s3:s3compat Allow replacement of lp_idmap_backend() and lp_idmap_alloc_backend

s3:param Allow lp_security() and lp_passdb_backend to be omited for s3compat

When we build s3compat into the source4 code, we will provide a
replacement for both these functions.

Andrew Bartlett

s3:winbindd Add hooks for s3compat into source3/winbindd

These extra pointers help the s3compat code do it's job

s3:auth Improve make_auth_context_text_list API - add const

s3:auth Enable make_auth_context_subsystem to be replaced in s3compat

This allows s3compat to replace this with a function that only directs
authentication to the source4 auth subsystem.

Andrew Bartlett

s3:auth Add error paths for invalid password_state values

s3:auth Change winbindd -> auth interface to more standard structures

This removes conversions to and from the source3 varient of the
server_info structure when replaced in s3compat, and presents a tidier
interface to winbindd in any case.

Andrew Bartlett

auth/common_auth.h Add a few more 'common' functions

This helps ensure that we don't have different prototypes for the
different implementaitons of these functions.

Andrew Bartlett

auth Add kerberos_return_pac() to common_auth.h

auth Add ads_verify_ticket() to common_auth.h

s3:auth Change 'make_user_info' to be talloc based

This is an ideal candidate, as it already uses a free function.  It
now uses talloc destructors to clear the passwords if required.

Andrew Bartlett

s3:auth Whitespace fixes after auth merge

s3:auth Make Samba3 use the new common struct auth_usersupplied_info

This common structure will make it much easier to produce an auth
module for s3compat that calls Samba4's auth subsystem.

In order the make the link work properly (and not map twice), we mark
both that we did try and map the user, as well as if we changed the
user during the mapping.

Andrew Bartlett

s4:auth Move struct auth_usersupplied_info to a common location

This also changes the calling convention slightly - we should always
allocate this with talloc_zero() to allow some elements to be
optional.  Some elements may only make sense in Samba3, which I hope
will use this common structure.

Andrew Bartlett

Make aio_ex owned by a talloc context, not neccessarily on the null context.

Move "write_though" into aio_ex struct.

s3:smbd add utility function to check if there are open pipes

s3:rpc make num_pipe_handles get an actual pipe as argument

Let the function abstract out how handles are counted

s3:rpc handles are used by all pipes, use better name

s3:rpc fix potential out of bound memory access

memcpy copies memory unconditionally, we are passing "" in some cases here.
Use strncpy which will stop reading from src if the null byte is found and
will fill with nulls the destination.

s3: fix build on platforms without st_blocks and st_blksize stat struct members

This fixes bug 7474.

ldb:pyldb.c - we cannot use "ldb_dn_compare" if both message DNs are NULL in "py_ldb_msg_compare"

Discovered by the testcase.

s4 python: add more unit tests to verify the compare tests

s4:objectclass_attrs LDB module - move the single-valued attribute check into this module

It seems to me more consistent (and also to keep the same behaviour on all
backends).

Also the DRS hack should therefore not be needed anymore since the
"repl_meta_data" module launches requests behind "objectclass_attrs".

s4:rdn_name LDB module - move the "distinguishedName" write prevent check here

In my eyes it fits better here than in the TDB backend code.

s3:auth add hooks to indicate if signing or sealing is desired with NTLMSSP

This allows the right hooks to be called in GENSEC when s3compat
implements the auth_ntlmssp interface.  Otherwise, we can't do the
signing or sealing as we have not negoitated it's use.

Andrew Bartlett

s3:auth Change auth_ntlmssp_server_info API to return NTSTATUS

It's nicer to have an NTSTATUS return, and in s3compat there may be a
reason other than 'no memory' why this can fail.

Andrew Bartlett

s3:named pipe proxy Improve error messages when named pipes fail to forward

I hope this helps the next person who needs to debug this.

Andrew Bartlett

s3:smbd Give the kerberos session key a parent

I can't see what would free this, so this should prevent a memory leak.

Andrew Bartlett

named_pipe_auth Always lower case the incoming pipe name

Windows connects to an upper case NETLOGON pipe, and we can't find the
socket to connect to until we lower case the name.

Andrew Bartlett

s3:smbd Fix segfault if register_existing_vuid() fails

The register_existing_vuid() call will handle both the ntlmssp_end and
vuid invalidation internally, so we don't want to do it again.

