s4:torture/rpc/samr.c - test_SetPassword_LastSet - introduce the delays also for s4

s4:torture - SAMR password tests - activate support for password sets on level "18" and "21"

s4:selftest - activate the lanman password changes

This is needed for a working "OemChangePasswordUser2" operation.

s4:dcesrv_samr_SetUserInfo - implement right "pwdLastSet" behaviour

Behaviour as the torture SAMR passwords tests show.

s4:dcesrv_samr_SetUserInfo - deny operations when "fields_present" is 0

Taken from s3

s4:dcesrv_samr_SetUserInfo - port the "SAMR_FIELD_LAST_PWD_CHANGE" check from s3 to s4

s4:dcesrv_samr_SetUserInfo - implement password set level 21

s4:dcesrv_samr_SetUserInfo - implement case 18 which allows to reset the user password

s4:OemChangePasswordUser2 - return "NT_STATUS_WRONG_PASSWORD" when we haven't activated the the lanman auth

This is what s3 does.

s4:samr_password.c - add a function which sets the password through encrypted password hashes

Used for password sets on "samr_SetUserInfo" level 18 and 21.

s4-smbtorture: fix typo.

Not my day...

Guenther

s4:torture/rpc/samr.c - test_SetPassword_LastSet - fix "pwdLastSet" test

- Remove superflous checks (on level 18, 24, 26 we do always have "pwdLastSet"
  resets if "password_expired" > 0)
- Fixed some bugs

Signed-off-by: Günther Deschner <gd@samba.org>

s4-smbtorture: add trustDomainPasswords blob test to LOCAL-NDR testsuite.

Our parsing of this struct is incorrect atm. and apparently also causes the s4
server to crash.

Thanks to Sumit Bose <sbose@redhat.com> for providing the auth data retrieved
from a w2k3 domain.msc operation.

Guenther

s3-registry: missed one perflib keyname delimiter.

Guenther

s3: More cleanup in winbindd_ads.c:query_user

We can't ads_msgfree after the ads struct has been killed. Do early returns.

s3: Fix a valgrind error

nss_get_info_cached does not necessarily fill in gid

s3: Re-arrange winbindd_ads.c:query_user

We can't access the LDAP message after nss_get_info_cached has potentially
destroyed the ads_struct

s3: free -> SAFE_FREE

s3: Do an early TALLOC_FREE

s3-registry: fix printing keyname delimiter.

Guenther

s3-registry: fix perfmon keyname delimiter.

Guenther

s3-net: Make sure that the data blob is initialized.

Found by clang-analyzer.

s3-eventlog: Fixed the keyname delimiter for the registry key.

s3-registry: Fixed keyname delimiter in KEY_CURRENT_VERSION_NORM.

s3-smbd: Make sure that status is initialized when used.

Found by clang-analyzer.

s3-lanman: Make sure count is not used uninitialized if we jump to out.

Found by clang-analyzer.

s3-vfs: Make sure that retval isn't used uninitialized.

Found by clang-analyzer.

s3-passdb: Make sure dn is initialized and don't free it.

dn is just a pointer to a memory which hasn't been duplicated.

Found by clang-analyzer.

s3-passdb: Make sure we don't call free on a garbage pointer.

Found by clang-analyzer.

s3-lanman: Make sure that job_info is not undefined.

Found by clang-analyzer.

s3-nmbd: Leave the sync function if there are no syncs.

Found by clang-analyzer.

s3-libsmb: Make sure that finfo is initialized.

Found by clang-analyzer.

s3-eventlog: make sure _eventlog_OpenEventLogW fails when we cannot open the registry key.

Guenther

s3: Fix some valgrind errors

Essentially the same change as 15297ee, this time for the client side.

Günther, Andrew B, please check!

Thanks,

Volker

s3-passdb: Make sure that we don't assign garbage.

librpc: Use switch in GUID_from_data_blob().

nss_wrapper: Fixed a possible NULL pointer problem.

s4:ldap_server: don't start if we can't bind to port 389

metze

Implementation of self membership validated right.

When this right is granted, the user can add or remove themselves from a group even
if they dont have write property right.

s4/test: Run DrsDeleteObjectTestCase as part of S4 testing

I put this test in the end of the list of tests as it
runs with 'vampire_dc' environment running.

