libcli/auth Merge ntlmssp_client_initial() into common code

This very simple function, generating the first packet in the NTLMSSP
exchange, does not need two independent implementations.

Andrew Bartlett

s3:ntlmssp Adapt Samba3 to new shared NTLMSSP code

libcli/auth Merge of the core NTLMSSP code between Samba3 and Samba4

This brings the 'get challenge' and 'check_password' and
post-authentication cryptography parts of the NTLMSSP code in common,
using function pointers to obtain the challenge and direct the
password check to the right place.

This code, and the auth subsystem on which is is based, assumes a sync
callback at this time, but the Samba4 structure the prepared for async
callbacks has been preserved.

The common code can't reference ROLE_STANDALONE or lp_* functions, so
we instead precompute those in the init functions from each branch.

When merging the key derivation routines, care was taken in regard to
the LM_KEY behaviour, when the LM password is not specified by the
client, but LM authentication is permitted by the server.  We match
Samba3 behaviour and allow this less secure use.

(This is in a hope to avoid changes to a very difficult to test use
case.  lanman auth = false is the default in Samba3 and Samba4).

The biggest changes here are to remove calls to lp_ functions, the
server role enum, and (oddly!) nt_errstr() as these are not yet
common.

Andrew Bartlett

s3:auth Make get_ntlm_challenge more like Samba4

This helps with the upcoming NTLMSSP merge, and allows errors to be returned.

Andrew Bartlett

s4:ntlmssp small compile changes to make Samba3's NTLMSSP more like Samba4

This removes the typedef NTLMSSP_STATE, and only includes ntlmssp.h
where actually needed.

It also moves to C99 integer types in ntlmssp.h

Andrew Bartlett

libcli/auth Make gd's NDR NTLMSSP parsers helpers common

(but not built in Samba4 for now)

s4:gensec Don't give a warning when Windows client connects with NTLM

We have had the workaround for a long time, but at the time the log
warnings remained.

Andrew Bartlett

s4:auth Change 'get_challenge' API to be more like Samba3

It is just easier to fill in the known to be 8 byte challenge than
stuff about with allocated pointers.

Andrew Bartlett

s4:auth generate the prototype file in the right place

Samba4 and LDB requires talloc 2.0.1

reported by ewoud@kohlvanwijngaarden.nl

Fix bug reported in mangle_hash code (no bugid yet).

Don't change the contents of a const string via a pointer
alias (or if you do, change it back.....).

Jeremy.

s4 torture: Add RAW-OPLOCK-EXCLUSIVE7 which is similar to BATCH19

s4 torture: Update raw oplock to use win7 as the baseline for rename oplock break behavior

s4 torture: Be more permissive with share modes for oplock testing

Share modes are tested elsewhere, and there is currently an outstanding
issue about share mode contention for nt-passthrough levels:

http://lists.samba.org/archive/cifs-protocol/2009-December/001227.html

s4 torture: Do a better job of closing open files in RAW-OPLOCK.

param: Fix build on systems without ldb installed.

provision/pyldb: Avoid linking in static python ldb module.

ldb_wrap: Fix compilation when using system ldb.

tdb: Also build and install tdb manpages from standalone tdb.

tdb: Fix formatting of API check file.

Fix initialisation of TypeObject samba.param.LoadparmService.

Found by Ricardo Jorge <rvelhote@gmail.com>.

s3:winbind: Add a lower-cost alternative to wbinfo -t: wbinfo --ping-dc

This just does a NULL RPC call through an existing NETLOGON connection. If
someone knows an operation that "just works" and does not return NOT_SUPPORTED,
please tell me :-)

s3:winbindd: Fix a brown paper bag bug in wbinfo -t ...

Rename reply_doserror() -> reply_force_doserror().

Rewrite all calls to reply_nterror(NT_STATUS_DOS()) to
reply_force_doserror() and update the comment in smbd/error.c

Jeremy.

Remove all calls to reply_doserror - turn them into
correct reply_nterror calls. Next rename reply_doserror ->
reply_force_doserror and plumb in when NT_STATUS_DOS is
used.
Jeremy.

Rename 282 -> ERReasnotsupported.
Jeremy.

s3-docs: mention long and undocumented option names in rpcclient manpage.

Guenther

s3-docs: mention long and undocumented option names in smbcacls manpage.

Guenther

s3-docs: mention long and undocumented option names in smbclient manpage.

Guenther

s3-docs: mention -O, --stdout in smbget manpage.

Guenther

s3-docs: mention long option names in smbtree manpage.

Guenther

s3-docs: mention long and undocumented option names in pdbedit manpage.

Guenther

s3-docs: mention all long option names in samba.entities file.

Guenther

s3-docs: not working for SuSE anymore...

Guenther

s3: Shrink winbindd_proto.h a bit

s3: Fix some nonempty blank lines

s3: Remove unused get_sam_group_entries

s3: Remove unused winbindd_dual_getsidaliases

s3: Remove an unused struct definition

s3: Remove unused winbindd_dual_getuserdomgroups

s3: Remove unused winbindd_dual_getdcname

s3: Remove unused winbindd_dual_lookupname

s3: Remove unused winbindd_dual_lookupsid

s3: Remove unused winbindd_dual_userinfo

s3: Remove some unused dual functions

s3: Remove unused do_async

s3: Remove unused winbindd_gid2sid_async

s3: Remove unused winbindd_uid2sid_async

s3: Remove unused winbindd_sid2gid_async

s3: Remove unused winbindd_sid2uid_async

s3: Remove unused do_async_domain

s3: Remove unused query_user_async

s3: Remove unused winbindd_getsidaliases_async

s3: Remove unused winbindd_lookupname_async

s3: Remove unused winbindd_lookupsid_async

s4-schema: fixed the sorting of schema attributes

another case of unsigned int subtracting breaking sorts. This one
surfaced now as attributeID_id now can be larger than 2^31

s4-torture: update uuid_compare test for new behaviour

s4-drs: Implement constraints on ATTID values in prefixMap

Ref: MS-ADTS, 3.1.1.2.6 ATTRTYP

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-tort: Test handling of different ATTID values in prefixMap interface.

