s3-examples: make get_next_oid exectuable.

Guenther

s3-samr: refactor _samr_SetDomainInfo().

Guenther

s3-samr: refactor _samr_QueryDomainInfo().

Guenther

s3: Plumb smb_filename through SMB_VFS_STAT and SMB_VFS_LSTAT

This patch introduces two new temporary helper functions
vfs_stat_smb_fname and vfs_lstat_smb_fname.  They basically allowed me
to call the new smb_filename version of stat, while avoiding plumbing
it through callers that are still too inconvenient.  As the conversion
moves along, I will be able to remove callers of this, with the goal
being to remove all callers.

There was also a bug in create_synthetic_smb_fname_split (also a
temporary utility function) that caused it to incorrectly handle
filenames with ':'s in them when in posix mode.  This is now fixed.

s3: Convert is_visible_file to use talloc_asprintf instead of malloc

s3:smbd: send SMB2 interim responses for async calls

metze

s3:smbd: add support for async interim SMB2 responses and prepare SMB2 cancel

metze

s3:smbd: keep a list of outstanding SMB2 requests

metze

s3:smbd: add smbd_smb2_send_oplock_break()

metze

s3:smbd: the SMB2-COMPOUND test shows that the related vs. unrelated flags isn't checked first

metze

Reenable the LDAPI socket for the merged build

It seems that the samba4 part of the merged build does not pick up the
DEVELOPER flag from the s3 configure.

Jelmer, can you fix that properly?

Thanks,

Volker

Only set the password if there is one

s4-smbtorture: more paranoid checks while testing group membership in RPC-SAMR.

Guenther

s3-printing: eliminate another non sec_initial_uid using security check.

Guenther

s3-spoolss: restructure _spoolss_EndDocPrinter().

Guenther

s3-lsa: Fix error path in _lsa_EnumAccountRights.

This needs to return NT_STATUS_OBJECT_NAME_NOT_FOUND
again as described in MS-LSAD 3.1.4.5.10 and tested with the
RPC-SAMR-USER-PRIVILEGES test.

Guenther

s3-eventlog: implement _eventlog_ReportEventW().

Guenther

s3: re-run make idl.

Guenther

samr: add samr_UserInfoLevel and samr_DomainInfoClass enums based on MS-SAMR.

Guenther

s3: forward MSG_DEBUG from smbd parent to all children

Before 3.3, an smbcontrol debug message sent to the target "smbd" would
actually be sent to all running processes including nmbd and winbindd.
This behavior was changed in 3.3 so that the "smbd" target would only
send a message to the process found in smbd.pid, while the "all" target
would send a message to all processes.

The ability to set the debug level of all processes within a single
daemon, without specifying each pid is quite useful.  This was implemented
in winbindd in 065760ed.  This patch does the same thing for smbd.

Upon receiving a MSG_DEBUG the parent smbd will rebroadcast it to all of
its children.

The printing process has been added to the list of smbd child processes,
and we now always track the number of smbd children regardless of the
"max smbd processes" setting.

s3-libnet: fix libnet_unjoin_remove_machine_acct() when called without ads struct.

Guenther

Add tldap paged searches, together with two helper routines

Reorganize retrieving errors and server-sent controls

This attaches the data to the tldap_message instead of the tevent_req.

It adds tldap_ctx_lastmsg() to retrieve the last message for the users of
the sync wrappers.

Move asn1_load_nocopy() to lib/util/asn1.c

Move asn1_blob() to lib/util/asn1.c

Add tldap_supports_control

Add tldap_entry_has_attrvalue

tldap control support

Prepare control support

We will have arrays of controls passed to tldap.c. Follow a mantra from the
classic book "Thinking Forth" by Leo Brodie: Favor counts over terminators :-)

This makes the parameter lists to tldap pretty long, but everyone will have
wrapper routines anyway, see for example tldap_search_fmt. And the OpenLDAP
manpages call the non-_ext routines deprecated, probably for a reason.

Fix setting passwords in pdb_ads

The samba4 password_hash module does not allow changing the password fields via
the "delete oldval" -> "add newval" set of modify operations, it requires a
single "replace with newval" operation.