Currently there are tests that are failing when we have
2 DCs constantly replicating in the test environment
(this, of course, should be fixed in the near future)

s4/drs: re-implement 'renaming' object replication

We should rename objects only after we make sure, that
changes on the partner DC are newer than what we have.
This fixes a bug, when we have following situation with 2 DCs:
- we have an object O on the two DCs
- we rename (delete) object O on DC1
- DC1 replicates from DC2
In the above scenario, object O will be renamed back
to its original name (i.e. it will be restored).

Now, we check that DC2 state is older than what we have,
so nothing happens with object's DN.

s4/drs-test: Add few comments in DrsDeleteObjectTestCase test

Also remove unused code

s4:rpc_server/srvsvc/dcesrv_srvsvc.c - remove unreachable code

s4:rpc_server/wkssvc/dcesrv_wkssvc.c - remove unreachable code

s4:rpc_server/lsa/dcesrv_lsa.c - remove unreachable code

s4:lsa/lsa_lookup.c - use a better type for the "rtype" of the wellknown SIDs

To suppress warnings on Solaris 10

s4:rpc_server/drsuapi/drsutil.c - remove unreachable code

s4:rpc_server/dcesrv_auth.c - remove unreachable code

s4:winbind/wb_samba3_protocol.c - add cast to suppress warnings on Solaris 10 cc

s4:kdc/kdc.c - add cast to suppress warnings on Solaris 10 cc

s4:kdc/kpasswdd.c - remove unreachable code

s4:provision.py - fix comment regarding DNS entries

I think this should mean partially Samba4 specified (all beside the "dns"
account is standard)

s4:provision: add entries for root dns servers

metze

s4:provision: move Samba4 specific DNS stuff to its own file

metze

s4:provision: add --next-rid option

Make it possible to provision a domain with a given next rid counter.
This will be useful for upgrades, where we want to import users
with already given SIDs.

metze

s4:dsdb/ridalloc: add comment about windows behavior regarding rIDUsedPool

metze

s4:provision: don't use hardcoded values for 'nextRid' and 'rIDAvailablePool'

On Windows dcpromo imports nextRid from the local SAM,
which means it's not hardcoded to 1000.

The initlal rIDAvailablePool starts at nextRid + 100.

I also found that the RID Set of the local dc
should be created via provision and not at runtime,
when the first rid is needed.
(Tested with dcpromo on w2k8r2, while disabling the DNS
 check box).

After provision we should have this (assuming nextRid=1000):

rIDAllocationPool: 1100-1599
rIDPrevAllocationPool: 1100-1599
rIDUsedPool: 0
rIDNextRID: 1100

rIDAvailablePool: 1600-1073741823

Because provision sets rIDNextRid=1100, the first created account
(typically DNS related accounts) will get 1101 as rid!

metze

s4:provision: pass relax control also to modify_ldif

metze

s4/net-drs: Fix error messages typo and formatting

s4/drs-test: Fix whitespaces and permissions for delete_object.py test

Sorry I've  missed to do this before

Move UCS2 macros to common code

Don't use frame as the talloc ctx in open_schannel_session_store(), as this breaks running from inetd
(we free frame below). Use NULL instead.

Jeremy.

Change talloc_autofree_context() to frame in Andrew's schannel.tdb TDB_CLEAR_IF_FIRST
changes. Using talloc_autofree_context() has undesirable effects when forked
subprocesses exit.

Jeremy.

schannel Change to TDB_CLEAR_IF_FIRST to reduce fsync()

By making this DB TDB_NOSYNC, and by making that safe with
TDB_CLEAR_IF_FIRST, we greatly reduce the fsync() load on the server.

This particularly helps the source4/ 'make test', which otherwise tries
to disable fsync() in ldb.

Andrew Bartlett

Signed-off-by: Jeremy Allison <jra@samba.org>

s3:schannel Open the schannel_state.tdb at startup

This will allow future TDB_CLEAR_IF_FIRST behaviour

Signed-off-by: Jeremy Allison <jra@samba.org>

s4:schannel Open the schannel_store.tdb at startup

This will allow TDB_CLEAR_IF_FIRST behaviour in future

Signed-off-by: Jeremy Allison <jra@samba.org>

libcli/auth make open_schannel_session_store() public

This will allow TDB_CLEAR_IF_FIRST to be used

Signed-off-by: Jeremy Allison <jra@samba.org>

s3:registry: use regdb_store_regdb_version() in regdb_init().

s3:registry: use regdb_store_regdb_version() in regdb_upgrade_v1_to_v2()

s3:registry: add a function regdb_store_regdb_version()

s3:registry: rename regdb_upgrade_to_version_2() -> regdb_upgrade_v1_to_v2()

s3:net [rpc] registry: be as user-friendly as possible wrt to the normalization change

The registry has been changed to use '\' as a key delimiter instead of '/'.
Originally, one could mix both characters in the specification of registry
key for net [rpc] registry. Now this can not work any more, since '/' is
generally treated as a valid character of a key name.

