s3:Makefile: libsmbsharemode dependency cleanup

no need to link against ldap and krb5 libs

s3:Makefile: net utility dependency cleanup

no need to link against iniparser lib

s3:configure: use --aѕ-needed linker option when supported

Based on a patch from Andreas Schneider but modified that --aѕ-needed is also
used when own libs are not build shared (--enable-shared). Also change order of
options so that user supplied LDFLAGS are put *after* the automatic --aѕ-needed
flag. This way it's pollible to force not use as-needed by setting LDFLAGS
environment variable to "-Wl,--no-as-needed".

s3:doc: add some detail about lanman auth parameter

add interesting detail: lm passwords will be removed from databaѕe with
lanman auth = no

Revert "s4:LDB/LDAP - Re-allow renames"

This reverts commit 767fce6fccf484b547219abd5e6abc941eacaf92.

Simo pointed out that the patch generates race conditions. We need to solve this
using a new control.

s4:repl_meta_data - various

- Add more "talloc_free"s and right error values where needed
- Add a pre-lookup for entries before searching for metadata attribute
  (also suggested by TODO list)
- Now the most part of "ldap.py" works again

Remove lots of duplicate code and move it into one
function vfs_stat_fsp(). Stops code looking at fsp->posix_open
except for exceptional circumstances.
Jeremy.

s4:ldap.py - add a very special rename test (with invalid - empty RDN)

s4:ldb_ildap - Don't segfault on a empty RDN

s4:LDB/LDAP - Re-allow renames

The main problem is that the "rdn_name" module launches on a rename request also
a modification one with the "special attributes" which can't be changed directly.
An introduced flag helps to bypass the restriction.

Missed one VFS_STAT -> VFS_LSTAT
Jeremy.

Fix more use of VFS_STAT when posix pathnames selected.
Jeremy.

s4:ldap.py - major enhancements

- Clean up and reorder it a bit
- Test which adds invalid attributes
- Test which makes sure that the 'distinguishedName' attribute cannot be modified
- Test which makes sure that we cannot change the RDN/'name' attribute through a modify request

s4:ldb Don't allow RDN to be modified with an LDB modify message

Found by the Microsoft testsuite at the AD interop event.

Andrew Bartlett

s4:rdn_name module - a normal error message should be enough for this failure

I don't think that we really want to have this error printed out on the server
console (stdout) since this hasn't serious results as DB or data corruption
and similar.

s4:ldb Don't allow modifcation of distinguishedName

s4:dsdb Return correct error on invalid attribute

This error per the Microsoft testsuite

s4:dsdb Pass down the exact error code on failure in repl_meta_data

s4:samdb_set_password - Return the maximum password age when requested (not the minimum one)

s4:samdb_set_password - cosmetic fixes

s4: fix various warnings (not "const" related ones)

s4/srvsvc: deactivate a "ntvfs_connect" with a wrong parameter

In the srvsvc code for s4 (NTVFS module) there exists a call to "ntvfs_connect"
which is performed with a totally wrong argument. Since I'm not able to fix
this, I commented it out and added a "FIXME" comment.

s4:provision_users.ldif - Put potential primary groups in front of the file

(So they can be always found by the SAMLDB module)

Revert "s4:ldb-samba Use temp talloc contexts and talloc_steal avoid leaks."

This reverts commit 38f87f40bfd7892043d49009067ae28431279580.

Revert "s4:ldb Fix ldb_list_find() folowing the change from char * to TDB_DATA"

This reverts commit f0c2c9854c7659221fe9480110a7d9b2b48afbf9.

Revert "s4:ldb always talloc_free() the ldb_ldif_write context, even on success"

This reverts commit a610843e9f21ee77fd29356313d2ef05fe25a1ed.

Revert "s4:ldb Remove LTDB_PACKING_FORMAT_NODN"

This reverts commit bcbf0ae1e707c2355824800dc213d364070f070a.

Revert "s4-ldb: merged with master"

This reverts commit 14c9070322d089dd96b389e8087c4f4bf1a6c7cc.

Revert "s4-ldb: overallocate idxptr to reduce memory fragmentation"

This reverts commit e7846f69cacdd0551fcd777a71bf833a2fc9ca2b.

Revert "s4-ldb: fixed a memory leak"

This reverts commit c7358d989034c9d936c04f2a7e4f89db252b798e.

s4-winbind: support the s3 response flags on krb5 auth too

This fixes the samba4.blackbox.wbinfo test, which was failing on a
wbinfo -K command

s4-winbind: support the Samba3 TXT form of the info3 for wbinfo -a

This sends the info3 as hand marshalled data

s4:ldb.h - cosmetic - add whitespace

s4:provision - Cosmetic - right indentations

s4:dsdb Fix crash from LDAP login of DOM\\

The issue here is that when we resolve DOM\\ into an NT4 name, we
would not initilise the nt4_account output.