Andrew, Samba3 by default uses that delete/add pair to detect if between
fetching the old value and storing the new one the old value has changed. This
is lost by using the "replace" operation.

Would it make sense to add this to the password_hash module?

Volker

Fix empty lines

talloc_tos() aborts if it can not get a stackframe

Fix coverity #729. Resource leak in error path.
Jeremy.

Fix coverity #740. Resource leak in error paths. We should
always return queue here as the caller will free.
Jeremy.

Fix coverity #900. Resource leak.
Jeremy.

Fix coverity #920. Possible NULL deref.
Jeremy.

Fix coverity #676. Forward NULL.
Jeremy.

s3: fix make test with external libtalloc or libtdb.

This skips the talloctort and tdbtorture tests when the
corresponding binaries are not present.
There might be more clever ways of detecting wether samba
has been linked with internal or external libraries, but
as a first approximation, this seems valid.

Michael

s3:build: build talloctort only when using the internal liballoc

Fixes the build with the external libtalloc.
And is the reasonable thing to do anyways.

Michael

s3:build: build the tdb tools only when using the internal libtdb

This fixes the build when internal libtdb is used.

Michael

s3:build: remove LIBTDB_OBJ from TDBTORTURE_OBJ collection

tdbtorture is linked with LIBTDB_LIBS, which is whatever
configure has determined to be (-ltdb or LIBTDB_OBJ ...).

Michael

s3:build: check for availability of external libtdb and use it if available

Link internal libtalloc statiaclly if extenal libtalloc is not found
or does not have appropriate version.

Michael

s3:build: link libtalloc statically if using internal libtalloc

Michael

Don't require "Modify property" perms to unjoin bug #6481)
"net ads leave" stopped working when "modify properties"
permissions were not granted (meaning you had to be allowed
to disable the account that you were about to delete).

Libnetapi should not delete machine accounts, as this does not
happen on win32.  The WKSSVC_JOIN_FLAGS_ACCOUNT_DELETE flag
really means "disable" (both in practice and docs).

However, to keep the functionality in "net ads leave", we
will still try to do the delete.  If this fails, we try
to do the disable.

Additionally, it is possible in windows to not disable or
delete the account, but just tell the local machine that it
is no longer in the account.  libnet can now do this as well.

Add a missing talloc_move() in tldap_search_recv

Fix Coverity IDs 922 and 933

In copy_internals(), if the !CAN_WRITE(conn) kicks in, we end up
dereferencing a NULL smb_filename.

This adds a simple protection around it.

Tim, please check!

Volker

s3/docs: Fix typo.

This fixes bug #6412.
Thanks to Carsten Dumke <carsten [at] cdumke.de> for reporting!

Karolin

Add tiny tldap test

Add tldap_fetch_rootdse

Make tevent_req_is_ldap_error public

Add tldap_context_[gs]etattr

This adds the ability to attach extended information to a tldap_context. This
will become useful once we start to do automatic reconnects for example, a
callback function might want attach a pointer to credentials so that it can
rebind.

The initial user of this will be a cached rootdse, so that things like the
ability to do paged searches can be cached.

s3:dmapi: prefer dmapi libs from gpfs over system libs

Patch from William Jojo sent to samba-technical:

This is based on some pain felt when building 32-bit and 64-bit Clustered Samba
on AIX with GPFS support.

Part of the problem lies in AIX only providing 32-bit shared object in
libxdsm.a(shr.o). So without libdmapi.a from gpfs.base, you get no DMAPI
support under 64-bit.

s4-smbtorture: fix test_GetInfoLevel crash bug in RPC-DFS.

Guenther

Merge branch 'master' of ssh://git.samba.org/data/git/samba into master-devel

Allow developers access the the privilaged ldapi socket for the moment

This allows us some time to get the EXTERNAL bind working

On our way to alpha9!

Mark as release version

Partially revert restriction of socket_wrapper to 1500 byte writes

This keeps the restriction for stream sockets (where the caller will
retry), without creating problems on datagram sockets (CLDAP is not
defined, as far as I know, across multiple UDP packets).

