s4-s3-upgrade: convert password age policies to the negative NTTIME format

This previously caused all accounts to be locked out.

Andrew Bartlett

Autobuild-User: Andrew Bartlett <abartlet@samba.org>
Autobuild-Date: Wed Sep  7 13:44:44 CEST 2011 on sn-devel-104

lib/addns: Remove unused TALLOC_ macros

build: Replace mkbuildoptions-waf awk script with waf target

samba-tool: Add --filter option to ldapcmp to ignore specified attributes

s4-kcc: Fix the list of NCs for DRS replica information

AD DNS partitions (DomainDnsZones and ForestDnsZones) are listed
under msDs-hasMasterNCs attribute for post-2003 windows servers.

s3:smb2_server: return OBJECT_NAME_INVALID if the path is terminated in SMB2_FIND/QUERY_DIRECTORY

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Wed Sep  7 12:15:51 CEST 2011 on sn-devel-104

s3:smb2_server: return OBJECT_NAME_INVALID if the path is terminated in SMB2_CREATE

metze

s3:smb2_server: return BAD_NETWORK_NAME if the path is terminated in SMB2_TCON

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_write.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_setinfo.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_read.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_notify.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_lock.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_keepalive.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_ioctl.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_getinfo.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_flush.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_find.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_create.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_close.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_break.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_tcon.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_sesssetup.c

metze

s3:smb2_server: use smbd_smb2_request_verify_sizes() in smb2_negprot.c

metze

s3:smb2_server: add smbd_smb2_request_verify_sizes()

metze

s3:torture: relax TRANS2 midmight time checking

It's possible that the test runs on a full hour, e.g. Tue Sep  6 03:00:00 2011.

So better check that the a_time is different from the current time.

metze

s4:torture/basic: relax base.trans2 midmight time checking

It's possible that the test runs on a full hour, e.g. Tue Sep  6 03:00:00 2011.

So better check that the a_time is different from the current time.

metze

s3:smb2cli: fix marshalling of smb2_create_blobs in  smb2cli_create()

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Wed Sep  7 10:21:55 CEST 2011 on sn-devel-104

s3:smb2cli: don't terminate the pathname in smb2cli_query_directory()

Windows generates NT_STATUS_OBJECT_NAME_INVALID otherwise.

metze

s3:smb2cli: don't terminate the pathname in smb2cli_create()

Windows generates NT_STATUS_OBJECT_NAME_INVALID otherwise.

metze

s3:smb2cli: don't terminate the pathname in smb2cli_tcon()

Windows generates NT_STATUS_BAD_NETWORK_NAME otherwise.

metze

s3:smb2cli: SMB2_TCON needs one dyn byte to that the structure size check works.

Windows generates NT_STATUS_INVALID_PARAMETER otherwise.

metze

s3:smb2cli: SMB2_WRITE needs one dyn byte to that the structure size check works.

Windows generates NT_STATUS_INVALID_PARAMETER otherwise.

metze

s3:smb2cli: SMB2_READ needs one dyn byte to that the structure size check works.

Windows generates NT_STATUS_INVALID_PARAMETER otherwise.

metze

s3:smb2cli: SMB2_QUERY_DIRECTORY needs one dyn byte to that the structure size check works.

Windows generates NT_STATUS_INVALID_PARAMETER otherwise.

metze

s3:smb2cli: SMB2_CREATE needs one dyn byte to that the structure size check works.

Windows generates NT_STATUS_INVALID_PARAMETER otherwise.

metze

s3:smb2cli: SMB2_SESSION_SETUP needs one dyn byte to that the structure size check works.

Windows generates NT_STATUS_INVALID_PARAMETER otherwise.

metze

Revert "Part 5 of bugfix for bug #7509 - smb_acl_to_posix: ACL is invalid for set (Invalid argument)"

This reverts commit 17f6e0272370f764d4a0053c8e74f20b0444c721.

Using the existing default permissions for group access is incorrect
when no such permissions are given in the incoming ACL.

Autobuild-User: Jeremy Allison <jra@samba.org>
Autobuild-Date: Wed Sep  7 03:50:21 CEST 2011 on sn-devel-104

s4-s3-upgrade Handle expected errors, error out on unexpected ones

Autobuild-User: Andrew Bartlett <abartlet@samba.org>
Autobuild-Date: Wed Sep  7 02:22:56 CEST 2011 on sn-devel-104

s4-s3-upgrade Fix group member addition

s3: Make winbindd_lookup_names static

Autobuild-User: Volker Lendecke <vlendec@samba.org>
Autobuild-Date: Tue Sep  6 20:03:56 CEST 2011 on sn-devel-104

s3:smb2_server: make use of SMB2_WRITEFLAG_WRITE_THROUGH

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Tue Sep  6 16:59:50 CEST 2011 on sn-devel-104

smb2_constants: add SMB2_WRITEFLAG_WRITE_THROUGH define

metze

s4:librpc: rpc_common.h was move to dcerpc-binding

metze

s4:auth/gensec: gensec.h was moved to gensec_runtime

metze

waf: install pam modules in PAMMODULESDIR.

