lib/tevent: a cleaner fix for be4ac227842530d484659f2db683453366326d8b segv

Revert 23abcd2318c69753aa2a144e1dc0f9cf9efdb705 and fix logic bug.

The current code loops through the event contexts, when it sees a different
one, it notifies the current one (ev) and updates ev to point to the new one.

This is dumb, because:
(1) ev starts as NULL, so this code crashes, and
(2) The final context will not be notified.

The correct fix for this is to update ev to the new one, then notify it.
Volker's fix works because we currently always have one event context.

Signed-off-by: Rusty Russell <rusty@rustcorp.com.au>

s4:dsdb Fix of double addition of SD-s

Also add error strings in descriptor module

s4:ldb Add 'single-value' support to LDB.

This is currently only triggered via Samba4's schema code.

Merge branch 'master' of git://git.samba.org/samba

Initial Implementation of the DS objects access checks.

Currently disabled. The search will be greatly modified,
also the object tree stuff will be simplified.

Add support in the ldb_dn.c code for MS-ADTS:3.1.1.5.1.2 Naming Constraints

Add tests for MS-ADTS:3.1.1.5.1.2 Naming Constraints

s4:dsdb Run the new 'descriptor' module by default.

This code was derived from the objectclass module, and we need the new
code in the default provision, or else no ACL is set on each object.

Andrew Bartlett

s4-ldb: bit prettier output

s4-ldb: fixed O(n^2) string handling in ldif debug print

s4-samdb: enable ldb tracing when log level >= 10

s4-schema: don't trace the schema load (too verbose)

s4-ldb: add --trace command line option to ldb tools

This enabled LDB_FLG_ENABLE_TRACING

s4-ldb: add a LDB_FLG_ENABLE_TRACING for full ldb tracing

When LDB_FLG_ENABLE_TRACING is set ldb will send full traces
of all operations and results

s4-ldap: default edn type is 0

s4-ldb: add support for extended DNs in the rootDSE

W2K8 join as a DC relies on being able to ask for the sid component of
extended DNs from the rootDSE DNs

s4-dsdb: fixed a printf format warning

Merge branch 'master' of git://git.samba.org/samba

s4:kerberos Fix the salt to match Windows 2008.

The previous commit changed the wrong end - we must fix our server,
not our client.

Andrew Bartlett

s4:provision Make our default salt match our server behaviour

We need to look into salting algorithms further.

Andrew Bartlett

tdb:tdbtool: fix indentation.

Michael

tdb:tdbtool: add transaction_start/_commit/_cancel commands.

So one can perform tdbtool operations protected by transactions.

Michael

tdb:tdbtool: add the "speed" command to the help text.

Michael

s4:provision - Fix up ProvisioningError class as suggested by Jelmer

s4:samdb/tools - That should fix now the last failures

s4:libnet_become_dc - bump down the level requested by abartlet

s4:scripts - Reintroduce "-H" parameter

I removed it since on some scripts it was present, on others not - so I thought
it wouldn't be really needed. This was a bad decision (pointed out by abartlet).
So I reintroduce it on all scripts (to have consistent parameters).

Revert "blackbox:test_kinit - Remove the "-H" (hive) parameter"

This reverts commit d4389a230b6aea5a0b2a98e255b14a59c8248b0b.

This revert changed the behaviour which I didn't expect. Thanks abartlet to
point this out!

s4:provision Make us Windows 2008 level by defualt again

Also add a note to clarify that this should not be changed without
discussion and consensus.  We don't want this bouncing around.

Paramater support to allow optional selection of Win2003 mode welcomed.

Andrew Bartlett

s3:secrets_schannel: revert to using version 1

It doesn't really matter if the entries
have invalid context in it. Older versions of samba
refuse to open the file if the version doesn't match.

