s3: build pam_smbpass when possible

s3-netlogon: fix updating trust accout passwords with downlevel domains.

When choosing the netlogon password set function, make sure to look at the
*negotiated* flags in the cli->dc state, not the ones we start the negotiation
with.

Guenther

nsswitch: increase libwbclient version after adding wbcChangeTrustCredentials().

Guenther

s3:packaging: Fix building RHEL packages.

Fix bug #6721.
Thanks to Eero Volotinen <eero.volotinen@medicel.com> for providing the patch!

Karolin

s3:srv_samr_nt - another fix for the reject reason

s4-smbtorture: extend netr_LogonControl test in RPC-NETLOGON.

Guenther

s3-netlogon: Fix _netr_ServerPasswordSet2 cleartext blob handling.

Following Andrew's advice, let's straight md4 the plaintext blob and avoid
trying to get a paintext string out of the input the client sends.

Guenther

s4-smbtorture: test wbcLookupUserSids in WINBIND-WBCLIENT as well.

Guenther

s4-smbtorture: test wbcGuidToString and friends as well in WINBIND-WBCLIENT.

Guenther

s4:provision - fixed invalid creationTime format

s4:ldb - fixed dangling pointer in ldb_request_add_control()

s4:auth - fixed problem reading bind DN from secrets database

s4:provision - replaced linked_attributes with FDS plugins

When FDS is used as a backend, Samba should not use the
linked_attributes LDB module, but instead use the built-in
DS plugins for attribute linking, indexing, and referential
integrity.

s4:auth_sam: Restructure tail in "authsam_get_server_info_principal" and fix a memory leak

s4:winsdb - Substitute LDB result numbers with constants

s3: Try to fix the build on Solaris & AIX regarding the password change reject reason

s4/drs(tort): prefixMap unit test initial implementatoin

s4/drs: prefixMap module initial definition

s4/drs(tort): fix compile time warning

s4/drs(tort): _drs_util_verify_attids() to verify ATTIDs in objects received

s4/drs(tort): drs_util_DsAttributeId_to_string() function

s4/drs(tort): _drs_ldap_attr_by_oid() implementation

Utility function to be used to fetch Attribute name and DN
giving attribute OID

s4/drs(tort): ignore drs/proto.h file

s4/drs(tort): oid_from_attid() reference implementation

Decode Attribute OID using prefixMap and
ATTID received during replication

Based on MS documentation. See MS-DRSR.pdf - 5.16.4

s4/drs(tort): TORTURE_DRS torture module - initial implementation

Drsuapi tests module registers two suites:
 - DRS-RPC - tests to be executed against remote machine
 - DRS-UNIT - unit test for internal testing

s4/drs: Propagate redefinition of drsuapi_DsReplicaOID into code base

The biggest change is that 'oid' field is transmited in binary format.
Also the field name is changed to 'binary_oid' so that
field format to be clear for callers.

After those changes, Samba4 should work the way it works before -
i.e. no added value here but we should not fail when
partial-oid is part of prefixMap transmited from Win server.

Also, thre is a bug in this patch - partial-binary-OIDs are
not handled correctly. Partial-binary-OIDs received during
replication will be encoded, but not handled correctly.

s4/drs(NDR): Print implementation for drsuapi_DsReplicaOID

Custom ndr_print functions is implemented so that transmited
partia-binary-oid to be printed both in hex and
partial-oid formats

s4/drs(NDR): Remove push/pull code for drsuapi_DsReplicaOID struct

New structure definition is automarshaled so custom marshaling
code is not used anymore

s4/asn1: Use explicite TALLOC_CTX in ber_write_OID functions

s4/drs(idl): Regenerate idl

s4/drs(idl): Redefine drsuapi_DsReplicaOID in drsuapi.idl

Structure redefined to be more similar with OID_t structure
defined in [ref. MS-DRSR.pdf - p.496].

s3-libnetapi: add nltest tool.

Guenther

s3-libnetapi: add I_NetLogonControl{2} example code.

