r6819: More notes on krb5 requirements

Andrew Bartlett
(This used to be commit dbd845998723987c75dc0e6a427330116dce0bf4)

r6817: - fixed empty ldap search elements in filters

- added support for guids in cldap netlogon searches.

the cldap server now passes the LDAP-CLDAP torture test
(This used to be commit eb7979d9def389942fa1c54693d2dfcb8828f544)

r6816: - fixed debug display of ndr netlogon union

- send a username when scanning to make structure elements clearer
(This used to be commit 7d19eb9433b615fdf789cb07aeb331df92b05abd)

r6815: fill in values in cldap server as well
(This used to be commit 50cac2ce845b7408d83f18e13544b950b2a5a65b)

r6814: fill in two more unknown values in cldap responses
(This used to be commit 5ee46b44be45763bfaa11dc0b0c9f53b7ee30a51)

r6812: more talloc portability tweaks
(This used to be commit 450ac2e4dea25910ee5384747bdb6ad7323e967d)

r6811: Another attempt at better kerberos/gssapi headers.

Andrew Bartlett
(This used to be commit f4b7484516b956baabb3eba3f233da29fc101100)

r6810: Rename auth/{ntlmssp,gensec,kerberos} mk and m4 files to be called
config.mk and config.m4 to be consistent with the rest of Samba.
(This used to be commit f377c71e4f0d60684326906dfb65e4581294ec34)

r6809: ifeq is not portable in make - jelmer, you'll need to find some other way of doing
this if you want detection of socket wrapper :-)
(This used to be commit f4bfc3a80e0986d48ea8f6ece5432732f5738f32)

r6808: - test for gcov not needed

- samba malloc wrapper avoidance not needed now we don't use includes.h

- make testsuite work when BOOL, True, False already defined
(This used to be commit c8a274c8735957a8a8dd21421abd65a8a1af20f7)

r6807: Fix in-tree build of talloc testsuite
(This used to be commit 3541ebe31bef8ccae7a8a1ea4f451ddfbd24460a)

r6806: Try again to fix the build on various kerberos libs.

Andrew Bartlett
(This used to be commit 5749b63f171acb99c63bfe24312050b316644082)

r6805: Remove two remaining references to gensec_gsskrb5
(This used to be commit a02e07739781eb00b521d050ab06d6b0aedf47bc)

r6804: Add config.h for talloc (and use it)
(This used to be commit c2ce09d38003fd43212de9cd08e4a781cc2aff88)

r6803: Try to bring in the correct GSSAPI headers for the krb5 mech.  This
should allow us to ditch the local static storage for OIDs, as well as
fix the build on non-heimdal platforms.

Andrew Bartlett
(This used to be commit a7e2ecfac9aaacd673e3583b62139e4f4e114429)

r6802: - fixed CFLAGS

- don't fail if we don't have xsltproc
(This used to be commit 235f5c510b4b68edf2a36d049bc0ff2afb73fd72)

r6801: It appears that krb5_make_principal, while convenient, is not portable.

Andrew Bartlett
(This used to be commit c8e8fa129ed0c80bcd289445935047c28d48da64)

r6800: A big GENSEC update:

Finally remove the distinction between 'krb5' and 'ms_krb5'.  We now
don't do kerberos stuff twice on failure.  The solution to this is
slightly more general than perhaps was really required (as this is a
special case), but it works, and I'm happy with the cleanup I achived
in the process.  All modules have been updated to supply a
NULL-terminated list of OIDs.

In that process, SPNEGO code has been generalised, as I realised that
two of the functions should have been identical in behaviour.

Over in the actual modules, I have worked to remove the 'kinit' code
from gensec_krb5, and placed it in kerberos/kerberos_util.c.

The GSSAPI module has been extended to use this, so no longer requires
a manual kinit at the command line.  It will soon loose the
requirement for a on-disk keytab too.

The general kerberos code has also been updated to move from
error_message() to our routine which gets the Heimdal error string
(which may be much more useful) when available.

Andrew Bartlett
(This used to be commit 0101728d8e2ed9419eb31fe95047944a718ba135)

r6799: Remove a rudundent variable from the context structure - we can figure
this out by asking GENSEC, just like everybody else.