If we can't parse individual records, we'll fail schannel binds,
but the clients are supposed to reestablish the netlogon secure channel
by doing ServerReqChallenge/ServerAuthenticate* again. This
will just overwrite the old record.

metze

s3:winbindd: avoid writing to a closed connection and generate SIGPIPE

metze

async_sock: return -1/EPIPE if we're getting an end of file on read.

This makes the error handling in the callers easier.

metze

s3:lib/select: don't overwrite errno in the signal handler

metze

tevent: make sure we don't set errno within the signal handler function.

metze

s4:dsdb/resolve_oids: add fast pathes for the common operations without oids

metze

s4:dsdb/resolve_oids: check return values in recursion

metze

s4:py_security Add missing header

Merge branch 'master' of git://git.samba.org/samba

s4:provision Use code to store domain join in 'net join' as well

This ensures we only have one codepath to store the secret, and
therefore that we have a single choke point for setting the
saltPrincipal, which we were previously skipping.

Andrew Bartlett

s4:ldb print out which LDB the transaction is still active on.

s4:provision split provision of DNS zone and self join keytab

s4-selftest: disable RAP-SCAN test

also pointless now we have docs

s4-selftest: disable RPC-COUNTCALLS

The RPC-COUNTCALLS was useful when we were working out IDL by hand

Initial implementation of security descriptor creation in DS

TODO's:
ACE sorting and clarifying the inheritance of object specific ace's.

Merge branch 'master' of git://git.samba.org/samba

s4:python tools - try to fix some test problems

s4:samba3sam.py test - remove the primary group ID attribute here

This shouldn't be specified on creation time (Windows Server doesn't allow that).
Hope this also fixes the test (see buildfarm).

s4:sec_descriptor - fix constant

blackbox:test_kinit - Remove the "-H" (hive) parameter

The "enableaccount" script works only on local LDB anymore - therefore remove
this parameter.

Disable descriptor module unless enabled in smb.conf

Since this code may still have some problems, it is not executed by default.
To enable descriptor inheritance add:
acl:inheritance = true
in your smb.conf

s4:dsdb/common/util - Check for the right forest/domain function level

This adds a function which performs the check for the supported forest and
domain function levels. On an unsuccessful result a textual error message can
be created (parameter "errmsg" != NULL) which gives hints for the user to help
him fixing the issue.

s4:server.c - add linespace (only cosmetic)

talloc: fixed talloc_disable_null_tracking()

When we disable null tracking, we need to move any existing objects
that are under the null_context to be parented by the true NULL
context.

We also need a new talloc_enable_null_tracking_no_autofree() function,
as the talloc testsuite cannot cope with the moving of the autofree
context under the null_context as it wants to check exact counts of
objects under the null_context, and smbtorture has a large number of
objects in the autofree_context from .init functions

s4:domainlevel - fixed another error

The second "nTMixedDomain" attribute (under Partitions/Domain-DN) is only a
copy of the one under the directory root object. Therefore there doesn't exist
the "Windows 2000 Mixed" forest level.

Fixed a difference in domain sid type when SID is provided by user.

s4:ldb_parse - Fix the type of an array entry

I found this through a compile warning. Hope that I got this right.

s4:provision_configuration - fix "sPNMappings"

I reread some docs about this attributes and it seems that this as mapping
attribute isn't host specific but in common for the whole domain. To allow
Windows DCs to join our s4 domain sooner or later we have to provide the full
attribute.

s4:domainlevel - further improvements

- The tool displays now also mixed/interim domain levels and warns about them
  (s4 isn't capable to run on them)
- But it allows now also to raise/step-up from them
- It displays now also levels higher than 2008 R2 (altough we don't support them
  yet) but to be able to get a correct output

blackbox/test_ldb.sh: test searching using OIDs instead of names for attributes and classes

metze

s4:provision: add the 'resolve_oids' on the top of the module stack

metze

dsdb/samdb: add resolve_oids module

Windows Servers allow OID strings to be used instead of
attribute/class names.

