Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into v4-0-test
(This used to be commit 24309dbf4d9622fcfafa29ef98bc0459fdaa814b)

we can't query the ACL on a new file till it exists!
(This used to be commit 4f6646f06988b1fb8be9e0c8ae833bb9792184af)

initialise query_maximal_access here too
(This used to be commit 4b3af09450cf33c6785a3d8fddddc68047f2e388)

make sure we initialise query_maximal_access
(This used to be commit 036f73d39a7ef882fd76afcd3c11eef483f6c308)

fixed spelling error
(This used to be commit 341f64834e13cdbc7d4742a4652ae39b70a4231f)

dsdb_create_prefix_mapping() implementation checks for existing prefix maping in ldb.
if one not found it creates a mapping for it and updates the prefixMap schema attribute in ldb.
(This used to be commit bbe895db7144b192981fad9ab6bbd3ebacb8d299)

Handle schema reloading request.
The ldif for that operation looks like this:

dn:
changetype: Modify
add: schemaUpdateNow
schemaUpdateNow: 1

It uses the rootdse's object functional attribute schemaUpdateNow.
In rootdse_modify() this command is being recognized and it is send as extended operation with DSDB_EXTENDED_SCHEMA_UPDATE_NOW_OID.
In the partition module its dispatched to the schema_fsmo module.
The request is processed in the schema_fsmo module by schema_fsmo_extended().
(This used to be commit 39f9184ddf215f2b512319211c0a05702218ef87)

fixd a bug in the signal handling code - we could get phantom signals
(signum 64)
(This used to be commit af7fb2e38ba27cf8058eb1cef1f96bbc7b19849f)

libnet_become_dc: send msDS_Behavior_Version == 3 (win2k8) in DsAddEntry

instead of version 2 (win2k3).
This makes the NET-API-BECOME-DC test work against windows 2003 and 2008.

Michael
(This used to be commit a7bfa1fb1bc6fb8e412990b7ff4c3ce9bc55099d)

libnet_become_cd: add boolean option "become_dc:force krb5" to control krb5 auth.

This allows controlling whether krb5 auth is forced for the rpc bind in
libnet_become_dc. It defaults to "yes". For Windows 2000, DsGetNCChanges
only krb5 auth works due to a bug in Windows (it returns garbage - a
positive object count is returned along with first object == NULL).
For Windows 2008, on the other hand, krb5 auth does not work currently
due to the lack of support for AES keys. (Metze is working on that.)

Michael
(This used to be commit af85aad8147b85a0b9ea2ccc66b8f04efdfe5cf3)

drsuapi: always set the pid field of the outgoing DsBindInfo to 0.

This is for debugging and informational purposes only.
The assignment is implementation specific.
(WSPP docs, sec. 5.35).

Michael
(This used to be commit 1f5704e2dee5900e8d1d87699b76f67c0e12854e)

libnet_unbecome_dc: teach unbecomeDC_drsuapi_bind_recv() DsBindInfo48.

..to work agains w2k8.

Michael
(This used to be commit 97e8d5813df19cae294b6de2a880606f0f8c2c59)

libnet_become_cd: teach becomeDC_drsuapi_bind_recv() DsBindInfo48.

To work with w2k8.

Michael
(This used to be commit 7d80fab912576923c7474d77b8ed960b01296914)

dsdb: teach dreplsrv_out_drsuapi_bind_recv() knowledge of DsBindInfo48.

To make it work against w2k8.

Michael
(This used to be commit a8aea9274170a2b472c45c97a4904bd299d2a92e)

password_hash: add generation of the Primary:Kerberos-Newer-Keys blob

But it's still of by default until we now what triggers this generation.
It could be that the value is always generated but the KDC only
uses it when in a specific funtional level, but it could also
be that it's only generated in a specific functional level.

metze
(This used to be commit 08618bbd508ede0bb9e1922fae562cffdca41cbd)

hdb-ldb: try to find Primary:Kerberos-Newer-Keys and fallback to Primary:Kerberos

