Use the cldap reply to avoid segfaulting in RPC-DSSYNC

Also don't fail the test if the server does not implement the NT4
changelog.

Andrew Bartlett

Don't fail if the domain has a trust already.

Andrew Bartlett

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Start implementind domain trusts in our KDC.

Andrew Bartlett

Update trustAuthInOutBlob in line with MS-ADTS 7.1.6.8.1

Revert "gensec_gssapi: use gsskrb5_get_subkey() to make smb2 signing with aes keys work"

This reverts commit 73964f069056f46f2f27fc690e42e5c91ae1fe19.

This breaks more than it gains:-( It seems to break the ncacn_np session key

metze

rpc_server: remove unused variable

metze

gensec_gssapi: use gsskrb5_get_subkey() to make smb2 signing with aes keys work

SMB signing with aes doesn't work, but still works with
arcfour-hmac-md5, des-cbc-md5 and des-cbc-crc.

metze

libcli/smb2: the session key for SMB2 signing is truncated to 16 bytes

To make that work (as a client) with aes128 and aes256 krb5 keys
we need to use gsskrb5_get_subkey().

metze

smb2srv: sign SMB2 Logoff replies

metze

smb2srv: correctly hold the signing state per session

metze

libcli/smb2: fix per session signing state

metze

SMB2-CONNECT: remove reference to req->session before calling smb2_logoff_recv() on the invalid session

metze

libcli/smb2: sign SMB2 Logoff requests

metze

We don't use EXTENSIBLEOBJECT any more.

Make it even clearer what to do next in the LDAP backend setup

Always print the slapd startup command

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

auth/credentials: explain why we need to the enctypes for the gssapi layer

metze

Remove unused variable

Remove unused function and make sensitive directories private.

Fix warnings in new prefixMap code

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into manpage

Fix location of manpages.

gensec_gssapi: add support for signing RPC messages

metze

lib/ldb/tools: allow -W and --realm when build from samba4

metze

auth/credentials: use the same enctypes when getting a TGT and a TGS

metze

dsdb: add a comment about the parameter to DSDB_EXTENDED_SCHEMA_UPDATE_NOW_OID

metze

dsdb/schema: make more clear where we create the value for the new prefix mapping

metze

dsdb/schema: dsdb_write_prefixes_to_ldb() should do the reverse of dsdb_read_prefixes_to_ldb()

metze

dcerpc.idl: add DCERPC_PFC_FLAG_SUPPORT_HEADER_SIGN flag

metze

mamachinepw: add better error handling

metze

Add "mymachinepw" to fetch our machine password out of secrets.ldb

smbtorture: add --extra-user option

This can we used to pass additional credentials to torture tests
(it can be used multiple times.

metze

Define HAVE_ASM_BYTEORDER at all times

Per feedback, remove epoch and ldconfig requires.

See https://bugzilla.redhat.com/show_bug.cgi?id=453083

Make a new define to ensure the accoc_group_id we use is always in common.

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Try to avoid a memory leak if we re-set the global schema

However, try also not to pull a schema out from under a running ldb
session.

Andrew Bartlett

Complain if we are told to use an ldap backend, without the type

Clarify how we are doing the 'this is a rootdse query' check.

hdb-ldb: fix the callers after drsblobs.idl changes

metze

password_hash: fix the callers after drsblobs.idl changes

metze

drsblobs.idl: unify the Primary:Kerberos and Primary:Kerberos-Newer-Keys structs

metze

drsblobs.idl: give some unknowns a meaning

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into v4-0-test

we can't query the ACL on a new file till it exists!

initialise query_maximal_access here too

make sure we initialise query_maximal_access

fixed spelling error

dsdb_create_prefix_mapping() implementation checks for existing prefix maping in ldb.
if one not found it creates a mapping for it and updates the prefixMap schema attribute in ldb.

Handle schema reloading request.
The ldif for that operation looks like this:

dn:
changetype: Modify
add: schemaUpdateNow
schemaUpdateNow: 1

It uses the rootdse's object functional attribute schemaUpdateNow.
In rootdse_modify() this command is being recognized and it is send as extended operation with DSDB_EXTENDED_SCHEMA_UPDATE_NOW_OID.
In the partition module its dispatched to the schema_fsmo module.
The request is processed in the schema_fsmo module by schema_fsmo_extended().

fixd a bug in the signal handling code - we could get phantom signals
(signum 64)

libnet_become_dc: send msDS_Behavior_Version == 3 (win2k8) in DsAddEntry

instead of version 2 (win2k3).
This makes the NET-API-BECOME-DC test work against windows 2003 and 2008.

Michael

libnet_become_cd: add boolean option "become_dc:force krb5" to control krb5 auth.

This allows controlling whether krb5 auth is forced for the rpc bind in
libnet_become_dc. It defaults to "yes". For Windows 2000, DsGetNCChanges
only krb5 auth works due to a bug in Windows (it returns garbage - a
positive object count is returned along with first object == NULL).
For Windows 2008, on the other hand, krb5 auth does not work currently
due to the lack of support for AES keys. (Metze is working on that.)

Michael

drsuapi: always set the pid field of the outgoing DsBindInfo to 0.

This is for debugging and informational purposes only.
The assignment is implementation specific.
(WSPP docs, sec. 5.35).

Michael

libnet_unbecome_dc: teach unbecomeDC_drsuapi_bind_recv() DsBindInfo48.

