source3/utils/net_sam.c

   1 /*
   2  *  Unix SMB/CIFS implementation.
   3  *  Local SAM access routines
   4  *  Copyright (C) Volker Lendecke 2006
   5  *
   6  *  This program is free software; you can redistribute it and/or modify
   7  *  it under the terms of the GNU General Public License as published by
   8  *  the Free Software Foundation; either version 2 of the License, or
   9  *  (at your option) any later version.
  10  *
  11  *  This program is distributed in the hope that it will be useful,
  12  *  but WITHOUT ANY WARRANTY; without even the implied warranty of
  13  *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14  *  GNU General Public License for more details.
  15  *
  16  *  You should have received a copy of the GNU General Public License
  17  *  along with this program; if not, write to the Free Software
  18  *  Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
  19  */
  20
  21
  22 #include "includes.h"
  23 #include "utils/net.h"
  24
  25 /*
  26  * Set a user's data
  27  */
  28
  29 static int net_sam_userset(int argc, const char **argv, const char *field,
  30                            BOOL (*fn)(struct samu *, const char *,
  31                                       enum pdb_value_state))
  32 {
  33         struct samu *sam_acct = NULL;
  34         DOM_SID sid;
  35         enum lsa_SidType type;
  36         const char *dom, *name;
  37         NTSTATUS status;
  38
  39         if (argc != 2) {
  40                 d_fprintf(stderr, "usage: net sam set %s <user> <value>\n",
  41                           field);
  42                 return -1;
  43         }
  44
  45         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
  46                          &dom, &name, &sid, &type)) {
  47                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
  48                 return -1;
  49         }
  50
  51         if (type != SID_NAME_USER) {
  52                 d_fprintf(stderr, "%s is a %s, not a user\n", argv[0],
  53                           sid_type_lookup(type));
  54                 return -1;
  55         }
  56
  57         if ( !(sam_acct = samu_new( NULL )) ) {
  58                 d_fprintf(stderr, "Internal error\n");
  59                 return -1;
  60         }
  61
  62         if (!pdb_getsampwsid(sam_acct, &sid)) {
  63                 d_fprintf(stderr, "Loading user %s failed\n", argv[0]);
  64                 return -1;
  65         }
  66
  67         if (!fn(sam_acct, argv[1], PDB_CHANGED)) {
  68                 d_fprintf(stderr, "Internal error\n");
  69                 return -1;
  70         }
  71
  72         status = pdb_update_sam_account(sam_acct);
  73         if (!NT_STATUS_IS_OK(status)) {
  74                 d_fprintf(stderr, "Updating sam account %s failed with %s\n",
  75                           argv[0], nt_errstr(status));
  76                 return -1;
  77         }
  78
  79         TALLOC_FREE(sam_acct);
  80
  81         d_printf("Updated %s for %s\\%s to %s\n", field, dom, name, argv[1]);
  82         return 0;
  83 }
  84
  85 static int net_sam_set_fullname(int argc, const char **argv)
  86 {
  87         return net_sam_userset(argc, argv, "fullname",
  88                                pdb_set_fullname);
  89 }
  90
  91 static int net_sam_set_logonscript(int argc, const char **argv)
  92 {
  93         return net_sam_userset(argc, argv, "logonscript",
  94                                pdb_set_logon_script);
  95 }
  96
  97 static int net_sam_set_profilepath(int argc, const char **argv)
  98 {
  99         return net_sam_userset(argc, argv, "profilepath",
 100                                pdb_set_profile_path);
 101 }
 102
 103 static int net_sam_set_homedrive(int argc, const char **argv)
 104 {
 105         return net_sam_userset(argc, argv, "homedrive",
 106                                pdb_set_dir_drive);
 107 }
 108
 109 static int net_sam_set_homedir(int argc, const char **argv)
 110 {
 111         return net_sam_userset(argc, argv, "homedir",
 112                                pdb_set_homedir);
 113 }
 114
 115 static int net_sam_set_workstations(int argc, const char **argv)
 116 {
 117         return net_sam_userset(argc, argv, "workstations",
 118                                pdb_set_workstations);
 119 }
 120
 121 /*
 122  * Set account flags
 123  */
 124
 125 static int net_sam_set_userflag(int argc, const char **argv, const char *field,
 126                                 uint16 flag)
 127 {
 128         struct samu *sam_acct = NULL;
 129         DOM_SID sid;
 130         enum lsa_SidType type;
 131         const char *dom, *name;
 132         NTSTATUS status;
 133         uint16 acct_flags;
 134
 135         if ((argc != 2) || (!strequal(argv[1], "yes") &&
 136                             !strequal(argv[1], "no"))) {
 137                 d_fprintf(stderr, "usage: net sam set %s <user> [yes|no]\n",
 138                           field);
 139                 return -1;
 140         }
 141
 142         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 143                          &dom, &name, &sid, &type)) {
 144                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 145                 return -1;
 146         }
 147
 148         if (type != SID_NAME_USER) {
 149                 d_fprintf(stderr, "%s is a %s, not a user\n", argv[0],
 150                           sid_type_lookup(type));
 151                 return -1;
 152         }
 153
 154         if ( !(sam_acct = samu_new( NULL )) ) {
 155                 d_fprintf(stderr, "Internal error\n");
 156                 return -1;
 157         }
 158
 159         if (!pdb_getsampwsid(sam_acct, &sid)) {
 160                 d_fprintf(stderr, "Loading user %s failed\n", argv[0]);
 161                 return -1;
 162         }
 163
 164         acct_flags = pdb_get_acct_ctrl(sam_acct);
 165
 166         if (strequal(argv[1], "yes")) {
 167                 acct_flags |= flag;
 168         } else {
 169                 acct_flags &= ~flag;
 170         }
 171
 172         pdb_set_acct_ctrl(sam_acct, acct_flags, PDB_CHANGED);
 173
 174         status = pdb_update_sam_account(sam_acct);
 175         if (!NT_STATUS_IS_OK(status)) {
 176                 d_fprintf(stderr, "Updating sam account %s failed with %s\n",
 177                           argv[0], nt_errstr(status));
 178                 return -1;
 179         }
 180
 181         TALLOC_FREE(sam_acct);
 182
 183         d_fprintf(stderr, "Updated flag %s for %s\\%s to %s\n", field, dom,
 184                   name, argv[1]);
 185         return 0;
 186 }
 187
 188 static int net_sam_set_disabled(int argc, const char **argv)
 189 {
 190         return net_sam_set_userflag(argc, argv, "disabled", ACB_DISABLED);
 191 }
 192
 193 static int net_sam_set_pwnotreq(int argc, const char **argv)
 194 {
 195         return net_sam_set_userflag(argc, argv, "pwnotreq", ACB_PWNOTREQ);
