s3-dcerps: check auth_type

make sure the auth type used throught the auth operation is consistent.

s3-dcerpc: Use spnego own sign/seal functions

libcli: fix compile warning

s3-dcerpc: remove auth_data_free_func

Everything is using a talloc pointer now, no need to have an
accessor function to free data anymore.

s3-dcerpc: make auth context opaque

This way we always double check in advance that the context
is of the right type with talloc_get_type_abort instead of
potentially accessing random memory by addressing the wrong
structure in the union.

srv_pipe: reorganize code so that related functions are close to each other

s3-dcerpc: finally remove the legaqcy spnego_type variable from pipe_auth_data

s3-dcerpc: use new spnego server code

s3-dcerpc: add spnego server helpers

squashed: add michlistMIC signature checks

spnego: make spnego_context public

s3-dcerpc: move client spnego stuff in /librpc/crypto

spnego: avoid explicit dependency on dcerpc specific structures

s3-dcesrv: use gssapi helper in srv_pipe.c

s3-dcerpc: add server helpers for gssapi auth

s3-dcesrv: use ntlmssp helper in srv_pipe.c

s3-dcerpc: add server helpers for ntlmssp auth

gssapi: remove unused function argument

gssapi: avoid explicit dependency on dcerpc specific structures

s3-dcerpc: move crypto stuff in /librpc/crypto

s3:rpc_client: remove unused rpc_pipe_set_hnd_state()

metze

s3:rpc_client: use rpc_api_pipe_send() for auth3

metze

s3:rpc_client: rpc_pipe_bind_step_one_done() doesn't need reply_pdu

metze

s3:rpc_client: allow DCERPC_PKT_AUTH3 via rpc_api_pipe_send/recv

metze

lib/util: usec_time_diff takes arguments the other way round than TvalDiff did

s3: fix order of arguments in nsec_time_diff call

s4-test: Add unit test for dsdb_schema_info_cmp()

s4-schema: Helper func to compare schemaInfo signitures

s4-schema: use dsdb_schema_info_blob_is_valid() to verify schemaInfo blob

instead of parsing it.

s4-prefixMap: use dsdb_schema_info_blob_is_valid() for schemaInfo blob validation

This fixes a leaking dsdb_schema_info object also.

s4-dsdb: Add dsdb_schema_info_blob_is_valid() to verify schemaInfo blobls

s4-pyrpc: Print location and type name we got when checking for types

Fix array size of  a memmber of struct cli_ulogoff_state

The too small array makes UID-REGRESSION-FIX fail on 32bit
architectures.

Signed-off-by: Günther Deschner <gd@samba.org>

s4-devel: developer script for adding DNS entries via netlogon RPC

this calls the netlogon DsrUpdateReadOnlyServerDnsRecords call to add
DNS entries for a RODC via RPC calls. The call is routed via a IRPC
call to winbind, as winbind is the one with the schannel credential
chaining setup.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pyrpc: allow python to access irpc interfaces

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

idl: build python interfaces for winbind and idmap IDL

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-winbind Add a proxy method to update DNS records with a read-write DC

This must be done in winbindd as it already has the schannel connection
and the credential chain.  If we re-established that elsewhere, we
would break the chain in winbindd.

Andrew Bartlett

Signed-Off-By: Andrew Tridgell <tridge@samba.org>

testprogs: skip two tests in spoolss tester.

Guenther

s4-smbtorture: fix winreg querymultiplevalues NDR test warning.

Guenther

ѕ3: remove smb_msleep prototype from here

s3: remove TvalDiff macro, we can use the shared usec_time_diff function

s3/s4: merge msleep and smb_msleep

the merged variant is renamed to smb_msleep as some platforms already have a
msleep function.

s3: remove TspecDiff macro, we can use the shared nsec_time_diff function

s3: use nsec_time_diff instead of TspecDiff

s3/vfs_scannedonly: use smb_msleep instead of nanosleep

Thanks to Joachim Schmitz. This fixes bug #7478

s3: Add the PAC info3 struct to the netsamlogon_cache in ntlm_auth

s3: Correctly unwrap the krb ticket in gss-spnego

s3: Fall back to raw NTLMSSP for the gss-spnego protocol

This is to handle the mod_auth_ntlm_winbind protocol
sending "Negotiate" to IE, which sends raw NTLMSSP
instead of a SPNEGO wrapped NTLMSSP blob.

s3: Split off output generation from manage_squid_ntlmssp_request

s3: Wrap the ntlm_auth loop with a talloc_stackframe

s4-smbtorture: add NDR spoolss_GetPrinterDriver2 in and out check functions.

Guenther

s4-smbtorture: finally enable most of our NDR_OUT NDR tests that we couldnt handle previously.

Guenther

s4-smbtorture: add functions to do NDR_OUT ndr_pull validation including NDR_IN context.

Guenther

s4-smbtorture: fix some indentation in NDR testsuite.

Guenther

s3-smbtorture: fixup trailing whitespace in ndr testsuite.

Guenther

s4-smbtorture: add spoolss_GetPrinterDriver2 NDR tests.

