s3-docs: Add documentation of the net g_lock subcommand.

Karolin

s3-docs: Move -D option to the right paragraph in man winbindd.

Fix bug #7260 (Command line option documentation in wrong place in winbindd man
page.). Thanks to Ged Haywood <samba@jubileegroup.co.uk> for reporting!

Karolin

s4:heimdal_build: undefine __APPLE__ as we don't need that magic

This hopefully fixes the build on Mac OS 10.

metze

s4:heimdal_build: remove heimdal/lib/hcrypto/evp-cc.c from autoconf build

metze

work around AIX6.1 name space pollution rename mod_name to module_name

s3-rap: fix cli_oem_change_password() and give room for the convert reply word.

Any servers I could find so far return it.

Guenther

s3-lanman: use samr for api_SamOEMChangePassword().

Guenther

s4-smbtorture: create/delete testusers via SAMR in RAP-SAM.

Unless we spent time researching the RAP useradd calls (and implement them in
s3) it is far more easy to use existing SAMR calls to create and delete test
users that are used for RAP change password operations.

Guenther

s4-smbtorture: add test_oemchangepassword to RAP-SAM.

Guenther

s4-selftest: skip RAP-SAM tests against Samba 4.

Guenther

s3-selftest: enable RAP-SAM against Samba 3.

Guenther

s4-smbtorture: add RAP-SAM testsuite with a rap_NetUserPasswordSet2 test.

Guenther

s4-smbtorture: getting serious about checking rap status return codes.

Guenther

s4-smbtorture: add torture_create_testuser_max_pwlen() that allows to set maxpwlen.

required for upcoming rap pwd tests.

Guenther

s4-smbtorture: autolookup domain in torture_create_testuser() if none was given.

Guenther

Fix more SMB2-OPLOCK bugs. Only 3 more issues to address then we're good to go on this test.

Jeremy.

s3:kerberos Return PAC_LOGON_INFO rather than the full PAC_DATA

All the callers just want the PAC_LOGON_INFO, so search for that in
ads_verify_ticket(), and don't bother the callers with the rest of the
PAC.

This change makes sense on it's own (removing boilerplate wrappers
that just confuse the code), but it also makes it much easier to
implement a matching ads_verify_ticket() function in Samba4 for the
s3compat proposal.

Andrew Bartlett

Signed-off-by: Günther Deschner <gd@samba.org>

s4-smbtorture: test netservergetinfo level 1 also against s3.

Guenther

not all versions of env like more than one argument...

pidl: fix build on systems that don't have perl in /usr/bin/

s4:dsdb: cached results of samdb_rodc()

metze

tdb: commit ABI/tdb-1.2.2.sigs

metze

s4:heimdal: remove unused heimdal/lib/hcrypto/evp-cc.c

metze

s4:heimdal_build: remove heimdal/lib/hcrypto/evp-cc.c from the build

This is not needed and contains one big #ifdef __APPLE__
and breaks the build on Mac OS 10.

metze

s3:configure: fix a message

s4:torture/rpc/netlogon.c - don't use constant "AF_LOCAL" but do use "AF_UNIX" instead

"AF_LOCAL" isn't portable but has the same value as "AF_UNIX".

s3:Makefile: build smbtorture4 as static binary with socket_wrapper support

metze

waf:libreplace: set _OSF_SOURCE to fix build on Tru64

README.Coding - cosmetic changes

- Fix typos
- Wrap lines
- Remove trailing whitespaces
- use ":" instead of "::" - one colon should in all cases be enough

build: skip missing executables in testwaf.sh

tdb: remove unused variable in tdb_new_database().

Guenther

Revert "s4-rodc: Fix provision warnings by creating ntds objectGUID in provision"

This reverts commit c3cbb846d0bfbaa11fd255bada7fa5fe502d4d96.
The fix is not correct, we should cache a bool to answer amIRODC

Revert "s4:password_hash LDB module - don't break the provision"

This reverts commit 6276343ce1b7dd7d217e5a419c09f209f5f87379.

This is not needed anymore.

metze

Revert "s4:password hash LDB module - check that password hashes are != NULL before copying them"

This reverts commit fa87027592f71179c22f132e375038217bc9d36a.