For now we only resolve the OIDs in the search expressions,
the rest will follow.

metze

s4:build: require ldb 0.9.7

metze

s4:ldb: add ldb_parse_tree_copy_shallow() and change version to 0.9.7

metze

librpc: rerun 'make idl'

metze

drsblobs.idl: fix repsFromTo2 blob size calculation

metze

rerun: make idl

metze

drsblobs.idl: add decoding for repsFromTo2

This is used in windows 2008.

metze

s4-auth: add SID_NT_ENTERPRISE_DCS is a server trust account

s4-drs: security checking on DRS needs to default to on

s4-ldb: display an error if we can't decode a NDR blob

s4-repl: need param.h for lp_parm_bool

Handle dsdb_class_by_lDAPDisplayName returned values in schema_inferiors.c

Move replmd_drsuapi_DsReplicaCursor2_compare to a common place.

Add drs_security_level_check for dcesrv calls security checks

There is also an option to disable the security check
by specifying in the smb.conf file:
drs:disable_sec_check = true

s4:provision_basedn_modify - fix the "auditPolicy" attribute

I had to think about how to encode the string 0x0001 (taken from Windows Server).
The problem is due to the "0" byte at the beginning of it. BASE64 encoding
seems a good method to do it.

s4:utils Remove typo...

s4:dsdb Print the partition we failed to suggest replication for

libcli:nbt move prototypes of lmhosts functions to libnbt.h

s4:utils Explian fix for testparm -v

The problem here was that we take an address of a bool, and then (via
a void*) cast it to a int *, so put this in a comment.

Andrew Bartlett

s4-ldb: bump minimum version in ldb too

more include minimisation

tdb: increase minor version

we depend on reads in transactions for s4 replication

s4-smbd: removed unnecessary includes

s4-scripts: make minimal_includes handle our -I overrides

s4-smbd: minimise includes in smbd/ and smb_server

s4-testparm: fixed -v option

never pass a bool pointer to popt

s4-rpc_server: removed remaining unnecessary #includes

s4-rpc: remove some unnecessary #include lines

I should remember to run script/minimal_includes.pl more often

s4:samdb.py - further rework

- I added a comment to the "new user" operation to point out that this works
  only on s4, since we add also ID mapping entries for winbind there
- The "new user" operation adds now the password through the "set password"
  operation which I find better due to the re-use principle
- Remove the word "DC" after "SAMBA 4" in the comment over the "set password"
  operation since this note and operation applies also to s4 in standalone mode

pidl: update expected output for NDR64 changes

s4-netlogon: implement dcesrv_netr_DsRAddressToSitenamesExW

We don't implement sites properly at the moment so we just return
Default-First-Site-Name

s4-resolve: fixed a crash bug on timeout

We were creating the name resolution context as a child of lp_ctx,
which meant when we gave up on a connection the timer on name
resolution kept running, and when it timed out the callback crashed as
the socket was already removed.

s4-pipes: convert pipe names to lowercase and validate

clients may provide arbitrary names, but we only want lowercase alnum
names

s4-server: kill main daemon if a task fails to initialise

When one of our core tasks fails to initialise it can now ask for the
server as a whole to die, rather than limping along in a degraded
state.

s4-kdc: ignore unknown keytypes

don't fail hdb operations if one of the key types is unknown

Merge branch 'master' of /home/tridge/samba/git/combined

s4-drs: cope with dupliate linked attributes

With a w2k8-R2 DC, we sometimes get linked attribute updates via DRS
which are duplicates of entries that we already have. We need to cope
with this by using a remove/add pair in the ldb_modify() to avoid a
"entry already exists" error

s4:provision_configuration - "sPNMappings": "http" missed on regeneration

s4/provision_configuration - re-add the "sPNMappings"

Accidentally removed by a previous commit.

s4:scripts - Cleans also the rest under the "setup" directory up

- I removed also the "-H" parameter since those scripts are all thought for the
  use on a local s4 domain controller. Another reason is also the bind as SYSTEM
  account which itself is only possible on local binds.