 196 }
 197
 198 static int net_sam_set_autolock(int argc, const char **argv)
 199 {
 200         return net_sam_set_userflag(argc, argv, "autolock", ACB_AUTOLOCK);
 201 }
 202
 203 static int net_sam_set_pwnoexp(int argc, const char **argv)
 204 {
 205         return net_sam_set_userflag(argc, argv, "pwnoexp", ACB_PWNOEXP);
 206 }
 207
 208 /*
 209  * Set pass last change time, based on force pass change now
 210  */
 211
 212 static int net_sam_set_pwdmustchangenow(int argc, const char **argv)
 213 {
 214         struct samu *sam_acct = NULL;
 215         DOM_SID sid;
 216         enum lsa_SidType type;
 217         const char *dom, *name;
 218         NTSTATUS status;
 219
 220         if ((argc != 2) || (!strequal(argv[1], "yes") &&
 221                             !strequal(argv[1], "no"))) {
 222                 d_fprintf(stderr, "usage: net sam set pwdmustchangenow <user> [yes|no]\n");
 223                 return -1;
 224         }
 225
 226         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 227                          &dom, &name, &sid, &type)) {
 228                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 229                 return -1;
 230         }
 231
 232         if (type != SID_NAME_USER) {
 233                 d_fprintf(stderr, "%s is a %s, not a user\n", argv[0],
 234                           sid_type_lookup(type));
 235                 return -1;
 236         }
 237
 238         if ( !(sam_acct = samu_new( NULL )) ) {
 239                 d_fprintf(stderr, "Internal error\n");
 240                 return -1;
 241         }
 242
 243         if (!pdb_getsampwsid(sam_acct, &sid)) {
 244                 d_fprintf(stderr, "Loading user %s failed\n", argv[0]);
 245                 return -1;
 246         }
 247
 248         if (strequal(argv[1], "yes")) {
 249                 pdb_set_pass_last_set_time(sam_acct, 0, PDB_CHANGED);
 250         } else {
 251                 pdb_set_pass_last_set_time(sam_acct, time(NULL), PDB_CHANGED);
 252         }
 253
 254         status = pdb_update_sam_account(sam_acct);
 255         if (!NT_STATUS_IS_OK(status)) {
 256                 d_fprintf(stderr, "Updating sam account %s failed with %s\n",
 257                           argv[0], nt_errstr(status));
 258                 return -1;
 259         }
 260
 261         TALLOC_FREE(sam_acct);
 262
 263         d_fprintf(stderr, "Updated 'user must change password at next logon' for %s\\%s to %s\n", dom,
 264                   name, argv[1]);
 265         return 0;
 266 }
 267
 268
 269 /*
 270  * Set a user's or a group's comment
 271  */
 272
 273 static int net_sam_set_comment(int argc, const char **argv)
 274 {
 275         GROUP_MAP map;
 276         DOM_SID sid;
 277         enum lsa_SidType type;
 278         const char *dom, *name;
 279         NTSTATUS status;
 280
 281         if (argc != 2) {
 282                 d_fprintf(stderr, "usage: net sam set comment <name> "
 283                           "<comment>\n");
 284                 return -1;
 285         }
 286
 287         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 288                          &dom, &name, &sid, &type)) {
 289                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 290                 return -1;
 291         }
 292
 293         if (type == SID_NAME_USER) {
 294                 return net_sam_userset(argc, argv, "comment",
 295                                        pdb_set_acct_desc);
 296         }
 297
 298         if ((type != SID_NAME_DOM_GRP) && (type != SID_NAME_ALIAS) &&
 299             (type != SID_NAME_WKN_GRP)) {
 300                 d_fprintf(stderr, "%s is a %s, not a group\n", argv[0],
 301                           sid_type_lookup(type));
 302                 return -1;
 303         }
 304
 305         if (!pdb_getgrsid(&map, sid)) {
 306                 d_fprintf(stderr, "Could not load group %s\n", argv[0]);
 307                 return -1;
 308         }
 309
 310         fstrcpy(map.comment, argv[1]);
 311
 312         status = pdb_update_group_mapping_entry(&map);
 313
 314         if (!NT_STATUS_IS_OK(status)) {
 315                 d_fprintf(stderr, "Updating group mapping entry failed with "
 316                           "%s\n", nt_errstr(status));
 317                 return -1;
 318         }
 319
 320         d_printf("Updated comment of group %s\\%s to %s\n", dom, name,
 321                  argv[1]);
 322
 323         return 0;
 324 }
 325
 326 static int net_sam_set(int argc, const char **argv)
 327 {
 328         struct functable2 func[] = {
 329                 { "homedir", net_sam_set_homedir,
 330                   "Change a user's home directory" },
 331                 { "profilepath", net_sam_set_profilepath,
 332                   "Change a user's profile path" },
 333                 { "comment", net_sam_set_comment,
 334                   "Change a users or groups description" },
 335                 { "fullname", net_sam_set_fullname,
 336                   "Change a user's full name" },
 337                 { "logonscript", net_sam_set_logonscript,
 338                   "Change a user's logon script" },
 339                 { "homedrive", net_sam_set_homedrive,
 340                   "Change a user's home drive" },
 341                 { "workstations", net_sam_set_workstations,
 342                   "Change a user's allowed workstations" },
 343                 { "disabled", net_sam_set_disabled,
 344                   "Disable/Enable a user" },
 345                 { "pwnotreq", net_sam_set_pwnotreq,
 346                   "Disable/Enable the password not required flag" },
 347                 { "autolock", net_sam_set_autolock,
 348                   "Disable/Enable a user's lockout flag" },
 349                 { "pwnoexp", net_sam_set_pwnoexp,
 350                   "Disable/Enable whether a user's pw does not expire" },
 351                 { "pwdmustchangenow", net_sam_set_pwdmustchangenow,
 352                   "Force users password must change at next logon" },
 353                 {NULL, NULL}
 354         };
 355
 356         return net_run_function2(argc, argv, "net sam set", func);
 357 }
 358
 359 /*
 360  * Manage account policies
 361  */
 362
 363 static int net_sam_policy_set(int argc, const char **argv)
 364 {
 365         const char *account_policy = NULL;
 366         uint32 value, old_value;
 367         int field;
 368         char *endptr;
 369
 370         if (argc != 2) {
 371                 d_fprintf(stderr, "usage: net sam policy set "
 372                           "\"<account policy>\" <value> \n");
 373                 return -1;
 374         }
 375
 376         account_policy = argv[0];
 377         field = account_policy_name_to_fieldnum(account_policy);
 378
 379         if (strequal(argv[1], "forever") || strequal(argv[1], "never")
 380             || strequal(argv[1], "off")) {
