s3:winbind: Add async next_pwent

s3:winbind: Add async fill_pwent

s3:winbind: Add async query_user_list

s3:winbind: simplify wb_seqnums_done a bit

s3:winbind: Make wb_seqnums.c update the winbind cache seqnums

s3:winbind: Fix a bug found by RPC-SAMR

We need to enumerate passdb alias members

Thanks to gd for bugging me :-)

s3:winbind: Fix a typo

s3:winbind: Rename wbint_GroupMembers to wbint_Principals

s3:winbind: Rename wbint_GroupMember to wbint_Principal

tevent: Fix a segfault upon the first signal

When the first signal arrives, tevent_common_signal_handler() crashed: "ev" is
initialized to NULL, so the first "write(ev->pipe_fds[1], &c, 1);" dereferences
NULL.

Rusty, Tridge, please check. Also, can you tell me a bit more about the
environment you tested this in? I'd be curious to see where this survived.

Thanks,

Volker

s3: Add catia to the list of modules compiled by default

Signed-off-by: Tim Prouty <tprouty@samba.org>

s3: Major revamp for catia vfs module

This patch builds out catia to allow fully configurable mappings,
including mappings from single byte to multi-byte characters.
Additionally, a much more complete list of vfs operations are now
covered.

Signed-off-by: Tim Prouty <tprouty@samba.org>

s3: Add a new VFS op called SMB_VFS_TRANSLATE_NAME

This vop is designed to work in tandem with SMB_VFS_READDIR to allow
vfs modules to make modifications to arbitrary filenames before
they're consumed by callers.  Subsequently the core directory
enumeration code in smbd is now changed to free the memory that may be
allocated in a module.  This vop enables the new version of catia in
the following patch.

Signed-off-by: Tim Prouty <tprouty@samba.org>

s4:ldb Don't sleep(100) in this error case, but debug the LDIF

s4: Create helpers functions related to provision

One for getting attributes with DN syntax, one for getting forward
linked attributes and one for getting the list of partition

s4-ldb: update dlinklist.h to match main copy (lib/util/dlinklist.h)

Michael

s3-ldb: update dlinklist.h to match main copy (lib/util/dlinklist.h)

This also removes build warnings of redefined macros
since it uses the embracing "#ifndef _DLINKLIST_H ... #endif".

Michael

s4: include ntlmssp header in auth/ntlmssp/ntlmssp.h.

Guenther

s3-ntlmssp: use generated ntlmssp code for debugging purpose.

Guenther

s3-ntlmssp: add NDR helper routines for ntlmssp.

Guenther

s4: fix the build after ntlmssp header change.

Guenther

libcli/auth: remove unused NTLMSSP_NAME_TYPE_ flags.

Guenther

s4-ntlmssp: use interface constants in TargetInfo blob.

Guenther

s4-ntlmssp: use NTLMSSP headers from IDL and remove duplicate constants.

Guenther

s3-ntlmssp: use interface constants in TargetInfo blob.

Guenther

s3-ntlmssp: use NTLMSSP headers from IDL and remove duplicate constants.

Guenther

ntlmssp: add ndr_print_ntlmssp_{nt,lm}_response() function.

Guenther

ntlmssp: re-run make samba3-idl and add generated files.

Guenther

ntlmssp: add NTLMSSP_MESSAGE_SIGNATURE to IDL.

Guenther

ntlmssp: add AUTHENTICATE_MESSAGE to idl.

Guenther

ntlmssp: add CHALLENGE_MESSAGE to IDL.

Guenther

ntlmssp: add NEGOTIATE_MESSAGE to IDL.

Guenther

ntlmssp: add string helper functions to handle OEM and UNICODE charset.

Guenther

ntlmssp: add ntlmssp helper skeleton.

Guenther

ntlmssp: add IDL.

Guenther

lib/tevent: close pipe_fds on event_context destruction

The "hack_fds" were never closed before; now they're inside event_context
they should be closed when that is destroyed.

Signed-off-by: Rusty Russell <rusty@rustcorp.com.au>

lib/tevent: handle tevent_common_add_signal on different event contexts.

I don't know if this is a problem in real life.

The code assumes there's only one tevent_context; all signals will notify
the first event context.  That's counter-intuitive if you ever use more
than one, and there's nothing else in this code which prevents it AFAICT.

Signed-off-by: Rusty Russell <rusty@rustcorp.com.au>

lib/tevent: fix race with signals and tevent_common_add_signal

We carefully preserve the old signal handler, but we replace it before
we've set up everything; in particular, if we fail setting up the
pipe_hack we could write a NUL char to stdout (fd 0), instead of
calling the old signal handler.

