s3: Remove unused winbindd_lookupsid_async

s4-schema: fixed the sorting of schema attributes

another case of unsigned int subtracting breaking sorts. This one
surfaced now as attributeID_id now can be larger than 2^31

s4-torture: update uuid_compare test for new behaviour

s4-drs: Implement constraints on ATTID values in prefixMap

Ref: MS-ADTS, 3.1.1.2.6 ATTRTYP

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-tort: Test handling of different ATTID values in prefixMap interface.

It turns out ATTID values are separated in ranges.
Ref: MS-ADTS, 3.1.1.2.6 ATTRTYP

Signed-off-by: Andrew Tridgell <tridge@samba.org>

Adapted acl module to skip checks if as_system control is provided.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drs: Save prefix map using LDB_CONTROL_AS_SYSTEM control

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-dsdb-util: Execute ldb_request using LDB_CONTROL_AS_SYSTEM

This function is intended to be used when data needs
to be modified skipping access checks.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-dsdb-util: Utility function to process ldb_request in transaction

This function is to be used later for manually crafted
ldb_requests from within dsdb layer

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-schema: Implement msDS-IntId attribute generation

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-schema: Constraints on msDS-IntId attribute

This attribute can not be modified on existing schema object.

msDS-IntId is not allowed during attribute creation also.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-schema: Set ATTID in schema cache from "msDS-IntId"

According to http://msdn.microsoft.com/en-us/library/cc223224%28PROT.13%29.aspx
some Attributes OIDs may not use prefixMap.
Setting ATTID in Schema Cache here should work, although
this code snippet should be moved in separate function.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

Revert "s4-drs: cope with bogus empty attributes from w2k8-r2"

This reverts commit 1287c1d115fb7e8f3954bc05ff65007968403a9c.

Next patch should fix the "not recognized ATTIDs" problem

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-tort: Tests for "msDS-IntId" attribute implemented

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-tort: Move Schema tests from ldap.py into separate module

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drs: Fix bug - prefixMap is not updated when adding new OIDs.

The bug is that prefixMap is updated only memory when
adding new Classs/Attribute that has and OID not in
prefixMap already.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drstest: Don't remove temp LDB so it can be reviewed if necessary

This test makes temp directory which is not removed
so why not just leave LDB also.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-repl: give a reason why the prepare commit failed

s4-kcc: don't crash with a NULL ntds connection list

s4-repl: only try to replicate for NCs that we are a master for

s4-torture: another unsigned comparison bug

s4-schema: a unsigned comparison bug in the schema code

s4-drs: another two unsigned comparison bugs

librpc: fixed the GUID_compare() function

When comparing two unsigned values you can't just subtract
them.

Imagine you are comparing: "uint32_t u1" and "uint32_t u2". If you use
"u1 - u2" and u2 is zero, then the signed integer result will depend
on the top bit of u1.

This error occurs in a few places in Samba. For DRS replication it
resulted in corrupt uptodateness vectors.

s4-repl: lower debug level of a common message

s4-dsdb: don't use a non-constant format string for a printf format

s4-dsdb: added DSDB_MODIFY_RELAX flag to the dsdb_module_*() calls

s4-dsdb: added dsdb_get_extended_dn_uint64()

s4-dsdb: use varargs expression in dsdb_module_search()

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: added two new dsdb_get_extended_dn_*() helper functions

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-provision: added a note about where invocationIDs come from

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: give us an invocationID when in standalone mode

To allow us to use the repl_meta_data module in standalone mode (and
thus not have two module stacks to test), we need a invocationID
stored somewhere when standalone. This creates a random one, and
stores it in @SAMBA_DSDB.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s3: Fix an error case in cli_negprot

tevent: prefix types and defined with tevent_ and TEVENT_

This fixes the build warnings on some build-farm hosts.

metze

Output %p as unsigned in snprintf replacement.

s4:kdc: setup the local and remote tsocket_address at accept time

metze

s4:kdc: convert UDP based communication to tdgram_context

metze

Actually explain the twisty paths of tortured logic behind
reply_doserror(), reply_nterror(), and reply_nterror(NT_STATUS_DOS()).

