s4-drs: add the magic DRS SPNs on AddEntry

When a DsAddEntry is used to create a nTDSDSA object we need to also
create the SPNs for the NTDS GUID in the servers machine account.

s4/provision: add the nTDSDSA GUID based DNS entries and SPNs

The DNS entries and SPNs are needed for samba<->samba DRS
replication. This patch adds them for a standalone DC configure. A
separate patch will add them for the vampire configure

s4/drs: parentGUID needs to be specififcally asked for

Right now parentGUID is a normal attribute in s4, but it should be
generated, which means we need to ask for it in a search if we want to
use it.

s4/libcli: when we get a DNS lookup failure show the name

When tracking down complex connection problems its useful knowing what
name lookups failed.

s4/tort: RPC-DRSUAPI test case refactored to match torture architecture

s4/tort: code clean up using torture_drsuapi_assert_call() macro

After this change, when a test fails, it gives
reasonable failure message.

s4/tort: assert macro for drsuapi dcerpc call

The macro actually wraps common code pattern used in
almost every test for DRSUAPI interface

s4/tort: Propagate torture_context and use torture_comment

NOTE: Not every place where printf is used is replaced by
torture_comment. Future work shall "missed" printfs also.

s3-schannel: remove last schannel hand-marshalling function.

Guenther

s3-schannel: use NL_AUTH_SIGNATURE for schannel sign & seal (client & server).

Guenther

s3-errors: add NT_STATUS_RPC_NT_PROCNUM_OUT_OF_RANGE.

Guenther

s3-schannel: remove unused code.

Guenther

s3-schannel: use NL_AUTH_MESSAGE for schannel bind reply.

Guenther

schannel: more work on reponse NL_AUTH_MESSAGES.

Guenther

s3-nterr: add NT_STATUS_RPC_NT_PROTOCOL_ERROR to nt_errstr().

Guenther

s3-util: add get/set_cmdline_auth_info_domain to user_auth_info struct.

Guenther

s3-rpcclient: add lookupnames4 command.

Guenther

s3-rpcclient: add ncacn transport handling for rpcclient.

Guenther

s3-rpc_client: add enum dcerpc_transport_t to rpc_cli_transport struct.

Guenther

s4:setup Updated Display Specifiers from Microsoft (with #s)

This fixes the issue with the original files that they didn't have a
leading # in front of the comments, which caused our parsing scripts
much pain.  The files are now exactly as delivered.

Andrew Bartlett

s4: Pass WINBINDD_SOCKET_DIR var in order to overide the location of the Winbind socket

s4:ldb_map: Don't free ares too early.

As found when running "make test" with the MALLOC_CHECK_ and MALLOC_PERTURB_
environment variables set.

s4/tort: CRACKNAMES tests to use private structure for testing.

DsCrackNamesPrivate structure basically inherits DsPrivate
structure while adding few test-specific members.

s4/tort: Make common setup/teardown drsuapi test funcs really common

s4/tort: CrackNames test update to work against W2K3.

DRSUAPI_DS_NAME_FORMAT_UKNOWN added to 'known-to-fail'
responses as this actually means to ask AD to resolve
a name from FQDN format to Unknown format.

util_strlist: Add some more "const"s - small correction

util_strlist: Add some more "const"s

Fix bug 6707 - 3.4.1 segfault in parsing configs.
Fixes an occasional segfault caused by an out-of-bounds reference in config file parsing.

s4:srvsvc: Fix logic on error checking.

s4:pwsettings: Added blackbox tests.

The added tests include basic validation that the script runs and accepts all
custom arguments.  The tests also verify changes to the password complexity,
minimum password length, and minimum password length settings.

testprogs:subunit.sh: Add function for expected failures.

The testit_expect_failure() function is like the testit() function, with
reversed error detection logic.  This reversal only affects the pass/fail logic
and logging - the original return code from the command is still returned to the
calling script.

s4:pwsettings: Show default values in help messages.

s4:pwsettings: Add 'default' option for password complexity.

s4:pwsettings: Added validation.

Validate that each field is within its allowed range.  Also validate that the
maximum password age is greater than the minimum password length (if the maximum
password age is set).

I could not find these values documented anywhere in the WSPP docs.  I used the
values shown in the W2K8 GPMC, as it appears that the GPMC actuaally performs
the validation of values.

s4:pwsettings: Don't assume a value for pwdProperties.

If we cannot retrieve the value, do not assume a particular value.  The fact
that we could not retrieve the value indicates a larger problem that we don't
want to make worse bypossibly clearing bit fields in the pwdProperties
attribute.

s4:pwsettings: Run all updates as a single modify() operation.