Andrew Bartlett

s3:auth Rename user_info->domain -> user_info->mapped.domain_name

This is closer to the structure I want for a common struct
auth_usersupplied_info.

Andrew Bartlett

s3:auth Rename user_info->client_domain -> user_info->client.domain_name

This is closer to the structure I want for a common struct
auth_usersupplied_info.

Andrew Bartlett

s3:auth fix header comment for internal_username -> mapped.account_name

s3:auth Rename user_info->internal_username -> user_info->mapped.account_name

This is closer to the structure I want for a common struct
auth_usersupplied_info.

Andrew Bartlett

s3:auth Rename user_info->smb_name -> user_info->client.account_name

This is closer to the structure I want for a common struct
auth_usersupplied_info.

Andrew Bartlett

s4:samba_dsdb LDB module - fix typos

s4:samba_dsdb LDB module - enhance/fix module rule comments

s3:auth make sure the primary group sid is usable

This function was previously performed under the cover by converting
back and forth from info3 to samu and then later from samu to info3.

Since we now shortcircuit that in some cases, check explicitly using
get_primary_group_sid()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:auth return the full passwd struct from check_account

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:passdb Export function to calculate the proper primary group sid

Don't keep it buried in passdb, this function need to be available
for use in places where we do not want to construct an artificial
samu struct just to play tricks.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:auth remove unused structure member

sids are now completely handled using info3, remove dead code that fills
server info sids and the structure members themselves

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:auth create nt token from info3 directly

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:auth handle unix domain sids in samu

When we generate a user out of thin air we may end up adding sids
that are not part of the sam domain (unix domain sids).
Handle the case and preserve these sids as extra sids.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:auth set the resolved user sid in the fake sam account

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:auth check the user is valid first

It makes no sense to go through all the hoops to build samu and
convert it to info3, just to discard them later if the user was
not valid.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:auth make sure we set the right username

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4:ldap.py - add some "objectclass" behaviour tests

s4:objectclass LDB module - rework the code which handles the objectclasses modification

Before it has been very incomplete. We try now to match the Windows Server
behaviour as close as possible.

s4:ldap.py - enhance the attributes testcase to demonstrate how the attributes are checked against the schema and the specified objectclasses

This demonstrates the bew "objectclass_attrs" LDB module behaviour.

s4:acl LDB module - LDB attribute names should be compared using "ldb_attr_cmp" or "strcasecmp"

s4:acl LDB module - adaption for "objectclass_attrs" module

Since the attribute schema checking code moved back we need to give here the
"LDB_ERR_NO_SUCH_ATTRIBUTE" error.

s4:objectclass LDB module - remove "fix_check_attributes"

Also this task is now performed by the "objectclass_attrs" LDB module.

s4:samldb LDB module - adjust the module to set always a "defaultObjectCategory" on objectclass add operations

This is needed to make the "objectclass_attrs" LDB module happy. The search
check and case adjustment are done as it was using a second modify operation.

s4:remove the "validate_update" LDB module - the task is now handled by the far more complete "objectclass_attrs" LDB module

s4:dsdb - introduce a new "objectclass_attrs" LDB module which performs the objectclass attributes checking

Until now we had no real consistent mechanism which allowed us to check if
attributes belong to the specified objectclasses.

s4:objectclass LDB module - instanciate the schema variable centrally on the "ac" context creation

This unifies the position when the schema is read and prevents multiple
instanciations (eg on a modification operation).

s4:samldb LDB module - finally we can remove the RDN check

This is now dynamically always done by the objectclass LDB module

s4:ldap.py - enhance the rename tests to demonstrate the functionality

s4:objectclass LDB module - finally implement the correct entry rename protections

Only the "systemFlags" check is still missing.

s4:objectclass LDB module - cosmetic change

s4:objectclass LDB module - remove duplicated code

s4:objectclass LDB module - fix counter variable types

s4:objectclass LDB module - explain why the search can return with an empty return

s4:objectclass LDB module - this "talloc_steal" is not necessary

The "parent_dn" was created on the "ac" context which lives anyway longer
than this child request.

s4:objectclass LDB module - fix error result if an entry doesn't contain a structural objectclass

We need to return LDB_ERR_UNWILLING_TO_PERFORM (not LDB_ERR_NAMING_VIOLATION).

s4:objectclass LDB module - use "ldb_oom" for expressing out of memory

s4:objectclass LDB module - fix header and add my copyright

s3-waf: Build rpc_server/srv_spoolss_util.c too.