This check is done one level above now.

metze

s4:dsdb/password_hash: only try to handle a hash in the unicodePwd field if it's given

Sorry, I removed this logic while cleaning up indentation levels...

metze

README.Coding: fix good example

metze

s4-smbtorture: fix smbcli_rap_netuserpasswordset2().

Guenther

s4-smbtorture: fix smbcli_rap_netoemchangepassword.

Guenther

s4-smbtorture: correctly fill in trans.in.data in rap_cli_do_call().

Guenther

s4:password_hash LDB module - we might not have a cleartext password at all

When we don't have the cleartext of the new password then don't check it
using "samdb_check_password".

SMB2 always have level2 oplock capability. Correct mapping from break messages to SMB2 oplock levels.

Jeremy.

Stop us crashing in SMB2-OPLOCK test. Don't allow more than one outstanding immediate event.

Jeremy.

s4/tort: Add test for comparing special DNs

s4/dn: handle case 'base' dn has no components

This could if the 'base' dn is special for example.

s4-smbtorture: add smbcli_rap_netoemchangepassword().

Guenther

rap: add rap_NetOEMChangePassword() to IDL.

Guenther

Fix the processing of unlocks followed by locks. We now pass SMB2-LOCK test.

Jeremy.

Fix more of the SMB2-LOCK tests. Correctly unlock locks on error.

Jeremy.

s4:password_hash LDB module - quiet a warning

s4:password hash LDB module - check that password hashes are != NULL before copying them

s4:password_hash LDB module - don't break the provision

This is to don't break the provision process at the moment. We need to find
a better solution.

s4:passwords.py - add a python unittest for additional testing of my passwords work

This performs checks on direct password changes over LDB/LDAP. Indirect
password changes over the RPCs are already tested by some torture suite (SAMR
passwords). So no need to do this again here.

s4:samdb_set_password - adapt it for the user password change handling

Make use of the new "change old password checked" control.

s4:samdb_set_password/samdb_set_password_sid - Rework

Adapt the two functions for the restructured "password_hash" module. This
means that basically all checks are now performed in the mentioned module.

An exception consists in the SAMR password change calls since they need very
precise NTSTATUS return codes on wrong constraints ("samr_password.c") file

s4:password_hash - Implement password restrictions

Based on the Patch from Matthias Dieter Wallnöfer <mwallnoefer@yahoo.de>.

metze

s4:password_hash - Rework to handle password changes

- Implement the password restrictions as specified in "samdb_set_password"
  (complexity, minimum password length, minimum password age...).
- We support only (administrative) password reset operations at the moment
- Support password (administrative) reset and change operations (consider
  MS-ADTS 3.1.1.3.1.5)

s4:password_hash - Rework unique value checks

Windows Server performs the constraint checks in a different way than we do.
All testing has been done using "passwords.py".

s4:password_hash - Various (mostly cosmetic) prework

- Enhance comments
- Get some more attributes from the domain and user object (needed later)
- Check for right objectclass on change/set operations (instances of
  "user" and/or "inetOrgPerson") - otherwise forward the request
- (Cosmetic) cleanup in asynchronous results regarding return values

s4:dsdb: add new controls

- Add a new control for getting status informations (domain informations,
  password change status) directly from the module
- Add a new control for allowing direct hash changes
- Introduce an addtional control "change_old password checked" for the password

s4:setup: mark DSDB_CONTROL_DN_STORAGE_FORMAT_OID 1.3.6.1.4.1.7165.4.3.4 as allocated

metze

v2 Latest enhancements in ldapcmp tool

- Added support for replicating hosts versus hosts in different domains
- Added switches for the following modes:
  = two - ignores additional attributes that cannot be the same
    in two different provisions (domains)
  = quiet - display nothing, only return code
  = verbose - display all dn objects through compare fase
  = default - display only objects with differences
- Added more placeholders for nETBIOSDomainName and ServerName

s4-rodc: Fix provision warnings by creating ntds objectGUID in provision

s3-rpcclient: fix two more invalid typecasts in spoolss commands.

Guenther

s3: Work around dependency bug in Samba 4 waf build in merged build.

libwbclient: Fix a fd-leak at dlclose-time

__attribute__((destructor)) makes winbind_close_sock() being called at
dlclose() time.

Found while testing apache on Linux with mod_auth_pam.