The commit adding this restriction was
47b106c0ae8b91c9cccfc21bf8e4e416b1abfd5d

Andrew Bartlett

s4:ldapsrv Place the 'privilaged' ldapi socket under an #ifdef

This makes it clear to our users that this particular implementation
isn't final (all parties are agreed that an EXTERNAL bind is the right
way to do this, but it has not been implemented yet).

Andrew Bartlett

added some basic documentation for the idmap script option

added a sample script for the "idmap script" option

Partially revert restriction of socket_wrapper to 1500 byte writes

This keeps the restriction for stream sockets (where the caller will
retry), without creating problems on datagram sockets (CLDAP is not
defined, as far as I know, across multiple UDP packets).

The commit adding this restriction was
47b106c0ae8b91c9cccfc21bf8e4e416b1abfd5d

Andrew Bartlett

s4:ldb Add test for integer normalisation behaviour

This uses groupType as the example, but this actually applies to all
integer types in AD.

Andrew Bartlett

A fix in the ACL code used by both SAMBA 3 and 4

This fixes an uninitialised structure. It has been found through valgrind
in the RAW-ACLs test suite (Bug #6397).

Fixed some uninitialised variables

I tried hard to not change the program logic. Should fix bug #6439.

Correct handling of 32-bit integer attributes in SAMBA 4
- LDB handles now all 32-bit integer attributes correctly (also with overflows)
  according to the schema
- LDAP backends handle the attributes "groupType", "userAccountControl" and
  "sAMAccountType" correctly. This handling doesn't yet use the schema but
  the conversion file "simple_ldap.map.c" which contains them hardcoded.
  Did also a refactoring of the conversion function there.
- Bug #6136 should be gone

s3-pam_winbind: Fix Bug 6253: Use correct value for password expiry calculation.

Based on patch from Blindauer Emmanuel <samba@mooby.net>.

Guenther

Fix bug 4699: Remove pidfile on clean shutdown

acl_group_override() doesn't need to call stat. Pass this
down from above (as const).
Jeremy.

Add some const to the stat struct in the dosmode calls.
Fix a couple more unix_convert uses to filename_convert.
Fix bug in acl_group_override() where an uninitialized
struct could be used. Move unix_convert with wildcard
use in SMBsearch reply to boilerplate code.
Jeremy.

Replace the boilerplate calls to :
resolve_dfspath() -> unix_convert() -> get_full_smb_filename() -> check_name()
with a new function filename_convert().
This restores the check_name() calls that had gone missing
since the default create_file was changed. All "standard"
pathname processing now goes through filename_convert().
I'll take a look at the non-standard pathname processing
next. As a benefit, fixed a missing resolve_dfspath()
in the trans2 mkdir call.
Jeremy.

libwbclient: fix returned LogonInfo in wbc_LogonUser().

That function could return emtpy blobs for username and ccache for e.g. cached
logins.

Guenther

wbinfo: use wbcLogonUser for wbinfo -K.

Guenther

Revert "For tevent to install tevent_util.h"

This reverts commit b112cc5503350b248949bdbcce8072f5523ce877.

tevent_util.h is a private header. Must not be installed.

s3/docs: Add documentation for 'net sam rights'.

This is part of a fix for bug #6328.

Karolin

s3:netlogon Cope with recent rename in netlogon.idl

Remove unused variable

Bump the ldb version and the version Samba4 requires.

We have made a lot of useful changes to LDB since the last realese,
that Samba4 now relies on.  This ensures that a build against a system
LDB will only succeed against the right version.

Andrew Bartlett

s4: Add tests and 'must change password' flags in setpassword and newuser

In particular, ensure that we can acutally change the password under
these circumstances.

Andrew Bartlett

s4:testprogs Don't specify a username/password when checking the ccache

The purpose of this test is to ensure that the Kerberos credentials
cache is valid.  If the username and password is specified, this
overrides the very thing we are trying to test.

Andrew Bartlett

s4:libnet Allow 'net password change' to work on expired passwords

We need to pass down flags to the DCE/RPC layer to allow fallback to
anonymous connections, as we can't log in with an expired password.

