krb5: Require gss_get_name_attribute or Heimdal's PAC parsing to build with krb5

krb5: Require krb5_string_to_key be available to build with krb5

krb5: Require krb5_set_real_time is available to build with krb5

krb5: Require krb5_principal_compare_any_realm be available to build with krb5

krb5: Require krb5_get_renewed_creds be available to build with krb5

krb5: Remove now unused checks for krb5_verify_checksum

krb5: Require krb5_get_init_creds_opt_alloc/free for build with krb5

This also assumes the modern API with a krb5_context argument.

Andrew Bartlett

krb5: Require krb5_fwd_tgt_creds to be available to build with krb5

krb5: Require krb5_get_host_realm and krb5_free_host_realm be available to build with krb5

krb5: Require krb5_c_verify_checksum is available to build with krb5

krb5: Require krb5_c_enctype_compare is available to build with krb5

s3-librpc Make seal parameter a boolean for clarity

s3-librpc Remove special case for spnego session key

SPNEGO is implemented only in terms of gensec mechanisms now.

Andrew Bartlett

s3-librpc Remove special case for spnego dcerpc sign/seal

SPNEGO is implemented only in terms of gensec mechanisms now.

Andrew Bartlett

s3-librpc Move GSS_C_DCE_STYLE backup definition to gse.c

s3-librpc Add const

s3-librpc Remove or make static unused/local-only GSE functions

The GSE layer is now used via the GENSEC module, so we do not need these
functions exposed any more.  The code from dcesrv_gssapi.c is now
in source3/auth/auth_generic.c as an auth callback.

Andrew Bartlett

s3-librpc Remove layer around struct gensec_security

s3-librpc: Simplify SPNEGO code now that all mechs use a struct gensec_security

s3-librpc Call SPENGO/GSSAPI via the auth_generic layer and gensec

This simplifies a lot of code, as we know we are always dealing
with a struct gensec_security, and allows the gensec module being
used to implement GSSAPI to be swapped for AD-server operation.

Andrew Bartlett

s3-librpc Call GSSAPI via the auth_generic layer and gensec

This simplifies a lot of code, as we know we are always dealing with a
struct gensec_security, and allows the gensec module being used to
implement GSSAPI to be swapped when required for AD-server operation.

Andrew Bartlett

s3-libsmb Make gse available as a gensec client module

s3-build: Rework object lists to allow gse gensec module

This also allows the spnego_parse_krb5_wrap() function to be shared.

Andrew Bartlett

s3-librpc Allow spnego_generic_init_client to handle kerberos too

s3-librpc Supply target service and server to spnego_generic_init_client()

s3-librpc: Rename spnego_ntlmssp_init_client and make generic

s3-libsmb: split out auth_generic client functions into auth_generic.c

s3-librpc: rename get_ntlmssp_auth_footer to be more generic

This can handle any gensec auth type now.

Andrew Bartlett

s3-librpc Set target service and server into gensec

This will allow cli_rpc_pipe_open_generic_auth() to handle kerberos mechanisms.

Andrew Bartlett

s3-librpc Rename and rework cli_rpc_pipe_open_ntlmssp() to be generic

This also includes renaming the helper function
rpccli_ntlmssp_bind_data, and allows this function to operate on any
gensec-supplied auth type.

Andrew Bartlett

s3-librpc Rename create_ntlmssp_auth_rpc_bind_req() to be more generic

s3-librpc Add gensec wrapper for gse GSSAPI client

This brings in part of the s4 gensec_gssapi as the boilerplate for the
new module.

Andrew Bartlett

s3-auth Add auth hook for PAC parsing

This will allow gensec_gse to parse the PAC.

Andrew Bartlett

auth: make auth4_context common to provide access to generate_session_info_pac()

By providing this context, a function pointer for
generate_session_info_pac() can be inserted into gensec, allowing the
s3 PAC processing in an otherwise more generic gensec module.

Andrew Bartlett

gensec: move gensec_util.c to the top level

To do this some defines need to move to common_auth.h

Andrew Bartlett

auth/kerberos: Remove unused headers from gssapi_parse.c

s3-librpc Return user principal name on supplied mem_ctx

s3-ntlmssp Remove unused ntlmssp_set_hashes() and do not set an invalid LM hash

When E_deshash() returns false, it indicates that the password is either > 14 chars
in length, or could not be represented as an LM hash value for some other
reason.  In this case, we should not regard the LM hash being missing
as an error or a no-password situation.

Andrew Bartlett

ntlmssp: merge initial packet implementations

s3-winbindd: convert cached credentials to use auth_generic/gensec for NTLMSSP

s3-libads Use NTLMSSP via auth_generic/gensec

This allows us to use the shared gensec_wrap() implementation already used by the
smb sealing code, as well as making this code more generic.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-libsmb Make auth_ntlmssp client more generic

As well as renaming, this allows us to start the mech by DCE/RPC auth
type or OID.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-libsmb Use gensec_settings to set s3 ntlmssp client backend

This prepares us for making the code generic to multiple mechansims

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth Rename make_auth_ntlmssp() -> make_auth_gensec()

Signed-off-by: Stefan Metzmacher <metze@samba.org>

Add some debug to vfs_aio_pthread so I can see when jobs start and stop.

