source4/kdc/hdb-ldb.c

   1 /*
   2  * Copyright (c) 1999-2001, 2003, PADL Software Pty Ltd.
   3  * Copyright (c) 2004, Andrew Bartlett <abartlet@samba.org>.
   4  * Copyright (c) 2004, Stefan Metzmacher <metze@samba.org>
   5  * All rights reserved.
   6  *
   7  * Redistribution and use in source and binary forms, with or without
   8  * modification, are permitted provided that the following conditions
   9  * are met:
  10  *
  11  * 1. Redistributions of source code must retain the above copyright
  12  *    notice, this list of conditions and the following disclaimer.
  13  *
  14  * 2. Redistributions in binary form must reproduce the above copyright
  15  *    notice, this list of conditions and the following disclaimer in the
  16  *    documentation and/or other materials provided with the distribution.
  17  *
  18  * 3. Neither the name of PADL Software  nor the names of its contributors
  19  *    may be used to endorse or promote products derived from this software
  20  *    without specific prior written permission.
  21  *
  22  * THIS SOFTWARE IS PROVIDED BY PADL SOFTWARE AND CONTRIBUTORS ``AS IS'' AND
  23  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  24  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  25  * ARE DISCLAIMED.  IN NO EVENT SHALL PADL SOFTWARE OR CONTRIBUTORS BE LIABLE
  26  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  27  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  28  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  29  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  30  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  31  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  32  * SUCH DAMAGE.
  33  */
  34
  35 #include "includes.h"
  36 #include "system/time.h"
  37 #include "kdc.h"
  38 #include "dsdb/common/flags.h"
  39 #include "hdb.h"
  40 #include "krb5_locl.h"
  41 #include "lib/ldb/include/ldb.h"
  42 #include "lib/ldb/include/ldb_errors.h"
  43 #include "librpc/gen_ndr/netlogon.h"
  44 #include "auth/auth.h"
  45 #include "auth/credentials/credentials.h"
  46 #include "auth/auth_sam.h"
  47 #include "db_wrap.h"
  48 #include "dsdb/samdb/samdb.h"
  49
  50 enum hdb_ldb_ent_type
  51 { HDB_LDB_ENT_TYPE_CLIENT, HDB_LDB_ENT_TYPE_SERVER,
  52   HDB_LDB_ENT_TYPE_KRBTGT, HDB_LDB_ENT_TYPE_ANY };
  53
  54 static const char * const krb5_attrs[] = {
  55         "objectClass",
  56         "sAMAccountName",
  57
  58         "userPrincipalName",
  59         "servicePrincipalName",
  60
  61         "krb5Key",
  62
  63         "userAccountControl",
  64
  65         "pwdLastSet",
  66         "accountExpires",
  67
  68         "whenCreated",
  69         "whenChanged",
  70
  71         "msDS-KeyVersionNumber",
  72         NULL
  73 };
  74
  75 static const char *realm_ref_attrs[] = {
  76         "nCName",
  77         "dnsRoot",
  78         NULL
  79 };
  80
  81 static KerberosTime ldb_msg_find_krb5time_ldap_time(struct ldb_message *msg, const char *attr, KerberosTime default_val)
  82 {
  83     const char *tmp;
  84     const char *gentime;
  85     struct tm tm;
  86
  87     gentime = ldb_msg_find_attr_as_string(msg, attr, NULL);
  88     if (!gentime)
  89         return default_val;
  90
  91     tmp = strptime(gentime, "%Y%m%d%H%M%SZ", &tm);
  92     if (tmp == NULL) {
  93             return default_val;
  94     }
  95
  96     return timegm(&tm);
  97 }
  98
  99 static HDBFlags uf2HDBFlags(krb5_context context, int userAccountControl, enum hdb_ldb_ent_type ent_type)
 100 {
 101         HDBFlags flags = int2HDBFlags(0);
