r12064: pass back the socket level error correctly (so we get
NT_STATUS_CONNECTION_REFUSED when a KDC is not listening)
(This used to be commit 0f85fc204c6018f8403c2e8f75f683aed38ba83b)

r12063: fixed the krb5 client code to handle ICMP port unreachable errors, and
error out immediatelly. This prevents a long timeout
(This used to be commit f6c0fccc06060582ef870a0ac590dabeec2f2e6a)

r12062: SASL negotiation now requires a gensec_security context, so that we
only try permitted mechanims.

Andrew Bartlett
(This used to be commit 0f50239dc40ee128e4985f8aec5bb5f440a4f3f0)

r12061: Add missing file to previous commit.  This provides a hook on which to
attach a restriction on available GENSEC mechanisms.

Andrew Bartlett
(This used to be commit 8154f2421f828be65ee89f21ed7ac0f5e2132ca9)

r12060: Work towards allowing the credentials system to allow/deny certain
GENSEC mechansims.  This will allow a machine join to an NT4 domain to
avoid even trying kerberos, or a sensitive operation to require it.

Andrew Bartlett
(This used to be commit 11c7a89e523f85afd728d5e5f03bb084dc620244)

r12059: Use random keytab names (so we get different keytabs, rather than
share the MEMORY: keytab).

Andrew Bartlett
(This used to be commit 6c43de27086d3c463891598eb55a44877194cb0d)

r12058: Set an anonymous fallback, if the machine account isn't available.

Andrew Bartlett
(This used to be commit 55cb72f5cfe9a2c520c30e11ab34896588e91730)

r12057: fixed authentication in ldb client tools
(This used to be commit 020de11a61a1aa2c77c0a308186c85960c10fe32)

r12056: Some clarification fixes for the keytab code, and use the right
function for enctype to string.

Andrew Bartlett
(This used to be commit ae6c968cb27f451e5f8cea62be7f33b4b4716f82)

r12037: Fix malloc corruption caused by double-free(), where realloc(ptr, 0)
is equivilant to free().

This is the issue tridge was seeing in the MEMORY: keytab code.

Andrew Bartlett
(This used to be commit d5a2de8ef06a08274d25ab005f2a68ec32e226f0)

r12036: Fix more KDC memory leaks (and there are probably still more...).

Andrew Bartlett
(This used to be commit 0c4ea6f6413e260a15c0afe331a066ea7051fd9f)

r12035: Fix memory leaks in the KDC.

Andrew Bartlett
(This used to be commit b60531b109cf9539a9d58d46436f397346352cee)

r12024: do some extra sleeping to give the server the chance to handle our reply

metze
(This used to be commit 144bde91b3ccbf40494b3f235a2f2699e32f9ad8)

r12023: use the NBTD IRPC proxy calls for implementing the challenge and release demand
conflict cases

metze
(This used to be commit 9e84c85b3de178e0dd093ed9344d30d4c9ea6730)

r12022: add NBTD IRPC proxy calls for wins challenge and wins release demand,
used for replication conflicts

metze
(This used to be commit d7d14cb2bd9823d7e7d81266ca4014ea5263c714)

r12021: remove shortpath for winsdb_lookup, this isn't needed

metze
(This used to be commit 8fb07b1ea8fdf353da832212289aceef20495bda)

r12020: fix memory hierachie

metze
(This used to be commit 2433800834293a95669c3c48eb2462b76d1b3029)

r12019: - let us only reference libblkid stuff in one file
- and make it it bit simpler, by caching the GUID struct instead of the device name
- and this also removes all compiler warnings...

metze
(This used to be commit f4f0d626e00116e85a91962bf8534c1fbb69334c)

r12016: fixed a valgrind error
(This used to be commit 482548031e69ba4bddac999ca9f2cb6ad8359953)

r12014: free the irpc_request structure with the irpc_call_recv functions,
to match all other _recv functions we have

metze
(This used to be commit bd4f85ab5f60c7430ac88062fa6a9f6cffa9596f)

r12013: fix compiler warnings

metze
(This used to be commit 4d35c2b8e671cc8fe44971cf2a577236afd1abbd)

r12012: fix renaming smbsrv_trees -> smbsrv_tcons

metze
(This used to be commit e5654f9791a2786e45108216344b2daea3ad9d91)

r12011: fixed another 'mixed code and declarations' bug
(This used to be commit 1eca19d597ea21a073361fc6fc550919abf97574)

r12010: - added support for domain specific SID codes in SDDL strings

- added a bunch more tests to LOCAL-SDDL (all the ones from our schema)