Andrew Bartlett
(This used to be commit 0268d6c46b73bf2097247639df2532b5e8591531)

r6798: Valgrind pain is not something I look forward to - if we ever fall
back to the 'not /dev/urandom' method of random number generation, I
don't want to be chasing down 'use of uninitialised value' though all
the crypto code.

Andrew Bartlett
(This used to be commit 31ff2cd8e11dee36c42f82dcfd85338d3ff704d3)

r6797: Typo fix.

rafal
(This used to be commit 0f9a2aef6c87bd53c962b33bf78bf773d2319b97)

r6796: Remove the gensec_gsskrb5 module, which had had all of it's special
features merged back into gensec_gssapi.

(Removed because I've made some API changes, and it isn't worth
'fixing' the rudundent code to cope with changes)

Andrew Bartlett
(This used to be commit e8cf3d58ec956e41fc8d3e38363db3d5d838fe1d)

r6795: Make some functions static and remove some unused ones.
(This used to be commit 46509eb89980bfe6dabd71264d570ea356ee5a22)

r6794: spellfix
(This used to be commit f5956d150154cb4393dc323ae8ae1f936adee355)

r6793: Move auth_sam to use the dnsDomain rather than the
soon-to-be-depricated 'realm'.

Add torture test for this behaviour.

Andrew Bartlet
(This used to be commit 6b9020661a13fd5ec6c5d1e21344d9f654978987)

r6792: Allow a mech to fail on the first pass at the packet, and still fall
back to the other options.

Andrew Bartlett
(This used to be commit 9153d7306124d5e4ffc0467728210e2e2235059f)

r6791: My early notes on the particular things I have discovered as I learn
kerberos, and how Microsoft constructs their kerberos implementation.

Andrew Bartlett
(This used to be commit 5fa9be75d987af106fd798f6d5379b637a170b00)

r6790: Use config.h file for ldb and add test for stdint.h
(This used to be commit c1f1b5a9455c827f7baf382d919ab8a0eab49bb3)

r6787: Use debhelper for the debian packages
(This used to be commit 9f1b15832d4a8bc9914751811fd10f6a35265b8d)

r6781: -add some comments on how attributes and objectClasses are identified in DRSUAPI
-and some comments on what the attribute syntaxes matches what internal datatypes

metze
(This used to be commit 58c6887da48c2ebdec14529cb81e7589101f7aae)

r6776: make the cldap torture test not dependent on the realm being set
correctly - it gets the realm from an initial no-attribute search
(This used to be commit 52d10c8d99521f9dd02891a30688472d96860aef)

r6768: Fix wrong comment
(This used to be commit 2f80b2070f1fc99151f0a583271cd9047d53bab6)

r6767: Fix compiler warning.
(This used to be commit 45a0692be10a03032f9a4e26da3de08696c03464)

r6766: some more cldap tests ...

my best guess now is that w2k3 converts the & in the cldap query to an |
for the ldap search. at least it behaves roughly like that.
(This used to be commit 1d6ab9aaefee71e3d0f87c1afae8ccdbae1f0e04)

r6765: expanded the cldap test suite to test the usage of the DomainGuid,
AAC, and User attributes in cldap netlogon queries

interestingly, while WinXP generated cldap filters with these set, the
w2k3 cldap server seems to completely ignore them, so I didn't need to
alter our cldap server at all to pass the test :-)
(This used to be commit 177c8becd2051c9d1f261358baf4b85ca89700d8)

r6764: added support for DomainGuid, DomainSid, AAC, and User attributes in
cldap netlogon queries
(This used to be commit 7c1d0f449d3922a309fc86e5d9cb1e962a39805d)

r6763: added functions in libcli/ldap/ to binary encode some NDR structures into
ldap friendly filter strings
(This used to be commit 8890dd3ac331cffe83226a356c52df89c917c2b0)

r6762: with the zone right we don't need a fully qualified site name at all
(This used to be commit 6f4ad382d445c3cdb8e50727f09d79334076e02d)

r6761: - not everyone is in my domain :-)

