s3-spnego: fix memleak in spnego_parse_auth().

Guenther

s3-spnego: Fix Bug #6815. Windows 2008 R2 SPNEGO negTokenTarg parsing failure.

When parsing a SPNEGO session setup retry (falling back from KRB5 to NTLMSSP),
we failed to parse the ASN1_ENUMERATED negResult in the negTokenTarg, thus
failing spnego_parse_auth() completely.

By just using the shared spnego/asn1 code, we get the parsing the correct way.

Guenther

s4:w32err_code.py script - put it under "scripting/bin"

I think this is a better location for this script. Since the subdirectory
"script" of "source4" contains only scripts for "make install" and "make
uninstall".

s3/docs: Add missing meta data to man ldbrename.

Avoid warnings.

Karolin

s4-smb: fill in fnum as well for root_fid

This helps with the CIFS NTVFS backend, but doesn't solve all problems

s4-selftest: mark some CIFS backend tests as known fail

The CIFS passthru NTVFS doesn't handle some options yet (eg. root_fid)

s4-smbserver: fixed root_fid in nttrans create

s4-libcli: fixed structure element bug in ntcreatexreadx

This one didn't matter until the root_fid changed the alignment of the
two structures.

s4-torture: catch bad command line options

It is annoying when you mistype a command line option and aren't told.

s4-pvfs: implement root_fid support in posix backend

Construct the filename from the old handle and the new name.

s4-smb: declare root_fid as a file handle

In order to implement root_fid in the s4 SMB server we need to declare
it as a handle type, just as for other fnum values in SMB. This
required some extensive (but simple) changes in many bits of code.

s4-pvfs: fixed handling of SEC_FLAG_MAXIMUM_ALLOWED

The CREATEX_ACCESS test shows that this is used as a bit test, not a
equality test

s4-ldaptest: "testgroup" is a bit too common

This failed on one of my test boxes that has a group called
"testgroup". using "testgroupXX" should be a bit better.

s4:ntlmssp server - use also here the new "lp_dnsdomain()" call

s4:auth/credentials/credentials - fix uninitalised pointers

This should fix bug #6755.

s3: fix outdated proto.h causing build error on AIX

Matthias, please check!

s4-ldap: test the rDN size limit

s4-dsdb: implement limit on rDN length

w2k8 imposes a limit of 64 characters on the rDN

s4-ldb: removed incorrect rDN length test

This is a property of AD, not ldb, so should be in our ldb
modules.

s4-ldb: removed bugus RDN length check

This isn't the rDN !

s4-script: flush DNS after adding new addresses

s4-devel: for devel scripts its better to use bin/ than $PREFIX/bin

This avoids having to do make install after each change when using the
drs devel scripts

s4-drs: support DRSUAPI_DRS_ADD_REF flag

The DRSUAPI_DRS_ADD_REF flag tells the DRS server to run an UpdateRefs
call on behalf of the client after the DsGetNCChanges call. The lack
of support for this option may explain why the repsTo attribute was
not being created for w2k8-r2 replication partners.

s4-drs: implement more of DsUpdateRefs

The DsUpdateRefs calls takes a set of flags that indicates if the
server should ignore specific add/delete error codes.

This patch also exposes the core UpdateRefs call into a public
function, so that it can be called from DsGetNCChanges

ldb: fixed display of replUpToDateVector

drs: improved error checking

Check the validity of the requested options in DsGetNCChanges

s4-dsdb: added samdb_rodc() and samdb_ntds_options()

Later we will need to make samdb_rodc() look in the database, but for
now we should at least have the function in a central place

libds: added nTDSDSA options flags

idl: added WSPP DrsOptions bit names

This should make it much easier to work through the logic in MS-DRSR

Fix the build, missing ->.
Jeremy.

Final part of fix for bug 6793 - winbindd crash with "INTERNAL ERROR: Signal 6"
Don't use mapped_user uninitialized.
Jeremy.

s3:winbind: Fix a double-free

Part of a fix for bug #6793.

s3:winbind: Fix bug 6793 -- segfault in winbindd_pam_auth

s3-build: we need to have talloc 2.0.1 when building with external talloc.