This ensures that all changes are made, or none are made.  It also makes it
possible to do validation as we go and abort in case of an error, while always
leaving things in a consistent state.

s4:pwsettings: Added --quiet option.

Also changed all non-error status output to use the message() function, which
respects the --quiet option.

s4:netlogon - Put the "supported encryption types" more back in the "LogonGetDomainInfo" call

They're needed only at the end.

Revert "s4: Let the "setpassword" script finally use the "samdb_set_password" routine"

This reverts commit fdd62e9699b181a140292689fcd88a559bc26211.

abartlet and I agreed that this isn't the right way to enforce the password
policies. Sooner or later we've to control them anyway on the directory level.

s4/torture: fixed lots of crash bugs in the DRS tests

s4:provision Only delete SASL mappings with Fedora DS, not OpenLDAP

We need to be more careful to do the cleanup functions for the right
backend.  In future, these perhaps should be provided by the
ProvisionBackend class.

Andrew Bartlett

s4/drs: enable attribute encryption

This means we now get passwords vampired correctly for s4<->s4
replication.

s4: kludge_acl needs to be above repl_meta_data

We have to bypass kludge_acl in replication as otherwise we aren't
allowed access to the password entries

s4/repl: give a useful error message if we can't decode an object

libcli: added a drsuapi attribute encryption function

libcli:drsuapi Add function to encrypt data for transport over DRSUAPI

This is for the server side of the GetNCChanges call.

Andrew Bartlett

s4/drs: changed the UpdateRefs server to use the dn instead of the GUID

Our vampire code sends a zero GUID in the updaterefs calls. Windows
seems to ignore the GUID and use the DN in the naming context instead,
so I have changed our UpdateRefs server implementation to do the same.

With this change we can now vampire from s4<->s4 successfully! Now to
see if all the attributes came across correctly.

OPC oota edits

s4/drs: correctly fill in the GUID of DRS objects

s4: fix spelling

s4/provision: another fix for breakage from b1dabb1133

s4:provision Don't reference provision_backend when using LDB

This broke in Endi's patch for Fedora DS support

Andrew Bartlett

s4/torture: don't mix declarations and code

s4: regenerate drsuapi IDL

s4/schema: teach the schema_syntax code how to encode/decode more attributes

We were trying to encode strings like 'top' as integers, without first
looking them up in our schema. We need special handling for all the
attributes that contain attributeID_id or governsID_id fields that
should be translated first before encoding.

s4/schema: don't crash if we don't have subClassOf

s4/drsuapi: tech the IDL about some more key attribute names

s4: Use SASL authentication against Fedora DS.

1. During instance creation the provisioning script will import the SASL
   mapping for samba-admin. It's done here due to missing config schema
   preventing adding the mapping via ldapi.

2. After that it will use ldif2db to import the cn=samba-admin user as
   the target of SASL mapping.

3. Then it will start FDS and continue to do provisioning using the
   Directory Manager with simple bind.

4. The SASL credentials will be stored in secrets.ldb, so when Samba
   server runs later it will use the SASL credentials.

5. After the provisioning is done (just before stopping the slapd)
   it will use the DM over direct ldapi to delete the default SASL
   mappings included automatically by FDS, leaving just the new
   samba-admin mapping.

6. Also before stopping slapd it will use the DM over direct ldapi to
   set the ACL on the root entries of the user, configuration, and
   schema partitions. The ACL will give samba-admin the full access
   to these partitions.

Signed-off-by: Andrew Bartlett <abartlet@samba.org>

s3:docs: Add info about how to obtain cifs module in cifs mount helper manpage

Fix compile in a usually non-selected define.
Jeremy.

s3:smbd: Add a "hidden" parameter "share:fake_fscaps"

This is needed to support some special app I've just come across where I had to
set the SPARSE_FILES bit (0x40) to make it work against Samba at all. There
might be others to fake. This is definitely a "Don't touch if you don't know
what you're doing" thing, so I decided to make this an undocumented parametric
parameter.

I know this sucks, so feel free to beat me up on this. But I don't think it
will hurt.

s3:examples:ldap: allow substing search on more attributes in nds schema file

s4/torture: add new SMB oplock tests

* test if oplocks are granted when requesting delete-on-close
* test how oplocks are broken by byte-range-lock requests

s4/torture: convert printf to torture_comment()

Allows "make test" and other harnesses to print cleaner output.

s3:examples:ldap: fix some OIDs in various schema files

s4/drs: when we don't find an attribute use zero values

thanks to metze for pointing this out

s4/vampire: fixed i/j index mixup in vampire code

s4:drs match the meta_data and attributes array

These two arrays need to be in sync, as they are walked in sync by the
client

s4/drs: broke out the core of the getncchanges code

It is easier to understand without the heavy nesting

s4:drs level_out is a pointer

DsAddEntry now seems to work for simple tests

s4:drs split addentry and getncchanges into separate files

These will get quite complex eventually, I think we are better
separating them so the code is a bit easier to follow

Added "admin_session" method.

