Fix bug 7583 - Smbclient fails to kerberos connect to a Alfresco JLAN CIFS Server

Correctly calculate the gssapi channel binding checkum.

Jeremy

Signed off by: simo <idra@samba.org>

s3: not use as-needed by default and auto use if enable-developer is active

as discussed on samba-technical, we don't want people out there to use it
unwittingly by default. However by enabling it when enable-developer is used we
make sure that we don't break the feature.

s3-rpc_server: Cleanup the way we free pipe auth data

cleaup: Reformat cli_get_session_key()

merge cli_get_session_key

s3-dcerpc: Fix potential memleak

Use a free function for schannel data too for now.

s3-dcerpc: Properly initialize output buffers on nak/fault

s3-libsmb: Use data_blob_talloc to get krb5 ticket and session keys

misc: cleanup get_krb5_smb_session_key()

misc: cleanup cli_krb5_get_ticket()

Add approriate TALLOC_CTX's thoughout the spnego code. No more implicit NULL contexts.

Jeremy.

Fix warning on 64-bit machines.

Jeremy.

Fix one more data_blob -> data_blob_talloc. Move away from implicit NULL context tallocs.

Jeremy.

Add TALLOC_CTX argument to spnego_parse_negTokenInit, reduce
use of malloc, and data_blob().

Jeremy.

s3: Fix two uninitialized variables

Rename spnego_gen_negTokenTarg() -> spnego_gen_krb5_negTokenInit()
as this correctly describes what this function does.

Jeremy.

Remove gen_negTokenTarg(), as it's not actually creating a TokenTarg frame, but a TokenInit one.
Move to using spnego_gen_negTokenInit() instead.

Jeremy

Fixes pointed out by <david.kondrad@legrand.us>. Free memory if not being
returned to caller. Remove unneeded asn1_tag_remaining() calls.

Jeremy.

Fix warning - no return value for a non-void fn.

Jeremy.

s3: also run the test prog from the explicit external lib bug check

on Linux linking already stops with a broken ld, on FreeBSD8 linking works but
the binary is broken, so we must check both.

this should be the final fix for bug #7561

dcerpc: Clarify what the arguments of dcerpc_pull_auth_trailer() actually represent.

s3: check for explicit external lib bug in ld's as-needed code

Second part of fix for bug #7561

Based on test provided by Olaf Flebbe.

s3: add configure swtich to manually disable as-needed

first part fix for bug #7561

based on earlier patch from metze

Revert "s3: Don't use as-needed"

This reverts commit b9835a1f9d8b81e4121a01a190dffaefe67cbe5c.

s3-dcerpc: Unifiy cli_pipe_auth_data and pipe_auth_data

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-auth: Add auth_ntlmssp wrapper for client side

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-auth: Move auth_ntlmssp wrappers in their own file

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-auth: Refactor and rename auth_ntlmssp_server_info()

Rename it to auth_ntlmssp_steal_server_info() to make it clear that
the server_info struct is stolen from the auth_ntlmssp_state structure.
Use talloc_move instead of manual steal&clear
Add comments to explain what is going on.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

Remove gen_negTokenInit() - change all callers to spnego_gen_negTokenInit().
We now have one function to do this in all calling code. More rationalization
to follow.

Jeremy.

Move the addition of the 16 byte guid out of spnego_gen_negTokenInit() and
into negprot_spnego() where it belongs (it's not an SPNEGO operation).
Add a TALLOC_CTX for callers of negprot_spnego(). Closer to unifying all
the gen_negTokenXXX calls.

Jeremy.

Remove parse_negTokenTarg(), as it's actually incorrect. We're processing
negTokenInit's here. Use common code in spnego_parse_negTokenInit().

Jeremy.

