s3:dmapi: prefer dmapi libs from gpfs over system libs

Patch from William Jojo sent to samba-technical:

This is based on some pain felt when building 32-bit and 64-bit Clustered Samba
on AIX with GPFS support.

Part of the problem lies in AIX only providing 32-bit shared object in
libxdsm.a(shr.o). So without libdmapi.a from gpfs.base, you get no DMAPI
support under 64-bit.

s4-smbtorture: fix test_GetInfoLevel crash bug in RPC-DFS.

Guenther

Merge branch 'master' of ssh://git.samba.org/data/git/samba into master-devel

Allow developers access the the privilaged ldapi socket for the moment

This allows us some time to get the EXTERNAL bind working

On our way to alpha9!

Mark as release version

Partially revert restriction of socket_wrapper to 1500 byte writes

This keeps the restriction for stream sockets (where the caller will
retry), without creating problems on datagram sockets (CLDAP is not
defined, as far as I know, across multiple UDP packets).

The commit adding this restriction was
47b106c0ae8b91c9cccfc21bf8e4e416b1abfd5d

Andrew Bartlett

s4:ldapsrv Place the 'privilaged' ldapi socket under an #ifdef

This makes it clear to our users that this particular implementation
isn't final (all parties are agreed that an EXTERNAL bind is the right
way to do this, but it has not been implemented yet).

Andrew Bartlett

added some basic documentation for the idmap script option

added a sample script for the "idmap script" option

Partially revert restriction of socket_wrapper to 1500 byte writes

This keeps the restriction for stream sockets (where the caller will
retry), without creating problems on datagram sockets (CLDAP is not
defined, as far as I know, across multiple UDP packets).

The commit adding this restriction was
47b106c0ae8b91c9cccfc21bf8e4e416b1abfd5d

Andrew Bartlett

s4:ldb Add test for integer normalisation behaviour

This uses groupType as the example, but this actually applies to all
integer types in AD.

Andrew Bartlett

A fix in the ACL code used by both SAMBA 3 and 4

This fixes an uninitialised structure. It has been found through valgrind
in the RAW-ACLs test suite (Bug #6397).

Fixed some uninitialised variables

I tried hard to not change the program logic. Should fix bug #6439.

Correct handling of 32-bit integer attributes in SAMBA 4
- LDB handles now all 32-bit integer attributes correctly (also with overflows)
  according to the schema
- LDAP backends handle the attributes "groupType", "userAccountControl" and
  "sAMAccountType" correctly. This handling doesn't yet use the schema but
  the conversion file "simple_ldap.map.c" which contains them hardcoded.
  Did also a refactoring of the conversion function there.
- Bug #6136 should be gone

s3-pam_winbind: Fix Bug 6253: Use correct value for password expiry calculation.

Based on patch from Blindauer Emmanuel <samba@mooby.net>.

Guenther

Fix bug 4699: Remove pidfile on clean shutdown

acl_group_override() doesn't need to call stat. Pass this
down from above (as const).
Jeremy.

Add some const to the stat struct in the dosmode calls.
Fix a couple more unix_convert uses to filename_convert.
Fix bug in acl_group_override() where an uninitialized
struct could be used. Move unix_convert with wildcard
use in SMBsearch reply to boilerplate code.
Jeremy.

Replace the boilerplate calls to :
resolve_dfspath() -> unix_convert() -> get_full_smb_filename() -> check_name()
with a new function filename_convert().
This restores the check_name() calls that had gone missing
since the default create_file was changed. All "standard"
pathname processing now goes through filename_convert().
I'll take a look at the non-standard pathname processing
next. As a benefit, fixed a missing resolve_dfspath()
in the trans2 mkdir call.
Jeremy.

libwbclient: fix returned LogonInfo in wbc_LogonUser().

That function could return emtpy blobs for username and ccache for e.g. cached
logins.

Guenther

wbinfo: use wbcLogonUser for wbinfo -K.

Guenther

Revert "For tevent to install tevent_util.h"

This reverts commit b112cc5503350b248949bdbcce8072f5523ce877.

tevent_util.h is a private header. Must not be installed.

s3/docs: Add documentation for 'net sam rights'.

This is part of a fix for bug #6328.

Karolin

s3:netlogon Cope with recent rename in netlogon.idl

Remove unused variable

Bump the ldb version and the version Samba4 requires.

We have made a lot of useful changes to LDB since the last realese,
that Samba4 now relies on.  This ensures that a build against a system
LDB will only succeed against the right version.

Andrew Bartlett

s4: Add tests and 'must change password' flags in setpassword and newuser

In particular, ensure that we can acutally change the password under
these circumstances.

