s4/drs: update repsFrom only when we are not in getncchanges extended op

s4-ldap: Added support for FSMO role transfer via LDAP by modify on rootDSE

GetNCChanges with the corresponding extended operation is initiated and added to
the queue when a modify request is received on becomeSchemaMaster, becomeRidMaster,
becomeNamingMaster, becomeInfrastructureMaster and becomePDC attributes in
rootDSE.

s4-rpc: Added handling of fsmo role transfer to GetNCChanges

This adds support for DRSUAPI_EXOP_FSMO_REQ_ROLE, DRSUAPI_EXOP_FSMO_RID_REQ_ROLE
and DRSUAPI_EXOP_FSMO_REQ_PDC.
Developed in collaboration with Anatoliy Atanasov <anatoliy.atanasov@postpath.com>

s4-irpc: Added internal rpc call DREPL_TAKEFSMOROLE

It schedules a getncchanges with extended op 6, to be used when a modify request on
becomeROLEMaster atteibute on rootDSE is received.

s4-drs: Implementation of GetNCChanges extended op 6 - fsmo role transfer

Basically the candidate owner makes a getncchanges call with extended op 6 when they want to
become the new owner. The current owner then updates the corresponding fSMORoleOwner attribute
in its database with the new owner, and replicates the change to the candidate, who then becomes the
owner.
The patch was made in cooperation with Anatoliy Atanasov <anatoliy.atanasov@postpath.com> who
kindly helped to debug it.

s4-drs: Refactored drepl_service and send_ridalloc_request so that the structures can be used for other extended ops

pam: fix unused variable warning

s4-waf: try to fix the s4 wbinfo build dependencies.

Guenther

s3-dcerpc: avoid talloc_move on schannel creds in cli_rpc_pipe_open_schannel_with_key().

Initially, the schannel creds were talloc memduped, then, during the netlogon
creds client merge (baf7274fed2f1ae7a9e3a57160bf5471566e636c) they were first
talloc_referenced and then later (53765c81f726a8c056cc4e57004592dd489975c9)
talloc_moved.

The issue with using talloc_move here is that users of that function in winbind
will only be able to have two schanneled connections, as the cached schannel
credentials pointer from the netlogon pipe will be set to NULL. Do a deep copy
of the struct instead.

Guenther

Final part of fix for bug #7636 - winbind internal error, backtrace.

Ensure cm_get_schannel_creds() returns NTSTATUS.

Jeremy.

s3-dcerpc: Allocate structure members on the right context

s3: PAM_RHOST and PAM_TTY are enums on FreeBSD

s4:getncchanges.c - fix some counter variable types

They should be "unsigned" since they count LDB objects. And also the SID array
can be counted as "unsigned".

replace: Fix ifndefs for formatting defines.

Thanks to Michael Brown for pointing this out.

s4-devel: added a getncchanges developer script

this allows for command line access to getncchanges

it also provides a good example of calling DRSUAPI interfaces from
python

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pyrpc: use s4_event_context_init()

This fixes a crash when using kerberos and the python dcercpc
interface, which requires event nesting

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pyregistry: use s4_event_context_init()

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-event: event_context_find() should use s4_event_context_init()

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-net: role should be case insensitive for join

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: show the user sid that does the GetNCChanges call

this is useful when debugging replication

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: removed the warning on WRIT_REP being set

we just need to clear this flag

s4-net: added initial implemention of RODC join

This does the join using python code

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

libnet-s4: added replicate() command in pynet

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-libnet: split libnet_Vampire() into two parts

libnet_Replicate() will do just the replication portion of
libnet_Vampire(). This will be used by the RODC join, where the join
part of the operation happens in python, and behaves quite differently
to the libnet_Join() code.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-libnet: show the DN when DsAddEntry() fails

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-net: moved the net join command to python

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-libnet: added join type constants to python interface

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-python: added ndr_print() method in ndr

pidl-python: fixed the docstrings for ndr_print, ndr_pack and ndr_unpack

libreplace: fixed the strptime() waf test

Thanks to Jelmer for pointing this out

s4:security Change struct security_token->sids from struct dom_sid * to struct dom_sid

This makes the structure much more like NT_USER_TOKEN in the source3/
code.  (The remaining changes are that privilages still need to be merged)

Andrew Bartlett

s3:pdbtest Fix command name of pdbtest

Signed-off-by: Michael Adam <obnox@samba.org>

s3-build: Add a test-buildfarm target to stay UNIX Makefile compatible.

s3:param Clarify parameter name on init_globals()

This parameter is used with the registry backend to
cause the globals table to be re-initialised.

