s4-libnet: fixed privilege handling in samsync to use the right db

I only noticed this one because of Karolins spelling fix :-)

s4-pvfs: fill in alignment_requirement (valgrind error)

s4:test: Fix typo.

Karolin

Fix typo.

privilage -> privilege

Karolin

Revert "selftest: fixed filter to know about a "error" result"

This reverts commit 1de7e43fb4a4863e3663af8b2a2d9f19cf82d7f3.

This is much more delicate than it seems

s4-selftest: move secdesc.python test to skip list

This test produces a python backtrace due to
LDAP_INSUFFICIENT_ACCESS_RIGHTS errors, which are expected until the
new acl code is finished. The python backtrace overrides the
'knownfail' listing, so we need to skip this test for now.

selftest: fixed filter to know about a "error" result

This is what caused some of the python tests to not match knownfail
entries

s4-test: removed duplicate knownfail entry

s4-pvfs: another uninitialised variable

thanks to valgrind for this one

s3: Don't fail authentication when one or some group of require-membership-of is invalid.

Signed-off-by: Bo Yang <boyang@samba.org>

s4-pvfs: fixed uninitialised variable

This caused havoc on the build farm. Interestingly, it only affected
gcc 4.3.3, not gcc 4.4.1

s4:ldb_msg_check_string_attribute - add a comment about the result values

Revert "s4:ldb_msg - Use LDB constants on results"

This reverts commit 56a8baff3df6a5120b6c7bbca771dfb7c6934fd5.
Simo pointed out that I was wrong here.

s3:configure: fix avahi activation

Avahi was correctly found but not activated since e4a26c942.

s4:torture "cldap" test - rework and test more results

s4:sites - get the server site (name) from DSDB

s4:dcerpc_netlogon - unify the two workstation object lookups (DNS hostname and supported encryption types)

This is simply for better performance (no functional change).

s4:ldb_msg - Use LDB constants on results

s4:ldb_ldap - Fix intendation

s4-test: the ldap secdesc test is expected to fail for now

Nadya, if this is not correct and you think this should be passing
already the please let me know. When I looked over it, it doesn't look
like it has a chance of passing until your acl module is in place and
enabled by default.

s4-test: SMB2 oplocks in s4 are a mess

I don't have time to fix these right now, and as we don't advertise
SMB2 by default I'll mark it as a known failure till we start enabling
SMB2 by default.

s4: spelling error

s4-torture: fixed the streams tests for Samba4

In some cases we were not doing streams tests on s4 that we should. In
others, we were calling tests that are known to fail on s4. Some of
those are a bit puzzling.

s4-streams: fixed handling of stream rename and overwrite

s4-pvfs: rename with full name gives SHARING_VIOLATION

s4-pvfs: when reporting the file name, don't include the :$DATA suffix

s4-pvfs: the STREAM_INFORMATION calls don't need any access flags

s4-pvfs: fixed update of stream sizes

The data_blob_free() was changing the size we set the stream to

Fix posix_unlink test. Was doing grep without quotes around the
target string.
Jeremy.

s4-pvfs: more fixes for ACLs on file creation

The passed in SD is not used to limit the access mask allowed on file
create.

s4-smb2: fixed SMB2 find commands

The change to check for invalid \ prefix on SMB2 paths broke the
internal SMB2 code.

s4-pvfs: change the handling of access checking on create

Previously when a file was created, we produces the resulting access
mask based on an ACL check against the parent. This change means we
now calculate the inherited ACL much earlier, and produce the
resulting access mask from that ACL, or the user supplied ACL.

smb2-torture: samba4 allows SEC_FLAG_SECURITY to be used with privileges

s4: fixed howto for new binary name

Fix the smbtorture4 build. root_fid is a "union smb_handle". tridge
please check.
Jeremy.

Trying to find out why the posix_unlink test build farm is still failing even
though we're now successfully deleting the symlink.
Jeremy.

Merge branch 'master' of ssh://jra@git.samba.org/data/git/samba

s3:winbind: Move fillup_pw_field() as static to wb_fill_pwent.c

s4-smbserver: removed bogus initialisation of two union arms

Thanks to Metze for spotting this.

s4-pvfs: when uwrap is enabled, ignore chown errors

chown is expected to fail under uwrap

s4-torture: fixed the default ACL for s4

s4 returns group and world ACEs in the default acl, based on unix
permissions

s4-torture: minor debugging enhancements

s4-schema: We should not need Samba4TopExtra now

The last attribute this contained was 'privilege' which is now gone

s4-pvfs: don't auto-apply privilege bits in unix acl handling either

s4-acl: SEC_FLAG_MAXIMUM_ALLOWED doesn't auto-apply privilege access masks

s4-torture: the BASE-CREATEX_ACCESS test is broken for non-administrators

See my msg to samba-technical about this test and privilege testing.

s4-torture: cleanup after the MAXIMUM_ALLOWED test

s4-pvfs: use privileges rather than "uid == 0" in unix access check

This makes the unix access check much closer to the full ACL check

s4-security: honor more of the privilege access bits

s4-torture: add a special check for administrators and privileges

lsa privileges calls don't expand groups. darn.

s4-lsasrv: make sure only admins can alter privileges

s4-provision: added the default privileges db

privileges are now stored in a separate database

s4-provision: removed the old privilege attributes

Our schema is getting a bit cleaner :-)

s4-torture: show the sid we are basing privilege tests on

s4-privileges: moved privileges to private/privilege.ldb

We were storing privileges in the sam, which was OK when we were a
standalone DC, but is no good when we replicate with a windows DC.