2.0.0 did not got the exports right.
This and the 2.0.1 talloc fixes resolve bug #6808.

Guenther

talloc: Fix exports and increment talloc version

talloc: Make abi checks in release script

Make always sure the exports and signature files are up to date before
shipping a release.

talloc: Move release script under /script too

talloc: Change the way mksysms work

Make sure we always have a sorted (per file) export file.
This way we can directly compare the real export and the check file w/o having
to further sort things.

Also return error code from abi_checks.sh if warnings were reported

s3-passdb: missed two prototypes while moving to enum netr_SchannelType.

Guenther

s4:torture cldap test - Add checks for the right forest DNS name

s4:password_hash - load the domain parameters from the "loadparm context"

And don't cut them out from the DNS hostname.

s4:torture - fix up "ldap_basic" test

s4: Changes the old occurences of "lp_realm" in "lp_dnsdomain" where needed

For KERBEROS applications the realm should be upcase (function "lp_realm") but
for DNS ones it should be used lowcase (function "lp_dnsdomain"). This patch
implements the use of both in the right way.

s4:loadparm - adapt "realm" handling

Change "lp_realm" behaviour to return the realm always upcased and add a
function "lp_dnsdomain" which returns it always lowcased.

s3: Fix reference to freed memory in pam_winbind.

Signed-off-by: Bo Yang <boyang@samba.org>

Revert "s4:hdb-samba4 - Don't double-free "db""

This reverts commit 11a8a54c825a52d7dd6ab78bc7aeff2d719327d2.

The actual fix for bug 6801 is in hdb_end_seq_get() - this attempt
leaks 'db' instead.

Andrew Bartlett

s4:heimdal A real fix for bug 6801

The issue was that we would free the entry after the database, not
knowing that the entry was a talloc child of the database.

Andrew Bartlett

s3:net: simplify padding to single printf call

s3:net simplify padding to single printf call

s3:net: Fix a segfault in "net rpc trustdom list" for overlong domain names

That was a complicated way to say "%-20.s"... But that code was from 2002 ...

Remove use of "int ret" when we already have errcode.
Jeremy.

Catch one more erroneous use of errno.
Jeremy.

correctly handle aio_error() and errno

s3:torture: Add a notify-bench test

This is a test that creates and deletes files in a directory as fast as the
network allows it. At the same time, it opens a filechangenotify. This test is
done to just torture handling a single directory together with the notify
infrastructure.

s3:libsmb: Add cli_notify

s3:rpc: Fix is_known_pipename for dynamically loaded pipes

s3: Fix some nonempty blank lines

s3: Fix vfs_shadow_copy2 to allow in-path @GMT-xxx

s3/loadparm: Fix severe HPUX compiler issue.

Members of struct should be initialized explictly.
Fixes bug #6804.

s4:hdb-samba4 - Don't double-free "db"

"db" is freed anyway after the destructor terminates so this does really make
no sense here (rather it makes code crash).

Should fix bug #6801.

s4:dcesrv_samr - add another constant

s4:dcesrv_samr - prevent "ldb_modify" on a possibly empty message

In this code part under certain circumstances we can end up with an empty message.
Since our new behaviour denies them (like the real AD) we need to bypass them
on LDB modify calls.

s4:dcesrv_samr - Add additional "talloc_free"s

s4:dcesrv_samr - Cosmetics

Make more use of constants and add some braces around "if" blocks

s4:ldb_tdb - Revert some introduced "trivial gotos"

I hope that this makes abartlet & simo happy again (consider mailing list).

Enhance ".gitignore" file for s4

s3-winbindd: add wbint_ChangeMachineAccount implementation.

Guenther

docs: document wbinfo -c.

Guenther

nsswitch: add wbinfo -c (change trust account passwords).

Guenther

libwbclient: add wbcChangeTrustCredentials.