Andrew Bartlett

Signed-off-by: Michael Adam <obnox@samba.org>

s3: Turn two macros into functions

s3: Pass the rhost through smb_pam_accountcheck

s3: Rename auth.c:backends to auth_backends

s3: Fix some nonemtpy blank lines

s4: Only install testparm to /usr/bin/, no longer to /usr/sbin.

s4: Install testparm to /usr/bin, consistent with old behaviour.

s4-waf: re-use SAMBA_LIBRARY() in building shared modules

make SAMBA_MODULE() call SAMBA_LIBRARY() to do the heavy lifting. This
fixes the problem with modules being a bit too slim :-)

Pair-Programmed-With: Jelmer Vernooij <jelmer@samba.org>

s3: Move check_access to cgi.c, its only user

s3: Replace calls to check_access by allow_access

We already have both the name and address of the client stored now

Avoid use of Samba DTD, which requires net access.

wafsamba: fix CHECK_XSLTPROC_MANPAGES().

Use DocBook DTD rather than Samba one, as no Samba-specific things are
used in the tdb manpages.

s4-net: better error message on net setpassword

librpc: add python bindings for the netlogon pipe

Pair-Programmed-With: Jelmer Vernooij <jelmer@samba.org>

pyldb: do type checking on the list form of ldb add

Pair-Programmed-With: Jelmer Vernooij <jelmer@samba.org>

pidl: give the varible name for bad type in python calls

This makes it much clearer which argument to a function had the wrong
type

pidl: cope with bad type conversions in unions

This prevents a crash when converting bad types in NDR unions

Pair-Programmed-With: Jelmer Vernooij <jelmer@samba.org>

pidl: added a __ndr_print__() method on python NDR objects

This allows you to print a returned NDR structure using
s.__ndr_print__() which gives an easy view of complex
structures, such as those from netlogon

s3: Fix netgrent configure checks for compilers not supporting -Werror-implicit-function-declaration

This should fix bug 7620.

s3: Fix bug 7635

Fix bug 7627 - smbclient ignores "-I" when used with "-L", fails name resolution.

Still needs some more work to fix missing netbios name issues, but fixes
underlying issue of IP address being ignored.

Jeremy.

Fix const warning.

s4-ndr_basic.c: Fix ndr_*_hyper() when [bigendian] data is processed

s4-drsuapi: Implement custom printing for drsuapi protocol for

drsuapi_DsReplicaAttribute and drsuapi_DsAttributeValueCtr objects

This makes tracing what data has been transferred much easier

s3: Use sconn->client_id in session_claim

s3:librpc: make dcerpc_read_ncacn_packet_send/recv() available

metze

librpc/rpc: move dcerpc_read_ncacn_packet_send/recv() to dcerpc_util.c

metze

s3:Makefile.in: use python with -u to disable stdin/out caching

metze

s3:winbindd: fix error handling in wb_next_grent_fetch_done()

We should not use 'result' uninitialized.

metze

Remove place-holders when it is single domain

This patch changes the behavior of LDAPCmp in a single domain
scenario. No place-holders will be applied during comparison
so replication will be fully tested and even the silightest
difference will pop up.

There is a second smaller fix when we compre hosts in different
domains. This fix disables ${SERVERNAME} paace-holder when there
are more then one serevr (domain controller) in the given domain.

s4-dsdb: the RODC_JOIN control also changes samAccountName

when adding a user with the RODC_JOIN control, the samAccountName is
automatically set to the krbtgt_NNNNN form

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-pysamdb: fixed get_domain_sid()

we need to actually return the SID!