Now provide AES tickets if we find the keys in the supplementalCredentials attribute

metze
(This used to be commit 8300259f103f8cfe014988fad0f7ee0d49bb1ac2)

drsblobs.idl: add idl for Primary:Kerberos-Newer-Keys blob in supplementalCredentials

metze
(This used to be commit 97b7901afbccc9647ad2958d4cf12300de2655d1)

password_hash: order the supplementalCredentials Packages in the same order like windows

metze
(This used to be commit ca9cd81a1798fb15195566422b3cad7c282fce89)

password_hash: split the generation of krb5 keys into a different function

metze
(This used to be commit 4ad73a0bf8952783d3d9a7339c0c4fd8ca28981a)

password_hash: simplify the logic if we have cleartext we always generate the hashes

metze
(This used to be commit 5edff84429ef0d03b47a438e18861d26c97e17b6)

password_hash: fix callers after idl change for package_PrimaryKerberos

metze
(This used to be commit 1bf552856f3a930c4716ceb73d9ba9adf7502d3d)

drsblobs.idl: fix unknowns in package_PrimaryKerberos idl

metze
(This used to be commit da9ceb2bf17f964334d9317829d40483e2c04b10)

hdb-ldb: check the SUPPLEMENTAL_CREDENTIALS_SIGNATURE

metze
(This used to be commit 7219740ef434091617c6bb727374251987ff2a62)

password_hash: check the SUPPLEMENTAL_CREDENTIALS_SIGNATURE

metze
(This used to be commit 19b8c8e37bafab050ab61266c35006efada2947c)

drsblobs.idl: fix idl for supplementalCredentialsSubBlob

metze
(This used to be commit 24c5b10136f6e640832193aaf9e6d7e865c288bc)

password_hash: ignore reserved value, but still set it like windows does

metze
(This used to be commit 5b860572686167d0291161f6597f143e538e2f3a)

drsblobs.idl: rename unknown1 -> reserved

metze
(This used to be commit 9a70b2237d4fdd523edfbca0329ad35e71faf998)

password_hash: don't add zero padding as w2k8 also don't add it

metze
(This used to be commit 26e9169d454349795ad0bc64d7f65059541ab89e)

hdb-ldb: fix comment about padding

metze
(This used to be commit ca28d05b11e602e0f98cda0e02f973562c199dc6)

hdb-ldb: fix crash bug in the error path

metze
(This used to be commit ac02d6a0f765e3b66fb6796f129edb1a348ecd84)

RPC-DSSYNC: print 'supplementalCredentials' more verbosely

metze
(This used to be commit 6a7637b12e4a34915a53e81a0f47571da21fdc5a)

rpc_server: be more strict with the incoming assoc_group_id

Allow 0 and 0x12345678 only.
This fixes the RPC-HANDLES test.

metze
(This used to be commit c123e597cc84685abf2b0d3564e1a26d80bbef2f)

smbtorture: add a warning for unknown BindInfo length to the RPC-DSSYNC test

Michael
(This used to be commit 7ee99105ea3a50d8ee2c83ecd39e834ed9efb98c)

smbtorture: add support for the DSBindInfo48 to the RPC-DSSYNC test.

Michael
(This used to be commit 67a99e445871861945fd0a45784cffb358bdccf3)

libnet/become_dc: add a comment and explain why it's important to specify krb5

metze
(This used to be commit 26d1f9366d8611af1a69095b4cede2d2c95c982d)

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet
(This used to be commit ae311d89d2d477b235a6a9294a8bb463ed0a8c05)

The SMB session key must not be more than 16 bytes in SAMR (and
presumably LSA).

Tests show that Vista requires the sesion key to be truncated for a
domain join.

Andrew Bartlett
(This used to be commit af629a3738298d27eb2dbecf466ceb503cec9638)

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local
(This used to be commit 532ccbbe7aa360440f455dfa136f425b9996e998)

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet
(This used to be commit a93b20b85b7b35965c428f1543cb7bbe96e16d42)

Remove the 'accoc_group_id' check in the RPC server.

This check breaks more than it fixes, and while technically not
correct, is the best solution we have at this time.  Otherwise,
SCHANNEL binds from WinXP fail.

Andrew Bartlett
(This used to be commit f8628fa330abcd50923d995d5bda1f4811582ea9)

Explain where some other OIDs are allocated.

This is an odd place for an OID registry - we perhaps need a central
wiki page.

Andrew Bartlett
(This used to be commit 1c909973977ae117703c1ccf7589acc4625e76e5)

Change occurrences of the u1 member of DsBindInfo* to pid after idl change.

Michael
(This used to be commit b91bbc5fe4a47e5823be6be5f2f203f1f14105de)

drsuapi.idl: change the u1 field in DsBindInfo* to "pid".

According to the WSPP docs, section 5.35,
this is the "process identifyer" of the client.
It is meant for informational and debugging purposes
only and its assignment is implementation specific.

Michael
(This used to be commit 579306eb5b58b6c1142b3c489e4bcf6da50810d6)

drsuapi.idl: add drsuapi_SupportedExtensionsExt bitfield.