Fix the call in rely_openerror() to actually force a DOS error
for "too many open files".

Jeremy.

reply_doserror() doesn't force DOS errors on the wire.

Start migrating uses of reply_doserror() to reply_nterror() with the
correct mapping. Eventually we'll get to the point where we can
change reply_doserror() to force a DOS error code on the wire,
and can change calls to reply_nterror(req, NT_STATUS_DOS()) - which *does*
force DOS errors on the wire - to reply_doserror(). Which might
actually make the server code look like it's making sense.

Jeremy.

reply_force_nterror() is not used anywhere. Remove it.
Jeremy.

s4 torture: Add test to show archive bit behavior with directories

Signed-off-by: Tim Prouty <tprouty@samba.org>

s4 torture: Fix RAW-STREAMS-DELETE to pass against samba3

Added freeing a successful req so it doesnt croud the ldb context

Added oid for AS_SYSTEM control, used to bypass access checks for system operations.

s3-docs: mention pam_winbind.conf(5) manpage in pam_winbind(8) manpage.

Guenther

s3-docs: add new pam_winbind.conf(5) manpage.

Guenther

s4-dsdb: stop warnings about unknown struct GUID in prototypes

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldb: fixed a valgrind error in ldbtest

we were using msg->dn after the ldb it contained had been freed

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: greatly simplify the subtree_delete module

We can use dsdb_module_search() to make this much simpler

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: declare ldb_dn_update_components()

s4-dsdb: added ldb_dn_update_components()

This is used to udpate just the DN components of a ldb_dn, leaving the
other extended fields alone. It is needed to prevent linked attribute
updates from removing other extended components.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: fixed the sort in dsdb_find_nc_root()

s4-ldb: display msDS-OptionalFeatureGUID as a GUID

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-scripts: add a enablerecyclebin script

This can be used to enable the recyclebin on a windows box. Once we
properly implement this feature in samba we will use this to enable
the feature on ourselves as well.

s4-ldb: canonicalise the message on ldb_add

This canonicalise avoids a problem with an add that has multiple
elements with the same el->name. That is allowed by MS servers, and by
ldb, but it breaks things like the tdb backend and the repl_meta_data
RPMD handling.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: Add a test for adding, deleting, and appending a posixAccount objectClass to a user

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: fix handling of AUX classes in objectclass_sort

This is done by sorting the classes by subClass_order, which will
check if the last structural class is valid to add (in
objectclass_do_add instead checking the last class in the list).

They were being sorted by building a class tree, and adding the
classes to the list in that order. However, AUX classes usually don't
fit into that tree, so LDB_ERR_OBJECT_CLASS_VIOLATION was returned. I
have changed the behavior to sort the classes by subClass_order
instead.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: return an error if samAccountName is not specified when creating a user.

Makes sure samAccountName has been specified before adding a
user. This happened while I was trying to add a user with the
posixAccount objectclass. I forgot to specify the user objectClass,
and samba segfaulted. It now returns LDB_ERR_CONSTRAINT_VIOLATION.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: Move get_last_structural class from descriptor.c to util.c

It can now also be used by objectclass.c

get_last_structural_class now ignores AUX classes, because they are
not structural

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: Add a check to prevent acl_modify from debuging a NULL message

Check to see if there were any messages passed to acl_modify before
debugging the first one. I think I caused this by some malformed
LDIF.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

Return NULL in strlower_talloc if src is NULL

Prevents strlower_talloc from segfaulting if you pass it a NULL string.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4:provision Give a more useful error message in guess_names

The problem here is that as we start to get 'real users' they still
decide to do silly things, like load empty but existing smb.conf
files.  Let's give them a better chance to discover what they did
wrong.

Andrew Bartlett

Always map EMFILE to ERRDOS, ERRnofids, *NOT* NT_STATUS_TOO_MANY_OPENED_FILES.
This is what W2KR3 does for NTCreateX and openX calls. May be the correct fix
for bug 6837 - "Too many open files" when trying to access large number of files.
Jeremy.