Andrew Bartlett

s4:testprogs Don't specify a username/password when checking the ccache

The purpose of this test is to ensure that the Kerberos credentials
cache is valid.  If the username and password is specified, this
overrides the very thing we are trying to test.

Andrew Bartlett

s4:libnet Allow 'net password change' to work on expired passwords

We need to pass down flags to the DCE/RPC layer to allow fallback to
anonymous connections, as we can't log in with an expired password.

The anonymous connection can then change the password with SAMR.

Andrew Bartlett

s4:kdc Allow a password change when the password is expired

This requires a rework on Heimdal's windc plugin layer, as we want
full control over what tickets Heimdal will issue.  (In particular, in
case our requirements become more complex in future).

The original problem was that Heimdal's check would permit the ticket,
but Samba would then deny it, not knowing it was for kadmin/changepw

Also (in hdb-samba4) be a bit more careful on what entries we will
make the 'change_pw' service mark that this depends on.

Andrew Bartlett

s4:setup Add an option to 'setpassword' to force password change at next login

s4:gensec Print GSSAPI error message when unable to find PAC

Require the new tdb 1.1.5 (for performance reasons)

While tdb has not changed ABI in a way that requires this, we don't
want Samba4 somehow built against the old version with
performance problems on large, growing databases.

Andrew Bartlett

Fixes for the "cldap" tests

- Insert a check after the "tsocket" library call to make sure that the call
  terminated correctly
- Add a comment to explain why on further calls of "cldap_socket_init" the
  destination address hasn't to be specified

source4/client/client.c: Possible memory leaks

Patch for bug #6446

cppcheck found 2 possible memory leaks:

    [./source4/client/client.c:3305]: (error) Memory leak: base_directory
    [./source4/client/client.c:3305]: (error) Memory leak: desthost

Patch in attach.

Fix resource leak in lib/ldb/tools/ldbmodify.c

Patch for bug #6389

Fix syntax error in lib/ldb/ldb_sqlite3/base160.c

Patch for bug #6388

For tevent to install tevent_util.h

Patch for bug #6270

This patch is for the future when samba4 builds using external libraries. With
this patch, tevent now installs tevent_util.h which is required by samba4.

LDB: Link against both tevent and talloc

Patch for bug #6269

When linking against tevent you also need to link against talloc. This patch
fixes external/libevent.m4 to do so.

s4: Call va_end() after all va_start()/va_copy() calls.

This corrects the issues reaised in bug #6129, and some others that were not
originally identified.  It also accounts for some code that was in the original
bug report but appears to have since been made common between S3 and S4.

Thanks to Erik Hovland <erik@hovland.org> for the original bug report.

NETLOGON pipe improvements

Patch for bug #4939

This refactors the NETLOGON code related to this bug:

- Introduces a new "SYNCSTATE" enum required by the "DatabaseSync2" call (acc.
to WSPP)
- Make "DatabaseSync" dependant from "DatabaseSync2" (acc. to WSPP)
- Let "DatabaseSync2" return NT_STATUS_NOT_IMPLEMENTED (I'm not sure if this is
also true when a domain is running in mixed mode)
- Make "LogonControl" and "LogonControl2" dependant form "LogonControl2Ex"
(acc. to WSPP)
- Let "LogonControl2Ex" return WERR_NOT_SUPPORTED for now

Add const to cast, to fix warning

s3 onefs: Remove dfs resolution from create_file() now that it's being done at a higher level

s3: Change SMB_VFS_OPEN to take an smb_filename struct

This was a little messy because of all of the vfs modules I had to
touch.  Most of them were pretty straight forward, but the streams
modules required a little attention to handle smb_filename.  Since the
use of smb_filename enables the vfs modules to access the raw,
over-the-wire stream, a little bit of the handling that was being done
by split_ntfs_stream_name has now been shifted into the individual
stream modules.  It may be a little more code, but overall it gives
more flexibility to the streams modules, while also allowing correct
stream handling.

s3: Plumb smb_filename from create_file all of the way down to fd_open

I used the smb_filename struct everywhere that was feasible for the
first pass.  There are still some places in this path that need to be
changed to use smb_filename, but this is a good start.

I also:
- Removed fname/path arguments from a few functions that weren't
  really using them.
- Added a utility function for detecting whether an smb_filename is a
  stream.

Use system Python LDB bindings, if present.

Use system LDB by default if the right version was found.

dsdb: Fix build against system ldb.

selftest: Use common function when skipping testsuites based on run-time
conditions.

smb_build: Always build modules for system-libraries as shared libraries,
since they can't be included in the static library.

Fix build with system LDB.

configure: Use Python tdb bindings from the system, if found.

Remove outdated Python status file.