 102
 103         /* we don't allow kadmin deletes */
 104         flags.immutable = 1;
 105
 106         /* mark the principal as invalid to start with */
 107         flags.invalid = 1;
 108
 109         flags.renewable = 1;
 110
 111         /* All accounts are servers, but this may be disabled again in the caller */
 112         flags.server = 1;
 113
 114         /* Account types - clear the invalid bit if it turns out to be valid */
 115         if (userAccountControl & UF_NORMAL_ACCOUNT) {
 116                 if (ent_type == HDB_LDB_ENT_TYPE_CLIENT || ent_type == HDB_LDB_ENT_TYPE_ANY) {
 117                         flags.client = 1;
 118                 }
 119                 flags.invalid = 0;
 120         }
 121
 122         if (userAccountControl & UF_INTERDOMAIN_TRUST_ACCOUNT) {
 123                 if (ent_type == HDB_LDB_ENT_TYPE_CLIENT || ent_type == HDB_LDB_ENT_TYPE_ANY) {
 124                         flags.client = 1;
 125                 }
 126                 flags.invalid = 0;
 127         }
 128         if (userAccountControl & UF_WORKSTATION_TRUST_ACCOUNT) {
 129                 if (ent_type == HDB_LDB_ENT_TYPE_CLIENT || ent_type == HDB_LDB_ENT_TYPE_ANY) {
 130                         flags.client = 1;
 131                 }
 132                 flags.invalid = 0;
 133         }
 134         if (userAccountControl & UF_SERVER_TRUST_ACCOUNT) {
 135                 if (ent_type == HDB_LDB_ENT_TYPE_CLIENT || ent_type == HDB_LDB_ENT_TYPE_ANY) {
 136                         flags.client = 1;
 137                 }
 138                 flags.invalid = 0;
 139         }
 140
 141         /* Not permitted to act as a client if disabled */
 142         if (userAccountControl & UF_ACCOUNTDISABLE) {
 143                 flags.client = 0;
 144         }
 145         if (userAccountControl & UF_LOCKOUT) {
 146                 flags.invalid = 1;
 147         }
 148 /*
 149         if (userAccountControl & UF_PASSWORD_NOTREQD) {
 150                 flags.invalid = 1;
 151         }
 152 */
 153 /*
 154         UF_PASSWORD_CANT_CHANGE and UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED are irrelevent
 155 */
 156         if (userAccountControl & UF_TEMP_DUPLICATE_ACCOUNT) {
 157                 flags.invalid = 1;
 158         }
 159
 160 /* UF_DONT_EXPIRE_PASSWD and UF_USE_DES_KEY_ONLY handled in LDB_message2entry() */
 161
 162 /*
 163         if (userAccountControl & UF_MNS_LOGON_ACCOUNT) {
 164                 flags.invalid = 1;
 165         }
 166 */
 167         if (userAccountControl & UF_SMARTCARD_REQUIRED) {
 168                 flags.require_hwauth = 1;
 169         }
 170         if (userAccountControl & UF_TRUSTED_FOR_DELEGATION) {
 171                 flags.ok_as_delegate = 1;
 172         }
 173         if (!(userAccountControl & UF_NOT_DELEGATED)) {
 174                 flags.forwardable = 1;
 175                 flags.proxiable = 1;
 176         }
 177
 178         if (userAccountControl & UF_DONT_REQUIRE_PREAUTH) {
 179                 flags.require_preauth = 0;
 180         } else {
 181                 flags.require_preauth = 1;
 182
 183         }
 184         return flags;
 185 }
 186
 187 static int hdb_ldb_destrutor(struct hdb_ldb_private *private)
 188 {
 189     hdb_entry_ex *entry_ex = private->entry_ex;
 190     free_hdb_entry(&entry_ex->entry);
 191     return 0;
 192 }
 193
 194 static void hdb_ldb_free_entry(krb5_context context, hdb_entry_ex *entry_ex)
 195 {
 196         talloc_free(entry_ex->ctx);
 197 }
 198
 199 /*
 200  * Construct an hdb_entry from a directory entry.