Guenther

Autobuild-User: Günther Deschner <gd@samba.org>
Autobuild-Date: Tue Sep  6 11:09:45 CEST 2011 on sn-devel-104

s3:smb2_server: add basic support for SMB 2.1

This adds support for the 2 stage negprot, from SMB 1 to SMB 2.1.

Support for this of for now and "max protocol = SMB2" still maps
to "max protocol = SMB2_02" PROTOCOL_SMB2_02.

In order to activate smb2.1, you need to use "max protocol = SMB2_10".

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Mon Sep  5 19:30:58 CEST 2011 on sn-devel-104

s3:smb2_server: return NOT_SUPPORTED if we don't find a common dialect with the client

metze

s3:smb2_server: max_trans, max_read and max_write are limited to 64 kilobytes

Only if SMB2_CAP_LARGE_MTU is supported we should announce larger limits.

metze

s3:smb2cli: make sure we don't try to send requests on a disconnected cli_state

metze

s3:smb2cli: make sure requests are not finished, when we send when to the network

metze

s3:smb2cli: disconnect the connection, if we're out of message ids

metze

s3:smb2cli: don't use state->cli->smb2.mid++ as macro argument

It gets expanded multiple times.

metze

s3-smbd: Rename reload_printers() and add documentation.

Autobuild-User: Andreas Schneider <asn@cryptomilk.org>
Autobuild-Date: Mon Sep  5 17:59:47 CEST 2011 on sn-devel-104

s3: Fix smbcontrol smbd idmap kill S-1-5-21-...

The calls to sid_to_gid and sid_to_uid create id mapping entries themselves,
which makes it pretty difficult to reliably delete id mapping entries
everywhere just using a SID.

Autobuild-User: Volker Lendecke <vlendec@samba.org>
Autobuild-Date: Mon Sep  5 16:30:41 CEST 2011 on sn-devel-104

s3: Reformat msg_idmap.c to match Samba coding

libcli/smb: add PROTOCOL_SMB2_10

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Mon Sep  5 14:57:06 CEST 2011 on sn-devel-104

libcli/smb: remove PROTOCOL_SMB2 alias of PROTOCOL_SMB2_02

metze

s3:smbd: make use of PROTOCOL_SMB2_02

metze

s4:libcli/raw: make use of PROTOCOL_SMB2_02

metze

s4:ntvfs: s/!= PROTOCOL_SMB2/< PROTOCOL_SMB2_02/

metze

s4:ntvfs: s/== PROTOCOL_SMB2/>= PROTOCOL_SMB2_02/

metze

s4:smb_server: make use of PROTOCOL_SMB2_02

metze

s4:param: make use of PROTOCOL_SMB2_02

metze

libcli/smb: move smb2_signing.c to the toplevel

metze

s4-cracknames: fixed cracknames to use more specific search

this uses the bitwise comparison ldap operators to ensure we only get
NC roots

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

Autobuild-User: Andrew Bartlett <abartlet@samba.org>
Autobuild-Date: Mon Sep  5 12:48:39 CEST 2011 on sn-devel-104

s4-cldap: fixed cldap search based on dom_sid

we were not filling in the sid pointer correctly for the ldb_search

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

ndr: range check on push of dom_sid blob

this ensures we get an error if we try to push a dom_sid with too many
sub_auths

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-ldb: allow decoding of trustAuthIncoming and trustAuthOutgoing

this allows --show-binary to display trustAuthOutgoing and
trustAuthIncoming NDR blobs. Useful for debugging trust issues

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

heimdal: Try to handle the PAC checking when we are in a cross-realm environment

s4-samdb: added a few function comments for pydoc

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-provision: these substitutuons are not used any more

we now create partitions dynamically

Pair-Programmed-With: Amitay Isaacs <amitay@gmail.com>

drsblobs: fixed alignment of drs blobs authentication information

the two types of ndr flags were being mixed up, so NDR_BUFFERS was
being interpreted as LIBNDR_FLAG_NOALIGN

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-torture: enable password comparison in drsblobs test

I'm not sure why this was commented out, as it does pass

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-torture: fixed a ndr string error

the dos charset global changes with the new loadparm context

Pair-Programmed-With: Andrew Bartlett <abartlet@samba.org>

s4-s3-upgrade Fix error handling in add_users_to_group

s4-schema consolidate schema handling

It also creates a single routine dsdb_load_ldb_results_into_schema()
to handle cases where the schema is in the form of an ldb_result.

Andrew Bartlett

s3-spoolssd: Remove stale printers only on a valid pcap update.

load_printers() removes stale printers and we should only remove them if
we have a CUPS connection and talked to cups. Else we will remove every
configured printer if cups is not available.

