Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Generate the subSchema in cn=Aggregate

This reads the schema from the in-memory structure, when the magic
attributes are requested.  The code is a modified version of that used
in the ad2oLschema tool (now shared).

The schema_fsmo module handles the insertion of the generated result.

As such, this commit also removes these entries from the setup/schema.ldif

Metze's previous stub of this functionality is also removed.

Andrew Bartlett

Rework generation of the objectClass and attributeType lines.

Now that these are subroutines, we can factor them out into a file the
CN=Aggregate schema code can also use.

Andrew Bartlett

Paramaterise the seperator in ad2OLschema

This will allow me to add a new mode, with the CN=Aggregate schema
format automatically generated.

Andrew Bartlett

Don't segfault in RPC-ATSVC.

RAW-OPEN: be more strict in create_option checking

metze

Revert "krb5: always generate the acceptor subkey as the same enctype as the used service key"

This reverts commit dbb94133e0313cae933d261af0bf1210807a6d11.

As we fixed gensec_gssapi to only return a session key when it's
have the correct session key, this hack isn't needed anymore.

metze

gsskrb5: always return an acceptor subkey

For non cfx keys it's the same as the intiator subkey.
This matches windows behavior.

metze

gensec_gssapi: only cache the session key in STAGE_DONE

The key may change because we switch from initiator to acceptor
subkey.

metze

SMB2-CREATE: add a special test for FILE_ATTRIBUTE_ENCRYPTED

Some standalone server (and samba4) doesn't support this.

metze

SMB2-CREATE: be more strict in checking file attributes

metze

SMB2-CREATE: be more strict in error checking

metze

ntvfs_generic: fix handling of create_options for SMB2

metze

libcli/smb2: add SMB2_CREATE_OPTIONS_NOT_SUPPORTED_MASK

SMB2 returns NOT_SUPPORTED to some more NTCREATE_OPTIONS.

metze

pvfs: fix handling of create_option flags

metze

libcli/raw: fix the special NTCREATE_OPTIONS_*_MASK values

We now reuse ignored values for the ntvfs backend private flags.

metze

smb2srv: async replies with STATUS_PENDING are not signed

..., but the they may have the sign flag set.

metze

smb2srv: sign replies when the request was also signed

metze

smb2srv: use defines instead of hex values

metze

libcli/smb2: use smb2 signing in auto mode if the server supports it

metze

libcli/smb2: we don't need check the same thing twice...

metze

libcli/smb2: async replies with STATUS_PENDING are not signed

metze

pidl: fix samba4.pidl.samba3-cli test

metze

NBT-WINSREPLICATION: be more robust to timing errors

Also reenable disabled tests.

metze

expanded the SMB2-CREATE and RAW-OPEN tests to explore more of how the
create options fields are supposed to work

cope with arbitrary unknown pac buffer types, so when MS adds
a new one we don't break our server

cope with not knowing the kdc key

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

gensec_gssapi: add support for GENSEC_FEATURE_NEW_SPNEGO

metze

gensec_gssapi: fix compiler warnings

metze

gensec_gssapi: add a function to load the lucid structure once

metze

gensec: add support for new style spnego and correctly handle mechListMIC

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

dcerpc.idl: remove used DCERPC_MAX_SIGN_SIZE

metze

rpc_server: correct the chunk_size depending on the signature size

metze

librpc/rpc: correct the chunk_size depending on the signature size

metze

dcerpc.idl: add DCERPC_AUTH_TRAILER_LENGTH

metze

Only allow trust accounts access to the NTP signing service.

gensec_gssapi: use the correct signature size for cfx/rfc4121 style signatures

metze

gsskrb5: try to be compatible with windows for gss_wrap* and cfx

The good thing is that windows and heimdal both use EC=0
in the non DCE_STYLE case, so we need the windows compat hack
only in DCE_STYLE mode.

metze

gensec_gssapi: use gsskrb5_get_subkey() to get the session key

This is needed to get the correct key, when aes keys are used.

metze

krb5: always generate the acceptor subkey as the same enctype as the used service key

With this patch samba4 can use gsskrb5_get_subkey() to get the session key.

metze

gsskrb5: add support for DCE_STYLE and des and des3 keys

Only the des keys are tested as windows doesn't support des3

metze

Always set a session key, even for the 'no password' case.

This is for bug 5664 reported by Tom <hto@arcor.de>.