..to work agains w2k8.

Michael

libnet_become_cd: teach becomeDC_drsuapi_bind_recv() DsBindInfo48.

To work with w2k8.

Michael

dsdb: teach dreplsrv_out_drsuapi_bind_recv() knowledge of DsBindInfo48.

To make it work against w2k8.

Michael

password_hash: add generation of the Primary:Kerberos-Newer-Keys blob

But it's still of by default until we now what triggers this generation.
It could be that the value is always generated but the KDC only
uses it when in a specific funtional level, but it could also
be that it's only generated in a specific functional level.

metze

hdb-ldb: try to find Primary:Kerberos-Newer-Keys and fallback to Primary:Kerberos

Now provide AES tickets if we find the keys in the supplementalCredentials attribute

metze

drsblobs.idl: add idl for Primary:Kerberos-Newer-Keys blob in supplementalCredentials

metze

password_hash: order the supplementalCredentials Packages in the same order like windows

metze

password_hash: split the generation of krb5 keys into a different function

metze

password_hash: simplify the logic if we have cleartext we always generate the hashes

metze

password_hash: fix callers after idl change for package_PrimaryKerberos

metze

drsblobs.idl: fix unknowns in package_PrimaryKerberos idl

metze

hdb-ldb: check the SUPPLEMENTAL_CREDENTIALS_SIGNATURE

metze

password_hash: check the SUPPLEMENTAL_CREDENTIALS_SIGNATURE

metze

drsblobs.idl: fix idl for supplementalCredentialsSubBlob

metze

password_hash: ignore reserved value, but still set it like windows does

metze

drsblobs.idl: rename unknown1 -> reserved

metze

password_hash: don't add zero padding as w2k8 also don't add it

metze

hdb-ldb: fix comment about padding

metze

hdb-ldb: fix crash bug in the error path

metze

RPC-DSSYNC: print 'supplementalCredentials' more verbosely

metze

rpc_server: be more strict with the incoming assoc_group_id

Allow 0 and 0x12345678 only.
This fixes the RPC-HANDLES test.

metze

smbtorture: add a warning for unknown BindInfo length to the RPC-DSSYNC test

Michael

smbtorture: add support for the DSBindInfo48 to the RPC-DSSYNC test.

Michael

libnet/become_dc: add a comment and explain why it's important to specify krb5

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

The SMB session key must not be more than 16 bytes in SAMR (and
presumably LSA).

Tests show that Vista requires the sesion key to be truncated for a
domain join.

Andrew Bartlett

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Remove the 'accoc_group_id' check in the RPC server.

This check breaks more than it fixes, and while technically not
correct, is the best solution we have at this time.  Otherwise,
SCHANNEL binds from WinXP fail.

Andrew Bartlett

Explain where some other OIDs are allocated.

This is an odd place for an OID registry - we perhaps need a central
wiki page.

Andrew Bartlett

Change occurrences of the u1 member of DsBindInfo* to pid after idl change.

Michael

drsuapi.idl: change the u1 field in DsBindInfo* to "pid".

According to the WSPP docs, section 5.35,
this is the "process identifyer" of the client.
It is meant for informational and debugging purposes
only and its assignment is implementation specific.

Michael

drsuapi.idl: add drsuapi_SupportedExtensionsExt bitfield.

This knowledge is obtained from the wspp-docs (section 5.35).

Michael

drsuapi.idl: the last 16 bytes in DsBindInfo48 ar the GUID of the config dn.

This bit seems not to be documented in the WSPP docs.

Michael

drsuapi.idl: add drsuapi_DsBindInfo48.

This is necessary to make DsGetNcChanges work with win2008.

Michael

s3 cli_do_rpc_ndr does not use PI_* anymore

Install'named.txt' to private/ as documentation.

This document is much more use when subbed with all the right things.

Andrew Bartlett

Improve DNS and Group poicy configurations.

 - fixes bug #4813 (simplify DNS setup)
  - This reworks the named.conf to be a fully fledged include
  - This also moves the documentation into named.txt
 - improves bug #4900 (Group policy support in Samba)
   - by creating an empty GPT.INI
 - fixes bug #5582 (DNS: Enhanced zone file)
   - This is now closer to the zone file AD creates

committed by Andrew Bartlett

Properly cast array length in print functions.

Fix winbindd not to sit in a busy loop...

Clearly winbindd in Samba4 has not ever been run against windows, as
when we fixed the Samba4 server not to cause XP to loop like this,
Samba4's own client starts looping...

Andrew Bartlett

Rename structures to better match the names in the WSPP IDL.

The 'comment' element in a number of domain structures is called
oem_information.  This was picked up actually because with OpenLDAP
doing the schema checking, it noticed that 'comment' was not a valid
attribute.

The rename tries to keep this consistant in both the LDB mappings and
IDL, so we don't make the same mistake in future.

This has no real schema impact, as this value isn't actually used for
anything, as 'comment' was not used in the provision.

Andrew Bartlett

Remove bogus test in 'enum trusted domains' LSA server.

The change to the RPC-LSA test proves that when the remote server has
0 trusted domains, it will return NT_STATUS_NO_MORE_ENTRIES, not
NT_STATUS_OK.

Andrew Bartlett

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-local

Sleep longer in the hope that the OpenLDAP backend might catch up