lib/ldb/tools: allow -W and --realm when build from samba4

metze

auth/credentials: use the same enctypes when getting a TGT and a TGS

metze

dsdb: add a comment about the parameter to DSDB_EXTENDED_SCHEMA_UPDATE_NOW_OID

metze

dsdb/schema: make more clear where we create the value for the new prefix mapping

metze

dsdb/schema: dsdb_write_prefixes_to_ldb() should do the reverse of dsdb_read_prefixes_to_ldb()

metze

dcerpc.idl: add DCERPC_PFC_FLAG_SUPPORT_HEADER_SIGN flag

metze

mamachinepw: add better error handling

metze

Add "mymachinepw" to fetch our machine password out of secrets.ldb

smbtorture: add --extra-user option

This can we used to pass additional credentials to torture tests
(it can be used multiple times.

metze

Define HAVE_ASM_BYTEORDER at all times

Per feedback, remove epoch and ldconfig requires.

See https://bugzilla.redhat.com/show_bug.cgi?id=453083

Make a new define to ensure the accoc_group_id we use is always in common.

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Try to avoid a memory leak if we re-set the global schema

However, try also not to pull a schema out from under a running ldb
session.

Andrew Bartlett

Complain if we are told to use an ldap backend, without the type

Clarify how we are doing the 'this is a rootdse query' check.

hdb-ldb: fix the callers after drsblobs.idl changes

metze

password_hash: fix the callers after drsblobs.idl changes

metze

drsblobs.idl: unify the Primary:Kerberos and Primary:Kerberos-Newer-Keys structs

metze

drsblobs.idl: give some unknowns a meaning

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into v4-0-test

we can't query the ACL on a new file till it exists!

initialise query_maximal_access here too

make sure we initialise query_maximal_access

fixed spelling error

dsdb_create_prefix_mapping() implementation checks for existing prefix maping in ldb.
if one not found it creates a mapping for it and updates the prefixMap schema attribute in ldb.

Handle schema reloading request.
The ldif for that operation looks like this:

dn:
changetype: Modify
add: schemaUpdateNow
schemaUpdateNow: 1

It uses the rootdse's object functional attribute schemaUpdateNow.
In rootdse_modify() this command is being recognized and it is send as extended operation with DSDB_EXTENDED_SCHEMA_UPDATE_NOW_OID.
In the partition module its dispatched to the schema_fsmo module.
The request is processed in the schema_fsmo module by schema_fsmo_extended().

fixd a bug in the signal handling code - we could get phantom signals
(signum 64)

libnet_become_dc: send msDS_Behavior_Version == 3 (win2k8) in DsAddEntry

instead of version 2 (win2k3).
This makes the NET-API-BECOME-DC test work against windows 2003 and 2008.

Michael

libnet_become_cd: add boolean option "become_dc:force krb5" to control krb5 auth.

This allows controlling whether krb5 auth is forced for the rpc bind in
libnet_become_dc. It defaults to "yes". For Windows 2000, DsGetNCChanges
only krb5 auth works due to a bug in Windows (it returns garbage - a
positive object count is returned along with first object == NULL).
For Windows 2008, on the other hand, krb5 auth does not work currently
due to the lack of support for AES keys. (Metze is working on that.)

Michael

drsuapi: always set the pid field of the outgoing DsBindInfo to 0.

This is for debugging and informational purposes only.
The assignment is implementation specific.
(WSPP docs, sec. 5.35).

Michael

libnet_unbecome_dc: teach unbecomeDC_drsuapi_bind_recv() DsBindInfo48.

..to work agains w2k8.

Michael

libnet_become_cd: teach becomeDC_drsuapi_bind_recv() DsBindInfo48.

To work with w2k8.

Michael

dsdb: teach dreplsrv_out_drsuapi_bind_recv() knowledge of DsBindInfo48.

To make it work against w2k8.