Replace the signal handler as the very last thing we do.

Signed-off-by: Rusty Russell <rusty@rustcorp.com.au>

lib/tdb: don't overwrite TDBs with different version numbers.

In future, this may happen, and we don't want to clobber them.

Signed-off-by: Rusty Russell <rusty@rustcorp.com.au>

lib/tevent: remove spectacularly complicated manual subtraction

To be completely honest, I don't quite know whether to laugh or cry at
this one:

1 + (0xFFFFFFFF & ~(s.seen - s.count))
== 1 + (~(s.seen - s.count)) # s.seen, s.count are uint32_t
== s.count - s.seen # -A == ~A + 1

Signed-off-by: Rusty Russell <rusty@rustcorp.com.au>

util: fix comment and clarify argument name in DLIST_DEMOTE()

Michael

s3:smbd: teach filename_convert() about fake files (2nd fix for bug #6642)

metze

s3:smbd: add is_fake_file_path() that takes only the raw path as string

metze

s3:streams: check for :$DATA only in the backend (fix bug #6642)

We need to allow "\\$Extend\\$Quota:$Q:$INDEX_ALLOCATION" to pass
check_path(), so that the Quota Dialog works.

metze

s3:error_map: make NTSTATUS -> errno -> NTSTATUS mapping consistent for NT_STATUS_INVALID_PARAMETER

Why have we mapped EINVAL -> NT_STATUS_INVALID_HANDLE before?

metze

s3-ntlmssp: remove trailing whitespace.

Guenther

libcli/auth: add netlogon_creds_step_crypt() and netlogon_creds_first_step()

This abstracts the usage of crypto functions instead of directly calling
des_crypt112().

metze

Signed-off-by: Günther Deschner <gd@samba.org>

libcli/auth: remove some useless lines

metze

Signed-off-by: Günther Deschner <gd@samba.org>

libcli/auth: remember schannel type in netlogon_creds_server_init()

metze

Signed-off-by: Günther Deschner <gd@samba.org>

s3-schannel: remove remaining code that was using "struct dcinfo".

Guenther

s3-credentials: remove unused code.

Guenther

s3-schannel: upgrade old format schannel_store.tdb.

Guenther

s3-netlogon: use shared credential and schannel storage infrastructure for netlogon server.

Guenther

s3-netlogon: add netr_creds_server_step_check() convenience wrapper.

Guenther

s3-schannel: add simple wrappers to fetch and store schannel auth info.

Guenther

s3-schannel: make open_schannel_session_store() public.

Guenther

libcli/auth: add tdb backend for schannel state.

Guenther

libcli/auth: move netlogon_creds_CredentialState out of libcli.

Guenther

schannel: add netlogon_creds_CredentialState to IDL.

Guenther

s4-schannel: add ldb suffix to schannel functions.

Guenther

libcli/auth: rename schannel_state.c to schannel_state_ldb.c.

Guenther

s3-build: add SCHANNEL_OBJ to Makefile.in.

Guenther

s3:winbind: Convert WINBINDD_GETUSERSIDS to the new API

s3:winbind: Fix a typo

s3:winbind: Remove the manual caching for the async wb_ functions

The generic NDR-based cache in winbindd_dual_ndr.c replaces this.

s3:winbind: Some calls are not cacheable

s3:winbind: Factor out wcache_store_seqnum()

s3:winbind: Add a generic cache for NDR based parent-child requests

s3:winbind: Factor out wcache_fetch_seqnum

s4-smbtorture: do not hard code BDC secure channel type into RPC-NETLOGON tests.

Guenther

s4-smbtorture: add test_SetPassword_flags to RPC-NETLOGON-S3 testsuite.

Guenther

s4:python Add helper to get at the domain SID

s3/smbd: open the share_info.tdb on startup instead of tconx

This is a small performance optimization.  Instead of opening the tdb
on every smb connection in the forked child process, we now open it in
the parent and share the fd.

This also reduces the total fd usage in the system.

s3/debug: make SPENGO OID list appear under one debug header

s3/winbindd: Remove unnecessary check for NULL SID

There's a known bug in some Windows implementations of
DsEnumerateDomainTrusts() where domain SIDs are not returned for
transitively trusted domains within the same forest.

Jerry originally worked around this in the winbindd parent by checking
for S-0-0 and converting it to S-1-0 in 8b0fce0b.  Guenter later moved
these checks into the child process in commit 3bdfcbac making the
initial patch unecessary.

I've removed it and added a clarifying comment to the child process.

If ever this SID is needed we could add an extra DsEnumerateDomainTrusts()
call in trusted_domains() as suggested by the Microsoft KB.

s3-selftest: enable running RPC-NETLOGON-S3 against samba3.