Andrew Bartlett

s4:dsdb rework instanceType module - put instanceType in provision

The instanceType needs to be specified in future because that's how
the partitions are actually created.

s4:dsdb Don't allow creating of new objects with an isDefunct schema class

s4:dsdb Add 'lazy_commit' module to swallow the 'lazy commit' OID

This allows this control to be specified as critical.  We support the
control because we choose to always be durable in our transactions.

We really, really need a 'duplicate request' API, as at the
moment we can't do this without a large, error-prone set of code that
cannot cope with new request fields or types.

Andrew Bartlett

s4:ldap_server Ensure we don't segfault when sent a NULL new RDN

The Microsoft testsuite tried to rename
cn=administrator,cn=users,... into "",cn=users... which didn't go so well.

Andrew Bartlett

s4:provision Ensure we add the schema with the 'relax' control

(allows addition of systemOnly classes)

s4-ldb: fixed a memory leak

s4-ldb: overallocate idxptr to reduce memory fragmentation

s4-ldb: merged with master

s4:ldb Remove LTDB_PACKING_FORMAT_NODN

The restructured code makes this hader to support, and we have not had
this kind of LDB for a very long time now.

Andrew Bartlett

s4:ldb always talloc_free() the ldb_ldif_write context, even on success

s4:ldb Fix ldb_list_find() folowing the change from char * to TDB_DATA

(The format of index records in the internal manipulation changed)

Andrew Bartlett

s4:ldb-samba Use temp talloc contexts and talloc_steal avoid leaks.

We would use the mem_ctx for internal work, but previously we did not
clean it up on exit.

Andrew Bartlett

s4: Improve provisioning: use relax control

Give the possibility to specify controls when loading ldif files.
  Relax control is specified by default for all ldb_add_diff (request Andrew B).
  Set domainguid if specified at the creation of object instead of modifying afterward
  Allow to specify objectGUID for NTDS object of the first DC this option is used during provision upgrade.

pythonbindings: allow add() to have an array of controls as second parameter

s4-ldb: Use relax control to check in replace metadata module if we accept request that specify objectGUID attribute.

s4-ldb: Add new relax controls that allow relaxed x500 constraints checks

s4:ntvfs Don't attempt to follow NULL in unixuid_setup_security()

This segfault occoured in cases where we rejected (or never attempted)
the tree connect, so had an invalid private pointer for the logoff
codepath.

Andrew Bartlett

s4:Ensure the selected RDN is the right one per the schema

The relative DN must be the one that the most specific structural
objectclass specifies.

Andrew Bartlett

s4-samldb: the samldb module requires that the primary group exists

We need to create Domain Users in the test ldb

s4-samdb: added some debugging

This helped track down the samba3sam.py failures

s4-test: skip python gensec test until its finished

s4-pygensec: a bit closer to working

I'll need help from Andrew on how to get gensec to initialise it's ops
element

pidl: fixed unit tests for trailer alignment

pid: update ndr testsuite for new union alignment

s4-torture: added a very simple samr ValidatePassword test

s4-samr: fake up a samr_ValidatePassword response

mdw is working on the correct call to check the password strength

idl: rebuilt the IDL for the build farm

s4-libnet: give sane error messages when functional levels don't match

It is nice to tell the user why their command failed :-)

s4:dsdb/common/sidmap - Remove

As metze pointed out - this seems to be completely dead code. I too didn't find
any dependencies in other code parts. Therefore remove it.

s4:provision - Change the default forest/domain function level back to Windows 2003 Native

s4:libnet_become_dc - add checks for valid domain/forest function levels

Add checks to make sure that we join only supported AD domains (we agreed that
those are >= (Windows) 2003 Native per default - this is changeable with the
"ads:function level" option).
Add also checks to make sure that we cannot join domains which have a bigger
function level than our DC capable function level (e.g. a (Windows) 2008 DC
cannot join a (Windows) 2008 R2 domain).

ndr64: added support for trailing gap alignment

NDR64 has a 'trailing gap' alignment, which aligns the end of a
structure on the overall structure alignment.

This explains the discrepancy we had with the RPC-SAMR test and NDR64

s4-ldb: accept the binary DN OIDs in extended DN modules

s4-ldb: Add support for binary blobs in DNs

AD has the concept of a DN prefixed with B:NN:XXXXXX: that contains a
binary blob. We need to support those in order to give correctly
formatted binary blobs for things like wellKnownObjects

This implementation is not ideal, as it allows for binary blobs on all
DNs, whereas it should only allow them on those with a syntax of
2.5.5.7. We should clean this up in the future, but meanwhile this
implementation at least gets us a working DC join of w2k8 to s4.

