HACK clock skew when getting tickets...

hacks drsuapi exop and samr_client stuff...

gsskrb5: add [un]wrap_ex with des keys

metze

gsskrb5: add support [un]wrap_ex with cfx

metze

gsskrb5: add [un]wrap_ex for arcfour-hmac-md5

metze

krb5: add krb5_[create|verify]_integrity_checksum()

This is needed to do use the correct usage for the checksum
when used together with the kdc_[en|de]crypt_inplace_ivec()
functions.

metze

krb5: add krb5_[en|de]crypt_inplace_ivec

This functions just do the encryption without
adding confounders or checksums.

metze

gsskrb5: implement [un]wrap_ex as stubs, still fallback to [un]wrap

metze

gensec_gssapi: make use of the new gss_wrap_ex() and gss_unwrap_ex() calls

metze

heimdal: add gss_wrap_ex() infrastructure

The start was from Andrew Bartlett,
but I added missing stuff and made it work
correctly.

It also changed the prototypes to do inplace
decryption of the message_buffer.

metze

Merge the two attribute syntax tables.

This merges the table once found in the oLschema2ldif tool (and moved
many times) with the table used for DRSUAPI.

The OpenLDAP schema map has been updated, to ensure that despite a
number of attributes being declared as OIDs, they are actually used as
strings (as they are actually LDAP class/attribute names).

Andrew Bartlett

configure: use AS_HELP_STRING for --with-disable-ext-lib

Michael

configure: use AS_HELP_STRING for --enable-developer

Michael

configure: use AS_HELP_STRING for --enable-debug.

Michael

configure: use AS_HELP_STRING for --with-selftest-prefix.

Michael

configure: use AS_HELP_STRING for --with-logfilebase.

Michael

configure: use AS_HELP_STRING for --with-piddir

Michael

configure: use AS_HELP_STRING for --with-lockdir.

Michael

configure: use AS_HELP_STRING for --ntp-signd-socket-dir.

Michael

configure: use AS_HELP_STRING for --with-winbindd-privileged-socket-dir.

Michael

configure: use AS_HELP_STRING for --with-winbindd-socket-dir .

Michael

configure: use AS_HELP_STRING for --with-privatedir

Michael

configure: format help string for --with-fhs with AS_HELP_STRING().

Michael

configure: remove duplicate definition of --with-winbindd-socket-dir.

I think this should have gone with fa361354433fb9a5c09c84997a7c51f3052c294e.

Michael

Fix the build, after the ad2oLschema changes.

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

Generate the subSchema in cn=Aggregate

This reads the schema from the in-memory structure, when the magic
attributes are requested.  The code is a modified version of that used
in the ad2oLschema tool (now shared).

The schema_fsmo module handles the insertion of the generated result.

As such, this commit also removes these entries from the setup/schema.ldif

Metze's previous stub of this functionality is also removed.

Andrew Bartlett

Rework generation of the objectClass and attributeType lines.

Now that these are subroutines, we can factor them out into a file the
CN=Aggregate schema code can also use.

Andrew Bartlett

Paramaterise the seperator in ad2OLschema

This will allow me to add a new mode, with the CN=Aggregate schema
format automatically generated.

Andrew Bartlett

Don't segfault in RPC-ATSVC.

RAW-OPEN: be more strict in create_option checking

metze

Revert "krb5: always generate the acceptor subkey as the same enctype as the used service key"

This reverts commit dbb94133e0313cae933d261af0bf1210807a6d11.

As we fixed gensec_gssapi to only return a session key when it's
have the correct session key, this hack isn't needed anymore.

metze

gsskrb5: always return an acceptor subkey

For non cfx keys it's the same as the intiator subkey.
This matches windows behavior.

metze

gensec_gssapi: only cache the session key in STAGE_DONE

The key may change because we switch from initiator to acceptor
subkey.

metze

SMB2-CREATE: add a special test for FILE_ATTRIBUTE_ENCRYPTED

Some standalone server (and samba4) doesn't support this.

metze

SMB2-CREATE: be more strict in checking file attributes

metze

SMB2-CREATE: be more strict in error checking

metze

ntvfs_generic: fix handling of create_options for SMB2

metze

libcli/smb2: add SMB2_CREATE_OPTIONS_NOT_SUPPORTED_MASK

SMB2 returns NOT_SUPPORTED to some more NTCREATE_OPTIONS.

metze

pvfs: fix handling of create_option flags

metze

libcli/raw: fix the special NTCREATE_OPTIONS_*_MASK values

We now reuse ignored values for the ntvfs backend private flags.

metze

smb2srv: async replies with STATUS_PENDING are not signed

..., but the they may have the sign flag set.