Guenther

s4-smbtorture: add RPC-NETLOGON-S3 to test samba3 netlogon server.

Guenther

s3 onefs: Canonicalize the ACL in the correct order

s3: Allow full_audit to play nice with smbd if it's using syslog

Explictly pass the facility from both smbd and full_audit to syslog.
Really the only major change is to not call openlog() in full_audit if
WITH_SYSLOG is defined, which implies that smbd is already using
syslog.  This allows full audit to piggy-back on the same ident as
smbd, while still differentiating the logging via the facility.

s3 audit: Change create_file in full_audit to print whether a directory or file was requested

full_audit will now print out whether the createfile was requested for
a file or directory.  The create disposition is also printed out.

s3:winbind: Fix Coverity ID 942: Resource Leak

s4:heimdal_build: lib/hcrypto/evp-aes-cts.o belongs to HEIMDAL_HCRYPTO

metze

s3-netlogon: let get_md4pw() return a struct dom_sid.

Guenther

schannel: add generated files.

Guenther

schannel: move schannel.idl to main directory.

Guenther

netlogon: make netr_NegotiateFlags a public bitmap.

Guenther

Add a parameter to disable the automatic creation of krb5.conf files

This is necessary because MIT 1.5 can't deal with certain types (Tree Root) of
transitive AD trusts. The workaround is to add a [capaths] directive to
/etc/krb5.conf, which we don't automatically put into the krb5.conf winbind
creates.

The alternative would have been something like a "krb5 conf include", but I
think if someone has to mess with /etc/krb5.conf at this level, it should be
easy to add the site-local KDCs as well.

Next alternative is to correctly figure out the [capaths] parameter for all
trusted domains, but for that I don't have the time right now. Sorry :-)

cifs.upcall: make using ip address conditional on new option

Igor Mammedov pointed out that reverse resolving an IP address to get
the hostname portion of a principal could open a possible attack
vector. If an attacker were to gain control of DNS, then he could
redirect the mount to a server of his choosing, and fix the reverse
resolution to point to a hostname of his choosing (one where he has
the key for the corresponding cifs/ or host/ principal).

That said, we often trust DNS for other reasons and it can be useful
to do so. Make the code that allows trusting DNS to be enabled by
adding --trust-dns to the cifs.upcall invocation.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

cifs.upcall: switch to getopt_long

...to allow long option names.

Signed-off-by: Jeff Layton <jlayton@redhat.com>

s4:provision Ensure that @OPTIONS is mirrored into each partition

The previous patches to the provision system cut down on the number of
reconnects, and disabled the partition handling for part of the
process.  This means we lost the setting of @OPTIONS as a replicated
attribute into the partitions.

Andrew Bartlett

s4:ldb Add ldb_ldif_write_string() and python wrappers

This allows us to turn a python LdbMessage back into a string.

Andrew Bartlett

s4:ldb Add hooks to get/set the flags on a ldb_message_element

Also add tests to prove that we got this correct, and correct the
existing tests which used the wrong constants.

Andrew Bartlett

s4:schema Rework dsdb_write_prefixes_from_schema_to_ldb() to use talloc

This changes dsdb_write_prefixes_from_schema_to_ldb() to use an
internal talloc hirarchy, so we can safely give it a NULL context from
the python.

It also fixes manual construction of the ldb_message - we now use the
right helper functions.

Andrew Bartlett

s4:provison Add prefixes to ldb using same code a later modify will use

This allows us to test out the code that will do the modify of the
prefixMap, and to provide the bindings that may assist a future
upgrade script.

Andrew Bartlett

s4:provision Only create references to our server DN after the self join

This will ensure that the GUID can be filled in correctly, and assist
us to validate DN targets in the future.

Andrew Bartlett

s4:scheam quiet a 'const' warning

s4:dsdb Rework dsdb_write_prefixes_to_ldb() to take a schema

The aim is to create a function that is more easily wrapped for
python, so that we can write the updated prefixMap in an upgrade
script.

Andrew Bartlett

s4:dsdb Use helper function to add 'show deleted' control

This revises tridge's commit 61ca4c491e1c13eb7d97847f743b0f540f1117c4
to use ldb_request_add_control() instead of a manual construction.

Andrew Bartlett

s3-netlogon: fix default case when _netr_LogonSamLogon is called from other opcodes.

Guenther

Revert "s3: Fix uninitialized const char *"

Tim, I am reverting this as this eliminates "_netr_LogonSamLogonEx" from the
debug messages completely. Followup fix to come immediately.

This reverts commit add9b4afb14d3426d1f3bf5b8e7c86926f462578.