This patch also uses a static function for marking DNs as invalid,
which is very useful when debugging this code, as you can break on it
in gdb.

s4-cldap: match w2k8-r2 for cldap netlogon bits

Windows does not set the 3 high bits, which is strange given their
meaning. I've submitted a CAR on this.

ds-flags: use the new name DS_DNS_FOREST_ROOT

Update to use the new DS_DNS_FOREST_ROOT name, which makes it clearer
what this bit means (according to MS-ADTS doc)

s3-ads: removed 3 unused defines

These are in nbt.idl and netlogon.idl as well, no need to have them
here under different names, especially when the comments are wrong

idl: use common netlogon bit definitions

The DS_ bits had got a bit ahead of the NBT_ bits.

Ideally we'd make these a single set of bits at some point.

This also removes NBT_SERVER_DNS_FOREST as this bit doesn't exist. I
think it came from someone mis-reading the docs, which show the bits
in reverse order within bytes (one of the worst bit table
representations I have ever seen!)

s4/torture: Add two new SMB RAW-OPEN tests

* Add chained NTCREATEX_READX test which first tries to open/read
  a non-existant file failing on the open, then attempts the same
  operation on a file that does exist, opening and reading
  successfully.

* Add test for open_dispositions on directories.

s4/torture: convert printf to torture_comment() in RAW-OPEN

Allows "make test" and other harnesses to print cleaner output.

Fix bug #6769 - symlink unlink does nothing.
Always use LSTAT for POSIX pathnames.
Jeremy.

s4/torture: second try on renaming oplocks.c to oplock.c

Forgot to "git add" the new file in commit b2bcfaae

NULL is not a valid event context.
Jeremy.

s4/torture: rename oplocks.c to oplock.c to match SMB1 file layout

s4/torture: Ported SMB oplock torture tests to SMB2

I've ported all applicable SMB oplock torture tests to SMB2, giving us
a good base for SMB2 oplock testing.

There are several differences between oplocks in SMB and SMB2, mostly
because of differences in W2K3 and W2K8.  The existing SMB oplock
tests all pass against W2K3, but several fail against W2K8.  These
same tests were failing in SMB2, util I reworked them.

BATCH19, BATCH20: In W2K3/SMB a setfileinfo - rename command wouldn't
cause a sharing violation or break an existing oplock.  It appears that
in W2K8/SMB2 a sharing violation is raised.

BATCH22: In W2K3/SMB when a second opener was waiting the full timeout
of an oplock break, it would receive NT_STATUS_SHARING_VIOLATION after
about 35 seconds.  This bug has been fixed in W2K8/SMB2 and instead
the second opener succeeds.

LEVELII500: Added 1 new test checking that the server returns a proper
error code when a client improperly replies to a levelII to none break
notification.

STREAM1: W2K8 now grants oplocks on alternate data streams.

s4/torture: fix typo in test comment

s4/asn1: ber_read_OID_String() to be based on _ber_read_OID_String_impl()

s4/asn1: local TALLOC_CTX should be child of torture_context

s4/asn1: fixed typo in torture messages

s4/asn1: Added test for ber_read_partial_OID_String()

s4/asn1: Added test for ber_read_OID_String()

s4/asn1: Added test for ber_write_partial_OID_String()

s4/asn1: Added test for ber_write_OID_String()

s4/asn1: Added torture suite for ASN1

util: strhex_to_str() fixed to handle '0x' correctly

util: fixed compile time "discards qualifiers" warning

s4/drsuapi: ber_read_partial_OID_String() implementation

s4/drsuapi: Internal implementation for ber_read_OID_String

Modified implementation _ber_read_OID_String_impl()
returns how much bytes are converted.
The intentation is to use this implementation both for
reading OIDs and partial-OIDs in the future

s4/drsuapi: ber_write_partial_OID_String() implementation

s3:Makefile: fix talloc dependencies with static build

When configure options --with-libtalloc=no --enable-shared-libs=no are used,
LIBTALLOC_TARGET stays empty. Actually LIBTALLOC_TARGET which is only used for
Makefile dependencies is obsolete as LIBTALLOC contains exactly the targets
that make the dependencies are. Obnox, pleaѕe check!

s3:configure: don't throw away PRINT_LIBS

PRINT_LIBS might have been set before intentionally, so don't thow it away.

s3: update comment about (deprecated) a6 records

Fix for CVE-2009-2813.

===========================================================
== Subject:     Misconfigured /etc/passwd file may share folders unexpectedly
==
== CVE ID#:     CVE-2009-2813
==
== Versions:    All versions of Samba later than 3.0.11
==
== Summary:     If a user in /etc/passwd is misconfigured to have
==              an empty home directory then connecting to the home
==              share of this user will use the root of the filesystem
==              as the home directory.
===========================================================

s3/VERSION: Raise version number up to 3.6.0.

Karolin

Fix for CVE-2009-2906.

Summary:
Specially crafted SMB requests on
authenticated SMB connections can send smbd
into a 100% CPU loop, causing a DoS on the
Samba server.