- started adding support for the other cldap attributes that XP uses
(This used to be commit 1537558039b012a4124e6167ad7ebfd7486f05ff)

r6760: Update debian packages
(This used to be commit 39c8acdaa5746bec9171a4624e24e4eea553bcb1)

r6759: let us have a wildcard attribute so that we can set a default for all attributes

example:

*: CASE_INSENSITIVE

by placing it in the @ATTRIBUTES object you make all the matching be case insensitive
to make an excepion to the general rule now you just need to create an entry like:

name: CASE_SENSITIVE

the key CASE_SENSITIVE currently does not exist but has the effect of making the code
ignore the wildcard default flag and being ldb case sensitive by default it let the
"name" attribute be case sensitive again

Tridge, can you look at this commit?
Should we introduce a CASE_SENSITVE/BINARY flag and handle it in the code ?

Simo.
(This used to be commit 5f10707e8ac36db03f3aa3e1ee1c40a9d9da2016)

r6752: Patch by Steven Edwards to improve portability to mingw32
(This used to be commit 8d63cd33a223cccb21d808747e9c97da53629fbc)

r6751: dnsDomain should be CASE_INSENSITIVE (winxp will sometimes do a cldap query with this
in uppercase)
(This used to be commit f0c37555ff30c3e5ff4680d0b33bc105ebd3a0b1)

r6750: some minor tweaks to the cldapd server

I can now join winxp -> samba4 DC using long name, and login. The nice
thing is there are no delays now, as the client likes the replies it gets
(This used to be commit 5aff7d36f3e535e305820ae42b023ae53cc0daf9)

r6747: first working version of cldapd server. It is missing 'sites' support, and
filling in some of the returned parameters is quite rough, but it seems to work OK
(This used to be commit e564e3e596915414fad07c94f7ea8a0d9c3a1140)

r6746: added ndr_push_union_blob() for pushing IDL unions into a DATA_BLOB
(This used to be commit dc25be9d69a65680f7942ed29c2d791d6ce7248a)

r6745: - escape spaces in binary ldap blobs

- expose the ldap filter string parsing outside of ldap.c
(This used to be commit b644ff6fe164fbe359c47e4d34f5ad490ff61d5b)

r6744: added support for reply packets in libcli/cldap/
(This used to be commit 992858e1b91c3ff05077afa8a7abe155198597d4)

r6741: prevent talloc_strndup() from reading one byte past the end of a buffer,
giving valgrind errors
(This used to be commit 7af0c547e0c0da3bc78a1ee6c2ab29114d8625cc)

r6740: make gensec_gssapi.c compile again
(This used to be commit 6d15e9511115cc30ee213ec91320a2dccde15b8f)

r6738: My version of the patch by metze that I just reverted (-r 6734).

This also includes other changes to reduce memory use by GENSEC when
not being used for sign/seal operations.  This should lower tridge's K
'per connection' benchmark further.

Andrew Bartlett
(This used to be commit 4a5829401b20c10091185bbd93236477523459b2)

r6737: Explain these error returns a bit better.

Andrew Bartlett
(This used to be commit 77d054c65aeecfc0d1156d750f7b8025cb154d3a)

r6736: Revert metze's -r 6734, as metze and I made the same changes at the
same time, but with different names.  This just helps me avoid
conflicts when I merge up my other changes.

Andrew Bartlett
(This used to be commit 27e6a853a5160cb1ad595bea25e891eeae439662)

r6734: most compiler don't like struct elements without a name...

metze
(This used to be commit 0c1cd40bcea748d65938bb2dc8160ea07e9ec851)

r6733: GSS_C_DCE_STYLE is not available for most builds

metze
(This used to be commit 3536029e8fb1da1ca689e0b7aa1f3edfb7967790)

r6732: - move sasl send recv code to the ldap lib
- support 'modrdn' ldif

metze
(This used to be commit b6a1734699953964fcde6fe6ea7048496492eb33)

r6731: add a useful function for getting a guid with all bits to 0

metze
(This used to be commit 161ecce7441649629b97ce1ca903b9704e06f66b)

r6730: register gensec_krb5 also with the drcrpc auth type

metze
(This used to be commit 491d7804f5f5bdfb43ae09b81c2cbc34fab2246d)

r6729: Fix silly copy-paste bug spotted by metze.