Signed-off-by: Günther Deschner <gd@samba.org>

s3-lsa: Fix static list of luids in our privileges implementation.

The high/low order changed while moving to LSA defines. Found by torture test.

Guenther

s4-smbtorture: test workstation auth as well in RPC-SPOOLSS-ACCESS.

Guenther

s4:ldb python bindings - implement comparison on Python LDB Message objects

Coauthors: Jelmer Vernooij, Matthias Dieter Wallnöfer

s4: Remove an uselessly exposed control

s4-smbtorture: handle printservers w/o printers in RPC-SPOOLSS-ACCESS.

Guenther

s3-privileges: use LUID defines from lsa IDL.

Guenther

Fix bug with incorrect flag values for inherited ace in some cases.

s4:password_hash LDB module - adapt the module to the new "ldb_msg_remove_attr" behaviour

ldb:ldb_msg_remove_attr - provide a better implementation

We can have some special (bad) messages which contain multiple message elements
for the same attribute. The AD password change ones are such an example.

s4:samldb LDB module - this codepart isn't needed due to the objectclass LDB module

When a "computer" entry will be added, also the inherited "user" objectclass is
going to be specified.

s4:get_last_structural_class - only real structural classes can be candidates for fetching the last one

Classes with objectCategory = 1 are always structural, these with
objectCategory = 0 also (as we can see in our Windows 2008 R2 schema file where
class "Person" has 0 but is structural).

Abstract classes and auxiliary ones cannot be considered (objectCategory = 2, 3)

http://msdn.microsoft.com/en-us/library/ms677964(VS.85).aspx

s4:ldap.py - enhance the RDN name test to show that invalid "name" attributes are allowed on add operations

s4:rdn_name LDB module - use "ldb_msg_remove_attr" for deleting attributes

s4:rdn_name LDB module - remove "rdn_name_find_attribute"

It does exactly the same as "ldb_msg_find_element".

s4:dsdb/common/util.c - provide a better implementation of the "samdb_msg_add_(add/del)val" calls

This supports now also coexisting add and delete message elements with the
same attribute name.

ldb:ltdb_filter_attrs - fix a counter variable type

s4:ldap_server/ldap_backend.c - send back also the extended error message if it exists

This message often contains suggestions how to fix issues.

s4:ridalloc LDB module - add more "talloc_free"s where useful

Some were missing on failure return branches.

s4:acl LDB module - fix counter types where appropriate

s4:descriptor LDB module - cosmetic fixup

s4:urgent_replication.py - specify the "dnsRoot" attribute which is requested on "crossRef" entries

s4:ldap.py - make sure that also the "posixuser" will be deleted on test breakages

s4:provision - fix typo in substitution variable

Fix a long-standing bug with async io that would only be triggered by SMB2.

On normal or shutdown close, ensure we wait for any pending IO to
complete before returning. Implement a blocking aio_suspend inside
vfs_aio_fork.c. These changes pass make test when the aio_fork module
is used by default on the test shares.

Jeremy.

s3:build: add shared lib flag for HP-UX compiler

s3: fix build on Heimdal based systems like NetBSD5

s4-smbtorture: make RPC-SPOOLSS-ACCESS more compatible with older samba releases.

Guenther

s4-smbtorture: remove another incarnation of test_ClosePrinter.

This should fix the build; why waf didn't catch that durint make bin/smbtorture4 ?

Guenther

s4-smbtorture: add RPC-SPOOLSS-ACCESS.

This test creates

- a user
- a user with BUILTIN\Administrators membership
- a user with BUILTIN\Print Operators membership
- a user with SePrintOperatorPrivilege (if available)
- a user with full access in security descriptor

and checks what access rights are granted in spoolss_OpenPrinterEx.

Guenther

s4-smbtorture: share test_ClosePrinter between RPC-SPOOLSS and RPC-SPOOLSS-WIN.

Guenther

s3-rpcclient: allow to add access_mask in cmd_spoolss_open_printer_ex().

Guenther