Michael

password_hash: add generation of the Primary:Kerberos-Newer-Keys blob

But it's still of by default until we now what triggers this generation.
It could be that the value is always generated but the KDC only
uses it when in a specific funtional level, but it could also
be that it's only generated in a specific functional level.

metze

hdb-ldb: try to find Primary:Kerberos-Newer-Keys and fallback to Primary:Kerberos

Now provide AES tickets if we find the keys in the supplementalCredentials attribute

metze

drsblobs.idl: add idl for Primary:Kerberos-Newer-Keys blob in supplementalCredentials

metze

password_hash: order the supplementalCredentials Packages in the same order like windows

metze

password_hash: split the generation of krb5 keys into a different function

metze

password_hash: simplify the logic if we have cleartext we always generate the hashes

metze

password_hash: fix callers after idl change for package_PrimaryKerberos

metze

drsblobs.idl: fix unknowns in package_PrimaryKerberos idl

metze

hdb-ldb: check the SUPPLEMENTAL_CREDENTIALS_SIGNATURE

metze

password_hash: check the SUPPLEMENTAL_CREDENTIALS_SIGNATURE

metze

drsblobs.idl: fix idl for supplementalCredentialsSubBlob

metze

password_hash: ignore reserved value, but still set it like windows does

metze

drsblobs.idl: rename unknown1 -> reserved

metze

password_hash: don't add zero padding as w2k8 also don't add it

metze

hdb-ldb: fix comment about padding

metze

hdb-ldb: fix crash bug in the error path

metze

RPC-DSSYNC: print 'supplementalCredentials' more verbosely

metze

rpc_server: be more strict with the incoming assoc_group_id

Allow 0 and 0x12345678 only.
This fixes the RPC-HANDLES test.

metze

smbtorture: add a warning for unknown BindInfo length to the RPC-DSSYNC test

Michael

smbtorture: add support for the DSBindInfo48 to the RPC-DSSYNC test.

Michael

libnet/become_dc: add a comment and explain why it's important to specify krb5

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

The SMB session key must not be more than 16 bytes in SAMR (and
presumably LSA).

Tests show that Vista requires the sesion key to be truncated for a
domain join.

Andrew Bartlett

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Remove the 'accoc_group_id' check in the RPC server.

This check breaks more than it fixes, and while technically not
correct, is the best solution we have at this time.  Otherwise,
SCHANNEL binds from WinXP fail.

Andrew Bartlett

Explain where some other OIDs are allocated.

This is an odd place for an OID registry - we perhaps need a central
wiki page.

Andrew Bartlett

Change occurrences of the u1 member of DsBindInfo* to pid after idl change.

Michael

drsuapi.idl: change the u1 field in DsBindInfo* to "pid".

According to the WSPP docs, section 5.35,
this is the "process identifyer" of the client.
It is meant for informational and debugging purposes
only and its assignment is implementation specific.

Michael

drsuapi.idl: add drsuapi_SupportedExtensionsExt bitfield.

This knowledge is obtained from the wspp-docs (section 5.35).

Michael

drsuapi.idl: the last 16 bytes in DsBindInfo48 ar the GUID of the config dn.

This bit seems not to be documented in the WSPP docs.

Michael

drsuapi.idl: add drsuapi_DsBindInfo48.

This is necessary to make DsGetNcChanges work with win2008.

Michael

s3 cli_do_rpc_ndr does not use PI_* anymore

Install'named.txt' to private/ as documentation.

This document is much more use when subbed with all the right things.

Andrew Bartlett

Improve DNS and Group poicy configurations.

 - fixes bug #4813 (simplify DNS setup)
  - This reworks the named.conf to be a fully fledged include
  - This also moves the documentation into named.txt
 - improves bug #4900 (Group policy support in Samba)
   - by creating an empty GPT.INI
 - fixes bug #5582 (DNS: Enhanced zone file)
   - This is now closer to the zone file AD creates

committed by Andrew Bartlett

Properly cast array length in print functions.

Fix winbindd not to sit in a busy loop...

Clearly winbindd in Samba4 has not ever been run against windows, as
when we fixed the Samba4 server not to cause XP to loop like this,
Samba4's own client starts looping...

Andrew Bartlett

Rename structures to better match the names in the WSPP IDL.

The 'comment' element in a number of domain structures is called
oem_information.  This was picked up actually because with OpenLDAP
doing the schema checking, it noticed that 'comment' was not a valid
attribute.