Other platforms will have to find a different fix. One possibility would be to
always close the socket after each operation, but this badly sucks
performance-wise.

s3: Test for "__attribute__((destructor))"

s4:acl ldb module - fix typos

s4:dsdb/util.c - Add a new function for retrieving password change attributes

This is needed since we have not only reset operations on password fields
(attributes marked with REPLACE flag) but also change operations which can be
performed by users itself. They have one attribute with the old value marked
with the REMOVE flag and one with the new one marked with the ADD flag.
This function helps to retrieve them (argument "new" is used for the new
password on both reset and change).

s4:blackbox password tests - more complex passwords

s4:selftest - change test passwords

The passwords need to be more complex to meet the new complexity criteria.

s4:selftest: add --socket-wrapper[-keep]-pcap options to "waf test"

metze

testprogs: update Makefile.mingw (although mingw current cant build it).

Guenther

testprogs: update README to reflect the util rename.

Guenther

testprogs: add readme for testspoolss.exe.

Patch from Kurt Pfeifle <Kurt.Pfeifle@ricoh.de>.

Guenther

testprogs: add vcproj and sln files for testspoolss.exe.

Patch from Kurt Pfeifle <Kurt.Pfeifle@ricoh.de>.

Guenther

testprogs: rename spoolss.exe to testspoolss.exe.

Patch from Kurt Pfeifle <Kurt.Pfeifle@ricoh.de>.

Guenther

s3-net: Fix Bug #7417. 'net rpc user password' can set the wrong password.

Guenther

tevent: Added a description for tevent queue.

tevent: Added an introduction to the tevent_queue tutorial.

Thanks Volker.

tevent: Fixed a doxygen problem with PRINTF_ATTRIBUTE.

talloc: Fixed a doxygen problem with PRINTF_ATTRIBUTE.

build: Update the waf build to fix python header checks

s3:provision_basedn_modify.ldif - add "msDS-NcType" attribute and fix comments

s3-proto: add missing protoype for dcerpc_fault_to_nt_status().

Guenther

s3-lanman: use srvsvc for api_RNetServerGetInfo().

Following MS-RAP 3.2.5.3 NetServerGetInfo Command.

Guenther

s3-spoolss: Make spoolss_Time_to_time_t public.

Signed-off-by: Günther Deschner <gd@samba.org>

s4:samldb LDB module - make "samldb_member_check" synchronous again

s4:samldb LDB module - make "samldb_prim_group_users_check" synchronous again

s4:samldb LDB module - update the copyright notice

s4:blackbox/test_kinit.sh - Test the new "net user add <user> [<password>]" syntax

s4:net utility - make outprinted description comments more consistent

I've added a [server connection needed] when commands won't work on the local
SamDB.

s4:net utility - remove unixname parameter of samdb.newuser

We don't handle the id mapping stuff manually anymore.

s4:samdb python bindings - remove idmap creation stuff from this call

The id mapping should now be handled automatically by the s4 daemon.

s4:net utility - add an optional password attribute to "net user add"

To make it behave similar to "net newuser".

s4:dsdb Provide an intelegent fallback if not CN=Subnets is found

We may as well fall back rather than return NULL (which callers don't
do useful things with).

Andrew Bartlett

buildtools: Add 'make testenv' to Samba4 make targets

I'm still too addicted to this as my standard debugging environment, and while I can learn the new command, this helps the muscle-memory.

Andrew Bartlett

dsdb/password_hash: remove usage of msDs-KeyVersionNumber

metze

s4:dsdb Use replPropertyMetaData as the basis for msDS-KeyVersionNumber

This means that the existing kvno will no longer be valid, all
unix-based domain members may need to be rejoined, and
upgradeprovision run to update the local kvno in
secrets.ldb/secrets.keytab.

This is required to match the algorithm used by Windows DCs, which we
may be replicating with.  We also need to find a way to generate a
reasonable kvno with the OpenLDAP backend.

Andrew Bartlett

librpc:dcerpc_error.c - fix a warning

s3-libsmb: fix argument order for tevent_req_default_print in cli_pull_print().

Andreas, please check.

Guenther