 381                 value = -1;
 382         }
 383         else {
 384                 value = strtoul(argv[1], &endptr, 10);
 385
 386                 if ((endptr == argv[1]) || (endptr[0] != '\0')) {
 387                         d_printf("Unable to set policy \"%s\"! Invalid value "
 388                                  "\"%s\".\n",
 389                                  account_policy, argv[1]);
 390                         return -1;
 391                 }
 392         }
 393
 394         if (field == 0) {
 395                 const char **names;
 396                 int i, count;
 397
 398                 account_policy_names_list(&names, &count);
 399                 d_fprintf(stderr, "No account policy \"%s\"!\n\n", argv[0]);
 400                 d_fprintf(stderr, "Valid account policies are:\n");
 401
 402                 for (i=0; i<count; i++) {
 403                         d_fprintf(stderr, "%s\n", names[i]);
 404                 }
 405
 406                 SAFE_FREE(names);
 407                 return -1;
 408         }
 409
 410         if (!pdb_get_account_policy(field, &old_value)) {
 411                 d_fprintf(stderr, "Valid account policy, but unable to fetch "
 412                           "value!\n");
 413         }
 414
 415         if (!pdb_set_account_policy(field, value)) {
 416                 d_fprintf(stderr, "Valid account policy, but unable to "
 417                           "set value!\n");
 418                 return -1;
 419         }
 420
 421         d_printf("Account policy \"%s\" value was: %d\n", account_policy,
 422                  old_value);
 423
 424         d_printf("Account policy \"%s\" value is now: %d\n", account_policy,
 425                  value);
 426         return 0;
 427 }
 428
 429 static int net_sam_policy_show(int argc, const char **argv)
 430 {
 431         const char *account_policy = NULL;
 432         uint32 old_value;
 433         int field;
 434
 435         if (argc != 1) {
 436                 d_fprintf(stderr, "usage: net sam policy show"
 437                           " \"<account policy>\" \n");
 438                 return -1;
 439         }
 440
 441         account_policy = argv[0];
 442         field = account_policy_name_to_fieldnum(account_policy);
 443
 444         if (field == 0) {
 445                 const char **names;
 446                 int count;
 447                 int i;
 448                 account_policy_names_list(&names, &count);
 449                 d_fprintf(stderr, "No account policy by that name!\n");
 450                 if (count != 0) {
 451                         d_fprintf(stderr, "Valid account policies "
 452                                   "are:\n");
 453                         for (i=0; i<count; i++) {
 454                                 d_fprintf(stderr, "%s\n", names[i]);
 455                         }
 456                 }
 457                 SAFE_FREE(names);
 458                 return -1;
 459         }
 460
 461         if (!pdb_get_account_policy(field, &old_value)) {
 462                 fprintf(stderr, "Valid account policy, but unable to "
 463                         "fetch value!\n");
 464                 return -1;
 465         }
 466
 467         printf("Account policy \"%s\" description: %s\n",
 468                account_policy, account_policy_get_desc(field));
 469         printf("Account policy \"%s\" value is: %d\n", account_policy,
 470                old_value);
 471         return 0;
 472 }
 473
 474 static int net_sam_policy_list(int argc, const char **argv)
 475 {
 476         const char **names;
 477         int count;
 478         int i;
 479         account_policy_names_list(&names, &count);
 480         if (count != 0) {
 481                 d_fprintf(stderr, "Valid account policies "
 482                           "are:\n");
 483                 for (i = 0; i < count ; i++) {
 484                         d_fprintf(stderr, "%s\n", names[i]);
 485                 }
 486         }
 487         SAFE_FREE(names);
 488         return -1;
 489 }
 490
 491 static int net_sam_policy(int argc, const char **argv)
 492 {
 493         struct functable2 func[] = {
 494                 { "list", net_sam_policy_list,
 495                   "List account policies" },
 496                 { "show", net_sam_policy_show,
 497                   "Show account policies" },
 498                 { "set", net_sam_policy_set,
 499                   "Change account policies" },
 500                 {NULL, NULL}
 501         };
 502
 503         return net_run_function2(argc, argv, "net sam policy", func);
 504 }
 505
 506 /*
 507  * Map a unix group to a domain group
 508  */
 509
 510 static int net_sam_mapunixgroup(int argc, const char **argv)
 511 {
 512         NTSTATUS status;
 513         GROUP_MAP map;
 514         struct group *grp;
 515
 516         if (argc != 1) {
 517                 d_fprintf(stderr, "usage: net sam mapunixgroup <name>\n");
 518                 return -1;
 519         }
 520
 521         grp = getgrnam(argv[0]);
 522         if (grp == NULL) {
 523                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 524                 return -1;
 525         }
 526
 527         status = map_unix_group(grp, &map);
 528
 529         if (!NT_STATUS_IS_OK(status)) {
 530                 d_fprintf(stderr, "Mapping group %s failed with %s\n",
 531                           argv[0], nt_errstr(status));
 532                 return -1;
 533         }
 534
 535         d_printf("Mapped unix group %s to SID %s\n", argv[0],
 536                  sid_string_static(&map.sid));
 537
 538         return 0;
 539 }
 540
 541 /*
 542  * Create a local group
 543  */
 544
 545 static int net_sam_createlocalgroup(int argc, const char **argv)
 546 {
 547         NTSTATUS status;
 548         uint32 rid;
 549
 550         if (argc != 1) {
 551                 d_fprintf(stderr, "usage: net sam createlocalgroup <name>\n");
 552                 return -1;
 553         }
 554
 555         if (!winbind_ping()) {
 556                 d_fprintf(stderr, "winbind seems not to run. createlocalgroup "
 557                           "only works when winbind runs.\n");
 558                 return -1;
 559         }
 560
 561         status = pdb_create_alias(argv[0], &rid);
 562
 563         if (!NT_STATUS_IS_OK(status)) {
 564                 d_fprintf(stderr, "Creating %s failed with %s\n",
 565                           argv[0], nt_errstr(status));
 566                 return -1;
 567         }
 568
 569         d_printf("Created local group %s with RID %d\n", argv[0], rid);
 570
 571         return 0;
 572 }
 573
 574 /*
 575  * Delete a local group
 576  */
 577
 578 static int net_sam_deletelocalgroup(int argc, const char **argv)
 579 {
 580         DOM_SID sid;
 581         enum lsa_SidType type;
 582         const char *dom, *name;
 583         NTSTATUS status;
 584
 585         if (argc != 1) {