- fixed 'mixed coded declarations' bug
(This used to be commit c30e7698e8e1d9991d35bf86c0d4041a1814ad92)

r12009: made the LOCAL-SDDL test less verbose by default, and add it to the
standard tests for the build farm
(This used to be commit 9d6d9b6e50dfe5513f332668b860e6a55af3a39c)

r12008: added a simple LOCAL-SDDL test suite. Only one example so far. Will be
filled in with more examples as I expand the sddl parsing code.
(This used to be commit 8f80e483a3aa07bb5a16eeccde5af5cd7fb5a975)

r12007: fixed a valgrind error in the SMB2-SETINFO test
(This used to be commit 0c3223ab7db93a31121667c65956f30a5b0ec9f8)

r12006: don't require callers to fill in pad bytes in SMB2 calls
(This used to be commit 6935765fda99a6efb19f6f72358d4d48fc35ad5e)

r12005: added a SDDL (Security Descriptor Description Language) parser. Not
all flags are covered yet, and object aces aren't done yet.

This is needed for ACL support in ldb, as the default security
descriptor for each object class is given by the
defaultSecurityDescriptor attribute in the schema, which is stored in
SDDL format
(This used to be commit dbdeecea01a8b362a9a525a3689cb03662a86776)

r12004: added some SEC_ADS_* security flags. Needed for a SDDL parser.
(This used to be commit dc1b83cc13e0324139c6b756a6f135534be7be79)

r12001: Replace smbcli_full_connection call with composite connect used
in sync version. This step makes it easer to move further to async
dcerpc connect routine.

rafal
(This used to be commit 87b016d55315190fa3f6083c75cb783ad45ddd0b)

r12000: Update to current lorikeet-heimdal, including in particular support
for referencing an existing in-MEMORY keytab (required for the new way
we push that to GSSAPI).

Andrew Bartlett
(This used to be commit 2426581dfb9f5f0f9367f846c01dfd3c30fea954)

r11997: for multidimentional array like this:
uint32 [num_level2][num_level1][num_level0]

fix the order they're pushed and pulled, it should be like this

for (l2=0; l2 < num_level2; l2++) {
for (l1=0; l1 < num_level1; l1++) {
for (l0=0; l0 < num_level0; l0++) {
ndr_pull_uint32(...);
}
}
}

metze
(This used to be commit c10195f31383f51911edd8a32f8b5d5857d5bf2d)

r11996: don't overwrite the buffercode

metze
(This used to be commit fee5b6f40784e75a469320a584423c5030b69400)

r11995: A big kerberos-related update.

This merges Samba4 up to current lorikeet-heimdal, which includes a
replacement for some Samba-specific hacks.

In particular, the credentials system now supplies GSS client and
server credentials.  These are imported into GSS with
gss_krb5_import_creds().  Unfortunetly this can't take an MEMORY
keytab, so we now create a FILE based keytab as provision and join
time.

Because the keytab is now created in advance, we don't spend .4s at
negprot doing sha1 s2k calls.  Also, because the keytab is read in
real time, any change in the server key will be correctly picked up by
the the krb5 code.

To mark entries in the secrets which should be exported to a keytab,
there is a new kerberosSecret objectClass.  The new routine
cli_credentials_update_all_keytabs() searches for these, and updates
the keytabs.

This is called in the provision.js via the ejs wrapper
credentials_update_all_keytabs().

We can now (in theory) use a system-provided /etc/krb5.keytab, if

krb5Keytab: FILE:/etc/krb5.keytab

is added to the secrets.ldb record.  By default the attribute

privateKeytab: secrets.keytab

is set, pointing to allow the whole private directory to be moved
without breaking the internal links.
(This used to be commit 6b75573df49c6210e1b9d71e108a9490976bd41d)

r11994: This function no longer needs a special declaration.