Andrew Bartlett
(This used to be commit 400899995b2c2ed54a114f8f55e5fb36592298b9)

r6728: Microsoft relies very strongly on getting the OIDs it expects, so we
must register the 'MS' OID for the domain join to progress.

Andrew Bartlett
(This used to be commit c8fbda6bfd96d5d57cd52bc15d8695547effe2e3)

r6727: One more step down the long march to the 'Kerberos domain join'.

This patch allows a suitably patched Heimdal GSSAPI library (detected
in configure) to supply to us the session keys, and further compleats
the gensec_gssapi module.  This is tested for CIFS, but fails for LDAP
at this point (that is what I'll work on next).

We currently fill out the 'session info' from the SAM, like
gensec_krb5 does, but both will need to use the PAC extraction
functions in the near future.

Andrew Bartlett
(This used to be commit 937ee361615a487af9e0279145e75b6c27720a6b)

r6726: support binary search elements in ldap_decode()
(This used to be commit 2b36f1dfdd6cf3ab89f63b541ae4cd905fb03c8d)

r6725: the beginnings of a cldap server
(This used to be commit e51e0dffa8f8bff9bd1535751e805b548b6c6d7f)

r6724: added "cldap port" smb.conf parameter
(This used to be commit 04af0e7c5de467a24b965ce1de2fb07621133164)

r6720: added support for the remaining 2 types of CLDAP netlogon
response.

To work around the fact that the type of the returned data is not
encoded in the packet, this required adding ndr_pull_union_blob()
which allows us to pull a blob into a union with a specified switch
value, in this case the switch value comes from the calling NtVer field.
(This used to be commit bd27e626c27be72913d1a1569ee6e2e2711df84e)

r6719: pidl need to be told that the external type netr_SchannelType is an enum, otherwise
it will assume its a struct
(This used to be commit 9a8f3e3c4cc3bad804b4fab3a7248e6fd88f3749)

r6718: Formatting fixes.

rafal
(This used to be commit a784c46dd40ee2ea00fb67caeb358e76cdc0712f)

r6717: - torture test of async useradd function and monitor messages.
- make message handling functions static.

rafal
(This used to be commit 96446e5e1e53eb519cbfeb64d0dd2f4052d75b0f)

r6714: We can only ask GENSEC questions if we are authenticated.

Andrew Bartlett
(This used to be commit b429712f1e8234c64138aaa8ff67dce94988406c)

r6711: Clarify that we are dealing with a salting principal in the kerberos
code, which is certainly not in the form of machine$.

Rework the default salt to match what I just added to the heimdal
server (Samba4 is back on speaking terms with lorikeet heimdal now),
from Luke Howard's post to samba-technical in Nov 2004.

Now to test compatability with MS...

Andrew Bartlett
(This used to be commit d719a0093bfe37fc62f28c7c02f17f93eec16abf)

r6709: Add monitor messages to useradd composite useradd function.

rafal
(This used to be commit b3fce5b94be2f9491a53673b1baecf0c8fe5b7c4)

r6708: Another type of monitor message.

rafal
(This used to be commit f7aaa0bfcae7fd4518256a703ad237693ff0c295)

r6705: let the gensec module decide if messages can be signed and sealed in a different
order than a strict request - reply sequence

Note: we should also fix the client code...

metze
(This used to be commit 0a61d1f65150546f7a7582512ca010d156f963bf)

r6704: fix compiler warning

metze
(This used to be commit 9d86314c44ae8e1ec21653b21cc267bfac573445)

r6703: fix the build

metze
(This used to be commit 333f9bdf585db3df455009667d94deae568be02a)

r6702: Revert -r 6699, as I think this is a win2k v win2k3 issue.

Andrew Bartlett
(This used to be commit 77b67da5b8187951ba8c25af85bbf716cf5b3561)

r6701: Updates to our server-side ticket verification code, we now use the
client credentials code to read the secrets.ldb.