Autobuild-User: Andreas Schneider <asn@cryptomilk.org>
Autobuild-Date: Mon Sep  5 11:18:23 CEST 2011 on sn-devel-104

s4-provision handle a number of invalid but real-world upgrade cases

Real world databass have the wrong account flags (U and W at the same time) and have the wrong
group type in group mapping databases.  Cope with these.

Andrew Bartlett

Autobuild-User: Andrew Bartlett <abartlet@samba.org>
Autobuild-Date: Mon Sep  5 04:58:09 CEST 2011 on sn-devel-104

s4-provision Fix type error on existing idmap entries in s3 upgrade

This is already a DN object.

Andrew Bartlett

s4-dsdb Print clearer error messages when invalid account flags are specified on add

s4-provision Use ProvisioningError and the eadb

The eadb flag tells us to avoid using system extended attributes, typcially if we
are not running as root (ie, in a test environment).

The ProvisioningError class allows us to return failures to the upgrade_from_s3 script
which can then be detected correctly by the selftest framework.

Andrew Bartlett

s4-provision Add realm to DC configuration in upgrade_from_s3 test

s4-provision Allow a missing idmap DB in upgrade.py

Autobuild-User: Andrew Bartlett <abartlet@samba.org>
Autobuild-Date: Sun Sep  4 06:34:16 CEST 2011 on sn-devel-104

s4-provision cope with SID_NAME_WKN_GRP mappings in upgrade.py

Some incorrect LDAP backends have entries with this group type, but
due to the pdb_ldap code, we cannot read the group members, and we
already skip them in add_group_from_mapping_entry().

Andrew Bartlett

s3:smb2cli: ask for a session key in smb2cli_sesssetup_send()

This is needed if we want to support SMB2 signing later.

metze

Autobuild-User: Stefan Metzmacher <metze@samba.org>
Autobuild-Date: Sat Sep  3 16:21:35 CEST 2011 on sn-devel-104

s3-spoolss: Fix bug #8236 empty notify servername.

Signed-off-by: Andreas Schneider <asn@samba.org>
Autobuild-User: Jeremy Allison <jra@samba.org>
Autobuild-Date: Sat Sep  3 02:58:42 CEST 2011 on sn-devel-104

Part 5 of bugfix for bug #7509 - smb_acl_to_posix: ACL is invalid for set (Invalid argument)

Be smarter about setting default permissions when a ACL_GROUP_OBJ isn't given. Use the
principle of least surprises for the user.

Autobuild-User: Jeremy Allison <jra@samba.org>
Autobuild-Date: Sat Sep  3 00:16:05 CEST 2011 on sn-devel-104

Part 4 of bugfix for bug #7509 - smb_acl_to_posix: ACL is invalid for set (Invalid argument)

Be smarter about setting default permissions when a ACL_USER_OBJ isn't given. Use the
principle of least surprises for the user.

Part 3 of bugfix for bug #7509 - smb_acl_to_posix: ACL is invalid for set (Invalid argument)

Don't call check_owning_objs() to convert ACL_USER->ACL_USER_OBJ and
AC_GROUP->ACL_GROUP_OBJ for default (directory) ACLs, we do this separately
inside ensure_canon_entry_valid().

Part 2 of bugfix for bug #7509 - smb_acl_to_posix: ACL is invalid for set (Invalid argument)

Only map CREATOR_OWNER/CREATOR_GROUP to ACL_USER_OBJ/ACL_GROUP_OBJ in
a default(directory) ACL set.

Part 1 of bugfix for bug #7509 - smb_acl_to_posix: ACL is invalid for set (Invalid argument)

Remove the code I added for bug "6878 - Cannot change ACL's inherit flag". It is incorrect
and causes the POSIX ACL ACL_USER_OBJ duplication.

s3:registry: fix a debug message typo

Autobuild-User: Michael Adam <obnox@samba.org>
Autobuild-Date: Fri Sep  2 11:47:11 CEST 2011 on sn-devel-104

s3:registry: introduce a define REGDB_CODE_VERSION and use it in regdb code.

This is to not use the precise code version REGDB_VERSION_V3 explicitly
in the code.

s3:registry: rename REGVE_Vx toREGDB_VERSION_Vx for consistency

s3:registry: implement regdb_set_secdesc() with regdb_trans_do()

Autobuild-User: Michael Adam <obnox@samba.org>
Autobuild-Date: Fri Sep  2 00:51:40 CEST 2011 on sn-devel-104

s3:registry: implement regdb_store_values() with regdb_trans_do()

This adds the runtime check for changed regdb format version to store_values

s3:registry: change regdb_store_values_internal() from bool to NTSTATUS return code

s3:registry: use the regdb_trans_do wrapper instead of using dbwrap_trans_do directly in the registry db code.

This verifies the regdb format version number before the corresponding write operations.

s3:registry: add regdb_trans_do(): a transaction wrapper that will check the regdb version

If the version has changed since initialization, the write will
fail with ACCESS_DENIED.