Guenther

s3-libnetapi: add I_NetLogonControl{2} to public headers.

Guenther

s3-libnetapi: fill in I_NetLogonControl{2}_r.

Guenther

s3-libnetapi: add I_NetLogonControl{2} skeleton.

Guenther

s3-libnetapi: add I_NetLogonControl{2} to IDL.

Guenther

s4-winsrepl: don't put in attributes with no elements

Empty attributes are no longer allowed by ldb. This also fixes the
error checking in winsdb_message()

This fixes the samba4.nbt.winsreplication test

s3-selftest: enable WINBIND-WBCLIENT against s3.

Guenther

s4-smbtorture: add very basic libwbclient testsuite.

Guenther

s3-net: fix build warning (missing default in switch).

Guenther

Fix valgrind memory leak in bug #6814 - Fixes for problems reported by valgrind
Jeremy.

s3: fixed krb5 build problem on ubuntu karmic

Karmic has MIT krb5 1.7-beta3, which has the symbol
krb5_auth_con_set_req_cksumtype but no prototype for it.

See also http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=531635

s4-pvfs: fixed mask handling for SEC_FLAG_MAXIMUM_ALLOWED

This matches the sec_access_check() code

s4-torture: take privileges into account in BASE-MAXIMUM_ALLOWED

The correct answer depends on the users privileges.

idl: added bit definition for privilege masks

When you have backup or restore privileges, you automatically get
extra access bits in ACL interpretation. This adds definitions for the
bits you get.

s4:dcerpc_server - Read the generic session key out from "dcerpc_generic_session_key"

I don't think that this code needs to exist identically on the server and on the
client side. This patch leaves it on the client side (dcerpc lib) and calls it
from the server.

s3-spnego: fix memleak in spnego_parse_auth().

Guenther

s3-spnego: Fix Bug #6815. Windows 2008 R2 SPNEGO negTokenTarg parsing failure.

When parsing a SPNEGO session setup retry (falling back from KRB5 to NTLMSSP),
we failed to parse the ASN1_ENUMERATED negResult in the negTokenTarg, thus
failing spnego_parse_auth() completely.

By just using the shared spnego/asn1 code, we get the parsing the correct way.

Guenther

s4:w32err_code.py script - put it under "scripting/bin"

I think this is a better location for this script. Since the subdirectory
"script" of "source4" contains only scripts for "make install" and "make
uninstall".

s3/docs: Add missing meta data to man ldbrename.

Avoid warnings.

Karolin

s4-smb: fill in fnum as well for root_fid

This helps with the CIFS NTVFS backend, but doesn't solve all problems

s4-selftest: mark some CIFS backend tests as known fail

The CIFS passthru NTVFS doesn't handle some options yet (eg. root_fid)

s4-smbserver: fixed root_fid in nttrans create

s4-libcli: fixed structure element bug in ntcreatexreadx

This one didn't matter until the root_fid changed the alignment of the
two structures.

s4-torture: catch bad command line options

It is annoying when you mistype a command line option and aren't told.

s4-pvfs: implement root_fid support in posix backend

Construct the filename from the old handle and the new name.

s4-smb: declare root_fid as a file handle

In order to implement root_fid in the s4 SMB server we need to declare
it as a handle type, just as for other fnum values in SMB. This
required some extensive (but simple) changes in many bits of code.

s4-pvfs: fixed handling of SEC_FLAG_MAXIMUM_ALLOWED

The CREATEX_ACCESS test shows that this is used as a bit test, not a
equality test

s4-ldaptest: "testgroup" is a bit too common

This failed on one of my test boxes that has a group called
"testgroup". using "testgroupXX" should be a bit better.

s4:ntlmssp server - use also here the new "lp_dnsdomain()" call

s4:auth/credentials/credentials - fix uninitalised pointers

This should fix bug #6755.

s3: fix outdated proto.h causing build error on AIX

Matthias, please check!

s4-ldap: test the rDN size limit

s4-dsdb: implement limit on rDN length

w2k8 imposes a limit of 64 characters on the rDN

s4-ldb: removed incorrect rDN length test

This is a property of AD, not ldb, so should be in our ldb
modules.