Guenther

docs: document wbinfo -t --domain DOMAIN behavior.

Guenther

netlogon: add NL_PASSWORD_VERSION to IDL.

Guenther

s3: use enum netr_SchannelType all over the place.

Guenther

s3-netlogon: allow to change any type of trust account password in trust_pw_find_change_and_store_it().

Guenther

s4-repl: check that a DsGetNCChanges is a continuation, and fix sorting

When we indicate that a getncchanges request is not complete, we set
the more_data flag to true in the response. The client usually then
asks for the next block of data. If the client decides it wants to
skip that replication and do a different replication then we need to
make sure that the next call is in fact a continuation of the existing
call, and not a new call.

This relies on returning the results sorted by uSNChanged, as the
client uses the tmp_highest_usn in each result to see if progress is
being made.

Merge branch 'master' of ssh://git.samba.org/data/git/samba

pidl: don't warn for compatible scalar types in unions

When we have an enum that is used as a union discriminator, what
matters is that the scalar mappings are the same, not if the types are
the same (otherwise we get warnings about uint1632).

Thanks to gd for noticing this.

s3-netlogon: pass down account name to remote password set functions.

Guenther

ѕ3: fix domain trust documentation confusion

fix some trusted/trusting mixups, make documentation more precise
and man page more verbose.

s4:provision.py - simplify the "realm" variable handling a bit

(Remove unneeded "upper"s)

s4:objectclass ldb module - Check for empty messages

I think the check for empty messages fits best here.

s4:wbclient.h - add compatibility constants

This is the result of a discussion on samba-technical on how to deal best with
existing programs which don't support my changes in the interface yet. Metze
pointed out this "defines" as a possibility and simo and I agreed.

Revert "s4:ldb - add a check which has to be done on beginning of a "modify" operation"

This reverts commit f9990e9b391f330a8e6c5c158ee4e4eaa50f6176.

abartlet claims that this behaviour is too AD specific to put here. Btw I had
also some doubts if this is clean enough. I put it only here to make "ldap.py"
pass.

I'll try to find a new solution soon.

s3-docs: remove xml artefact from net.8.xml.

Guenther

s4:ldb Allow a NULL module list

s3/proto.h: Add lp_ldap_ref_follow prototype.

Fix build of smbldap.

Karolin

s3/smbldap: add option to disable following LDAP refs

Fix bug #6717.

Allow (and ignore) distinguishedName on special records

They are not stored, so we can ignore them (makes copying records much
easier)

Andrew Bartlett

s4:schema Add some error checking to the schema load

s4:dsdb Make dsdb_read_prefixes_from_ldb static

s4:ldb Reload the 'ltdb_cache' when @OPTIONS changes

(Otherwise setting the check base on search option is not applied
until after a reload).

Andrew Bartlett

s4:ldb Allow a module string of ""

(We may have no modules set)

Andrew Bartlett

s4:dsdb Search for the schema with dsdb_module_search(), in schema_fsmo

This avoids using an ldb_search(), which would run from the top of the
module stack.  This will help us load the schema before the partitions
are initialised.

Andrew Bartlett

s4:dsdb Add new functions to help modules do an ldb_search()

These take an ldb_module argument, and avoid doing the search from the
top of the stack again.

(This will help when modules are initialised before being added to the
partition set)

Andrew Bartlett

s4:provision Remove all references to samba4LocalDomain

This was a bad idea all along, as Simo said at the time.  With the
full MS schema and enforcement of it, it is an even worse idea.

This fixes the provision of the member server in 'make test'

Andrew Bartlett

s4:provision Clarify that we set, rather than modify, objectGUID values

s4-selftest: don't run benchmarks on the build farm hosts

torture: fixed socket leak in BENCH-TCON test

The BENCH-TCON test was leaving the socket open. A smbclie_tdis()
closes the tree connection, but does not close the socket.

This caused the build farm to run out of file descriptors

scripts: handle non-C files in minimal_includes.pl

s4-drs: make DsBind a bit less verbose