The anonymous connection can then change the password with SAMR.

Andrew Bartlett

s4:kdc Allow a password change when the password is expired

This requires a rework on Heimdal's windc plugin layer, as we want
full control over what tickets Heimdal will issue.  (In particular, in
case our requirements become more complex in future).

The original problem was that Heimdal's check would permit the ticket,
but Samba would then deny it, not knowing it was for kadmin/changepw

Also (in hdb-samba4) be a bit more careful on what entries we will
make the 'change_pw' service mark that this depends on.

Andrew Bartlett

s4:setup Add an option to 'setpassword' to force password change at next login

s4:gensec Print GSSAPI error message when unable to find PAC

Require the new tdb 1.1.5 (for performance reasons)

While tdb has not changed ABI in a way that requires this, we don't
want Samba4 somehow built against the old version with
performance problems on large, growing databases.

Andrew Bartlett

Fixes for the "cldap" tests

- Insert a check after the "tsocket" library call to make sure that the call
  terminated correctly
- Add a comment to explain why on further calls of "cldap_socket_init" the
  destination address hasn't to be specified

source4/client/client.c: Possible memory leaks

Patch for bug #6446

cppcheck found 2 possible memory leaks:

    [./source4/client/client.c:3305]: (error) Memory leak: base_directory
    [./source4/client/client.c:3305]: (error) Memory leak: desthost

Patch in attach.

Fix resource leak in lib/ldb/tools/ldbmodify.c

Patch for bug #6389

Fix syntax error in lib/ldb/ldb_sqlite3/base160.c

Patch for bug #6388

For tevent to install tevent_util.h

Patch for bug #6270

This patch is for the future when samba4 builds using external libraries. With
this patch, tevent now installs tevent_util.h which is required by samba4.

LDB: Link against both tevent and talloc

Patch for bug #6269

When linking against tevent you also need to link against talloc. This patch
fixes external/libevent.m4 to do so.

s4: Call va_end() after all va_start()/va_copy() calls.

This corrects the issues reaised in bug #6129, and some others that were not
originally identified.  It also accounts for some code that was in the original
bug report but appears to have since been made common between S3 and S4.

Thanks to Erik Hovland <erik@hovland.org> for the original bug report.

NETLOGON pipe improvements

Patch for bug #4939

This refactors the NETLOGON code related to this bug:

- Introduces a new "SYNCSTATE" enum required by the "DatabaseSync2" call (acc.
to WSPP)
- Make "DatabaseSync" dependant from "DatabaseSync2" (acc. to WSPP)
- Let "DatabaseSync2" return NT_STATUS_NOT_IMPLEMENTED (I'm not sure if this is
also true when a domain is running in mixed mode)
- Make "LogonControl" and "LogonControl2" dependant form "LogonControl2Ex"
(acc. to WSPP)
- Let "LogonControl2Ex" return WERR_NOT_SUPPORTED for now

Add const to cast, to fix warning

s3 onefs: Remove dfs resolution from create_file() now that it's being done at a higher level

s3: Change SMB_VFS_OPEN to take an smb_filename struct

This was a little messy because of all of the vfs modules I had to
touch.  Most of them were pretty straight forward, but the streams
modules required a little attention to handle smb_filename.  Since the
use of smb_filename enables the vfs modules to access the raw,
over-the-wire stream, a little bit of the handling that was being done
by split_ntfs_stream_name has now been shifted into the individual
stream modules.  It may be a little more code, but overall it gives
more flexibility to the streams modules, while also allowing correct
stream handling.

s3: Plumb smb_filename from create_file all of the way down to fd_open

I used the smb_filename struct everywhere that was feasible for the
first pass.  There are still some places in this path that need to be
changed to use smb_filename, but this is a good start.

I also:
- Removed fname/path arguments from a few functions that weren't
  really using them.
- Added a utility function for detecting whether an smb_filename is a
  stream.

Use system Python LDB bindings, if present.

Use system LDB by default if the right version was found.

dsdb: Fix build against system ldb.