Autobuild-User: Jeremy Allison <jra@samba.org>
Autobuild-Date: Thu Jan  5 20:28:00 CET 2012 on sn-devel-104

s3-auth remove outdated comment

Signed-off-by: Stefan Metzmacher <metze@samba.org>
Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Thu Jan  5 18:51:47 CET 2012 on sn-devel-104

s3-librpc remove unused headers

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth Remove more unused headers

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth remove unused ntlmssp.h

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth Remove ntlmssp_wrap.h which is no longer required

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth use gensec directly rather than via auth_generic_state

This is possible because the s3 gensec modules are started as
normal gensec modules, so we do not need a wrapper any more.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth Set remote address for both AD and s3 gensec modes

s3-auth re-create the auth context in the s3 ntlmssp server module

This removes the abstraction violation in auth_generic.c.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth Add TALLOC_CTX * to auth_generic_prepare()

This makes the long term owner of this memory more clear.  So far only the
clear cases have been moved from NULL however.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-auth supply s3 ntlmssp module via gensec_settings

This will allow the supply of multiple modules in future
without duplicating the module selection logic.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-selftest: Add test for rpcclient, including kerberos authentication

Some knownfail entries are added for things the currently fail.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3:gse: MIT krb5 1.8.1 has a bug in gss_wrap_iov()

gss_krb5int_make_seal_token_v3_iov() doesn't set '*conf_state'.

metze

s3-librpc store the sign/seal flags we got in the gssapi client

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-libads Factor out a new routine kerberos_get_principal_from_service_hostname()

This is now used in the GSE GSSAPI client, so that when we connect to
a target server at the CIFS level, we use the same name to connect
at the DCE/RPC level.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3-librpc Use gsskrb5_get_subkey() where available to get the session key

This allows gse_get_session_key() to work against Heimdal.

Andrew Bartlett

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s3: Remove some redundant code

Autobuild-User: Volker Lendecke <vlendec@samba.org>
Autobuild-Date: Thu Jan  5 17:16:45 CET 2012 on sn-devel-104

s3: Run the CLEANUP1 test

Autobuild-User: Volker Lendecke <vlendec@samba.org>
Autobuild-Date: Thu Jan  5 14:42:43 CET 2012 on sn-devel-104

s3: Add a test excercising the share mode cleanup routine

libcli/smb: Add smbXcli_conn_samba_suicide

This is a pure test tool against Samba servers

s3: Move basic SMB checking to a much earlier point

s3: Add a suicide mode to smbd

To test our cleanup code paths properly, we need a way to make smbd exit hard
without cleaning up

s3: Fix some nonempty blank lines

s4:repl_meta_data LDB module - set "isRecycled" time correctly

"unix_to_nt_time()" which is based on "time_t" behaves differently for
literals > 32 bit on 32 and 64 bit platforms.

Reviewed-by: ekacnet
Autobuild-User: Matthias Dieter Wallnöfer <mdw@samba.org>
Autobuild-Date: Thu Jan  5 11:59:20 CET 2012 on sn-devel-104

Add S3 vfs_aio_pthread module to replace broken glibc aio code.

Compiles but not yet tested.

Autobuild-User: Jeremy Allison <jra@samba.org>
Autobuild-Date: Thu Jan  5 01:43:51 CET 2012 on sn-devel-104

waf: Use git repository.

Autobuild-User: Jelmer Vernooij <jelmer@samba.org>
Autobuild-Date: Thu Jan  5 00:10:24 CET 2012 on sn-devel-104

Include waf as an extracted source directory, rather than as a one-in-a-file script.

s4:pyrpc: add 'user_session_key' getter to the connection object

This gets the session key from gensec for usage in DRSUAPI.

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Wed Jan  4 22:31:52 CET 2012 on sn-devel-104

s4:pygensec/tests: check that the client and server have the same session key

metze

s4:pygensec: add session_key() method

metze

LDAP-CLDAP: demonstrate that pdc name is not an unc path

For LOGON_SAM_LOGON_RESPONSE_EX and LOGON_SAM_LOGON_USER_UNKNOWN_EX,
pdc name is not in unc path form.

[MS-ADTS] 7.3.1.* uses UnicodeLogonServer, which seems to be in unc form,
while NetbiosComputerName is not in unc form.

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Wed Jan  4 20:06:14 CET 2012 on sn-devel-104

s4:torture/nbt/dgram.c - NBT samlogon requests don't return the PDC name as UNC path

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s4:cldap_server/netlogon.c: it is wrong to specify "\\" in front of the hostname

For LOGON_SAM_LOGON_RESPONSE_EX and LOGON_SAM_LOGON_USER_UNKNOWN_EX,
pdc name is not in unc path form.