The rename tries to keep this consistant in both the LDB mappings and
IDL, so we don't make the same mistake in future.

This has no real schema impact, as this value isn't actually used for
anything, as 'comment' was not used in the provision.

Andrew Bartlett

Remove bogus test in 'enum trusted domains' LSA server.

The change to the RPC-LSA test proves that when the remote server has
0 trusted domains, it will return NT_STATUS_NO_MORE_ENTRIES, not
NT_STATUS_OK.

Andrew Bartlett

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Sleep longer in the hope that the OpenLDAP backend might catch up

Fix ldb_map to add/remove the same 'extra' objectclass

The code previously added data->add_objectClass, but only removed the
fixed objectclass of extensibleObject.

Found by the ldap.py test.

Andrew Bartlett

Make invalid 'member' detection work again.

This defines a rootdn globally, and due to OpenLDAP bugs, gives it
manage access to the whole database.  This makes the memberOf module
able to validate the links again, now we have database ACLs.

Andrew Bartlett

Fix RAW-OPEN against Samba3

This test assumed that fnums are recycled immediately after a close. This is
not true on Samba 3.

Andrew B., I assume this is just a bug in the test. Assuming recycled fnums
might be true on Windows and Samba 4, but I don't think we should assume this
everywhere.

Volker

Make a seperate template for the refint configuration too

Put the memberof template into a seperate setup/ file.

Set a memberof-dn in a fruitless attempt to fix the ACL problem I'm
having with OpenLDAP

Andrew Bartlett

More 'must be ignored' options from the MS-SMB doc.

Also in particular the 'sync' flags (which Samba has traditionally
ignored).

Thanks to Olivier Salamin <olivier.salamin@gmail.com> for pointing out
more flags that needed to be handled.

Andrew Bartlett

Add the interface ID to the rpc_pipe_register_commands call in s3 srv code

drsuapi: print out the number of linked attribute values we got

metze

drsuapi: make use of the 'more_data' field in DsGetNCChangesCtr[1|6]

metze

drsuapi: check ctr6->drs_error

metze

drsuapi: get ctr6 out of xpress compressed level

metze

drsuapi: total_object_count was the wrong guess

The total_object_count member of DsGetNCChangesCtr[1|6] was wrong
it's the error code of an extended operation.

DsGetNCChangesCtr6 has a nc_object_count value which contains
the estimated amount of objects in the naming_context.

W2k seems to have a bug and sends this number of objects
in the extended_ret field. Maybe it's just a bug and
not a feature:-)

metze

drsuapi.idl: fix unknowns in drsuapi_DsGetNCChangesCtr*

metze

libnet/become_dc: an unknown field in drsuapi.idl changed to object_flags

metze

drsuapi.idl: fix unknowns in drsuapi_DsReplicaObject*

metze

drsuapi.idl: fix unknowns in drsuapi_DsReplicaCursor[2]

metze

drsuapi.idl: correctly handle xpress compressed payload

metze

Signed-off-by: Stefan Metzmacher <metze@samba.org>

become_dc: we need to replicate using krb5 auth to work against w2k

With NTLMSSP we just get strange responses with a random object count
and a NULL object list. On the domain partition where we try to replicate
the password fields.

metze

NET-API-BECOME-DC: fix crash bugs because of unintialized variables

metze

Another kludge to let the OpenLDAP backend catch up.

This will go away when this is handled in an internal transation.

Andrew Bartlett

Fix the build - this element was renamed.

Reorder whitespace in generated slapd.conf

This helps us see the real groupings in the generated memberOf
handling.

Andrew Bartlett

Ignore and handle more NT Create & X options.

The MS-SMB document explains that some of these options should be
ignored.  The test proves it.

/* Must be ignored by the server, per MS-SMB 2.2.8 */
/* Must be ignored by the server, per MS-SMB 2.2.8 */

If we implement HSM in samba4 (likely) we should honour this bit.
/* Don't pull this file off tape in a HSM system */

Andrew Bartlett

Don't keep an extra ldb around forever.

We just open it to figure out if we need to be a Global Catalog server.

Andrew Bartlett

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Conflicts:

source/dsdb/samdb/ldb_modules/simple_ldap_map.c