Now, to be as user-friendly as possible, the net [rpc] registry code has
been changed to still support '/' as a key name delimiter if no '\' character
is found in the given registry path string. In that case, all '/' characters
are converted to '\' characters before proceeding. If on the other hand,
a '\' character is found in the path string, then no conversion is assumed,
and it is hence assumed that the path is already in the correct form and
'/' characters are supposed to be part of the key names.

s3:registry: improve logic of upgrade code in regdb_init()

Don't overwrite unknown versions (0 or > 2) of the registry.

s3:registry: fix some debug messages in regdb_ini()

s3-registry: Convert registry key delimiter from slash to backslash.

This is needed to support keynames containing a '/' like TCP/IP. Which
is used in serveral standard paths.

Signed-off-by: Michael Adam <obnox@samba.org>

s3-registry: Added a db upgrade function to normalize the key delimiter.

This converts the key delimiter from a slash to a blackslash. We need to
support keynames with a backslash.

Signed-off-by: Michael Adam <obnox@samba.org>

s3: In make_server_info_info3, check the result of copy_netr_SamInfo3

s3: In copy_netr_SamInfo3 copy all of the sids array

s3: Fix a winbind crash

nss_get_info_cached might deep inside sequence_number() invalidate the
ads_struct without telling its callers.

s3: Fix a winbind crash

nss_get_info_cached might have invalidated "ads" deep inside.

s4 python: Add unit tests related to PyLong/PyInt handling

Signed-off-by: Jelmer Vernooij <jelmer@samba.org>

ldb: Fix a wrong changetype in unit test

Signed-off-by: Jelmer Vernooij <jelmer@samba.org>

pidl: Finish to fix the python generated code for 64bit integers

Signed-off-by: Jelmer Vernooij <jelmer@samba.org>

smbtorture: Fix loading of --load-list.

selftest: Clarify generation of idlist option.

s4:lib/registry/ldb.c - cosmetic - fix comment

s4:lib/registry/ldb.c - cosmetic - wrap lines

s4 upgradeprovision: Try to support older Pythons.

Use "...".split(sep, 1) instead of "...".partition(sep).

Signed-off-by: Matthias Dieter Wallnöfer <mdw@samba.org>

s4/drs: DsReplicaSync should search partition to Sync

by any valid DSName attribute given, be it - partition DN,
partition GUID or partition SID

s4/utils: fix few 'net drs replicate' error messages

mainly for the output to be more informative

s4/drs-test: Tests Deleted objects replication

Tests how deleted objects are replicated between two DCs.
Currently the test exploits following vulnerabilities:
 - DsReplicaSync is not correctly implemented
 - a 'deleted object' is restored (kind of) in case DC1 replicates
   from DC2 before the 'deleted object' is replicated

selftest: Store the output of the last test run in st/subunit.

If a testrepository repository is present, add the test output when it
has completed.

pidl/python: Make sure to always increment reference counter when using
Py_None.

pidl/python: Increment reference counter on Py_None to prevent us from
accidentally deallocating it.

s4 torture: Warn on NOT_IMPLEMENTED in addition to NOT_SUPPORTED for RAW-QFILEINFO

Signed-off-by: Tim Prouty <tprouty@samba.org>

s3:registry: remove unused function normalize_dbkey()

s3:registry: use normalize_reg_path() in regdb_set_secdesc()

instead of normalize_dbkey

s3:registry: use normalize_reg_path() in regdb_get_secdesc()

instead of normalize_dbkey.

Revert "s4:provision.ldif - fix the number of available RIDs"

This reverts commit 41cdcd54b7b7e3fb70fdb220e74a1daf30e1891a.

As per request of metze revert this (cause written on the mailing list).

s4:auth/gensec/gensec_gssapi.c - reorder constructor

To have the same order as in the structure definition.