 201  */
 202 static krb5_error_code LDB_message2entry(krb5_context context, HDB *db,
 203                                          TALLOC_CTX *mem_ctx, krb5_const_principal principal,
 204                                          enum hdb_ldb_ent_type ent_type,
 205                                          struct ldb_message *msg,
 206                                          struct ldb_message *realm_ref_msg,
 207                                          hdb_entry_ex *entry_ex)
 208 {
 209         unsigned int userAccountControl;
 210         int i;
 211         krb5_error_code ret = 0;
 212         krb5_boolean is_computer = FALSE;
 213         const char *dnsdomain = ldb_msg_find_attr_as_string(realm_ref_msg, "dnsRoot", NULL);
 214         char *realm = strupper_talloc(mem_ctx, dnsdomain);
 215         struct ldb_dn *domain_dn = samdb_result_dn((struct ldb_context *)db->hdb_db,
 216                                                         mem_ctx,
 217                                                         realm_ref_msg,
 218                                                         "nCName",
 219                                                         ldb_dn_new(mem_ctx, (struct ldb_context *)db->hdb_db, NULL));
 220
 221         struct hdb_ldb_private *private;
 222         NTTIME acct_expiry;
 223         struct ldb_message_element *ldb_keys;
 224
 225         struct ldb_message_element *objectclasses;
 226         struct ldb_val computer_val;
 227         computer_val.data = discard_const_p(uint8_t,"computer");
 228         computer_val.length = strlen((const char *)computer_val.data);
 229
 230         objectclasses = ldb_msg_find_element(msg, "objectClass");
 231
 232         if (objectclasses && ldb_msg_find_val(objectclasses, &computer_val)) {
 233                 is_computer = TRUE;
 234         }
 235
 236         memset(entry_ex, 0, sizeof(*entry_ex));
 237
 238         if (!realm) {
 239                 krb5_set_error_string(context, "talloc_strdup: out of memory");
 240                 ret = ENOMEM;
 241                 goto out;
 242         }
 243
 244         private = talloc(mem_ctx, struct hdb_ldb_private);
 245         if (!private) {
 246                 ret = ENOMEM;
 247                 goto out;
 248         }
 249
 250         private->entry_ex = entry_ex;
 251
 252         talloc_set_destructor(private, hdb_ldb_destrutor);
 253
 254         entry_ex->ctx = private;
 255         entry_ex->free_entry = hdb_ldb_free_entry;
 256
 257         userAccountControl = ldb_msg_find_attr_as_uint(msg, "userAccountControl", 0);
 258
 259
 260         entry_ex->entry.principal = malloc(sizeof(*(entry_ex->entry.principal)));
 261         if (ent_type == HDB_LDB_ENT_TYPE_ANY && principal == NULL) {
 262                 const char *samAccountName = ldb_msg_find_attr_as_string(msg, "samAccountName", NULL);
 263                 if (!samAccountName) {
 264                         krb5_set_error_string(context, "LDB_message2entry: no samAccountName present");
 265                         ret = ENOENT;
 266                         goto out;
 267                 }
 268                 samAccountName = ldb_msg_find_attr_as_string(msg, "samAccountName", NULL);
 269                 krb5_make_principal(context, &entry_ex->entry.principal, realm, samAccountName, NULL);
 270         } else {
 271                 char *strdup_realm;
 272                 ret = copy_Principal(principal, entry_ex->entry.principal);
 273                 if (ret) {
 274                         krb5_clear_error_string(context);
 275                         goto out;
 276                 }
 277
 278                 /* While we have copied the client principal, tests
 279                  * show that Win2k3 returns the 'corrected' realm, not
 280                  * the client-specified realm.  This code attempts to
 281                  * replace the client principal's realm with the one
 282                  * we determine from our records */
 283
 284                 /* this has to be with malloc() */
 285                 strdup_realm = strdup(realm);
 286                 if (!strdup_realm) {
 287                         ret = ENOMEM;
 288                         krb5_clear_error_string(context);
 289                         goto out;
 290                 }
 291                 free(*krb5_princ_realm(context, entry_ex->entry.principal));