Also clean up error handling, and ensure to always set the
last_error_message stuff.

Andrew Bartlett
(This used to be commit 435d229e5d1da349f00d80a36b599ae70468e99d)

r6700: Upper case realms in kerberos-specific parts of the code, as this is
no longer done globally.

This keeps MIT client libraries happy, because otherwise the windows
KDC will return a different case to what was requested.

Andrew Bartlett
(This used to be commit 9098b9321f938473c367f906cfe2f001ca1d8e6a)

r6699: Windows clients seem to ask for CIFS/, ie in upper case, so match it.

Andrew Bartlett
(This used to be commit 6d7f1daaf2a521864994e06b013c36287f27a129)

r6698: Our domain join code requires that the secureChannelType be set.  Type
6 is BDC, which is correct for a self-join.

Andrew Bartlett
(This used to be commit cd61ff80f886bcb4a8c6b681879ee269604e98f3)

r6697: fix from Sven (wAmpIre) Velt

metze
(This used to be commit db2f5619f8114b6454cc2541d80129e1ca5fa1a9)

r6694: a simple CLDAP torture test

interestingly, w2k3 seems to have 4 different varients of the netlogon
cldap response. We decode two of them so far. The other two are tricky
as they aren't distinguished by a command code, they use the same
command codes (0x13 and 0x17) but have quite a different format. Very
strange!
(This used to be commit 58f1c39282e281450fe94ceab7ca0a53ec7172e1)

r6693: first version of cldap client library, with async interface
(This used to be commit cbeffe830b2d3aee2ba346034548fa273a08f409)

r6692: used idr_get_new_random() in the nbt client library
(This used to be commit a3f64357af75587a855cfedb58ce2583658c7d04)

r6691: fixed a comment
(This used to be commit a0fa871c3fda9fce7da0b110ed313c930a677a80)

r6690: added ndr_pull_struct_blob_all(), which is like ndr_pull_struct_blob() but checks
that all bytes are consumed
(This used to be commit 7951e9bd647b35d2f92d7ba4dbbc2ac05f31491a)

r6689: minor ldap client library work

 - added support for binary encoded search filters
 - fixed some const handling
 - changed the message type to an enum, to help debugging
(This used to be commit d5353b63428698d1ce95c50e2626f1841fa637e3)

r6688: removed unused binary_string() function
(This used to be commit 0b48c69e0b94571173a12714b22d3d5e2af17bcf)

r6687: added a idr helper function for creating random IDs
(This used to be commit ef573df2a012e9a192487f207502ef1027c66d4b)

r6677: Unused variables.
(This used to be commit 7417f6fa8be637ccf04f8608e67174d6d5624662)

r6676: Fix unused variable.
(This used to be commit 699e0adf4cba1473b48ff38c8043dbc36bc43560)

r6675: Fix printf warning.
(This used to be commit 513fc9c24493e007a9e4d034ca05657897a5eac2)

r6674: Fix some compiler warnings.
(This used to be commit c2c563bf985a8fdd28beacb3dbdf650c11af2fa7)

r6664: Obey overrided CC in the Makefile
(should fix build on several buildfarm hosts)
(This used to be commit cbd7af4fcf72fd21b2a8ea2ee8f9f61f90f36f03)

r6663: only use -Wall for gcc
(This used to be commit b7fbe2173d45456c77fad9673073173704a1b266)

r6662: add an installcheck target for talloc
(This used to be commit 2f78428cfd823b499c60ac3cc02650183b760ef0)

r6661: fix up talloc autoconf to have a chance of working on the build farm
(This used to be commit 9318744fd496a829a57fc8e0f21d4b26b1eb74c7)

r6660: Sorry for the spam... I think now I've got a version that should compile on
trunk, 3_0 and 4_0.

Volker
(This used to be commit 777c489cad610fef140ec80d5644111b04a314c1)

r6650: keep style consistent
(This used to be commit 34671674ee326ea835408f8c1fdb105ea50ccc55)

r6645: Add talloc_get_size() function.
Sometimes it is usefull to know this data.

Simo.
(This used to be commit df401847827ef660d8b9d55af9b27bb85bad6b5f)