Fix [Bug 7577] SPNEGO auth fails when contacting Win7 system using Microsoft Live Sign-in Assistant
Based on code from <david.kondrad@legrand.us>. Cope with every NegTokenInit ::= SEQUENCE value.
Jeremy.

s3: Avoid pwrite calls for the 1-byte writes with zero content

When a write cache is empty and we write one 0, there is no point in actually
writing into the write cache, which would trigger a potentially superfluous
write cache flush. We can rely on posix semantics to give us 0's when
subsequent read calls want to read from file areas not written yet.

Jeremy, please check!

s3-auth: Remove unused variable.

It was a spurious remnant after a rebase.

Merge branch 'master' of ssh://git.samba.org/data/git/samba

waf: make the error msg when gen_ndr directory is missing clearer

the next time someone removes gen_ndr/README the fix should be more
obvious.

waf-idl: put the gen_ndr/README file for source3 back

This was removed by 100d37fc4624690423f6a932709b3f9046d05c64, probably
accidentially.

s3-rpc_server: Added callbacks for init and shutdown of a rpc service.

This adds two callback function for each rpc service. One is for
initialisation and the other for shutdown. rpc_<service>_unregister()
needs to be called to execute the shutdown function.

s3-rpc_server: Don't register the same rpc commands twice.

s3-docs: Add more verbose description of "log writeable files on exit".

s3-docs: Add more verbose description of "ctdb locktime warn threshold".

s3-docs: Add more verbose description of "username map cache time".

s3-docs: Remove older documentation of smb2 parameters.

Jeremy, these parameters were already documented. My fault.
Sorry for the noise!

Karolin

s4: Remove trailing whitespaces

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

ldb: Mark _DEPRECATED_ ldb_msg_diff() and ldb_msg_canonicalize() functions

They are not quite safe to use (requires caller to steal
resulting message in own context) and may lead to holding
memory for too long.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: use ldb_msg_normalize() in ldb_msg_difference()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-test: Use ldb_msg_normalize() in sqlite3 backend

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-test: Use ldb_msg_normalize() in torture/rpc/dssync.c test

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: use ldb_msg_normalize() in ldbadd-process_file()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: use ldb_msg_normalize() in source4/lib/ldb/common/ldb.c

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: use ldb_msg_normalize() in source4/dsdb/schema/schema_set.c

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-ldb: Add ldb_msg_normalize() to accept a memory context from client

Previos implementation from ldb_msg_canonicalize()
was moved into this function and now ldb_msg_canonicalize()
is based on ldb_msg_normalize()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-ldb: Use _ldb_msg_add_el() in ldb_msg_add()

Previous implementation was 'leaking' attribute name
string, that is allocated by ldb_msg_add_empty()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-ldb: Use _ldb_msg_add_el() in ldb_msg_add_empty()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-ldb: Add separate function to add empty element into ldb_msg

It just adds another element, nothing more.
Caller is responsible to fill-in the added element and
determine how to handle data allocation contexts.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-ldb: Write more explanatory comment for ldb_msg_add()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-pyldb: Use ldb_msg_difference() in py_ldb_msg_diff()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-test: Use ldb_msg_difference() in torture/rpc/dssync.c test

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-tools: use ldb_msg_difference() in ldbedit - modify_record()

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb/schema/schema_set.c: fix trailing spaces and comments spelling

Few comments split on several lines also...

(Sorry Metze, I know you hate reviewing "and this, and that"
type of patches, but those are just cosmetics)

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: use ldb_msg_difference() in source4/dsdb/schema/schema_set.c

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s4-ldb: Implement ldb_msg_difference() function to accept a memory context from client

Old implementation from ldb_msg_diff() was moved into
this this function but with changed interface
so that a memory context may be passed.

ldb_msg_diff() function is now based on ldb_msg_difference(),
which fixes a hidden leak - internal ldb_msg object
(returned from ldb_msg_canonicalize) wasn't freed
and stays attached to ldb_context for the connection lifetime.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-auth: Use talloc hierarchies to properly free auth_ntlmssp_state contexts

Turn auth_ntlmssp_end into a destructor and attach it to auth_ntlmssp_state.
Remote auth_ntlmssp_end and use TALLOC_FREE in the callers.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-auth: auth_make ntlmssp_state the parent context

There is no need for a separate mem_ctx member.
Also make the ntlmssp_state a children of auth_ntlmssp_state
Also cleanup auth_ntlmssp_end to free only what is not automatically freed

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-auth: Simplify how we free the auth_context

Turn the freeing function into a destructor and attach it to the
auth_context.
Make all callers TALLOC_FREE() the auth_context instead of calling
the free function.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-auth: Cleanup and readability fixes

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3-ntlmssp: Remove ntlmssp_end and let the talloc hierarchy handle it.