metze

smb2srv: sign replies when the request was also signed

metze

smb2srv: use defines instead of hex values

metze

libcli/smb2: use smb2 signing in auto mode if the server supports it

metze

libcli/smb2: we don't need check the same thing twice...

metze

libcli/smb2: async replies with STATUS_PENDING are not signed

metze

pidl: fix samba4.pidl.samba3-cli test

metze

NBT-WINSREPLICATION: be more robust to timing errors

Also reenable disabled tests.

metze

expanded the SMB2-CREATE and RAW-OPEN tests to explore more of how the
create options fields are supposed to work

cope with arbitrary unknown pac buffer types, so when MS adds
a new one we don't break our server

cope with not knowing the kdc key

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

gensec_gssapi: add support for GENSEC_FEATURE_NEW_SPNEGO

metze

gensec_gssapi: fix compiler warnings

metze

gensec_gssapi: add a function to load the lucid structure once

metze

gensec: add support for new style spnego and correctly handle mechListMIC

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into 4-0-abartlet

dcerpc.idl: remove used DCERPC_MAX_SIGN_SIZE

metze

rpc_server: correct the chunk_size depending on the signature size

metze

librpc/rpc: correct the chunk_size depending on the signature size

metze

dcerpc.idl: add DCERPC_AUTH_TRAILER_LENGTH

metze

Only allow trust accounts access to the NTP signing service.

gensec_gssapi: use the correct signature size for cfx/rfc4121 style signatures

metze

gsskrb5: try to be compatible with windows for gss_wrap* and cfx

The good thing is that windows and heimdal both use EC=0
in the non DCE_STYLE case, so we need the windows compat hack
only in DCE_STYLE mode.

metze

gensec_gssapi: use gsskrb5_get_subkey() to get the session key

This is needed to get the correct key, when aes keys are used.

metze

krb5: always generate the acceptor subkey as the same enctype as the used service key

With this patch samba4 can use gsskrb5_get_subkey() to get the session key.

metze

gsskrb5: add support for DCE_STYLE and des and des3 keys

Only the des keys are tested as windows doesn't support des3

metze

Always set a session key, even for the 'no password' case.

This is for bug 5664 reported by Tom <hto@arcor.de>.

Andrew Bartlett

Clarify comment

We can't use ndr_pull_struct_blob_all in combinatin with relative pointers

lib: prepare the build of zlib

metze

zlib: add inflateReset2()...

metze

import of zlib-1.2.3

We want to use zlib for the mszip ndr (de)compression
later, we'll need to add some new functions to zlib.

metze

drsuapi: fix callers after idl change

metze

drsuapi.idl: directly use mszip in level 2

This fixes the push because the switch_level doesn't work
otherwise because the pointer is the same as for
the outer switch_level.

metze

rpc_server: add support for DCERPC_PFC_FLAG_SUPPORT_HEADER_SIGN

you need "dcesrv:header signing=yes" to enable it.

metze

librpc/rpc: add support DCERPC_PFC_FLAG_SUPPORT_HEADER_SIGN

You can trigger it like this:

ncacn_ip_tcp:172.31.9.234[sign,hdrsign]

or

ncacn_ip_tcp:172.31.9.234[seal,hdrsign]

metze

librpc/rpc: pass struct dcerpc_pipe to dcerpc_auth3()

metze

gensec_gssapi: add support for GENSEC_FEATURE_SIGN_PKT_HEADER

This only works for sign/verify_packet() yet,
seal/unseal_packet() doesn't work yet...

metze

gensec: add GENSEC_FEATURE_SIGN_PKT_HEADER flag

metze

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into manpage

Add helper object Hostconfig to make it easier to get to e.g. the
SAM database.

heimdal: add experimental --enable-external-heimdal

This should only be used for testing and when you're
absolutly sure the installed heimdal libraries
support the features we need.

(E.g. heimdal-1.2 or lower should NOT work)

metze

libreplace: include <krb5.h> and <com_err.h> and no heimdal specific headers

metze

auth/kerberos: remove dependencies to internal heimdal

metze

heimdal_build/internal: add some useful defines

metze

heimdal: fix dependency

metze

lib/crypto: remove dependency to internal heimdal

metze

build: remove warning about missing generated include file

metze

Use new style python classes.

Move domain DN determination out of newuser function.

Actually fix missing substitution variables.

Merge branch 'v4-0-test' of ssh://git.samba.org/data/git/samba into manpage

Fix some forgotten substitute variables in provision, add check to prevent this sort of regression in the future.

kdc: use mostly only public kerberos headers

We shoule avoid using the private heimdal function
_krb5_principalname2krb5_principal()

metze

auth/kerberos: we don't need to include heimdal private headers

metze

gensec_gssapi: include <gssapi/gssapi.h>

metze

heimdal_build: we should only use PRIVATE_DEPENDENCIES

metze