s4-smbtorture: add stricter tests for LSA-LOOKUPNAMES replies.

Guenther

s4-smbtorture: move all LookupNames tests into RPC-LSA-LOOKUPNAMES.

Guenther

s3:configure: add support for Solaris' ld -z ignore

try linker flags for ignoring unused libs in this order:
-Wl,--as-needed (gcc like + binutils)
-Wl,-z,ignore (gcc like + Solaris linker)
-z ignore (old Sun C)

s3: make unresolved symbols in libs throw errors

except for the Samba internal plugins unresolved symbol references should not
show up in shared libraries. For historical reasons it's the default behaviour
of linkers to ignore those in shared libs. We use -z defs (alias
--no-undefined) to not ignore them in shared libs.

s3: allow using different LDFLAGS for internal libs/plugins

internal libs have unresolved symbols intentionally.
Thanks to Buchan Milne for suggestion and patch. This addresses #6792.

s4-torture: fixed a pipe leak

The RPC-SAMR-PASSWORDS* tests could leak RPC pipes, causing an
overallocation of fd's on the server

s4-selftest: the secleak test is not designed for automated running

s4: ran minimal_includes.pl on source4/auth/gensec

s4: ran minimal_includes.pl on source4/auth/ntlmssp

s4: ran minimal_includes.pl on source4/auth/ntlm

s4: ran minimal_includes.pl on source4/client

s4: ran minimal_includes.pl on source4/rpc_server

s4: ran minimal_includes.pl on source4/winbind

s4-torture: ran minimal_includes.pl over source4/torture

This reduces compile time somewhat.

s4-script: cleanup tmp files in minimial_includes.pl

also changes to use perl fns, instead of shell

s4-selftest: skip two more scanners

Protocol scanners are not any use in the build farm

s4-torture: fixed a fd/mem leak in the RPC-LSA-SECRETS test

This test left a large number of lsa pipes open, which could trigger
the server running out of fds

s4-selftest: skip the trans2.scan test

This test consumes a huge number of file descriptors on the server
(random binds to the WKSSVC pipe)

s4-dsdb: fixed empty structure error on solaris8

Nadya, I'm guessing you plan on adding some real elements to this
structure later. For now I've added _dummy so the build can continue
with the Solaris C compiler.

s4-idl: don't call a variable 'stat'

never call a structure member by the name of a standard C lib call. It
breaks the build on some systems.

lib-util: check for too many combinations in generate_unique_strs()

tdb: fixed the intermittent failure of tdbtorture in the build farm

There was a race condition that caused the torture.tdb to be left in a
state that needed recovery. The torture code thought that any message
from the tdb code was an error, so the "recovered" message, which is a
TDB_DEBUG_TRACE message, marked the run as being an error when it
isn't.

Fixes for typos. Thank-you PC Oota.

wbinfo: use wbcLookupDomainControllerEx for wbinfo --dsgetdcname.

Guenther

libwbclient: fix wbcLookupDomainController().

Found by WINBIND-WBCLIENT torture test.

Guenther

s4-smbtorture: test wbcLookupDomainController{Ex} in WINBIND-WBCLIENT.

Guenther

gitignore: remove old netlogon prototypes.

Guenther

s4:torture "cldap" test - restore the removed constraints and add more

Consider for description the post on the technical mailing list. I hope that this
satisfies abartlet again.

s4:password_hash LDB module - substitute "lp_workgroup" with "lp_sam_name"

According to abartlet's response on my post about "lp_workgroup" this should be
the right call.

selftest: try to get the valgrind errors showing again in the build farm

util: fixed generate_unique_strs() to be portable

'place' was going negative, and giving undefined results. The result
was duplicate names which gave errors in SMB2-DIR on PPC and other
systems.

s4-selftest: fixed 'make testenv'

The 'TERM' variable is used for terminal type, so we can't use it for
what terminal to use.

s4-pyldb: fixed 64 bit issues

The python argument parse functions take standard C types, not enums
and time_t. This broken the python interface on PPC.

s4-idmap: the idmap database should be indexed

s4-libnet: fixed privilege handling in samsync to use the right db

I only noticed this one because of Karolins spelling fix :-)

s4-pvfs: fill in alignment_requirement (valgrind error)

s4:test: Fix typo.

Karolin

Fix typo.

privilage -> privilege

Karolin

Revert "selftest: fixed filter to know about a "error" result"

This reverts commit 1de7e43fb4a4863e3663af8b2a2d9f19cf82d7f3.

This is much more delicate than it seems

s4-selftest: move secdesc.python test to skip list

This test produces a python backtrace due to
LDAP_INSUFFICIENT_ACCESS_RIGHTS errors, which are expected until the
new acl code is finished. The python backtrace overrides the
'knownfail' listing, so we need to skip this test for now.

selftest: fixed filter to know about a "error" result

This is what caused some of the python tests to not match knownfail
entries

s4-test: removed duplicate knownfail entry

s4-pvfs: another uninitialised variable

thanks to valgrind for this one

s3: Don't fail authentication when one or some group of require-membership-of is invalid.