 292                 krb5_princ_set_realm(context, entry_ex->entry.principal, &strdup_realm);
 293         }
 294
 295         entry_ex->entry.kvno = ldb_msg_find_attr_as_int(msg, "msDS-KeyVersionNumber", 0);
 296
 297         entry_ex->entry.flags = uf2HDBFlags(context, userAccountControl, ent_type);
 298
 299         if (ent_type == HDB_LDB_ENT_TYPE_KRBTGT) {
 300                 entry_ex->entry.flags.invalid = 0;
 301                 entry_ex->entry.flags.server = 1;
 302                 entry_ex->entry.flags.forwardable = 1;
 303                 entry_ex->entry.flags.ok_as_delegate = 1;
 304         }
 305
 306         if (lp_parm_bool(-1, "kdc", "require spn for service", True)) {
 307                 if (!is_computer && !ldb_msg_find_attr_as_string(msg, "servicePrincipalName", NULL)) {
 308                         entry_ex->entry.flags.server = 0;
 309                 }
 310         }
 311
 312         /* use 'whenCreated' */
 313         entry_ex->entry.created_by.time = ldb_msg_find_krb5time_ldap_time(msg, "whenCreated", 0);
 314         /* use '???' */
 315         entry_ex->entry.created_by.principal = NULL;
 316
 317         entry_ex->entry.modified_by = (Event *) malloc(sizeof(Event));
 318         if (entry_ex->entry.modified_by == NULL) {
 319                 krb5_set_error_string(context, "malloc: out of memory");
 320                 ret = ENOMEM;
 321                 goto out;
 322         }
 323
 324         /* use 'whenChanged' */
 325         entry_ex->entry.modified_by->time = ldb_msg_find_krb5time_ldap_time(msg, "whenChanged", 0);
 326         /* use '???' */
 327         entry_ex->entry.modified_by->principal = NULL;
 328
 329         entry_ex->entry.valid_start = NULL;
 330
 331         acct_expiry = samdb_result_nttime(msg, "accountExpires", (NTTIME)-1);
 332         if ((acct_expiry == (NTTIME)-1) ||
 333             (acct_expiry == 0x7FFFFFFFFFFFFFFFULL)) {
 334                 entry_ex->entry.valid_end = NULL;
 335         } else {
 336                 entry_ex->entry.valid_end = malloc(sizeof(*entry_ex->entry.valid_end));
 337                 if (entry_ex->entry.valid_end == NULL) {
 338                         ret = ENOMEM;
 339                         goto out;
 340                 }
 341                 *entry_ex->entry.valid_end = nt_time_to_unix(acct_expiry);
 342         }
 343
 344         if (ent_type != HDB_LDB_ENT_TYPE_KRBTGT) {
 345                 NTTIME must_change_time
 346                         = samdb_result_force_password_change((struct ldb_context *)db->hdb_db, mem_ctx,
 347                                                              domain_dn, msg);
 348                 if (must_change_time == 0x7FFFFFFFFFFFFFFFULL) {
 349                         entry_ex->entry.pw_end = NULL;
 350                 } else {
 351                         entry_ex->entry.pw_end = malloc(sizeof(*entry_ex->entry.pw_end));
 352                         if (entry_ex->entry.pw_end == NULL) {
 353                                 ret = ENOMEM;
 354                                 goto out;
 355                         }
 356                         *entry_ex->entry.pw_end = nt_time_to_unix(must_change_time);
 357                 }
 358         } else {
 359                 entry_ex->entry.pw_end = NULL;
 360         }
 361
 362         entry_ex->entry.max_life = NULL;
 363
 364         entry_ex->entry.max_renew = NULL;
 365
 366         entry_ex->entry.generation = NULL;
 367
 368         /* Get krb5Key from the db */
 369
 370         ldb_keys = ldb_msg_find_element(msg, "krb5Key");
 371
 372         if (!ldb_keys) {
 373                 /* oh, no password.  Apparently (comment in
 374                  * hdb-ldap.c) this violates the ASN.1, but this
 375                  * allows an entry with no keys (yet). */
 376                 entry_ex->entry.keys.val = NULL;
 377                 entry_ex->entry.keys.len = 0;
 378         } else {
 379                 /* allocate space to decode into */
 380                 entry_ex->entry.keys.val = calloc(ldb_keys->num_values, sizeof(Key));
 381                 if (entry_ex->entry.keys.val == NULL) {
 382                         ret = ENOMEM;
 383                         goto out;
 384                 }
 385
 386                 entry_ex->entry.keys.len = 0;
 387
 388                 /* Decode Kerberos keys into the hdb structure */
 389                 for (i=0; i < ldb_keys->num_values; i++) {