 586                 d_fprintf(stderr, "usage: net sam deletelocalgroup <name>\n");
 587                 return -1;
 588         }
 589
 590         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 591                          &dom, &name, &sid, &type)) {
 592                 d_fprintf(stderr, "Could not find %s.\n", argv[0]);
 593                 return -1;
 594         }
 595
 596         if (type != SID_NAME_ALIAS) {
 597                 d_fprintf(stderr, "%s is a %s, not a local group.\n", argv[0],
 598                           sid_type_lookup(type));
 599                 return -1;
 600         }
 601
 602         status = pdb_delete_alias(&sid);
 603
 604         if (!NT_STATUS_IS_OK(status)) {
 605                 d_fprintf(stderr, "Deleting local group %s failed with %s\n",
 606                           argv[0], nt_errstr(status));
 607                 return -1;
 608         }
 609
 610         d_printf("Deleted local group %s.\n", argv[0]);
 611
 612         return 0;
 613 }
 614
 615 /*
 616  * Create a local group
 617  */
 618
 619 static int net_sam_createbuiltingroup(int argc, const char **argv)
 620 {
 621         NTSTATUS status;
 622         uint32 rid;
 623         enum lsa_SidType type;
 624         fstring groupname;
 625         DOM_SID sid;
 626
 627         if (argc != 1) {
 628                 d_fprintf(stderr, "usage: net sam createbuiltingroup <name>\n");
 629                 return -1;
 630         }
 631
 632         if (!winbind_ping()) {
 633                 d_fprintf(stderr, "winbind seems not to run. createlocalgroup "
 634                           "only works when winbind runs.\n");
 635                 return -1;
 636         }
 637
 638         /* validate the name and get the group */
 639
 640         fstrcpy( groupname, "BUILTIN\\" );
 641         fstrcat( groupname, argv[0] );
 642
 643         if ( !lookup_name(tmp_talloc_ctx(), groupname, LOOKUP_NAME_ALL, NULL,
 644                           NULL, &sid, &type)) {
 645                 d_fprintf(stderr, "%s is not a BUILTIN group\n", argv[0]);
 646                 return -1;
 647         }
 648
 649         if ( !sid_peek_rid( &sid, &rid ) ) {
 650                 d_fprintf(stderr, "Failed to get RID for %s\n", argv[0]);
 651                 return -1;
 652         }
 653
 654         status = pdb_create_builtin_alias( rid );
 655
 656         if (!NT_STATUS_IS_OK(status)) {
 657                 d_fprintf(stderr, "Creating %s failed with %s\n",
 658                           argv[0], nt_errstr(status));
 659                 return -1;
 660         }
 661
 662         d_printf("Created BUILTIN group %s with RID %d\n", argv[0], rid);
 663
 664         return 0;
 665 }
 666
 667 /*
 668  * Add a group member
 669  */
 670
 671 static int net_sam_addmem(int argc, const char **argv)
 672 {
 673         const char *groupdomain, *groupname, *memberdomain, *membername;
 674         DOM_SID group, member;
 675         enum lsa_SidType grouptype, membertype;
 676         NTSTATUS status;
 677
 678         if (argc != 2) {
 679                 d_fprintf(stderr, "usage: net sam addmem <group> <member>\n");
 680                 return -1;
 681         }
 682
 683         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 684                          &groupdomain, &groupname, &group, &grouptype)) {
 685                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 686                 return -1;
 687         }
 688
 689         /* check to see if the member to be added is a name or a SID */
 690
 691         if (!lookup_name(tmp_talloc_ctx(), argv[1], LOOKUP_NAME_ISOLATED,
 692                          &memberdomain, &membername, &member, &membertype))
 693         {
 694                 /* try it as a SID */
 695
 696                 if ( !string_to_sid( &member, argv[1] ) ) {
 697                         d_fprintf(stderr, "Could not find member %s\n", argv[1]);
 698                         return -1;
 699                 }
 700
 701                 if ( !lookup_sid(tmp_talloc_ctx(), &member, &memberdomain,
 702                         &membername, &membertype) )
 703                 {
 704                         d_fprintf(stderr, "Could not resolve SID %s\n", argv[1]);
 705                         return -1;
 706                 }
 707         }
 708
 709         if ((grouptype == SID_NAME_ALIAS) || (grouptype == SID_NAME_WKN_GRP)) {
 710                 if ((membertype != SID_NAME_USER) &&
 711                     (membertype != SID_NAME_DOM_GRP)) {
 712                         d_fprintf(stderr, "%s is a local group, only users "
 713                                   "and domain groups can be added.\n"
 714                                   "%s is a %s\n", argv[0], argv[1],
 715                                   sid_type_lookup(membertype));
 716                         return -1;
 717                 }
 718                 status = pdb_add_aliasmem(&group, &member);
 719
 720                 if (!NT_STATUS_IS_OK(status)) {
 721                         d_fprintf(stderr, "Adding local group member failed "
 722                                   "with %s\n", nt_errstr(status));
 723                         return -1;
 724                 }
 725         } else {
 726                 d_fprintf(stderr, "Can only add members to local groups so "
 727                           "far, %s is a %s\n", argv[0],
 728                           sid_type_lookup(grouptype));
 729                 return -1;
 730         }
 731
 732         d_printf("Added %s\\%s to %s\\%s\n", memberdomain, membername,
 733                 groupdomain, groupname);
 734
 735         return 0;
 736 }
 737
 738 /*
 739  * Delete a group member
 740  */
 741
 742 static int net_sam_delmem(int argc, const char **argv)
 743 {
 744         const char *groupdomain, *groupname;
 745         const char *memberdomain = NULL;
 746         const char *membername = NULL;
 747         DOM_SID group, member;
 748         enum lsa_SidType grouptype;
 749         NTSTATUS status;
 750
 751         if (argc != 2) {
 752                 d_fprintf(stderr, "usage: net sam delmem <group> <member>\n");
 753                 return -1;
 754         }
 755
 756         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 757                          &groupdomain, &groupname, &group, &grouptype)) {
 758                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 759                 return -1;
 760         }
 761
 762         if (!lookup_name(tmp_talloc_ctx(), argv[1], LOOKUP_NAME_ISOLATED,
 763                          &memberdomain, &membername, &member, NULL)) {
 764                 if (!string_to_sid(&member, argv[1])) {
 765                         d_fprintf(stderr, "Could not find member %s\n",
 766                                   argv[1]);
 767                         return -1;
 768                 }
 769         }
 770
 771         if ((grouptype == SID_NAME_ALIAS) ||