Signed-off-by: Bo Yang <boyang@samba.org>

s4-pvfs: fixed uninitialised variable

This caused havoc on the build farm. Interestingly, it only affected
gcc 4.3.3, not gcc 4.4.1

s4:ldb_msg_check_string_attribute - add a comment about the result values

Revert "s4:ldb_msg - Use LDB constants on results"

This reverts commit 56a8baff3df6a5120b6c7bbca771dfb7c6934fd5.
Simo pointed out that I was wrong here.

s3:configure: fix avahi activation

Avahi was correctly found but not activated since e4a26c942.

s4:torture "cldap" test - rework and test more results

s4:sites - get the server site (name) from DSDB

s4:dcerpc_netlogon - unify the two workstation object lookups (DNS hostname and supported encryption types)

This is simply for better performance (no functional change).

s4:ldb_msg - Use LDB constants on results

s4:ldb_ldap - Fix intendation

s4-test: the ldap secdesc test is expected to fail for now

Nadya, if this is not correct and you think this should be passing
already the please let me know. When I looked over it, it doesn't look
like it has a chance of passing until your acl module is in place and
enabled by default.

s4-test: SMB2 oplocks in s4 are a mess

I don't have time to fix these right now, and as we don't advertise
SMB2 by default I'll mark it as a known failure till we start enabling
SMB2 by default.

s4: spelling error

s4-torture: fixed the streams tests for Samba4

In some cases we were not doing streams tests on s4 that we should. In
others, we were calling tests that are known to fail on s4. Some of
those are a bit puzzling.

s4-streams: fixed handling of stream rename and overwrite

s4-pvfs: rename with full name gives SHARING_VIOLATION

s4-pvfs: when reporting the file name, don't include the :$DATA suffix

s4-pvfs: the STREAM_INFORMATION calls don't need any access flags

s4-pvfs: fixed update of stream sizes

The data_blob_free() was changing the size we set the stream to

Fix posix_unlink test. Was doing grep without quotes around the
target string.
Jeremy.

s4-pvfs: more fixes for ACLs on file creation

The passed in SD is not used to limit the access mask allowed on file
create.

s4-smb2: fixed SMB2 find commands

The change to check for invalid \ prefix on SMB2 paths broke the
internal SMB2 code.

s4-pvfs: change the handling of access checking on create

Previously when a file was created, we produces the resulting access
mask based on an ACL check against the parent. This change means we
now calculate the inherited ACL much earlier, and produce the
resulting access mask from that ACL, or the user supplied ACL.

smb2-torture: samba4 allows SEC_FLAG_SECURITY to be used with privileges

s4: fixed howto for new binary name

Fix the smbtorture4 build. root_fid is a "union smb_handle". tridge
please check.
Jeremy.

Trying to find out why the posix_unlink test build farm is still failing even
though we're now successfully deleting the symlink.
Jeremy.

Merge branch 'master' of ssh://jra@git.samba.org/data/git/samba

s3:winbind: Move fillup_pw_field() as static to wb_fill_pwent.c

s4-smbserver: removed bogus initialisation of two union arms

Thanks to Metze for spotting this.

s4-pvfs: when uwrap is enabled, ignore chown errors

chown is expected to fail under uwrap

s4-torture: fixed the default ACL for s4

s4 returns group and world ACEs in the default acl, based on unix
permissions

s4-torture: minor debugging enhancements

s4-schema: We should not need Samba4TopExtra now

The last attribute this contained was 'privilege' which is now gone

s4-pvfs: don't auto-apply privilege bits in unix acl handling either

s4-acl: SEC_FLAG_MAXIMUM_ALLOWED doesn't auto-apply privilege access masks

s4-torture: the BASE-CREATEX_ACCESS test is broken for non-administrators

See my msg to samba-technical about this test and privilege testing.

s4-torture: cleanup after the MAXIMUM_ALLOWED test

s4-pvfs: use privileges rather than "uid == 0" in unix access check

This makes the unix access check much closer to the full ACL check

s4-security: honor more of the privilege access bits

s4-torture: add a special check for administrators and privileges

lsa privileges calls don't expand groups. darn.

s4-lsasrv: make sure only admins can alter privileges

s4-provision: added the default privileges db

privileges are now stored in a separate database

s4-provision: removed the old privilege attributes

Our schema is getting a bit cleaner :-)

s4-torture: show the sid we are basing privilege tests on

s4-privileges: moved privileges to private/privilege.ldb

We were storing privileges in the sam, which was OK when we were a
standalone DC, but is no good when we replicate with a windows DC.

This moves the privileges to a separate (local) database

added NT_STATUS_NOT_OK_RETURN_AND_FREE()

Try to make it a bit easier to avoid leaks in common code

Add comment explaining about symlink following & posix.
Jeremy.

Last 2 VFS_STAT -> LSTAT fixes I can see in the modules code.
Jeremy.

Fix one missing STAT -> LSTAT with POSIX pathnames in vfs_xattr_tdb.c. Caught by the torture tester. I love unit tests :-). Jeremy.

s3: build pam_smbpass when possible

s3-netlogon: fix updating trust accout passwords with downlevel domains.

When choosing the netlogon password set function, make sure to look at the
*negotiated* flags in the cli->dc state, not the ones we start the negotiation
with.

Guenther

nsswitch: increase libwbclient version after adding wbcChangeTrustCredentials().

Guenther

s3:packaging: Fix building RHEL packages.

Fix bug #6721.
Thanks to Eero Volotinen <eero.volotinen@medicel.com> for providing the patch!

Karolin

s3:srv_samr_nt - another fix for the reject reason

s4-smbtorture: extend netr_LogonControl test in RPC-NETLOGON.

Guenther

s3-netlogon: Fix _netr_ServerPasswordSet2 cleartext blob handling.

Following Andrew's advice, let's straight md4 the plaintext blob and avoid
trying to get a paintext string out of the input the client sends.

Guenther