[MS-ADTS] 7.3.1.* uses UnicodeLogonServer, which seems to be in unc form,
while NetbiosComputerName is not in unc form.

Bases on a patch from Matthias Dieter Wallnöfer <mdw@samba.org>.

metze

s3-winbind: Fix segfault if we can't map the last user.

This fixes bug #8678.

The issue is caused by bug #8608.

Autobuild-User: Andreas Schneider <asn@cryptomilk.org>
Autobuild-Date: Wed Jan  4 18:30:53 CET 2012 on sn-devel-104

s3-winbind: Move finding the domain to it's own function.

This the first part to fix bug #8678.

s3-perfcount: fix incorrect array length calculations

As reported by Ismail Doenmez (idonmez@suse.com), sizeof() is
incorrectly used by _reg_perfcount_init_data_block() in an attempt to
determine the length of a talloced array.

Signed-off-by: Günther Deschner <gd@samba.org>
Autobuild-User: Günther Deschner <gd@samba.org>
Autobuild-Date: Wed Jan  4 16:54:37 CET 2012 on sn-devel-104

s3-perfcount: fix build for example perfcount daemon

Signed-off-by: Günther Deschner <gd@samba.org>

s3: Check for the packet size before accessing it

Autobuild-User: Jeremy Allison <jra@samba.org>
Autobuild-Date: Wed Jan  4 15:16:20 CET 2012 on sn-devel-104

LDAP-CLDAP: demonstrate that pdc name is an unc path

For LOGON_SAM_LOGON_RESPONSE and LOGON_SAM_LOGON_USER_UNKNOWN,
I assume all levels without _EX in the name, pdc name is
in unc path form.

[MS-ADTS] 7.3.1.* uses UnicodeLogonServer, which seems to be in unc form,
while NetbiosComputerName is not in unc form.

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Wed Jan  4 13:37:42 CET 2012 on sn-devel-104

s4:torture/nbt/dgram.c: NBT samlogon requests without _EX return the PDC name as UNC path

metze

dlz_bind9: create session info from PAC using auth context

This fixes the creation of session info from PAC, after changes
in gensec code.

Autobuild-User: Amitay Isaacs <amitay@samba.org>
Autobuild-Date: Wed Jan  4 01:59:09 CET 2012 on sn-devel-104

s3-cli: fix bug 563, >8GB tar on BE machines

Borrows on existing patches proposed by Craig Barratt and Brad Ellis.

Signed-off-by: David Disseldorp <ddiss@suse.de>
Autobuild-User: David Disseldorp <ddiss@samba.org>
Autobuild-Date: Tue Jan  3 18:31:28 CET 2012 on sn-devel-104

s3: Fix a cut&paste error

Autobuild-User: Volker Lendecke <vlendec@samba.org>
Autobuild-Date: Tue Jan  3 16:57:44 CET 2012 on sn-devel-104

s3: Fix a typo

s3: Remove the unused "file_existed" parameter from smbd_calculate_access_mask

Autobuild-User: Volker Lendecke <vlendec@samba.org>
Autobuild-Date: Tue Jan  3 15:16:50 CET 2012 on sn-devel-104

s3: Avoid "file_existed" in smbd_calculate_maximum_allowed_access

We access the file by name anyway, so we can just try to access it. The file
system will for sure tell us if the file does not exist.

s3: Remove some else{} branches in smbd_calculate_maximum_allowed_access

s3: Directly use *p_access_mask in smbd_calculate_maximum_allowed_access

s3: Factor out smbd_calculate_maximum_allowed_access

upgradeprovision: do not hold references to messageElements

Autobuild-User: Matthieu Patou <mat@samba.org>
Autobuild-Date: Tue Jan  3 08:20:02 CET 2012 on sn-devel-104

pyldb: raise an exception if we can't add the attribute

upgradeprovision: treat provision without oem attribute as quite recent, it's provision that comes from Windows replication

s4-provision: Fix the problem of DnsProperty values not being set correctly

DnsProperty can have empty 'data' member. To parse Dnsproperty with
empty data, dnsp.idl has a hack as follows:

  [switch_is(wDataLength?id:DSPROPERTY_ZONE_EMPTY)] dnsPropertyData data;

This implies, to set 'data' value, wDataLength has to be set to a non-zero
value first.

Autobuild-User: Amitay Isaacs <amitay@samba.org>
Autobuild-Date: Tue Jan  3 05:26:32 CET 2012 on sn-devel-104

s4:torture/rpc/netlogon.c - enhance the "DsRGetDCName*" tests

To check for the expected behaviour (DS_* flags). Always according to
MS-NRPC 2.2.1.2.1.

Signed-off-by: Stefan Metzmacher <metze@samba.org>
Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Mon Jan  2 20:43:05 CET 2012 on sn-devel-104

ldb:ldb/common/ldb_controls.c - reference "err_string" variable correctly

Signed-off-by: Stefan Metzmacher <metze@samba.org>

s4-provision: Fix tdbdump path lookup in make test.

Signed-off-by: Stefan Metzmacher <metze@samba.org>