Fix bug #6476 - more then 3000 smbd-zombies in memory
We weren't reaping children in the [x]inetd case.
Jeremy.

selftest: report time after testsuite, gives nicer output on the
buildfarm.

tdb: Fix help string in configure flag to enable Python bindings.

Only install an explicit set of scripts during "make install", rather than
whatever happens to be in the source tree.

Make fullschema script executable.

pyldb: Fix three more (minor) memory leaks.

pyldb: Fix memory leak in Dn.get_parent().

pyldb: Fix memory leak in Dn.concat.

pyldb/tests: Use different dn's everywhere, to easily spot which test is
breaking in gdb.

pyldb: Fix another memory leak and reference counting error.

param/python: Fix memory leak of LoadParm objects.

pycredentials: Raise MemoryError when unable to create objects.

pyldb: Fix memory leak of LdbMessage's created from Python.

pycredentials: Fix memory leak.

pyldb: Fix two memory leaks of attribute lists.

pyldb: Fix segfault, freeing memory too early in search.

pyldb: Support getting the parent of special DNs without segfaulting.

Found by: Андрей Григорьев <andrew@ei-grad.ru>

fix release scripts to always git clean

This makes sure we do not include foreign object files or other
build byproducts by mistake.

s3-net: Fix Bug #6328: support "net sam rights grant/revoke" with multiple rights.

David

Signed-off-by: Günther Deschner <gd@samba.org>

s3/packaging: pam_winbind has been moved to section 8.

Karolin

s3/packaging: source -> source3

Karolin

s3/i18n: Add Russian to the list.

Karolin

s3/i18n: Add Russian translation for SWAT messages.

Thanks to Yuri Kozlov <kozlov.y [at] gmail.com>!

This is part of a fix for bug #4755.

s3-net: Fix Bug #6328: allow multiple rights in "net sam rights grant".

Guenther

s3/i18n: Update German SWAT translations.

This is part of a fix for bug #4755.
Patch was provided (mainly) by Helge Kreutzmann <debian [at] helgefjell.de>.
Thanks!

Karolin

s3/libsmb: Fix typo in error message.

Thanks to Herb Lewis <hlewis [at] panasas.com> for noticing!

Karolin

Remove msdfs pathname processing from default create file.
No longer needed.
Jeremy

Fix msdfs after the change to smb_filename struct. We must *always*
pull the pathname, then call resolve_dfspath(), before unix_convert().
Jeremy.

s4-smbtorture: add test for NetUserSetInfo level 0 (user rename).

Guenther

s4-smbtorture: use torture_comment in RPC-SAMR-USERS-PRIVILEGES test.

Guenther

s4-smbtorture: use TORTURE_TEST_USER define in libnetapi user test.

Guenther

_lsa_EnumAccountRights and _lsa_EnumPrivsAccount can return an
empty set of privilages if the SID doesn't have any.
(From [MS-LSAD.pdf])
Jeremy.

s3-netapi: Fix Bug #6451: net/libnetapi user rename using wrong access bits.

Guenther

s3-netapi: Fix Bug #6305. Correctly prompt for a password when a username was given.

When no callback or wrapping has managed to get a password, prompt in the
netapi connection manager for a password.

Guenther

s3-docs: fix typo in pam_winbind.8.

Guenther

s3-netapi: add NetGetJoinInformation example code.

Guenther

python: Provide way to iterate over available shares.

python: Add API for accessing available shares.

s3 onefs: Fix reading over the end of the array, because the incorrect array was being read.

s3 onefs: Change onefs modules to use the new createfile api

Add exports file and abi checker for tevent

This is a first attempt at exporting symbols only for public functions
We also provide a rudimentary ABI checker that tries to check that
function signatures are not changed by mistake.
Given our use of macros this is not an API checker.
It's all based on tevent.h contents and the gcc -aux-info option

Add exports file and abi checker for talloc

This is a first attempt at exporting symbols only for public functions
We also provide a rudimentary ABI checker that tries to check that
function signatures are not changed by mistake.
Given our use of macros this is not an API checker.
It's all based on talloc.h contents and the gcc -aux-info option

Add exports file and abi checker for tdb

This is a first attempt at exporting symbols only for public functions
We also provide a rudimentary ABI checker that tries to check that
function signatures are not changed by mistake.
Given our use of macros this is not an API checker.
It's all based on tdb.h contents and the gcc -aux-info option

Add new replace check for --version-script

Allows us to pass an export files on Linux and Solaris so that we can expose
only symbols that are actually supposed to be global, and keep as local anything
else.

Add option to --disable-python on build

Fix the posixtimedlock test

The previous version depended on the fact that smb_raw_lock_send just queued
stuff. This changed with ebf5523b6e2ae0.