 772             (grouptype == SID_NAME_WKN_GRP)) {
 773                 status = pdb_del_aliasmem(&group, &member);
 774
 775                 if (!NT_STATUS_IS_OK(status)) {
 776                         d_fprintf(stderr, "Deleting local group member failed "
 777                                   "with %s\n", nt_errstr(status));
 778                         return -1;
 779                 }
 780         } else {
 781                 d_fprintf(stderr, "Can only delete members from local groups "
 782                           "so far, %s is a %s\n", argv[0],
 783                           sid_type_lookup(grouptype));
 784                 return -1;
 785         }
 786
 787         if (membername != NULL) {
 788                 d_printf("Deleted %s\\%s from %s\\%s\n",
 789                          memberdomain, membername, groupdomain, groupname);
 790         } else {
 791                 d_printf("Deleted %s from %s\\%s\n",
 792                          sid_string_static(&member), groupdomain, groupname);
 793         }
 794
 795         return 0;
 796 }
 797
 798 /*
 799  * List group members
 800  */
 801
 802 static int net_sam_listmem(int argc, const char **argv)
 803 {
 804         const char *groupdomain, *groupname;
 805         DOM_SID group;
 806         enum lsa_SidType grouptype;
 807         NTSTATUS status;
 808
 809         if (argc != 1) {
 810                 d_fprintf(stderr, "usage: net sam listmem <group>\n");
 811                 return -1;
 812         }
 813
 814         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 815                          &groupdomain, &groupname, &group, &grouptype)) {
 816                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 817                 return -1;
 818         }
 819
 820         if ((grouptype == SID_NAME_ALIAS) ||
 821             (grouptype == SID_NAME_WKN_GRP)) {
 822                 DOM_SID *members = NULL;
 823                 size_t i, num_members = 0;
 824
 825                 status = pdb_enum_aliasmem(&group, &members, &num_members);
 826
 827                 if (!NT_STATUS_IS_OK(status)) {
 828                         d_fprintf(stderr, "Listing group members failed with "
 829                                   "%s\n", nt_errstr(status));
 830                         return -1;
 831                 }
 832
 833                 d_printf("%s\\%s has %u members\n", groupdomain, groupname,
 834                          (unsigned int)num_members);
 835                 for (i=0; i<num_members; i++) {
 836                         const char *dom, *name;
 837                         if (lookup_sid(tmp_talloc_ctx(), &members[i],
 838                                        &dom, &name, NULL)) {
 839                                 d_printf(" %s\\%s\n", dom, name);
 840                         } else {
 841                                 d_printf(" %s\n",
 842                                          sid_string_static(&members[i]));
 843                         }
 844                 }
 845         } else {
 846                 d_fprintf(stderr, "Can only list local group members so far.\n"
 847                           "%s is a %s\n", argv[0], sid_type_lookup(grouptype));
 848                 return -1;
 849         }
 850
 851         return 0;
 852 }
 853
 854 /*
 855  * Do the listing
 856  */
 857 static int net_sam_do_list(int argc, const char **argv,
 858                            struct pdb_search *search, const char *what)
 859 {
 860         BOOL verbose = (argc == 1);
 861
 862         if ((argc > 1) ||
 863             ((argc == 1) && !strequal(argv[0], "verbose"))) {
 864                 d_fprintf(stderr, "usage: net sam list %s [verbose]\n", what);
 865                 return -1;
 866         }
 867
 868         if (search == NULL) {
 869                 d_fprintf(stderr, "Could not start search\n");
 870                 return -1;
 871         }
 872
 873         while (True) {
 874                 struct samr_displayentry entry;
 875                 if (!search->next_entry(search, &entry)) {
 876                         break;
 877                 }
 878                 if (verbose) {
 879                         d_printf("%s:%d:%s\n",
 880                                  entry.account_name,
 881                                  entry.rid,
 882                                  entry.description);
 883                 } else {
 884                         d_printf("%s\n", entry.account_name);
 885                 }
 886         }
 887
 888         search->search_end(search);
 889         return 0;
 890 }
 891
 892 static int net_sam_list_users(int argc, const char **argv)
 893 {
 894         return net_sam_do_list(argc, argv, pdb_search_users(ACB_NORMAL),
 895                                "users");
 896 }
 897
 898 static int net_sam_list_groups(int argc, const char **argv)
 899 {
 900         return net_sam_do_list(argc, argv, pdb_search_groups(), "groups");
 901 }
 902
 903 static int net_sam_list_localgroups(int argc, const char **argv)
 904 {
 905         return net_sam_do_list(argc, argv,
 906                                pdb_search_aliases(get_global_sam_sid()),
 907                                "localgroups");
 908 }
 909
 910 static int net_sam_list_builtin(int argc, const char **argv)
 911 {
 912         return net_sam_do_list(argc, argv,
 913                                pdb_search_aliases(&global_sid_Builtin),
 914                                "builtin");
 915 }
 916
 917 static int net_sam_list_workstations(int argc, const char **argv)
 918 {
 919         return net_sam_do_list(argc, argv,
 920                                pdb_search_users(ACB_WSTRUST),
 921                                "workstations");
 922 }
 923
 924 /*
 925  * List stuff
 926  */
 927
 928 static int net_sam_list(int argc, const char **argv)
 929 {
 930         struct functable2 func[] = {
 931                 { "users", net_sam_list_users,
 932                   "List SAM users" },
 933                 { "groups", net_sam_list_groups,
 934                   "List SAM groups" },
 935                 { "localgroups", net_sam_list_localgroups,
 936                   "List SAM local groups" },
 937                 { "builtin", net_sam_list_builtin,
 938                   "List builtin groups" },
 939                 { "workstations", net_sam_list_workstations,
 940                   "List domain member workstations" },
 941                 {NULL, NULL}
 942         };
 943
 944         return net_run_function2(argc, argv, "net sam list", func);
 945 }
 946
 947 /*
 948  * Show details of SAM entries
 949  */
 950
 951 static int net_sam_show(int argc, const char **argv)
 952 {
 953         DOM_SID sid;
 954         enum lsa_SidType type;
 955         const char *dom, *name;
 956
 957         if (argc != 1) {
 958                 d_fprintf(stderr, "usage: net sam show <name>\n");
 959                 return -1;