It turns out ATTID values are separated in ranges.
Ref: MS-ADTS, 3.1.1.2.6 ATTRTYP

Signed-off-by: Andrew Tridgell <tridge@samba.org>

Adapted acl module to skip checks if as_system control is provided.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drs: Save prefix map using LDB_CONTROL_AS_SYSTEM control

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-dsdb-util: Execute ldb_request using LDB_CONTROL_AS_SYSTEM

This function is intended to be used when data needs
to be modified skipping access checks.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-dsdb-util: Utility function to process ldb_request in transaction

This function is to be used later for manually crafted
ldb_requests from within dsdb layer

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-schema: Implement msDS-IntId attribute generation

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-schema: Constraints on msDS-IntId attribute

This attribute can not be modified on existing schema object.

msDS-IntId is not allowed during attribute creation also.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-schema: Set ATTID in schema cache from "msDS-IntId"

According to http://msdn.microsoft.com/en-us/library/cc223224%28PROT.13%29.aspx
some Attributes OIDs may not use prefixMap.
Setting ATTID in Schema Cache here should work, although
this code snippet should be moved in separate function.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

Revert "s4-drs: cope with bogus empty attributes from w2k8-r2"

This reverts commit 1287c1d115fb7e8f3954bc05ff65007968403a9c.

Next patch should fix the "not recognized ATTIDs" problem

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-tort: Tests for "msDS-IntId" attribute implemented

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-tort: Move Schema tests from ldap.py into separate module

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drs: Fix bug - prefixMap is not updated when adding new OIDs.

The bug is that prefixMap is updated only memory when
adding new Classs/Attribute that has and OID not in
prefixMap already.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-drstest: Don't remove temp LDB so it can be reviewed if necessary

This test makes temp directory which is not removed
so why not just leave LDB also.

Signed-off-by: Andrew Tridgell <tridge@samba.org>

s4-repl: give a reason why the prepare commit failed

s4-kcc: don't crash with a NULL ntds connection list

s4-repl: only try to replicate for NCs that we are a master for

s4-torture: another unsigned comparison bug

s4-schema: a unsigned comparison bug in the schema code

s4-drs: another two unsigned comparison bugs

librpc: fixed the GUID_compare() function

When comparing two unsigned values you can't just subtract
them.

Imagine you are comparing: "uint32_t u1" and "uint32_t u2". If you use
"u1 - u2" and u2 is zero, then the signed integer result will depend
on the top bit of u1.

This error occurs in a few places in Samba. For DRS replication it
resulted in corrupt uptodateness vectors.

s4-repl: lower debug level of a common message

s4-dsdb: don't use a non-constant format string for a printf format

s4-dsdb: added DSDB_MODIFY_RELAX flag to the dsdb_module_*() calls

s4-dsdb: added dsdb_get_extended_dn_uint64()

s4-dsdb: use varargs expression in dsdb_module_search()

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: added two new dsdb_get_extended_dn_*() helper functions

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-provision: added a note about where invocationIDs come from

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-dsdb: give us an invocationID when in standalone mode

To allow us to use the repl_meta_data module in standalone mode (and
thus not have two module stacks to test), we need a invocationID
stored somewhere when standalone. This creates a random one, and
stores it in @SAMBA_DSDB.

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s3: Fix an error case in cli_negprot

tevent: prefix types and defined with tevent_ and TEVENT_

This fixes the build warnings on some build-farm hosts.

metze

Output %p as unsigned in snprintf replacement.

s4:kdc: setup the local and remote tsocket_address at accept time

metze

s4:kdc: convert UDP based communication to tdgram_context

metze

Actually explain the twisty paths of tortured logic behind
reply_doserror(), reply_nterror(), and reply_nterror(NT_STATUS_DOS()).

Fix the call in rely_openerror() to actually force a DOS error
for "too many open files".

Jeremy.

reply_doserror() doesn't force DOS errors on the wire.

Start migrating uses of reply_doserror() to reply_nterror() with the
correct mapping. Eventually we'll get to the point where we can
change reply_doserror() to force a DOS error code on the wire,
and can change calls to reply_nterror(req, NT_STATUS_DOS()) - which *does*
force DOS errors on the wire - to reply_doserror(). Which might
actually make the server code look like it's making sense.

Jeremy.

reply_force_nterror() is not used anywhere. Remove it.
Jeremy.

s4 torture: Add test to show archive bit behavior with directories

Signed-off-by: Tim Prouty <tprouty@samba.org>

s4 torture: Fix RAW-STREAMS-DELETE to pass against samba3

Added freeing a successful req so it doesnt croud the ldb context

Added oid for AS_SYSTEM control, used to bypass access checks for system operations.

s3-docs: mention pam_winbind.conf(5) manpage in pam_winbind(8) manpage.

Guenther

s3-docs: add new pam_winbind.conf(5) manpage.

Guenther