s4-test: Enable drs.rpc.msdsintid test case - it should be passing now

s4-dsdb: No need for dsdb_syntax_one_DN_drsuapi_to_ldb() to be public

It is intended to be used in schema_syntax.c module

s4-drs: GetNCChanges() to return correct (in AD-way) ATTIDs

Depending on which NC is being replicated, GetNCChanges() returns
either ATTID based on local prefixMap or msDs-IntId value of
the attributeSchema class for the attribute being replicated.

If set, msDs-IntId value is always returned when replicating
object form NC other than Schema NC.
Objects in Schema NC replica always use prefixMap based ATTIDs.

s4-dsdb-syntax: ATTID should be msDs-IntId value for the attributeSchema object

in case object replicated is not in Schema NC and attributeSchema
object has msDs-IntId attribute value set

s4: fix few comment typos

s4-schema_syntax.c: Fix white spaces and alignment

s4-dsdb: Use dsdb_syntax_ctx in *_drsuapi_to_ldb functions

s4-dsdb: Use dsdb_syntax_ctx in *_ldb_to_drsuapi functions

s4-dsdb: Use dsdb_syntax_ctx in *_validate_ldb functions

s4-dsdb: Add context structure for dsdb_syntax conversion functions

This structure is intended to hold context-dependent data.

Syntax-conversion and object-conversion functions need
that data to convert objects and attributes from drs-to-ldb
and ldb-to-drs correctly.

For instance: ATTID value depends on whether we are converting
object from partition different that Schema partition.

s4-test-dssync: remove unused variable

Fix bug 7626 - Typo in configure samba_cv__CC_NEGATIVE_ENUM_VALUES two underscores.

Noticed by bj@sernet.de.

Fix bug 7563 - Creation of symlink using smbclient is buggy.

Fix semantics of symlink. "oldpath" should be an untouched blob,
"newpath" should fit the share path semantics.

Jeremy.

s3: Remove an unused variable

librpc/rpc: call do_ndr_print hook in dcerpc_binding_handle_call*()

metze

s3-ads: Remove unused wrapper and make function static

s3: async cli_list

s3: Add cli_flush

s3-ads: cleanup ads_keytab_list()

s3-ads: cleanup ads_keytab_create_default()

s3-ads: cleanup ads_keytab_add_entry()

s3-ads: Split, simplify and cleanup keytab functions

add helper function for both smb_krb5_kt_add_entry_ext() and
ads_keytab_flush()

s3: Fix serverid_register_msg_flags

Thanks, Andreas, for pointing this out! (How drunk have I been?...)

s3-lib: Fixed a possible crash bug.

Volker please check!

s3-printing: Added function to update the queue.

s3-printing: Rename jobs_changed functions to jobs_added.

s3: Fix an uninitialized variable

s3: Use pipe_struct->client_id->name for pjob.clientmachine

s3: Move initializing pjob.clientname to print_job_start()

s3: Add "client_id" to pipes_struct

s3: Remove unneeded "client_address" from connection_struct

s3: Add smbd_server_connection->client_id

s3: Lift smbd_server_fd from reload_services()

s3-build: only include smb_signing.h where needed.

Guenther

s3:selftest This test does not fail anymore (Samba4's smbtorture has been fixed)

smbtorture: Make SAMBA3CASEINSENSITIVE report failures properly.

smbtorture: Emit correct test results if setup fails.

If the test setup fails, we still need to format the test result for the
UI. At leas in the subunit case, the format doesn't specify what to do
here, so we fail every test manually with the setup failure message.

smbtorture: Ensure that the RPC setup returns correct status.

s4:ldap_server use talloc_unlink() to avoid talloc_free() with references

Both the session_info and the ldb can have references.

Andrew Bartlett

s4:auth Change {anonymous,system}_session to use common session_info generation

This also changes the primary group for anonymous to be the anonymous
SID, and adds code to detect and ignore this when constructing the token.

Andrew Bartlett

s4:auth Avoid doing database lookups for NT AUTHORITY users

s4:auth Remove system_session_anon() from python bindings

s4:auth Remove the system:anonymous parameter used for the LDAP backend

This isn't needed any more, and just introduces complexity.

s4:auth Remove special case constructor for admin_session()

There isn't a good reason why this code is duplicated.