 960         }
 961
 962         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 963                          &dom, &name, &sid, &type)) {
 964                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 965                 return -1;
 966         }
 967
 968         d_printf("%s\\%s is a %s with SID %s\n", dom, name,
 969                  sid_type_lookup(type), sid_string_static(&sid));
 970
 971         return 0;
 972 }
 973
 974 #ifdef HAVE_LDAP
 975
 976 /*
 977  * Init an LDAP tree with default users and Groups
 978  * if ldapsam:editposix is enabled
 979  */
 980
 981 static int net_sam_provision(int argc, const char **argv)
 982 {
 983         TALLOC_CTX *tc;
 984         char *ldap_bk;
 985         char *ldap_uri = NULL;
 986         char *p;
 987         struct smbldap_state *ls;
 988         GROUP_MAP gmap;
 989         DOM_SID gsid;
 990         gid_t domusers_gid = -1;
 991         gid_t domadmins_gid = -1;
 992         struct samu *samuser;
 993         struct passwd *pwd;
 994
 995         tc = talloc_new(NULL);
 996         if (!tc) {
 997                 d_fprintf(stderr, "Out of Memory!\n");
 998                 return -1;
 999         }
1000
1001         if ((ldap_bk = talloc_strdup(tc, lp_passdb_backend())) == NULL) {
1002                 d_fprintf(stderr, "talloc failed\n");
1003                 talloc_free(tc);
1004                 return -1;
1005         }
1006         p = strchr(ldap_bk, ':');
1007         if (p) {
1008                 *p = 0;
1009                 ldap_uri = talloc_strdup(tc, p+1);
1010                 trim_char(ldap_uri, ' ', ' ');
1011         }
1012
1013         trim_char(ldap_bk, ' ', ' ');
1014
1015         if (strcmp(ldap_bk, "ldapsam") != 0) {
1016                 d_fprintf(stderr, "Provisioning works only with ldapsam backend\n");
1017                 goto failed;
1018         }
1019
1020         if (!lp_parm_bool(-1, "ldapsam", "trusted", False) ||
1021             !lp_parm_bool(-1, "ldapsam", "editposix", False)) {
1022
1023                 d_fprintf(stderr, "Provisioning works only if ldapsam:trusted"
1024                                   " and ldapsam:editposix are enabled.\n");
1025                 goto failed;
1026         }
1027
1028         if (!winbind_ping()) {
1029                 d_fprintf(stderr, "winbind seems not to run. Provisioning "
1030                           "LDAP only works when winbind runs.\n");
1031                 goto failed;
1032         }
1033
1034         if (!NT_STATUS_IS_OK(smbldap_init(tc, NULL, ldap_uri, &ls))) {
1035                 d_fprintf(stderr, "Unable to connect to the LDAP server.\n");
1036                 goto failed;
1037         }
1038
1039         d_printf("Checking for Domain Users group.\n");
1040
1041         sid_compose(&gsid, get_global_sam_sid(), DOMAIN_GROUP_RID_USERS);
1042
1043         if (!pdb_getgrsid(&gmap, gsid)) {
1044                 LDAPMod **mods = NULL;
1045                 char *dn;
1046                 char *uname;
1047                 char *wname;
1048                 char *gidstr;
1049                 char *gtype;
1050                 int rc;
1051
1052                 d_printf("Adding the Domain Users group.\n");
1053
1054                 /* lets allocate a new groupid for this group */
1055                 if (!winbind_allocate_gid(&domusers_gid)) {
1056                         d_fprintf(stderr, "Unable to allocate a new gid to create Domain Users group!\n");
1057                         goto domu_done;
1058                 }
1059
1060                 uname = talloc_strdup(tc, "domusers");
1061                 wname = talloc_strdup(tc, "Domain Users");
1062                 dn = talloc_asprintf(tc, "cn=%s,%s", "domusers", lp_ldap_group_suffix());
1063                 gidstr = talloc_asprintf(tc, "%d", domusers_gid);
1064                 gtype = talloc_asprintf(tc, "%d", SID_NAME_DOM_GRP);
1065
1066                 if (!uname || !wname || !dn || !gidstr || !gtype) {
1067                         d_fprintf(stderr, "Out of Memory!\n");
1068                         goto failed;
1069                 }
1070
1071                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectclass", LDAP_OBJ_POSIXGROUP);
1072                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_GROUPMAP);
1073                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", uname);
1074                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", wname);
1075                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1076                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSid", sid_string_static(&gsid));
1077                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaGroupType", gtype);
1078
1079                 talloc_autofree_ldapmod(tc, mods);
1080
1081                 rc = smbldap_add(ls, dn, mods);
1082
1083                 if (rc != LDAP_SUCCESS) {
1084                         d_fprintf(stderr, "Failed to add Domain Users group to ldap directory\n");
1085                 }
1086         } else {
1087                 domusers_gid = gmap.gid;
1088                 d_printf("found!\n");
1089         }
1090
1091 domu_done:
1092
1093         d_printf("Checking for Domain Admins group.\n");
1094
1095         sid_compose(&gsid, get_global_sam_sid(), DOMAIN_GROUP_RID_ADMINS);
1096
1097         if (!pdb_getgrsid(&gmap, gsid)) {
1098                 LDAPMod **mods = NULL;
1099                 char *dn;
1100                 char *uname;
1101                 char *wname;
1102                 char *gidstr;
1103                 char *gtype;
1104                 int rc;
1105
1106                 d_printf("Adding the Domain Admins group.\n");
1107
1108                 /* lets allocate a new groupid for this group */
1109                 if (!winbind_allocate_gid(&domadmins_gid)) {
1110                         d_fprintf(stderr, "Unable to allocate a new gid to create Domain Admins group!\n");
1111                         goto doma_done;
1112                 }
1113
1114                 uname = talloc_strdup(tc, "domadmins");
1115                 wname = talloc_strdup(tc, "Domain Admins");
1116                 dn = talloc_asprintf(tc, "cn=%s,%s", "domadmins", lp_ldap_group_suffix());
1117                 gidstr = talloc_asprintf(tc, "%d", domadmins_gid);
1118                 gtype = talloc_asprintf(tc, "%d", SID_NAME_DOM_GRP);
1119
1120                 if (!uname || !wname || !dn || !gidstr || !gtype) {
1121                         d_fprintf(stderr, "Out of Memory!\n");
1122                         goto failed;
1123                 }
1124
1125                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectclass", LDAP_OBJ_POSIXGROUP);
1126                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_GROUPMAP);
1127                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", uname);