This knowledge is obtained from the wspp-docs (section 5.35).

Michael
(This used to be commit f5afb695045b1a2f3b8c00a4d82d40e8e50726c9)

drsuapi.idl: the last 16 bytes in DsBindInfo48 ar the GUID of the config dn.

This bit seems not to be documented in the WSPP docs.

Michael
(This used to be commit 705f79bd0a5e93daa0cb11b5dcca36e75c75df93)

drsuapi.idl: add drsuapi_DsBindInfo48.

This is necessary to make DsGetNcChanges work with win2008.

Michael
(This used to be commit dd278b069b8683a0e3721ebb7d0de06d2bc1c86f)

s3 cli_do_rpc_ndr does not use PI_* anymore
(This used to be commit e625c6b2516111002c99239c1a2188c6d5d87ab6)

Install'named.txt' to private/ as documentation.

This document is much more use when subbed with all the right things.

Andrew Bartlett
(This used to be commit 136a85599815670c807f212d7d4003ec53a13729)

Improve DNS and Group poicy configurations.

 - fixes bug #4813 (simplify DNS setup)
  - This reworks the named.conf to be a fully fledged include
  - This also moves the documentation into named.txt
 - improves bug #4900 (Group policy support in Samba)
   - by creating an empty GPT.INI
 - fixes bug #5582 (DNS: Enhanced zone file)
   - This is now closer to the zone file AD creates

committed by Andrew Bartlett
(This used to be commit 74d684f6b329d7dd573cdc55e16bb8e629474b02)

Properly cast array length in print functions.
(This used to be commit f321240fa91fa19c1131f119c42f64897d220682)

Fix winbindd not to sit in a busy loop...

Clearly winbindd in Samba4 has not ever been run against windows, as
when we fixed the Samba4 server not to cause XP to loop like this,
Samba4's own client starts looping...

Andrew Bartlett
(This used to be commit 9741772190a85c7c42c17ff24a4aa3f53fbc9f3a)

Rename structures to better match the names in the WSPP IDL.

The 'comment' element in a number of domain structures is called
oem_information.  This was picked up actually because with OpenLDAP
doing the schema checking, it noticed that 'comment' was not a valid
attribute.

The rename tries to keep this consistant in both the LDB mappings and
IDL, so we don't make the same mistake in future.

This has no real schema impact, as this value isn't actually used for
anything, as 'comment' was not used in the provision.

Andrew Bartlett
(This used to be commit 65dc0d536590d055a5ee775606ac90ee5fcaee9a)

Remove bogus test in 'enum trusted domains' LSA server.

The change to the RPC-LSA test proves that when the remote server has
0 trusted domains, it will return NT_STATUS_NO_MORE_ENTRIES, not
NT_STATUS_OK.

Andrew Bartlett
(This used to be commit 40a55b34c2ce75267cf004dc4cfb8153c061e66b)

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local
(This used to be commit 55bde3c9daeafdac04574365c23d181345639f34)

Sleep longer in the hope that the OpenLDAP backend might catch up
(This used to be commit 63c80c885dc3fb2228f082be8db752bb29e3962e)

Fix ldb_map to add/remove the same 'extra' objectclass

The code previously added data->add_objectClass, but only removed the
fixed objectclass of extensibleObject.

Found by the ldap.py test.

Andrew Bartlett
(This used to be commit 4fa15c3173a997fa0b9041161d81e742e1fdb41c)

Make invalid 'member' detection work again.

This defines a rootdn globally, and due to OpenLDAP bugs, gives it
manage access to the whole database.  This makes the memberOf module
able to validate the links again, now we have database ACLs.

Andrew Bartlett
(This used to be commit 9fe3e9f09f89fd92f8a16768e53391ff5f8489ec)

Fix RAW-OPEN against Samba3

This test assumed that fnums are recycled immediately after a close. This is
not true on Samba 3.

Andrew B., I assume this is just a bug in the test. Assuming recycled fnums
might be true on Windows and Samba 4, but I don't think we should assume this
everywhere.

Volker
(This used to be commit a4c3a59d47b2b1c794eda556d252c61907be1b3c)

Make a seperate template for the refint configuration too
(This used to be commit d2a527acc5ee6fe9b943657dc9c3ace920b2d619)

Put the memberof template into a seperate setup/ file.

Set a memberof-dn in a fruitless attempt to fix the ACL problem I'm
having with OpenLDAP

Andrew Bartlett
(This used to be commit 6d6e03834a1a77a8ceba41fbe8c9d49680065ba3)

More 'must be ignored' options from the MS-SMB doc.