Andrew Bartlett
(This used to be commit 88a7b7805c11cb3a1be3222d3e4b0b3ad8aff2aa)

r11993: As well as making an in-MEMORY keytab, allow a file-based keytab to be updated.

This allows a new password to be written in, and old entries removed
(we keep kvno and kvno-1).

Clean up the code a lot, and add comments on what it is doing...

Andrew Bartlett
(This used to be commit 0a911baabad60a43741269d29a96fdd74e54331a)

r11992: Potentially allow SPNEGO to be disabled (as occours on WinXP
standalone), and use only NTLMSSP.

(But doing so would break Samba3's client).

Andrew Bartlett
(This used to be commit e74ca624e74ed82788817e302a516208dc1421bd)

r11991: Null termainte the list of backends.  (Makes it easier to walk the list).

Andrew Bartlett
(This used to be commit fc4202dea88a72de061cb2e1caa7847fae37018f)

r11990: Set the password set time as 'now', so it isn't expired back in 2004.

Andrew Bartlett
(This used to be commit b3929230b210bd6f0b12f90f48767aa861fd08fa)

r11989: Rather than grabbing the machine account details at this point, grab
them 'later'.  We will need to handle the errors when we call the
get_* methods.

Andrew Bartlett
(This used to be commit c6e572f87022b57cdfd8178eb5c23df67a92c453)

r11988: Setup the sessionInfo just before the connect, rather than earlier
when we havn't finished popt.

Andrew Bartlett
(This used to be commit e5c5eb97a0ab841442b2c3fb5ea67f0d21b42932)

r11987: Clarify the accountExpires behaviour in the KDC.

Andrew Bartlett
(This used to be commit 05334e98fb1658965a822517365a86bc3906378b)

r11984: LGPL on header and testsuite as well
(This used to be commit ed90975bf50644f00da681eb7cc41123abc60f81)

r11983: make talloc LGPL. This makes more sense given that ldb depends on
talloc, and ldb is now LGPL
(This used to be commit 5bdd50fa38b1be28cf7bcddc561c743437e70cae)

r11982: ensure the fde event gets freed before the socket itself, as otherwise
we get a error from epoll about disabling events for a file descriptor
that is closed
(This used to be commit f32739307464a1f0c835cff886b8c4b960778900)

r11981: we should allocate request specific memory in ldb modules off the
request strucutre. It will take a while for this to happen everywhere.
(This used to be commit b1d38153b8c1d2d5be2d41005eadb0e0aa46bd72)

r11980: ronnie worked out that opcode 0xb in SMB2 is in fact ioctl, and that
it only appeared to be like a SMBtrans request as it was being called
with function 0x11c017 which is "named pipe read write"

I wonder if this means we could do DCE/RPC over SMB using ntioctl
calls as well?
(This used to be commit f2b8857797328be64b0b85e875ae6d108e2aeaaa)

r11974: only look at $pl->{POINTER_TYPE} when $pl is defined

metze
(This used to be commit 271d0af16d50bc89a384b56db70d569914273f6c)

r11973: make it easier to find bugs

metze
(This used to be commit 247f90c28d845fd2224cb07ed30d3e8122ba5644)

r11972: handle [noejs] property also on functions

metze
(This used to be commit e5fef8519b28f66ce8a401fc866c8b9bf08c584d)

r11971: add nbt specific continue wrapper

metze
(This used to be commit b8c5978df18b98db89069e02597d483f893e39ae)

r11970: fixed a valgrind error. The auth info from the alter_context reply was
being freed before being given to gensec_update()
(This used to be commit cf2cb4279e2b31989eee2fec848982b10fcc2136)

r11969: got rid of the very annoying 'failed to open /secrets.tdb'
messages. As discussed with Andrew, this will soon be replaced with a
system that marks the credentials to use the machine accout from the
database rather than pre-loading the machine account details here.

