source4/scripting/python/samba/ntacls.py

   1 #!/usr/bin/python
   2
   3 # Unix SMB/CIFS implementation.
   4 # Copyright (C) Matthieu Patou <mat@matws.net> 2009-2010
   5 #
   6 #
   7 # This program is free software; you can redistribute it and/or modify
   8 # it under the terms of the GNU General Public License as published by
   9 # the Free Software Foundation; either version 3 of the License, or
  10 # (at your option) any later version.
  11 #
  12 # This program is distributed in the hope that it will be useful,
  13 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  14 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15 # GNU General Public License for more details.
  16 #
  17 # You should have received a copy of the GNU General Public License
  18 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
  19 #
  20
  21 import os
  22 import samba.xattr_native, samba.xattr_tdb
  23 from samba.dcerpc import security, xattr
  24 from samba.ndr import ndr_pack, ndr_unpack
  25
  26 class XattrBackendError(Exception):
  27     """A generic xattr backend error."""
  28
  29 def checkset_backend(lp,backend,eadbfile):
  30     if backend is not None:
  31         if backend == "native":
  32             lp.set("posix:eadb","")
  33         elif backend == "tdb":
  34             if eadbfile != None:
  35                 lp.set("posix:eadb",eadbfile)
  36             else:
  37                 os.path.abspath(os.path.join(lp.get("private dir"),"eadb.tdb"))
  38         else:
  39             raise XattrBackendError("Unvalid xattr backend choice %s"%backend)
  40
  41 def getntacl(lp, file, backend=None, eadbfile=None):
  42     checkset_backend(lp, backend, eadbfile)
  43     eadbname = lp.get("posix:eadb")
  44     if eadbname is not None and eadbname != "":
  45         try:
  46             attribute = samba.xattr_tdb.wrap_getxattr(eadbname, file,
  47                 xattr.XATTR_NTACL_NAME)
  48         except:
  49             # FIXME: Don't catch all exceptions, just those related to opening
  50             # xattrdb
  51             print "Fail to open %s" % eadbname
  52             attribute = samba.xattr_native.wrap_getxattr(file,
  53                 xattr.XATTR_NTACL_NAME)
  54     else:
  55         attribute = samba.xattr_native.wrap_getxattr(file,
  56             xattr.XATTR_NTACL_NAME)
  57     ntacl = ndr_unpack(xattr.NTACL,attribute)
  58     return ntacl
  59
  60 def setntacl(lp, file, sddl, domsid, backend=None, eadbfile=None):
  61     checkset_backend(lp, backend, eadbfile)
  62     ntacl=xattr.NTACL()
  63     ntacl.version = 1
  64     sid=security.dom_sid(domsid)
  65     sd = security.descriptor.from_sddl(sddl, sid)
  66     ntacl.info = sd
  67     eadbname = lp.get("posix:eadb")
  68     if eadbname is not None and eadbname != "":
  69         try:
  70             samba.xattr_tdb.wrap_setxattr(eadbname,
  71                 file,xattr.XATTR_NTACL_NAME,ndr_pack(ntacl))
  72         except:
  73             # FIXME: Don't catch all exceptions, just those related to opening
  74             # xattrdb
  75             print "Fail to open %s"%eadbname
  76             samba.xattr_native.wrap_setxattr(file,xattr.XATTR_NTACL_NAME,ndr_pack(ntacl))
  77     else:
  78         samba.xattr_native.wrap_setxattr(file,xattr.XATTR_NTACL_NAME,ndr_pack(ntacl))
  79
  80 def ldapmask2filemask(ldm):
  81     """Takes the access mask of a DS ACE and transform them in a File ACE mask"""
  82     RIGHT_DS_CREATE_CHILD     = 0x00000001
  83     RIGHT_DS_DELETE_CHILD     = 0x00000002