1128                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", wname);
1129                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1130                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSid", sid_string_static(&gsid));
1131                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaGroupType", gtype);
1132
1133                 talloc_autofree_ldapmod(tc, mods);
1134
1135                 rc = smbldap_add(ls, dn, mods);
1136
1137                 if (rc != LDAP_SUCCESS) {
1138                         d_fprintf(stderr, "Failed to add Domain Admins group to ldap directory\n");
1139                 }
1140         } else {
1141                 domadmins_gid = gmap.gid;
1142                 d_printf("found!\n");
1143         }
1144
1145 doma_done:
1146
1147         d_printf("Check for Administrator account.\n");
1148
1149         samuser = samu_new(tc);
1150         if (!samuser) {
1151                 d_fprintf(stderr, "Out of Memory!\n");
1152                 goto failed;
1153         }
1154
1155         if (!pdb_getsampwnam(samuser, "Administrator")) {
1156                 LDAPMod **mods = NULL;
1157                 DOM_SID sid;
1158                 char *dn;
1159                 char *name;
1160                 char *uidstr;
1161                 char *gidstr;
1162                 char *shell;
1163                 char *dir;
1164                 uid_t uid;
1165                 int rc;
1166
1167                 d_printf("Adding the Administrator user.\n");
1168
1169                 if (domadmins_gid == -1) {
1170                         d_fprintf(stderr, "Can't create Administrator user, Domain Admins group not available!\n");
1171                         goto done;
1172                 }
1173                 if (!winbind_allocate_uid(&uid)) {
1174                         d_fprintf(stderr, "Unable to allocate a new uid to create the Administrator user!\n");
1175                         goto done;
1176                 }
1177                 name = talloc_strdup(tc, "Administrator");
1178                 dn = talloc_asprintf(tc, "uid=Administrator,%s", lp_ldap_user_suffix());
1179                 uidstr = talloc_asprintf(tc, "%d", uid);
1180                 gidstr = talloc_asprintf(tc, "%d", domadmins_gid);
1181                 dir = talloc_sub_specified(tc, lp_template_homedir(),
1182                                                 "Administrator",
1183                                                 get_global_sam_name(),
1184                                                 uid, domadmins_gid);
1185                 shell = talloc_sub_specified(tc, lp_template_shell(),
1186                                                 "Administrator",
1187                                                 get_global_sam_name(),
1188                                                 uid, domadmins_gid);
1189
1190                 if (!name || !dn || !uidstr || !gidstr || !dir || !shell) {
1191                         d_fprintf(stderr, "Out of Memory!\n");
1192                         goto failed;
1193                 }
1194
1195                 sid_compose(&sid, get_global_sam_sid(), DOMAIN_USER_RID_ADMIN);
1196
1197                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_ACCOUNT);
1198                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_POSIXACCOUNT);
1199                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_SAMBASAMACCOUNT);
1200                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uid", name);
1201                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", name);
1202                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", name);
1203                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uidNumber", uidstr);
1204                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1205                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "homeDirectory", dir);
1206                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "loginShell", shell);
1207                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSID", sid_string_static(&sid));
1208                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaAcctFlags",
1209                                 pdb_encode_acct_ctrl(ACB_NORMAL|ACB_DISABLED,
1210                                 NEW_PW_FORMAT_SPACE_PADDED_LEN));
1211
1212                 talloc_autofree_ldapmod(tc, mods);
1213
1214                 rc = smbldap_add(ls, dn, mods);
1215
1216                 if (rc != LDAP_SUCCESS) {
1217                         d_fprintf(stderr, "Failed to add Administrator user to ldap directory\n");
1218                 }
1219         } else {
1220                 d_printf("found!\n");
1221         }
1222
1223         d_printf("Checking for Guest user.\n");
1224
1225         samuser = samu_new(tc);
1226         if (!samuser) {
1227                 d_fprintf(stderr, "Out of Memory!\n");
1228                 goto failed;
1229         }
1230
1231         if (!pdb_getsampwnam(samuser, lp_guestaccount())) {
1232                 LDAPMod **mods = NULL;
1233                 DOM_SID sid;
1234                 char *dn;
1235                 char *uidstr;
1236                 char *gidstr;
1237                 int rc;
1238
1239                 d_printf("Adding the Guest user.\n");
1240
1241                 pwd = getpwnam_alloc(tc, lp_guestaccount());
1242
1243                 if (!pwd) {
1244                         if (domusers_gid == -1) {
1245                                 d_fprintf(stderr, "Can't create Guest user, Domain Users group not available!\n");
1246                                 goto done;
1247                         }
1248                         if ((pwd = talloc(tc, struct passwd)) == NULL) {
1249                                 d_fprintf(stderr, "talloc failed\n");
1250                                 goto done;
1251                         }
1252                         pwd->pw_name = talloc_strdup(pwd, lp_guestaccount());
1253                         if (!winbind_allocate_uid(&(pwd->pw_uid))) {
1254                                 d_fprintf(stderr, "Unable to allocate a new uid to create the Guest user!\n");
1255                                 goto done;
1256                         }
1257                         pwd->pw_gid = domusers_gid;
1258                         pwd->pw_dir = talloc_strdup(tc, "/");
1259                         pwd->pw_shell = talloc_strdup(tc, "/bin/false");
1260                         if (!pwd->pw_dir || !pwd->pw_shell) {
1261                                 d_fprintf(stderr, "Out of Memory!\n");
1262                                 goto failed;
1263                         }
1264                 }
1265
1266                 sid_compose(&sid, get_global_sam_sid(), DOMAIN_USER_RID_GUEST);
1267
1268                 dn = talloc_asprintf(tc, "uid=%s,%s", pwd->pw_name, lp_ldap_user_suffix ());