The reason we got the annoying messages is this was being called
before smb.conf is loaded, so the code doesn't yet know the location
of the private directory
(This used to be commit 6aeb4bf3fe224a6f81962237bdda329ba828b493)

r11968: More warning fixes.  We're on track to getting to double digits for
the number of warnings generated now.
(This used to be commit d479f2d7607adc698d71c5ba26932c72a26dcaab)

r11967: Fix more 64-bit warnings.
(This used to be commit 9c4436a124f874ae240feaf590141d48c33a635f)

r11965: Try to fix some 64-bit warnings.
(This used to be commit e98c28941a6002042e0e429f99f14e7dd4920aa6)

r11959: Use DOS_errors array for displaying WERROR values
(This used to be commit 0830ed0d60cdbd00e6f42dae2c7e295363bca17d)

r11958: - fixed memory leaks in the ldb_result handling in ldb operations

- removed an unnecessary level of pointer in ldb_search structure
(This used to be commit b8d4afb14a18dfd8bac79882a035e74d3ed312bd)

r11957: fixed up code meant for debugging
(This used to be commit 8ca85842579a8a1d8f60259812d04eb7ee27d7aa)

r11956: removed the old rootdse.ldif, and the provision.js code that uses it
(This used to be commit 4b56c129c6f1654f9dbe37bc950a836f15c48b3d)

r11955: got rid of the old rootDSE code in the ldap server.

The partitioning logic is still there, but we only have one
partition. If we need partitioning in the future it might be better to
remove this partitioning code and use a partitioning module instead
(This used to be commit f4685e7dc9bdc3b9e240c9f5891b9da9251f82e5)

r11954: add the static rootdse content to the sam ldb,and enable the rootdse
module in @MODULES
(This used to be commit cfab88fcc2c740a6d3fd456a009fbb60061b3a53)

r11953: enabled the rootdse module in the ldb modules code
(This used to be commit 7d8b11174c97a3797673254c351c94436aa716b7)

r11952: added a rootdse module. This will replace the existing rootdse code in
the ldap server. The reason for the change is that ldb modules need
some way to get at the static info stored in the rootDSE (such as the
location of the schema) but they can't do that right now
(This used to be commit 7e226383f2cd2ce9bb3983ab6a3de454649f8a15)

r11949: make sure we ask gensec to give us a session key

andrew, this answers your question on irc about whether the same
session key mechanisms are used in smb2. They are - the RPC-LSA secret
tests pass fine over ncacn_np on SMB2, which means the session key
must be working
(This used to be commit 91327885a2b6432ba20a8dd1370b632240d3263d)

r11941: fix cut'n'paste bug

metze
(This used to be commit fd77cfa49016d403c3f4c60c2422d41498438c17)

r11940: Love has clarified why this code does what it does.

Andrew Bartlett
(This used to be commit 9b3dedbc0bb12897a8f9bd4ec864de26b3835981)

r11931: Add a short README explaining what this directory is all about.

Andrew Bartlett
(This used to be commit eaf8777e449f70f5694f29199c18f26b9647d558)

r11930: Add socket/packet handling code for kpasswdd

Allow ticket requests with only a netbios name to be considered 'null'
addresses, and therefore allowed by default.

Use the netbios address as the workstation name for the allowed
workstations check with krb5.

Andrew Bartlett
(This used to be commit 328fa186f2df5cdd42be679d92b5f07f7ed22d87)

r11929: Add static, comments.

Andrew Bartlett
(This used to be commit 41f09ef9342d0c9f09475a189d2bbdb50e611528)

r11928: More Kerberos musings...

Andrew Bartlett
(This used to be commit 571f9c9c51b93946d23f2b35ef76ac881994b8cc)

r11913: if we have a UNIQUE name with more than 1 address,
it becomes implicit an MHOMED record

metze
(This used to be commit a5bced92a91f462ac6c41c04012aaeb3f77455de)

r11912: fix nbt_name_registration, there's still some minor stuff todo,
e.g. to return the first address of the 0x1B address as first
     address in the 0x1C reply, and handle sgroup merge overflow
     of 25 addresses

metze
(This used to be commit a80280e061c03f9d07f7d6df20228de7923bb000)

r11911: as we pass the owned_released vs. replica test now, run it with make test

metze
(This used to be commit d34580ec70dca145ea7911be718ad1fc13297a20)

r11910: fix nbt_name_release and nbt_name_query, so that we pass the owned_released vs. replica
winsrepl torture test

metze
(This used to be commit c8c53593fc7831968499b5028417f0de0a7f421b)