Andrew Bartlett

s4:security Remove use of user_sid and group_sid from struct security_token

This makes the structure more like Samba3's NT_USER_TOKEN

s4:ntvfs Don't treat the user SID and primary group SID special for idmap

This simply askes IDMAP about all the user SIDs, rather than the user
and group sid, followed by all but the first two sids from the token.

Andrew Bartlett

s4:security Bring in #defines for the user and primary group token location

This will allow us to stop duplicating the user and primary group SID in the
struct security_token, and therefore make it more like the NT_USER_TOKEN
in Samba3.

Andrew Bartlett

s3: Remove smbd_server_fd() from session_claim

s3: Remove smbd_server_fd() from read_smb_length()

s3: Move read_smb_length() to smbd/reply.c

s3: Remove smbd_server_fd from receive_smb_raw

This is only called from client code

s3: Lift smbd_server_fd() from receive_smb_raw_talloc

s3: Lift smbd_server_fd() from read_smb_length_return_keepalive

s3: Lift smbd_server_fd() from read_data()

All callers have appropriate debug messages themselves

s3: Lift smbd_server_fd() from read_fd_with_timeout()

s4:netlogon RPC server - "ServerPasswordSet" operations - introduce also here the new password change syntax

s4:kdc/kpasswdd.c - let the user change his own password with his own rights

Now it's finally possible that the user can change his password with a DSDB
connection using his credentials.

NOTICE: I had to extract the old password from the SAMDB since I was unable to
find it somewhere else (authinfo for example).

s4:samr RPC server - samr_password.c - make real user password changes work

Now it's finally possible that the user can change his password with a DSDB
connection using his credentials.

s4:kdc/rpc server - adapt the "samdb_set_password" calls which perform password sets

s4:samdb_set_password/samdb_set_password_sid - make more arguments "const"

s4:samdb_set_password/samdb_set_password_sid - make the adaptions to support the password change control

And introduce parameters to pass the old password hashes.

s4:password_hash LDB module - perform the adaptions to understand the new password change control

s4:acl LDB module - support password changes over the DSDB_CONTROL_PASSWORD_CHANGE_OID control

This control is used from the SAMR and "kpasswd" password changes. It is
strictly private and means "this is a password change and not a password set".

s4:DSDB - DSDB_CONTROL_PASSWORD_CHANGE_OID - add a structure as value to the control

This contains the NT and/or LM hash of the password specified by the user.

s4:DSDB - rename the "DSDB_CONTROL_PASSWORD_CHANGE_OLD_PW_CHECKED_OID"

Rename it to "DSDB_CONTROL_PASSWORD_CHANGE_OID". This control will afterwards
contain a record with the specified old password as NT and/or LM hash.

Revert "waf: enable gccdeps in developer mode"

This reverts commit 61930f50cbace4741500d8b53fc11a4ef3e0d4f8.

This breaks the build with older gcc versions
gcc --version
gcc (SUSE Linux) 4.3.2 [gcc-4_3-branch revision 141291]
(This is SLES 11)

Please only enable it if thet compiler supports it.

metze

s4:selftest: recreate $SELFTEST_PREFIX/s4client with each make test run

Otherwise just fill the disks of the build-farm hosts.

metze

s4:selftest: run ldapi tests in 'dc:local' environment

metze

s4-tests: Added tests for acl checks on search requests

s3: Directly call write_data from print_job_write()

s3: Remove unused "pos" arg from print_job_write

s3-samr: Correctly fix the transition from enum to uint32_t.