Also in particular the 'sync' flags (which Samba has traditionally
ignored).

Thanks to Olivier Salamin <olivier.salamin@gmail.com> for pointing out
more flags that needed to be handled.

Andrew Bartlett
(This used to be commit 370bb39cd79fe49efd36a1ceb3e896d386e6d3ce)

Add the interface ID to the rpc_pipe_register_commands call in s3 srv code
(This used to be commit efe249928312f730ee580e72b9c640ef88b0ed5b)

drsuapi: print out the number of linked attribute values we got

metze
(This used to be commit 34f8b2abdd546f6b60ddae2ad839119f211c995c)

drsuapi: make use of the 'more_data' field in DsGetNCChangesCtr[1|6]

metze
(This used to be commit 35c7fa470a7433d081403b2b57a331c7dc287aef)

drsuapi: check ctr6->drs_error

metze
(This used to be commit 511847f5f5015bcdef69e80b91cb08ffb1690e59)

drsuapi: get ctr6 out of xpress compressed level

metze
(This used to be commit 4e0708148a121bd41a12abf6122d5d6f3f09667a)

drsuapi: total_object_count was the wrong guess

The total_object_count member of DsGetNCChangesCtr[1|6] was wrong
it's the error code of an extended operation.

DsGetNCChangesCtr6 has a nc_object_count value which contains
the estimated amount of objects in the naming_context.

W2k seems to have a bug and sends this number of objects
in the extended_ret field. Maybe it's just a bug and
not a feature:-)

metze
(This used to be commit 67931092128ce89aadf689a54e20d6e4a9d7fe2c)

drsuapi.idl: fix unknowns in drsuapi_DsGetNCChangesCtr*

metze
(This used to be commit 9e99e59ca7e56bf74417ec85339e09e86f50d17e)

libnet/become_dc: an unknown field in drsuapi.idl changed to object_flags

metze
(This used to be commit a6198ab6cb829969b12068324d870966a6cfc029)

drsuapi.idl: fix unknowns in drsuapi_DsReplicaObject*

metze
(This used to be commit de2aed042d09ae7a31ddc4cd920c8fcf193ba06a)

drsuapi.idl: fix unknowns in drsuapi_DsReplicaCursor[2]

metze
(This used to be commit a681e55067a83f06e465b81afb2b0b870b674dca)

drsuapi.idl: correctly handle xpress compressed payload

metze

Signed-off-by: Stefan Metzmacher <metze@samba.org>
(This used to be commit d9d19eef4f67da89e7d818d23a2372bee6f86dba)

become_dc: we need to replicate using krb5 auth to work against w2k

With NTLMSSP we just get strange responses with a random object count
and a NULL object list. On the domain partition where we try to replicate
the password fields.

metze
(This used to be commit ce12a9105113ad7cff96b7d553a8d69901c56de7)

NET-API-BECOME-DC: fix crash bugs because of unintialized variables

metze
(This used to be commit 6acf42c2e41bb1d44c1fcaaaa58fc3f148491836)

Another kludge to let the OpenLDAP backend catch up.

This will go away when this is handled in an internal transation.

Andrew Bartlett
(This used to be commit f567e17758cfe937249beafae0a9087b67b27755)

Fix the build - this element was renamed.
(This used to be commit 60161954ad5c99ce9934a968c5d41f41fafd780f)

Reorder whitespace in generated slapd.conf

This helps us see the real groupings in the generated memberOf
handling.

Andrew Bartlett
(This used to be commit ec70ebb8310e563324233662f8e779c55fb87514)

Ignore and handle more NT Create & X options.

The MS-SMB document explains that some of these options should be
ignored.  The test proves it.

/* Must be ignored by the server, per MS-SMB 2.2.8 */
/* Must be ignored by the server, per MS-SMB 2.2.8 */

If we implement HSM in samba4 (likely) we should honour this bit.
/* Don't pull this file off tape in a HSM system */

Andrew Bartlett
(This used to be commit 502739ff90d56d2c9aabe8e224317f6ceb175c17)

Don't keep an extra ldb around forever.

We just open it to figure out if we need to be a Global Catalog server.

Andrew Bartlett
(This used to be commit f13572d9e9f1962b637cbd573588184d1459d252)

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Conflicts:

source/dsdb/samdb/ldb_modules/simple_ldap_map.c
(This used to be commit 5d539b7da46e38e7570fa5af4549b142f25e4585)

Simplify the contextCSN determination.

We only ever have one backend partition per Samba partition.