r11908: implement SGROUP merging, that passes the different owner tests
(but only without socket_wrapper, I need to look at that later
 and then add the different_owner test to NBT-WINSREPLICATION-QUICK
 so that it'll be runned by make test)

metze
(This used to be commit 9ef33580345f12fafbab0a09644451c8b7600f7f)

r11907: added testing of SMB2 keepalive
(This used to be commit 6096d23fe0e58b6c3e4174a70a0faebd88fd5f79)

r11906: opcode 13 appears to be keepalive. Metze guessed this one :-)
(This used to be commit afe2323dc10748b97e6b30dc0c783dbe04446d8c)

r11905: added SMB2_FLUSH as opcode 7. Thanks to metze and volker for help
brainstorming this one.
(This used to be commit a969ad592ae4cd8f7c66b1df4763fdc70328c967)

r11904: added smb2_tdis() testing
(This used to be commit e2ed615a44d825f8c46755408a1a1657222a508b)

r11903: added smb2_tdis() (opcode 4)
(This used to be commit d606b45b5b6065b5d06024bcce00a23084a20eac)

r11902: added smb2_logoff() testing
(This used to be commit ff50377822fa48eab7f66275098782241ca50f40)

r11901: added smb2_logoff() support (metze correctly guessed opcode 2 was
logoff)
(This used to be commit 6884ce66f2881eba834b419370f74111852fe022)

r11900: - make sure address and registered_by are replaced when they're not present
- make sure we don't add active records with 0 addresses

metze
(This used to be commit 5e7324efb338f4c4e390e4930d7ea21056db3a57)

r11899: add some usefull debug messages

metze
(This used to be commit 8b9447e8c1be58bd299d464d5d1f15d32c438374)

r11897: add 2 more sgroup vs. sgroup tests with the replica having no addresses

metze
(This used to be commit 22b8d5014af181aa755ecc5389d9e4bd32d02cab)

r11896: max_version of 0 means unlimited

metze
(This used to be commit 9872348ac81c6907ae1c76f909df13d5fd772b5a)

r11895: - reorder some code to make it easier to follow, how the fields appear on the wire
- add some comments to the header file, to represent the wire format

metze
(This used to be commit fa98f09f8b8829e66aa37cd947ab4f0cbb7b5476)

r11894: fixed SMB2 trans code for pipe_flags
(This used to be commit 02e3cb87c7673788e3861f33356a18b8d38d2d66)

r11893: fixed a dependency problem
(This used to be commit 085bf952dc1b8861ac6fecf25c508594f9ddf454)

r11892: forgot to commit these changes
(This used to be commit 07ee8ba126752a4f2ab82ce345c3513d38e5af68)

r11891: - added pipe_flags field in smb2_trans

- while running dcerpc over SMB2, the server will occasionally send us
  a oh-so-useful STATUS_PENDING result meaning "I don't have a result
  for you yet, but I'm working on it". These can be discarded :-)
(This used to be commit 24588a9c499536299d7aaf5b56ff73fb255290ca)

r11890: added tests for the last few fields in SMB2 find requests
(This used to be commit 77d1938e96e02fc93c411197869cc6a1fc4451d1)

r11889: added support for dcerpc ncacn_np over SMB2. You use it by giving the
flag 'smb2' in the dcerpc binding string. This gives a pretty good
test to the new SMB2 trans call.
(This used to be commit f99bef585d4c1e52becc06b581bd5aaa62cf9dd7)

r11888: - added SMB2 trans support

- added session key to SMB2

- renamed 'unknown2' in create to 'impersonation'
(This used to be commit aef915f312a78bf8a4123f7c40fcd14ff293d934)

r11887: reorder some tests

metze
(This used to be commit a4277c6b2626f043ec2c2f4d0da245f78ef02f95)

r11885: Add forgotten files
(This used to be commit 470cc5952981c3625c7e35f44c9fd41d19593396)

r11884: Download ntconfig.pol
(This used to be commit 9e6929c643d7dbc38a9faff59493778b96ec0bfe)

r11883: Also look up the membership in the domain local groups.

Volker
(This used to be commit a67bc5117df6b933bf7303f8d067b766baca05c2)