Guenther

s4-smbtorture: mention -v switch for hexdump imports into the NDR testsuites.

Guenther

s4-smbtorture: activate spoolss_GetPrinterData NDR pull test.

Guenther

s4-winbind: fixed two valgrind errors

- allocate the dc info on the right structure
- zero the number of group members when allocating the winbindd_gr
  return

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

wbclient: gr_mem can be NULL

if the structure was partly created and an error occurred, then don't
crash

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

wbclient: paranoid check for double free

added while tracking down a crash in the wbinfo blackbox test

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

tdb: added TDB_NO_FSYNC env variable

this might help reduce test times and load on test machines

torture/raw Allow one more 'not implemented' status return as a valid response

The Samba4 server responds to most ioctl calls with NT_STATUS_NOT_SUPPORTED

Andrew Bartlett

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-torture assert that we get a temp datagram socket.

I've seen a segfault because we failed to check this isn't NULL
before we use it.  This will still of course fail, but not so
spectacularly.

Andrew Bartlett

Signed-off-by: Andrew Tridgell <tridge@samba.org>

libcli/auth/ntlmssp Be clear about talloc parents for session keys

The previous API was not clear as to who owned the returned session key.
This fixes a valgrind-found use-after-free in the NTLMSSP key derivation code,
and avoids making allocations - we steal and zero instead.

Andrew Bartlett

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-kdc: prevent segfault on bad trust strings

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-netlogon: added IDL for netr_DsrUpdateReadOnlyServerDnsRecords

this is used by a RODC to do DNS updates, as TSIG updates are not
allowed by RODCs

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-rpcserver: allow saving of bad RPC packets

use:
dcesrv:stubs directory = .

to save files like this:

  RPC-netlogon-48-pullfail.dat

when a RPC packet can't be parsed or is unknown. Only enabled in
developer builds

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

pidl: prevent ndr_print_*() dying on NULL pointers

when using ndrdump you can get uninitialised structures containing
pointers. Don't segfault when trying to print them

idl: Added EPMAPPER_STATUS_CANT_PERFORM_OP.

Signed-off-by: Günther Deschner <gd@samba.org>

s4-dns: use a non-forwardable ticket in samba_dnsupdate

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-kerberos: obey the credentials setting for forwardable tickets

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pycredentials: expose forwardable setting via python

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-credentials: added ability to control forwardable attribute on krb5 tickets

with the latest bind9 nsupdate, we need to be able to control if the
ticket we use is forwardable

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: make debugging DsUpdateRefs a bit easier

s4-drs: initial skeleton for DrsReplica{Add,Del,Mod} calls

s4-drs: removed a debug print in repl secret

s4-test: enable valgrind on wbinfo tests

s4-pydrs: fix for python 2.4

thanks to Kamen and David Gonzalez for spotting this

s3: Add convenience make target buildfarm-test.

s3-selftest: Move Samba3-specific script to source3/selftest.

s3/printing: avoid a possible race condition in the cache timeout

Fix all sid_parse returns to be checked. Tidy up some checks and error
messages.

Jeremy.

s3-smbd: prevent call_nt_transact_ioctl() crash in FSCTL_FIND_FILES_BY_SID case.

Jeremy, please check.

Guenther

s4-smbtorture: try FSCTL_FIND_FILES_BY_SID with random blob data in RAW-IOCTL.

Guenther

s4-repl: if we are an RODC don't set WRIT_REP in replication

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-repl: add partial attribute set to getncchanges calls for RODCs

when we are a RODC we must supply a partial attribute set in the
getncchanges call

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-repl: added min_usn to extended replication call

the repl_secret code needs to set it to avoid too many duplicate
attributes

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-repl: added repl_secret handling

initiate a repl secret extended op when requested

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-repl: cleanup the extended op calls in repl server

- use generic parameter names
- trigger a run of pending ops on all extended ops
- don't prevent parallel fsmo transfers
- moved extended op code into drepl_extended

s4-pyjoin: use new pynet finddc interface

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pynet: return the full netlogon response from python finddc

this gives the caller the other server parameters

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pyjoin: fill in the dns name in the python replication method

this is needed to get the repsFrom DNS entry right

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: get lpcfg_dnsdomain() instead of lpcfg_realm()

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pyrpc: added py_return_ndr_struct()

This can be used to return structures from other python interfaces as
python objects

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-repl: split out the extended op handling

this is not part of the rid allocation logic

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-repl: cleanup getncchanges extended op calls

Multiple calls are allowed to run in parallel as long as they don't
conflict.

This also cleans up the variable names in the extended op calls.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: Wait DsReplicaSync for as long as it takes to complete

In case the caller wants sync execution, we should
not cancel the call for internal timeout reason,
but rather wait for its execution

s4-irpc: Don't install endtime-timer in case timeout is INFINITE for the call

s4-irpc: Add 'timeout' param for dcesrv_irpc_forward_rpc_call() call

It is to be used when caller wants to explicitly
specify the timeout for the call

s4-irpc: Add value for "infinite" timeout for IRPC calls