What type an enum is depends on the implementation, the compiler and
probably the compiler options. sizeof(enum) is normally not sizeof(int)!

s4-ldb: ensure element flags are zero in ldb search return

the distinguishedName element was getting an uninitialised flags value

s4-ldbwrap: ensure session_info in ldb opaque remains valid

A DRS DsBind handle can be re-used in a later connection. This implies
reuse of the session_info for the connection. If the first connection
is shutdown then the session_info in the sam context on the 2nd
connection must remain valid.

s4-rpcserver: log unknown RPC calls at debug level 3

This was added as we are occasionally getting an encrypted unknown
netlogon call, and I'm having trouble looking at it in wireshark

s4-netlogon: added SEC_CHAN_RODC

This seems to be equivalent to SEC_CHAN_BDC, but for RODCs

s4-net: use an encrypted ldap session when setting passwords

this allows for "net setpassword -H ldap://server -Uusername%password USERNAME"
to set a password remotely on a windows DC

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: check the type of session_info from the opaque

we saw a crash with a bad pointer here, and this may help track it
down

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: allow getncchanges from RODC with WRIT_REP set

w2k8r2 is setting this bit as a RODC. Instead of refusing the
replication, we now remove the bit from req8, which means other places
in the code that check this bit can stay the same

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: added domain_sid to DRS security checks

we need the domain_sid to determine if the account is a RODC for our
domain

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: fixed check for SECURITY_RO_DOMAIN_CONTROLLER

check more than the user_sid, and also check for the right rid value

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: added support for UF_PARTIAL_SECRETS_ACCOUNT

when this is in user_account_control the account is a RODC, and we
need to set the primaryGroupID to be DOMAIN_RID_READONLY_DCS

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: cope with cracknames of form dnsdomain\account

this is used by w2k8r2 when doing a RODC dcpromo

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: set LDB_FLAG_INTERNAL_DISABLE_VALIDATION for msDS-SecondaryKrbTgtNumber

msDS-SecondaryKrbTgtNumber is setup with a value that is outside the
range allowed by the schema (the schema has
rangeLower==rangeUpper==65536). We need to mark this element as being
internally generated to avoid the range checks

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldb: added LDB_FLAG_INTERNAL_DISABLE_VALIDATION

When this flag is set on an element in an add/modify request then the
normal validate_ldb() call that checks the element against schema
constraints is disabled

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldb: added LDB_FLAG_INTERNAL_MASK

This ensures that internal bits for the element flags in add/modify
requests are not set via the ldb API

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldb: use LDB_FLAG_MOD_TYPE() to extract element type from messages

The flags field of message elements is part of a set of flags. We had
LDB_FLAG_MOD_MASK for extracting the type, but it was only rarely
being used (only 1 call used it correctly). This adds
LDB_FLAG_MOD_MASK() to make it more obvious what is going on.

This will allow us to use some of the other flags bits for internal
markers on elements

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: support LDB_CONTROL_RODC_DCPROMO_OID for nTDSDSA add

this control disables the system only check for nTDSDSA add operations

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: fixed test for LDB_CONTROL_RODC_DCPROMO_OID

the ldb_msg_add_fmt() call returns LDB_SUCCESS on success

s4-ldapserver: support controls on ldap add and rename

we need to pass the controls down to the add and rename ldb operations

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: added support for LDB_CONTROL_RODC_DCPROMO_OID

this control adds a unique msDS-SecondaryKrbTgtNumber attribute to a
user object.

There is some 'interesting' interaction with the rangeLower and
rangeUpper attributes and this add. We don't implementat
rangeLower/rangeUpper yet, but when we do we'll need an override for
this control (or be careful about module ordering).

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldap: use common functions for ldap flag controls encode/decode

many controls are simple present/not-present flags, and don't need
their own parsers

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s3-dcerpc: try to fix the non gssapi build.

Guenther

s3-dcerpc: fix c++ build warning.

Guenther

s3-dcerpc: fix uninitialized variable in cli_get_session_key().

Simo, please check.

Guenther

s3-util: remove unused variable.

Guenther

s3-ads: Remove unused function and file

s3:winbindd: don't ignore 'result' in wb_dsgetdcname_done()

Ignoring it could cause a segfault in winbindd_getdcname_recv()

metze

s3: Remove smbd_server_fd() from write_data()

This completely removes the DEBUG(0, ..) error message from write_data(). I've
gone through all callers of write_data() and made sure that they have their own
equivalent error message printing.

s3-dcerpc: Use common send functions for ntlmssp too

Remove unused function.