Andrew Bartlett
(This used to be commit 316a9b312a2d4a4ea5a5c70946fb06b61fab1a7d)

Lock down the LDAP backend - only samba may read or write
(This used to be commit a3912801fb25f715725c06402d4bdff9a926f15d)

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local
(This used to be commit 7fb8179f214bbba95eb35d221cb9892b55afe121)

Revert Fedrora DS backend to use extensibleObject.

Until I create a samba4openldaptop and samba4fedoratop...

Andrew Bartlett
(This used to be commit 6e232c4ae6dc4151599ab4e57add2ec232d4ac13)

Kill of some bogus debugs for the world who does not use the LDAP backend
(This used to be commit 5bde586bdb4a1523a62a764b9ff292a4a8cee4fe)

Fix asking for credentials for non-LDAP provisions.
(This used to be commit 78416f4840df4f8d1f9cc5e46a48b19c86888050)

Rework provision to handle both simple and SASL binds.

Fedora DS is still setup for simple binds only, at this point.
(it also fails on other issues).

Andrew Bartlett
(This used to be commit b24c572d5a38c1f6906751c2ad2f809e1995b510)

Connect to the LDAP backend with SASL credentials.

This reworks our LDAP backend code to move from anonymous access to a
shared-secret SASL-protected connection.  (SASL selects NTLM or
DIGEST-MD5 on my system).

To get this working, we must pre-populate the LDAP backend with a DN
to store ths SASL secret on, and we use back-ldif for this.

This gives us a reasonable basis to deploy a replicated OpenLDAP
backend solution.

Andrew Bartlett
(This used to be commit cd0745253c4a9ec59a035e830e54d74a05b71aaa)

Make up a full hostname for ldapi connections.

The DIGEST-MD5 SASL method requires a hostname, so provide one.

Andrew Bartlett
(This used to be commit edfb2ed1f22bc735af5a0c3d3ae6ab6771d28f2c)

Add a standard filter for finding the LDAP secrets.
(This used to be commit 28c784966809d634e8497e0716b30bad018467b4)

Cleanup ldap_bind_sasl.

With these changes, we don't leak the LDAP socket, and don't reset all
credentials feature flags, just the ones we are actually incompatible
with.

Andrew Bartlett
(This used to be commit 72e52a301102941c41ab423e0212fe9a1aed0405)

Use secrets.ldb to store credentials to contact LDAP backend.

This makes Samba4 behave much like Samba3 did, and use a single set of
administrative credentials for it's connection to LDAP.

Andrew Bartlett
(This used to be commit e396a59788d77aa2fbf3b523c3773fe0e5c976c0)

Allow ldap credentials to be (optionally) stored in secrets.ldb

This includes a simple bind DN, or SASL credentials.

The error messages are reworked as on systems without an LDAP backend,
we will fail to find this record very often.

Andrew Bartlett
(This used to be commit 95825ae6d5e9d9846f3a7505a81ebe603826227e)

Try to make NTLMSSP less fussy for unimportant messages.

We don't really care (because nobody uses them) what we send as the
domain and workstation in the negotiate packet.

Andrew Bartlett
(This used to be commit 9ac07e14873df2c18d0e9501691c2d4c4047e218)

Fix 'make gdbtest-enb' and the GDB_PROVISION option.
(This used to be commit 79c4d8e2fabc9c33d978c064b9c01ca45e463ced)

Remove C++ keywords from events.h header.

Andrew Bartlett
(This used to be commit 7ca421eb32bed3c400f863b654712d922c82bfb9)

rename sambaPassword -> userPassword.

This attribute is used in a very similar way (virtual attribute
updating the password) in AD on Win2003, so eliminate the difference.

This should not cause a problem for on-disk passwords, as by default
we do not store the plaintext at all.

Andrew Bartlett
(This used to be commit 1cf0d751493b709ef6b2234ec8847a7499f48ab3)

Use common code to fill in allowedAttributes in kludge_acl.

This code is now in common with ad2oLschema.

Andrew Bartlett
(This used to be commit 0a797388ca442c3ad4809888897b1c63b65a7fdf)

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local
(This used to be commit f956908cde7dd40643ff49cf433d0cf7765027de)

Avoid the use of extensibleObject in ldap mapping backend.

Instead of extensibleObject, we use the new (more correct) ad2oLschema
tool, and a new objectClass called 'samba4Top', which we add and
remove in the same way we did extensibleObject.

Andrew Bartlett
(This used to be commit 5ab20aa8b43415751f77602fff3a3008bf2186db)