_BLOB_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_NTTIME_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_NTTIME_UTC_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_INT64_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_INT32_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_BOOL_validate_ldb()

metze

s4:dsdb: add validate_update module

metze

s4:dsdb/schema: add inftrastructure for dsdb_validate_ldb()

metze

s4:dsdb/schema: add dsdb_syntax_DN_STRING_* wrappers

metze

s4:dsdb/resolve_oids: also resolve oid in search attribute list

metze

s4:dsdb/schema_load: add a TODO about schema reloading

metze

s4:ldb/tests: do a "schemaUpdateNow" after creating a new attribute in ldap_schema.py

It seems that windows doesn't need that.

And we should think about a check for reloading the schema
at the start of each "write" operation.

metze

s4:dsdb/repl: reorder dreplsrv_op_notify* functions

This make the whole async dreplsrv_op_notify_send/recv()
readable.

metze

s4:dsdb/repl: change dreplsrv_op_notify_send/recv() to tevent_req

metze

s4:dsdb/common: fix major bug in lsa_BinaryString to ldb_val conversation.

In lsa_BinaryString length and size are byte counts!

TODO: we may need to do byte order conversion in this functions too...

metze

s4:ldb_msg: first try to decode integers as signed and then fallback to unsigned

LDAP only knowns about signed integers, so let
ldb_msg_find_attr_as_uint() and ldb_msg_find_attr_as_uint64() cope
with it.

metze

s4:dsdb/common: let samdb_msg_add_uint() call samdb_msg_add_int()

This is important as LDAP servers always play with int32 values
and we have to encode 0x80000000 as "-2147483648" instead of "2147483648".

metze

s4:dsdb/common: let samdb_msg_add_uint64() call samdb_msg_add_int64()

This is important as LDAP servers always play with int64 values
and we have to encode 0x8000000000000000LL as "-9223372036854775808"
instead of "9223372036854775808".

metze

s4:ldb: be more strict in parsing ldb time strings

metze

selftest: Print reason when a test fails unexpectedly

s4-ntp_signd: Migrate to tsocket.

Signed-off-by: Stefan Metzmacher <metze@samba.org>

Fixed a problem with incorrect default SD owner/group.

s3: Fix a winbind segfault in "trusted_domains"

We have to initialize domain->backend by calling "get_cache" before doing a
query

Thanks to Christian Ambach to find this :-)

Comparison tool for LDAP servers (using Ldb)

This tool is integrated with Samba4 Ldb. It provides a useful output
where you can find easy differences in objects or attributes within
naming context (Domain, Configuration or Schema).

Added functionality for two sets of credentials.

Merge branch 'master' of git://git.samba.org/samba

Fix bug #7034 - vfs_cap causes signal 11 (SIGSEGV)

Fix two uses of strncat -> strlcat. Ensure proper use of strncpy when setting socket name.

Jeremy.

Make file access control decisions a lot easier to debug (at level 10).

Jeremy.

Fix bug #7033 - SMBrmdir call always returns true, even on failure to delete a directory.

Argh. Missed the second (and essential) part of the fix for the above :-(.

Jeremy

Fix bug #7033 - SMBrmdir call always returns true, even on failure to delete a directory.

There is a codepath missing to propagate back error returns from the rmdir
POSIX call inside close_directory when delete on close is set. This means doing
an rmdir on a Windows command line will always report success, even when the
directory was not deleted. This fix adds that codepath back into Samba.

Jeremy.

Fix bug #6876 - Delete of an object whose parent folder does not have delete rights fails even if the delete right is set on the object.

Final fix for the vfs_acl_xattr and vfs_acl_tdb code.
Ensure we can delete a file even if the underlying POSIX
permissions don't allow it, if the Windows permissions do.

Jeremy.

Remove the global char *LastDir.

This is no longer used for anything.

s3: Lift the version of the scannedonly VFS module

s3: Add the "scannedonly" vfs virus scanner interface module

Strip trailing spaces

docs: fix xml tag in the pdbedit manpage

Michael

s3:auth: add comment to nulling out stolen sampass

Adding this comment makes me think, I could also
have changed make_server_info_sam() talloc_move
instead of talloc_steal, but that would have
changed the signature... Well the comment is a
first step. :-)

Michael

s3: Remove a pointless if-statement

s4-selftest: RPC-SAMR-PASSWORDS-BADPWDCOUNT fails against s4.

Seems like account lockout is not implemented at all yet.

Guenther

testprogs: remove unused test_EachDriver from spoolss test.

Guenther