This moves the privileges to a separate (local) database

added NT_STATUS_NOT_OK_RETURN_AND_FREE()

Try to make it a bit easier to avoid leaks in common code

Add comment explaining about symlink following & posix.
Jeremy.

Last 2 VFS_STAT -> LSTAT fixes I can see in the modules code.
Jeremy.

Fix one missing STAT -> LSTAT with POSIX pathnames in vfs_xattr_tdb.c. Caught by the torture tester. I love unit tests :-). Jeremy.

s3: build pam_smbpass when possible

s3-netlogon: fix updating trust accout passwords with downlevel domains.

When choosing the netlogon password set function, make sure to look at the
*negotiated* flags in the cli->dc state, not the ones we start the negotiation
with.

Guenther

nsswitch: increase libwbclient version after adding wbcChangeTrustCredentials().

Guenther

s3:packaging: Fix building RHEL packages.

Fix bug #6721.
Thanks to Eero Volotinen <eero.volotinen@medicel.com> for providing the patch!

Karolin

s3:srv_samr_nt - another fix for the reject reason

s4-smbtorture: extend netr_LogonControl test in RPC-NETLOGON.

Guenther

s3-netlogon: Fix _netr_ServerPasswordSet2 cleartext blob handling.

Following Andrew's advice, let's straight md4 the plaintext blob and avoid
trying to get a paintext string out of the input the client sends.

Guenther

s4-smbtorture: test wbcLookupUserSids in WINBIND-WBCLIENT as well.

Guenther

s4-smbtorture: test wbcGuidToString and friends as well in WINBIND-WBCLIENT.

Guenther

s4:provision - fixed invalid creationTime format

s4:ldb - fixed dangling pointer in ldb_request_add_control()

s4:auth - fixed problem reading bind DN from secrets database

s4:provision - replaced linked_attributes with FDS plugins

When FDS is used as a backend, Samba should not use the
linked_attributes LDB module, but instead use the built-in
DS plugins for attribute linking, indexing, and referential
integrity.

s4:auth_sam: Restructure tail in "authsam_get_server_info_principal" and fix a memory leak

s4:winsdb - Substitute LDB result numbers with constants

s3: Try to fix the build on Solaris & AIX regarding the password change reject reason

s4/drs(tort): prefixMap unit test initial implementatoin

s4/drs: prefixMap module initial definition

s4/drs(tort): fix compile time warning

s4/drs(tort): _drs_util_verify_attids() to verify ATTIDs in objects received

s4/drs(tort): drs_util_DsAttributeId_to_string() function

s4/drs(tort): _drs_ldap_attr_by_oid() implementation

Utility function to be used to fetch Attribute name and DN
giving attribute OID

s4/drs(tort): ignore drs/proto.h file

s4/drs(tort): oid_from_attid() reference implementation

Decode Attribute OID using prefixMap and
ATTID received during replication

Based on MS documentation. See MS-DRSR.pdf - 5.16.4

s4/drs(tort): TORTURE_DRS torture module - initial implementation

Drsuapi tests module registers two suites:
 - DRS-RPC - tests to be executed against remote machine
 - DRS-UNIT - unit test for internal testing

s4/drs: Propagate redefinition of drsuapi_DsReplicaOID into code base

The biggest change is that 'oid' field is transmited in binary format.
Also the field name is changed to 'binary_oid' so that
field format to be clear for callers.

After those changes, Samba4 should work the way it works before -
i.e. no added value here but we should not fail when
partial-oid is part of prefixMap transmited from Win server.

Also, thre is a bug in this patch - partial-binary-OIDs are
not handled correctly. Partial-binary-OIDs received during
replication will be encoded, but not handled correctly.

s4/drs(NDR): Print implementation for drsuapi_DsReplicaOID

Custom ndr_print functions is implemented so that transmited
partia-binary-oid to be printed both in hex and
partial-oid formats

s4/drs(NDR): Remove push/pull code for drsuapi_DsReplicaOID struct

New structure definition is automarshaled so custom marshaling
code is not used anymore

s4/asn1: Use explicite TALLOC_CTX in ber_write_OID functions

s4/drs(idl): Regenerate idl

s4/drs(idl): Redefine drsuapi_DsReplicaOID in drsuapi.idl

Structure redefined to be more similar with OID_t structure
defined in [ref. MS-DRSR.pdf - p.496].

s3-libnetapi: add nltest tool.

Guenther

s3-libnetapi: add I_NetLogonControl{2} example code.

Guenther

s3-libnetapi: add I_NetLogonControl{2} to public headers.

Guenther

s3-libnetapi: fill in I_NetLogonControl{2}_r.

Guenther

s3-libnetapi: add I_NetLogonControl{2} skeleton.

Guenther

s3-libnetapi: add I_NetLogonControl{2} to IDL.

Guenther

s4-winsrepl: don't put in attributes with no elements

Empty attributes are no longer allowed by ldb. This also fixes the
error checking in winsdb_message()

This fixes the samba4.nbt.winsreplication test

s3-selftest: enable WINBIND-WBCLIENT against s3.

Guenther

s4-smbtorture: add very basic libwbclient testsuite.

Guenther

s3-net: fix build warning (missing default in switch).

Guenther