The purpose of admin_session is to be able to execute parts of provisioning
as the user Administrator in order to have the correct group and owner in the
security descriptors. To be used for provisioning and tests only.

s4/repl: implement DsReplicaSync

This patch implements DsReplicaSync by passing the call via irpc to
the repl server task. The repl server then triggers an immediate
replication of the specified partition.

This means we no longer need to set a small value for
dreplsrv:periodic_interval to force frequent DRS replication. We can
now wait for the DC to send us a ReplicaSync msg for any partition
that changes, and we immediately sync that partition.

s4/repl: added refresh of repsTo

I've found that w2k3 deletes the repsTo records we carefully created
in the vampire join if we don't refresh them frequently. After about
30mins all 3 repsTo records are gone.

This patch adds automatic refresh of the repsTo by calling
DSReplicaUpdateRefs every time we do a sync cycle with the server

s4: fixed format of repsTo in samdb

Metze pointed out what the windows tool ldp.exe will examine repsTo
attributes on remote DCs, so we do in fact need to use the same format
that windows uses. This patch changes the server side implementation
of UpdateRefs to use the windows format

s4: allow repl:RODC=true/false to set ourselves as a RODC

I think this is what windows DCs use to see that we are read-only, but
I am not sure. Needs more testing.

s3-winbindd: Fix Bug #6700: Use dns domain name when needing to guess server principal.

Patch from Robert LeBlanc <robert@leblancnet.us>.

Thanks!

Guenther

ntlmssp: avoid duplicate inclusion of helper headers.

Guenther

Mark test_security_descriptor_add_neg as known failing (for now).

Basic tests for nTSceurityDescriptor both SDDL and BASE64 format

These are updated second eddition unittests using ldb.add_ldif()
and ldb.modify_ldif(). Unittests are found to work when using
the right local domain SID. Negative test separated.

Signed-off-by: Jelmer Vernooij <jelmer@samba.org>

s3-nterr: add NT_STATUS_RPC_NT_CALL_FAILED.

Guenther

s4/torture/smb2: removed SMB2-FIND test

This test has been wholly replaced by the SMB2-DIR-ONE test found
in dir.c.

s4/torture/smb2: Fix several small bugs and style issues in SMB2 dir tests

* removed all uses of printf, replaced with torture_comment
* replaced custom CHECK macros with new torture_assert_*_todo() helpers
* switched string dir name generation to generate_unique_strs() helper,
  to avoid non-deterministic test behavior where generate_rand_str()
  would cause file colissions in the same directory.

s4/torture: add new torture_assert_*_todo() macros

These allow torture tests to perform cleanup after a failure, by
jumping to a goto label.

lib/util: add unique string generator helper function

ntlmssp: add some void decode calls (useful for ndrdump).

Guenther

socket_wrapper: swrap_read() should use SWRAP_RECV* for swrap_dump_packet()

This is the same as swrap_recv().

metze

s4:repl_meta_data: remove unused code

metze

s3:drsuapi: add a simple DsRemoveDSServer() implementation

metze

s4:drsuapi: add an incomplete DsAddEntry implementation

metze

s3:smbd: Fix bug 6690, wrong error check

schannel: add missing prototype for ndr_print_nbt_string() in schannel helper.

Hopefully fixes samba4 build.

Guenther

s3: remove unused RPC_AUTH_SCHANNEL_NEG struct and parsing functions.

Guenther

s3-rpc_server: use NL_AUTH_MESSAGE in pipe_schannel_auth_bind().

Guenther

s3-rpc_client: use NL_AUTH_MESSAGE in create_schannel_auth_rpc_bind_req().

Guenther

s3/docs: Raise version number.

Karolin

schannel: add NL_AUTH_MESSAGE and both NL_AUTH_SIGNATURE structs.

These actually belong netlogon but we for now want to keep netlogon as a security
providor separate.

Guenther

s4:idl Add generated code for netlogon.idl changes

Return a correct value for Supported Encryption Type

Vista and upper version use this value to check wether they should ask the DC
 to change the msDS-SupportedEncryptionTypes attribute or not.
 Declare the different value as a bitmap in Netlogon idl

tort: RPC-CRACKNAMES test case refactored