Vector correctly through reply_openerror() (which uses the same logic).
Jeremy.

s4 torture: RAW-STREAMS-NAMES Make sure the create time of the streams are different from the base file

s4 torture: Add RAW-STREAMS-RENAME3 to show error when trying to overwrite a stream with an open handle

A normal file overwrite in this case would return NT_STATUS_ACCESS_DENIED,
but if a stream is the target NT_STATUS_INVALID_PARAMETER is returned.

s4 torture: Parameterize streams delete behavior rather than commenting out the check.

s4 torture: RAW-STREAMS-CREATEDISP Use a normal deny mode

s4 torture: close handle instead of using exit

Update default with correct value. Add a note about Win7 behavior
here.
Jeremy.

Fix bug #6939 - mangling method = hash breaks long filenames.

We were returning the wrong sense of the bool. must_mangle()
has to return !NT_STATUS_IS_OK, not NT_STATUS_IS_OK.

Jeremy.

s4:"samdb_set_password" - remove delete instructions

They won't work when the LDB change is done using "samdb_replace"
(consider "samr_password.c" functions).

I think this has been a relict which has been useful before the "password_hash"
module existed. Basically it itself does now the updates.

s4-smbtorture: skip GetAliasMembership against s4.

It returns NT_STATUS_INTERNAL_DB_CORRUPTION for unknown sids and I could not
figure out why.

Guenther

Fixed incorrect checking of PRINCIPAL_SELF permissions.

If an ace has the PRINCIPAL_SELF as trustee, this sid has to be replaced with
the onjectSid of the object being checked. PRINCIPAL_SELF is the way to grant rights
to an account over itself.

s4-smbtorture: add a samr_GetAliasMembership test to RPC-SAMR.

Guenther

tdbtool: avoid using c++ reserved words.

Guenther

s3: Run RPC-SAMBA3-GETALIASMEMBERSHIP-0 in make test

s4:dsdb/common/util - make NTTIME attribute wrappers use a "const" message

There is no reason to have the message non-const here.

s3: Fix bug 6992, make test for getgrouplist cacheable

s4-smbtorture: fix smbtorture after setprinter IDL fixes.

Guenther

s3-spoolss: fix rpcclient after setprinter IDL fixes.

Guenther

spoolss: more mork on SetPrinterInfo() levels.

Guenther

s4-ntvfs: check if pvfs is NULL in pvfs_logoff

pvfs can be NULL if the directory a share points to does not exist. In
this case, there would be no open files, so it is safe to just return
from the function.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4:gensec: allow clearing local and remote address by passing NULL

metze

s4-gensec: Remove obsolete socket_address vars and fns.

s4-gensec: Replace gensec_get_peer_addr with new tsocket based fn.

s4-gensec: Replace gensec_set_peer_addr with new tsocket based fn.

s4-gensec: Replace gensec_get_my_addr with new tsocket based fn.

s4-gensec: Replace gensec_set_my_addr() with new tsocket based fn.

s4-gensec: Added remote and local setter/getter using tsocket.

Final part of the fix for 6837 - "Too many open files" when trying to access large number of files

Win7 needs a min of 16k file handles to work against a
server.

Jeremy.

Add helpful debug of DACL for errors on ACL access.
Jeremy.

spoolss: add spoolss_DriverInfo7.

Guenther

s3-pdbedit: allow to call "pdbedit -N description -u user" without specifiyng "-r".

Guenther

s4-dsdb: also mark the relax control non-critical when done

s4-dsdb: it is a better pattern to mark a control as done than remove it

removing a control means it can't be seen by any other modules, which
is usually not what is wanted. Better to just mark it non-critical,
which means anyone else who wants to look at it can, but if nobody
does its not an error.

s4-dsdb: when the SD_FLAGS control is set, don't remove nTSecurityDescriptor

s4-dsdb: don't actually remove the sd_flags control, just mark it non-critical

For controls that need to be seen by more than one module, it is best
to just mark them non-critical when handled, instead of removing
them. Otherwise lower modules can't see them.

In this case we want the operational module to see the SD_FLAGS
control

s4-ldb: show the OID of any unhandled critical controls

It isn't very useful just saying that a control is not supported,
without saying which one is the problem

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldb: fixed a transaction error on prepare_commit

when a prepare commit fails, we need to give a cancel to all modules,
not a commit!

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>