All the members are children of ntlmssp_state anyway.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

Merge branch 'master' of ssh://git.samba.org/data/git/samba

s3: Actually use the usecs in aio_fork_suspend

Jeremy, please check!

s3: Fix an uninitialized variable

s3: Work better without the aio sighandler

Refuse async I/O if we can't set up the signal handler

s3: Fix some nonempty blank lines

s3: Remove a direct use of procid_self()

s3-rpc_client: Fixed a segfault in rpccli_samr_chng_pswd_auth_crap().

This fixes the WINBIND-WBCLIENT test. The test set
old_lm_hash_enc_blob.length to 0 and we don't check the length here. So
the memcpy segfaulted.

s3-waf: Fixed the build.

s3: Don't use as-needed

This is just broken. RHEL5 can't deal with it, FreeBSD8 is broken with it, and
who knows what other platforms are broken. I can rather live with a system that
links in a bit too much than a system that does not work at all.

pam_winbind: Fix shadowing a global on FreeBSD

FreeBSD defines a function pam_error()

s3-dcerpc: Fix build and remove unneeded headers

Sorry, botched a rebase.

s3-dcerpc: Move mere processing functions from srv_pipe_hnd.c to srv_pipe.c

Fix a typo

s3-dcerpc: Move common cli/srv functions into a common file

s3: Really fix the 64-bit warnings

Hmm. Forgot to git commit this piece, sorry :-(

s3: Fix some 64-bit warnings

s3: Right now we do not have includes in Makefile.in

Skip the expansion step on non-GNU-make systems

s4 pam_winbind: don't build if pam header are not installed

s4 nss_switch: fix build problem on computer without the iniparser

Although the build was ok on my workstation it appears that on build
server it was not because the include path was not correct.

s4-waf: add the missing bits for builing nss_winbind and pam_winbind

This is something that was not picked up during the migration to waf

s4 unittests: add blackblox test for ktpass

s4: create a simple version of ktpass

This script is intended to be a replacement for the ktutil of Windows.
It's use is for exporting keytab that will be used for kerberized
services.

s3-build: add LIBNDR_XATTR_OBJ.

Guenther

Fix bug #7570 - New smb2 max parameters are undocumented.

Jeremy.

s3-dcerpc: rename SCHANNEL_SIG_SIZE to NL_AUTH_SIGNATURE_SIZE and move to IDL.

Guenther

s3-perfcount: make it possible to compile the example perfcount daemon.

Guenther

s4-smbtorture: run all testcases with bigendian push as well in RPC-BIND.

Guenther

s4-smbtorture: rearrange testlist in RPC-BIND.

Guenther

s4-smbtorture: make sure to wipe out dcerpc auth flags before RPC-BIND starts.

Guenther

s3-dcerpc: Fix ability to receive Big Endian PDUs

smbtorture shell: Allow any config option to be set.

Not sure what I was thinking by restricting the shell to "torture:"
parametric options. It's really extemely useful to be able to set
arbitrary options.

Make the "map to guest" parameter work correctly with NTLMSSP (spnego
and raw) under SMB2. Still need to investigate fixing this with krb5
auth (does this make sense ?).

Jeremy.

Merge branch 'master' of ssh://git.samba.org/data/git/samba

s4-loadparm: 2nd half of lp_ to lpcfg_ conversion

this converts all callers that use the Samba4 loadparm lp_ calling
convention to use the lpcfg_ prefix.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>