s4-ldb: removed bugus RDN length check

This isn't the rDN !

s4-script: flush DNS after adding new addresses

s4-devel: for devel scripts its better to use bin/ than $PREFIX/bin

This avoids having to do make install after each change when using the
drs devel scripts

s4-drs: support DRSUAPI_DRS_ADD_REF flag

The DRSUAPI_DRS_ADD_REF flag tells the DRS server to run an UpdateRefs
call on behalf of the client after the DsGetNCChanges call. The lack
of support for this option may explain why the repsTo attribute was
not being created for w2k8-r2 replication partners.

s4-drs: implement more of DsUpdateRefs

The DsUpdateRefs calls takes a set of flags that indicates if the
server should ignore specific add/delete error codes.

This patch also exposes the core UpdateRefs call into a public
function, so that it can be called from DsGetNCChanges

ldb: fixed display of replUpToDateVector

drs: improved error checking

Check the validity of the requested options in DsGetNCChanges

s4-dsdb: added samdb_rodc() and samdb_ntds_options()

Later we will need to make samdb_rodc() look in the database, but for
now we should at least have the function in a central place

libds: added nTDSDSA options flags

idl: added WSPP DrsOptions bit names

This should make it much easier to work through the logic in MS-DRSR

Fix the build, missing ->.
Jeremy.

Final part of fix for bug 6793 - winbindd crash with "INTERNAL ERROR: Signal 6"
Don't use mapped_user uninitialized.
Jeremy.

s3:winbind: Fix a double-free

Part of a fix for bug #6793.

s3:winbind: Fix bug 6793 -- segfault in winbindd_pam_auth

s3-build: we need to have talloc 2.0.1 when building with external talloc.

2.0.0 did not got the exports right.
This and the 2.0.1 talloc fixes resolve bug #6808.

Guenther

talloc: Fix exports and increment talloc version

talloc: Make abi checks in release script

Make always sure the exports and signature files are up to date before
shipping a release.

talloc: Move release script under /script too

talloc: Change the way mksysms work

Make sure we always have a sorted (per file) export file.
This way we can directly compare the real export and the check file w/o having
to further sort things.

Also return error code from abi_checks.sh if warnings were reported

s3-passdb: missed two prototypes while moving to enum netr_SchannelType.

Guenther

s4:torture cldap test - Add checks for the right forest DNS name

s4:password_hash - load the domain parameters from the "loadparm context"

And don't cut them out from the DNS hostname.

s4:torture - fix up "ldap_basic" test

s4: Changes the old occurences of "lp_realm" in "lp_dnsdomain" where needed

For KERBEROS applications the realm should be upcase (function "lp_realm") but
for DNS ones it should be used lowcase (function "lp_dnsdomain"). This patch
implements the use of both in the right way.

s4:loadparm - adapt "realm" handling

Change "lp_realm" behaviour to return the realm always upcased and add a
function "lp_dnsdomain" which returns it always lowcased.

s3: Fix reference to freed memory in pam_winbind.

Signed-off-by: Bo Yang <boyang@samba.org>

Revert "s4:hdb-samba4 - Don't double-free "db""

This reverts commit 11a8a54c825a52d7dd6ab78bc7aeff2d719327d2.

The actual fix for bug 6801 is in hdb_end_seq_get() - this attempt
leaks 'db' instead.

Andrew Bartlett

s4:heimdal A real fix for bug 6801

The issue was that we would free the entry after the database, not
knowing that the entry was a talloc child of the database.

Andrew Bartlett

s3:net: simplify padding to single printf call

s3:net simplify padding to single printf call

s3:net: Fix a segfault in "net rpc trustdom list" for overlong domain names

That was a complicated way to say "%-20.s"... But that code was from 2002 ...

Remove use of "int ret" when we already have errcode.
Jeremy.

Catch one more erroneous use of errno.
Jeremy.

correctly handle aio_error() and errno