Andrew Bartlett

Clarify comment

We can't use ndr_pull_struct_blob_all in combinatin with relative pointers

lib: prepare the build of zlib

metze

zlib: add inflateReset2()...

metze

import of zlib-1.2.3

We want to use zlib for the mszip ndr (de)compression
later, we'll need to add some new functions to zlib.

metze

drsuapi: fix callers after idl change

metze

drsuapi.idl: directly use mszip in level 2

This fixes the push because the switch_level doesn't work
otherwise because the pointer is the same as for
the outer switch_level.

metze

rpc_server: add support for DCERPC_PFC_FLAG_SUPPORT_HEADER_SIGN

you need "dcesrv:header signing=yes" to enable it.

metze

librpc/rpc: add support DCERPC_PFC_FLAG_SUPPORT_HEADER_SIGN

You can trigger it like this:

ncacn_ip_tcp:172.31.9.234[sign,hdrsign]

or

ncacn_ip_tcp:172.31.9.234[seal,hdrsign]

metze

librpc/rpc: pass struct dcerpc_pipe to dcerpc_auth3()

metze

gensec_gssapi: add support for GENSEC_FEATURE_SIGN_PKT_HEADER

This only works for sign/verify_packet() yet,
seal/unseal_packet() doesn't work yet...

metze

gensec: add GENSEC_FEATURE_SIGN_PKT_HEADER flag

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into manpage

Add helper object Hostconfig to make it easier to get to e.g. the
SAM database.

heimdal: add experimental --enable-external-heimdal

This should only be used for testing and when you're
absolutly sure the installed heimdal libraries
support the features we need.

(E.g. heimdal-1.2 or lower should NOT work)

metze

libreplace: include <krb5.h> and <com_err.h> and no heimdal specific headers

metze

auth/kerberos: remove dependencies to internal heimdal

metze

heimdal_build/internal: add some useful defines

metze

heimdal: fix dependency

metze

lib/crypto: remove dependency to internal heimdal

metze

build: remove warning about missing generated include file

metze

Use new style python classes.

Move domain DN determination out of newuser function.

Actually fix missing substitution variables.

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into manpage

Fix some forgotten substitute variables in provision, add check to prevent this sort of regression in the future.

kdc: use mostly only public kerberos headers

We shoule avoid using the private heimdal function
_krb5_principalname2krb5_principal()

metze

auth/kerberos: we don't need to include heimdal private headers

metze

gensec_gssapi: include <gssapi/gssapi.h>

metze

heimdal_build: we should only use PRIVATE_DEPENDENCIES

metze

build: autogenerate heimdal basics

metze

build: autogenarate VPATH by configure

metze

heimdal: add missing files

metze

auth_server: set the workstation name

metze

heimdal: add missing file heimdal/lib/gssapi/mech/gss_pseudo_random.c

metze

build with the new heimdal version

heimdal: update to lorikeet-heimdal rev 801

metze

build: allow flex-2.34 together with bison-2.3

metze

auth/ntlmssp: don't crash when the backend give no challenge

metze

auth_server: fix the logic of server_get_challenge()

metze

auth_server: fix segfault reported by Julien Kerihuel <j.kerihuel@openchange.org>

metze

Revert "Start implementind domain trusts in our KDC."

This reverts commit 736ce50afd9da9b5fbc3db777fd5341dfa4b721a.

This breaks the build...

metze

Update to a working trustAuthIncoming and trustAuthOutgoing parser.

This is based on the docs, as well as testing against a domain trust
in windows.

Clearly it needs to be more general - perhaps a non IDL parser?

Andrew Bartlett

Print trustAuthOutgoing and trustAuthIncoming in RPC-DSSYNC

Use the cldap reply to avoid segfaulting in RPC-DSSYNC

Also don't fail the test if the server does not implement the NT4
changelog.

Andrew Bartlett

Don't fail if the domain has a trust already.

Andrew Bartlett

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Start implementind domain trusts in our KDC.

Andrew Bartlett

Update trustAuthInOutBlob in line with MS-ADTS 7.1.6.8.1

Be more pythonic.

Revert "gensec_gssapi: use gsskrb5_get_subkey() to make smb2 signing with aes keys work"

This reverts commit 73964f069056f46f2f27fc690e42e5c91ae1fe19.

This breaks more than it gains:-( It seems to break the ncacn_np session key

metze

rpc_server: remove unused variable

metze

gensec_gssapi: use gsskrb5_get_subkey() to make smb2 signing with aes keys work

SMB signing with aes doesn't work, but still works with
arcfour-hmac-md5, des-cbc-md5 and des-cbc-crc.

metze

libcli/smb2: the session key for SMB2 signing is truncated to 16 bytes

To make that work (as a client) with aes128 and aes256 krb5 keys
we need to use gsskrb5_get_subkey().

metze

smb2srv: sign SMB2 Logoff replies

metze