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldb: added support for rodc_control in ldb

this allows you to specify the RODC join control in python ldb calls
or on the command line

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: fixed the error code for EXOP_REPL_SECRET getncchanges calls

when we deny a EXOP_REPL_SECRET call we should set the exop error code
to NONE, and the main return code to WERR_DS_DRA_ACCESS_DENIED (based
on observing windows server behaviour)

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: bring us much closer to the docs for DRS secret replication

The rules for when a RODC can replicate secrets are:

 - it can always replicate its own acct
 - it can also replicate its krbtgt acct
 - it can't replicate other krbtgt accts
 - it can't replicate interdomain trust accounts
 - it can't replicate users in the denied group list
 - it can replicate users in the allowed group list

otherwise it can't replicate

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: fixed dsdb_get_extended_dn_sid()

it should honor the component_name

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

idl: added the RODC allow/deny secrets RIDs

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: implement RODC attribute filtering override

When a RODC uses extended getncchanges operation
DRSUAPI_EXOP_REPL_SECRET it gets an override on the ability to
replicate the secret attributes.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-drs: added sam_ctx_system on DRS bind state

The getncchanges call needs to be able to access the sam as the system
user for RODC clients. To do this it needs a sam_ctx connection with
system credentials

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s3:loadparm: make lp_load_ex static. We have wrappers for external callers.

s3-libsmbclient Convert dos error codes to NTstatus in async libsmbclient.

DOS error codes were being lost with the conversion to async
libsmbclient.  If we're passing around NTSTATUS internally,
let's just convert it when we get it.

DOS ACCESS_DENIED on nautilus was not prompting for other credentials,
because it was not being mapped.

s3-ads: Fix wrong test in if statement

s3-waf: fix the build.

Guenther

s3-ldapsam: add samba.ldif LDAP schema.

This one is suiteable for cn=config setups and should be added via ldapadd.

Thanks to Sumit Bose <sbose@redhat.com> for providing it.

Guenther

s3-cli: fix uninitialized variable.

Volker, please check.

Guenther

s3-idmap: fix uninitialized variable in idmap_tdb_sids_to_unixids_action().

Michael, please check.

Guenther

s4 provision: POLICY_ACL is already an FS acl no need to translate it

s4 provision: Add some documentation to GPO related functions

unit tests: debug to ease locating pb, remove dir if exists to avoid error

s4 upgradeprovision: exit with a non null return code so that it can be trapped in blackbox tests

s4 upgradeprovision: add more attrbutes the ignore list

Also format in a pretty way the int64 ranges

s4 upgradeprovision: Deal with bootstrap indexing attribute to avoid useless reindexing

s4 upgradeprovision: Add a function for schema reloading

Full schema reloading is needed when we modify exisiting elements that
have attributes that comes from not from the default schema (ie.
openchange schema, user schema ..)

s4 upgradeprovision: upgrade_delta_samdb return a msg_diff of @ATTRIBUTES

This is used by upgradeprovision to readd this delta just before loading
a merged schema

s4 upgradeprovision: Fixes for increment_keyversion

fix

s4 upgradeprovision: fix a typo and pass correct parameter to increment_calculated_keyversion

s3-libsmb: fix some uninitialized variables.

Volker, please check.

Guenther

-ENOTSUP translates to NT_STATUS_NOT_SUPPORTED

https://launchpad.net/bugs/276472

This patch adds the translation of Unix Error code -ENOTSUP to NT Error Code
NT_STATUS_NOT_SUPPORTED. The absense of this translation wrongly sends back to
the client a STATUS_DENIED message in samba3.

Signed-off-by: Surbhi Palande <surbhi.palande@canonical.com>

s3: Remove smb_pam_accountcheck from the auth modules

We go through the same check in auth/auth.c line 287 after the module has done
its job. So we don't have to do that check twice.

s4-drs: ATTIDs for deleted attributes should be based on msDs-IntId value if it exists

s4-test: make better error message for ATTID checks

s4-test: Change attribute syntax and value for readability

When it comes to read logs and dumping data received
Octet String syntax comes in handy

s4-test: Enable drs.rpc.msdsintid test case - it should be passing now

s4-dsdb: No need for dsdb_syntax_one_DN_drsuapi_to_ldb() to be public

It is intended to be used in schema_syntax.c module

s4-drs: GetNCChanges() to return correct (in AD-way) ATTIDs

Depending on which NC is being replicated, GetNCChanges() returns
either ATTID based on local prefixMap or msDs-IntId value of
the attributeSchema class for the attribute being replicated.

If set, msDs-IntId value is always returned when replicating
object form NC other than Schema NC.
Objects in Schema NC replica always use prefixMap based ATTIDs.

s4-dsdb-syntax: ATTID should be msDs-IntId value for the attributeSchema object

in case object replicated is not in Schema NC and attributeSchema
object has msDs-IntId attribute value set