1269                 uidstr = talloc_asprintf(tc, "%d", pwd->pw_uid);
1270                 gidstr = talloc_asprintf(tc, "%d", pwd->pw_gid);
1271                 if (!dn || !uidstr || !gidstr) {
1272                         d_fprintf(stderr, "Out of Memory!\n");
1273                         goto failed;
1274                 }
1275
1276                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_ACCOUNT);
1277                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_POSIXACCOUNT);
1278                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_SAMBASAMACCOUNT);
1279                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uid", pwd->pw_name);
1280                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", pwd->pw_name);
1281                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", pwd->pw_name);
1282                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uidNumber", uidstr);
1283                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1284                 if ((pwd->pw_dir != NULL) && (pwd->pw_dir[0] != '\0')) {
1285                         smbldap_set_mod(&mods, LDAP_MOD_ADD, "homeDirectory", pwd->pw_dir);
1286                 }
1287                 if ((pwd->pw_shell != NULL) && (pwd->pw_shell[0] != '\0')) {
1288                         smbldap_set_mod(&mods, LDAP_MOD_ADD, "loginShell", pwd->pw_shell);
1289                 }
1290                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSID", sid_string_static(&sid));
1291                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaAcctFlags",
1292                                 pdb_encode_acct_ctrl(ACB_NORMAL|ACB_DISABLED,
1293                                 NEW_PW_FORMAT_SPACE_PADDED_LEN));
1294
1295                 talloc_autofree_ldapmod(tc, mods);
1296
1297                 rc = smbldap_add(ls, dn, mods);
1298
1299                 if (rc != LDAP_SUCCESS) {
1300                         d_fprintf(stderr, "Failed to add Guest user to ldap directory\n");
1301                 }
1302         } else {
1303                 d_printf("found!\n");
1304         }
1305
1306         d_printf("Checking Guest's group.\n");
1307
1308         pwd = getpwnam_alloc(NULL, lp_guestaccount());
1309         if (!pwd) {
1310                 d_fprintf(stderr, "Failed to find just created Guest account!\n"
1311                                   "   Is nss properly configured?!\n");
1312                 goto failed;
1313         }
1314
1315         if (pwd->pw_gid == domusers_gid) {
1316                 d_printf("found!\n");
1317                 goto done;
1318         }
1319
1320         if (!pdb_getgrgid(&gmap, pwd->pw_gid)) {
1321                 LDAPMod **mods = NULL;
1322                 char *dn;
1323                 char *uname;
1324                 char *wname;
1325                 char *gidstr;
1326                 char *gtype;
1327                 int rc;
1328
1329                 d_printf("Adding the Domain Guests group.\n");
1330
1331                 uname = talloc_strdup(tc, "domguests");
1332                 wname = talloc_strdup(tc, "Domain Guests");
1333                 dn = talloc_asprintf(tc, "cn=%s,%s", "domguests", lp_ldap_group_suffix());
1334                 gidstr = talloc_asprintf(tc, "%d", pwd->pw_gid);
1335                 gtype = talloc_asprintf(tc, "%d", SID_NAME_DOM_GRP);
1336
1337                 if (!uname || !wname || !dn || !gidstr || !gtype) {
1338                         d_fprintf(stderr, "Out of Memory!\n");
1339                         goto failed;
1340                 }
1341
1342                 sid_compose(&gsid, get_global_sam_sid(), DOMAIN_GROUP_RID_GUESTS);
1343
1344                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectclass", LDAP_OBJ_POSIXGROUP);
1345                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_GROUPMAP);
1346                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", uname);
1347                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", wname);
1348                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1349                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSid", sid_string_static(&gsid));
1350                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaGroupType", gtype);
1351
1352                 talloc_autofree_ldapmod(tc, mods);
1353
1354                 rc = smbldap_add(ls, dn, mods);
1355
1356                 if (rc != LDAP_SUCCESS) {
1357                         d_fprintf(stderr, "Failed to add Domain Guests group to ldap directory\n");
1358                 }
1359         } else {
1360                 d_printf("found!\n");
1361         }
1362
1363
1364 done:
1365         talloc_free(tc);
1366         return 0;
1367
1368 failed:
1369         talloc_free(tc);
1370         return -1;
1371 }
1372
1373 #endif
1374
1375 /***********************************************************
1376  migrated functionality from smbgroupedit
1377  **********************************************************/
1378 int net_sam(int argc, const char **argv)
1379 {
1380         struct functable2 func[] = {
1381                 { "createbuiltingroup", net_sam_createbuiltingroup,
1382                   "Create a new BUILTIN group" },
1383                 { "createlocalgroup", net_sam_createlocalgroup,
1384                   "Create a new local group" },
1385                 { "deletelocalgroup", net_sam_deletelocalgroup,
1386                   "Delete an existing local group" },
1387                 { "mapunixgroup", net_sam_mapunixgroup,
1388                   "Map a unix group to a domain group" },
1389                 { "addmem", net_sam_addmem,
1390                   "Add a member to a group" },
1391                 { "delmem", net_sam_delmem,
1392                   "Delete a member from a group" },
1393                 { "listmem", net_sam_listmem,
1394                   "List group members" },
1395                 { "list", net_sam_list,
1396                   "List users, groups and local groups" },
1397                 { "show", net_sam_show,
1398                   "Show details of a SAM entry" },
1399                 { "set", net_sam_set,
1400                   "Set details of a SAM account" },
1401                 { "policy", net_sam_policy,
1402                   "Set account policies" },
1403 #ifdef HAVE_LDAP
1404                 { "provision", net_sam_provision,
1405                   "Provision a clean User Database" },
1406 #endif
1407                 { NULL, NULL, NULL }
1408         };
1409
1410         /* we shouldn't have silly checks like this */
1411         if (getuid() != 0) {
1412                 d_fprintf(stderr, "You must be root to edit the SAM "
1413                           "directly.\n");
1414                 return -1;
1415         }
1416
1417         return net_run_function2(argc, argv, "net sam", func);
1418 }
1419