  84     RIGHT_DS_LIST_CONTENTS    = 0x00000004
  85     ACTRL_DS_SELF             = 0x00000008
  86     RIGHT_DS_READ_PROPERTY    = 0x00000010
  87     RIGHT_DS_WRITE_PROPERTY   = 0x00000020
  88     RIGHT_DS_DELETE_TREE      = 0x00000040
  89     RIGHT_DS_LIST_OBJECT      = 0x00000080
  90     RIGHT_DS_CONTROL_ACCESS   = 0x00000100
  91     FILE_READ_DATA            = 0x0001
  92     FILE_LIST_DIRECTORY       = 0x0001
  93     FILE_WRITE_DATA           = 0x0002
  94     FILE_ADD_FILE             = 0x0002
  95     FILE_APPEND_DATA          = 0x0004
  96     FILE_ADD_SUBDIRECTORY     = 0x0004
  97     FILE_CREATE_PIPE_INSTANCE = 0x0004
  98     FILE_READ_EA              = 0x0008
  99     FILE_WRITE_EA             = 0x0010
 100     FILE_EXECUTE              = 0x0020
 101     FILE_TRAVERSE             = 0x0020
 102     FILE_DELETE_CHILD         = 0x0040
 103     FILE_READ_ATTRIBUTES      = 0x0080
 104     FILE_WRITE_ATTRIBUTES     = 0x0100
 105     DELETE                    = 0x00010000
 106     READ_CONTROL              = 0x00020000
 107     WRITE_DAC                 = 0x00040000
 108     WRITE_OWNER               = 0x00080000
 109     SYNCHRONIZE               = 0x00100000
 110     STANDARD_RIGHTS_ALL       = 0x001F0000
 111
 112     filemask = ldm & STANDARD_RIGHTS_ALL
 113
 114     if (ldm & RIGHT_DS_READ_PROPERTY) and (ldm & RIGHT_DS_LIST_CONTENTS):
 115         filemask = filemask | (SYNCHRONIZE | FILE_LIST_DIRECTORY |\
 116                                 FILE_READ_ATTRIBUTES | FILE_READ_EA |\
 117                                 FILE_READ_DATA | FILE_EXECUTE)
 118
 119     if ldm & RIGHT_DS_WRITE_PROPERTY:
 120         filemask = filemask | (SYNCHRONIZE | FILE_WRITE_DATA |\
 121                                 FILE_APPEND_DATA | FILE_WRITE_EA |\
 122                                 FILE_WRITE_ATTRIBUTES | FILE_ADD_FILE |\
 123                                 FILE_ADD_SUBDIRECTORY)
 124
 125     if ldm & RIGHT_DS_CREATE_CHILD:
 126         filemask = filemask | (FILE_ADD_SUBDIRECTORY | FILE_ADD_FILE)
 127
 128     if ldm & RIGHT_DS_DELETE_CHILD:
 129         filemask = filemask | FILE_DELETE_CHILD
 130
 131     return filemask
 132
 133 def dsacl2fsacl(dssddl, domsid):
 134     """
 135
 136     This function takes an the SDDL representation of a DS
 137     ACL and return the SDDL representation of this ACL adapted
 138     for files. It's used for Policy object provision
 139     """
 140     sid = security.dom_sid(domsid)
 141     ref = security.descriptor.from_sddl(dssddl,sid)
 142     fdescr = security.descriptor()
 143     fdescr.owner_sid = ref.owner_sid
 144     fdescr.group_sid = ref.group_sid
 145     fdescr.type = ref.type
 146     fdescr.revision = ref.revision
 147     fdescr.sacl = ref.sacl
 148     aces = ref.dacl.aces
 149     for i in range(0, len(aces)):
 150         ace = aces[i]
 151         if not ace.type &  security.SEC_ACE_TYPE_ACCESS_ALLOWED_OBJECT and str(ace.trustee) != security.SID_BUILTIN_PREW2K:
 152         #    if fdescr.type & security.SEC_DESC_DACL_AUTO_INHERITED:
 153             ace.flags = ace.flags | security.SEC_ACE_FLAG_OBJECT_INHERIT | security.SEC_ACE_FLAG_CONTAINER_INHERIT
 154             if str(ace.trustee) == security.SID_CREATOR_OWNER:
 155                 # For Creator/Owner the IO flag is set as this ACE has only a sense for child objects
 156                 ace.flags = ace.flags | security.SEC_ACE_FLAG_INHERIT_ONLY
 157             ace.access_mask =  ldapmask2filemask(ace.access_mask)
 158             fdescr.dacl_add(ace)
 159
 160     return fdescr.as_sddl(sid)