 390                         size_t decode_len;
 391                         Key key;
 392                         ret = decode_Key(ldb_keys->values[i].data, ldb_keys->values[i].length,
 393                                          &key, &decode_len);
 394                         if (ret) {
 395                                 /* Could be bougus data in the entry, or out of memory */
 396                                 goto out;
 397                         }
 398
 399                         if (userAccountControl & UF_USE_DES_KEY_ONLY) {
 400                                 switch (key.key.keytype) {
 401                                 case KEYTYPE_DES:
 402                                         entry_ex->entry.keys.val[entry_ex->entry.keys.len] = key;
 403                                         entry_ex->entry.keys.len++;
 404                                 default:
 405                                         /* We must use DES keys only */
 406                                         break;
 407                                 }
 408                         } else {
 409                                 entry_ex->entry.keys.val[entry_ex->entry.keys.len] = key;
 410                                 entry_ex->entry.keys.len++;
 411                         }
 412                 }
 413         }
 414
 415         entry_ex->entry.etypes = malloc(sizeof(*(entry_ex->entry.etypes)));
 416         if (entry_ex->entry.etypes == NULL) {
 417                 krb5_clear_error_string(context);
 418                 ret = ENOMEM;
 419                 goto out;
 420         }
 421         entry_ex->entry.etypes->len = entry_ex->entry.keys.len;
 422         entry_ex->entry.etypes->val = calloc(entry_ex->entry.etypes->len, sizeof(int));
 423         if (entry_ex->entry.etypes->val == NULL) {
 424                 krb5_clear_error_string(context);
 425                 ret = ENOMEM;
 426                 goto out;
 427         }
 428         for (i=0; i < entry_ex->entry.etypes->len; i++) {
 429                 entry_ex->entry.etypes->val[i] = entry_ex->entry.keys.val[i].key.keytype;
 430         }
 431
 432
 433         private->msg = talloc_steal(private, msg);
 434         private->realm_ref_msg = talloc_steal(private, realm_ref_msg);
 435         private->samdb = (struct ldb_context *)db->hdb_db;
 436
 437 out:
 438         if (ret != 0) {
 439                 /* This doesn't free ent itself, that is for the eventual caller to do */
 440                 hdb_free_entry(context, entry_ex);
 441         } else {
 442                 talloc_steal(db, entry_ex->ctx);
 443         }
 444
 445         return ret;
 446 }
 447
 448 static krb5_error_code LDB_lookup_principal(krb5_context context, struct ldb_context *ldb_ctx,
 449                                             TALLOC_CTX *mem_ctx,
 450                                             krb5_const_principal principal,
 451                                             enum hdb_ldb_ent_type ent_type,
 452                                             struct ldb_dn *realm_dn,
 453                                             struct ldb_message ***pmsg)
 454 {
 455         krb5_error_code ret;
 456         int lret;
 457         char *filter = NULL;
 458         const char * const *princ_attrs = krb5_attrs;
 459
 460         char *short_princ;
 461         char *short_princ_talloc;
 462
 463         struct ldb_result *res = NULL;
 464
 465         ret = krb5_unparse_name_flags(context, principal,  KRB5_PRINCIPAL_UNPARSE_NO_REALM, &short_princ);
 466
 467         if (ret != 0) {
 468                 krb5_set_error_string(context, "LDB_lookup_principal: could not parse principal");
 469                 krb5_warnx(context, "LDB_lookup_principal: could not parse principal");
 470                 return ret;
 471         }
 472
 473         short_princ_talloc = talloc_strdup(mem_ctx, short_princ);
 474         free(short_princ);
 475         if (!short_princ_talloc) {
 476                 krb5_set_error_string(context, "LDB_lookup_principal: talloc_strdup() failed!");
 477                 return ENOMEM;
 478         }
 479
 480         switch (ent_type) {
 481         case HDB_LDB_ENT_TYPE_CLIENT:
 482                 /* Can't happen */
 483                 return EINVAL;
 484         case HDB_LDB_ENT_TYPE_ANY:
 485                 /* Can't happen */
 486                 return EINVAL;
 487         case HDB_LDB_ENT_TYPE_KRBTGT:
 488                 filter = talloc_asprintf(mem_ctx, "(&(objectClass=user)(samAccountName=%s))",
 489                                          KRB5_TGS_NAME);
 490                 break;
 491         case HDB_LDB_ENT_TYPE_SERVER:
 492                 filter = talloc_asprintf(mem_ctx, "(&(objectClass=user)(samAccountName=%s))",
 493                                          short_princ_talloc);
 494                 break;
 495         }
 496
 497         if (!filter) {
 498                 krb5_set_error_string(context, "talloc_asprintf: out of memory");
 499                 return ENOMEM;
 500         }
 501
 502         lret = ldb_search(ldb_ctx, realm_dn, LDB_SCOPE_SUBTREE, filter, princ_attrs, &res);
 503
 504         if (lret != LDB_SUCCESS) {
 505                 DEBUG(3, ("Failed to search for %s: %s\n", filter, ldb_errstring(ldb_ctx)));
 506                 return HDB_ERR_NOENTRY;
 507         } else if (res->count == 0 || res->count > 1) {
 508                 DEBUG(3, ("Failed find a single entry for %s: got %d\n", filter, res->count));
 509                 talloc_free(res);
 510                 return HDB_ERR_NOENTRY;
 511         }
 512         talloc_steal(mem_ctx, res->msgs);
 513         *pmsg = res->msgs;
 514         talloc_free(res);
 515         return 0;
 516 }
 517
 518 static krb5_error_code LDB_lookup_realm(krb5_context context, struct ldb_context *ldb_ctx,
 519                                         TALLOC_CTX *mem_ctx,
 520                                         const char *realm,
 521                                         struct ldb_message ***pmsg)
 522 {
 523         int ret;
 524         struct ldb_result *cross_ref_res;
 525         struct ldb_dn *partitions_basedn = samdb_partitions_dn(ldb_ctx, mem_ctx);
 526
 527         ret = ldb_search_exp_fmt(ldb_ctx, mem_ctx, &cross_ref_res,
 528                         partitions_basedn, LDB_SCOPE_SUBTREE, realm_ref_attrs,
 529                         "(&(&(|(&(dnsRoot=%s)(nETBIOSName=*))(nETBIOSName=%s))(objectclass=crossRef))(ncName=*))",
 530                         realm, realm);
 531
 532         if (ret != LDB_SUCCESS) {
 533                 DEBUG(3, ("Failed to search to lookup realm(%s): %s\n", realm, ldb_errstring(ldb_ctx)));
 534                 talloc_free(cross_ref_res);
 535                 return HDB_ERR_NOENTRY;
 536         } else if (cross_ref_res->count == 0 || cross_ref_res->count > 1) {
 537                 DEBUG(3, ("Failed find a single entry for realm %s: got %d\n", realm, cross_ref_res->count));
 538                 talloc_free(cross_ref_res);
 539                 return HDB_ERR_NOENTRY;
 540         }
 541
 542         if (pmsg) {
 543                 *pmsg = cross_ref_res->msgs;
 544                 talloc_steal(mem_ctx, cross_ref_res->msgs);
 545         }
 546         talloc_free(cross_ref_res);
 547
 548         return 0;
 549 }
 550
 551
 552 static krb5_error_code LDB_open(krb5_context context, HDB *db, int flags, mode_t mode)
 553 {
 554         if (db->hdb_master_key_set) {
 555                 krb5_warnx(context, "LDB_open: use of a master key incompatible with LDB\n");
 556                 krb5_set_error_string(context, "LDB_open: use of a master key incompatible with LDB\n");
 557                 return HDB_ERR_NOENTRY;
 558         }
 559
 560         return 0;
 561 }
 562
 563 static krb5_error_code LDB_close(krb5_context context, HDB *db)
 564 {
 565         return 0;
 566 }
 567
 568 static krb5_error_code LDB_lock(krb5_context context, HDB *db, int operation)
 569 {
 570         return 0;
 571 }
 572
 573 static krb5_error_code LDB_unlock(krb5_context context, HDB *db)
 574 {
 575         return 0;
 576 }
 577
 578 static krb5_error_code LDB_rename(krb5_context context, HDB *db, const char *new_name)
 579 {
 580         return HDB_ERR_DB_INUSE;
 581 }
 582
 583 static krb5_error_code LDB_fetch_client(krb5_context context, HDB *db,
 584                                         TALLOC_CTX *mem_ctx,
 585                                         krb5_const_principal principal,
 586                                         unsigned flags,
 587                                         hdb_entry_ex *entry_ex) {
 588         NTSTATUS nt_status;
 589         char *principal_string;
 590         krb5_error_code ret;
 591         struct ldb_message **msg = NULL;
 592         struct ldb_message **realm_ref_msg = NULL;
 593
 594         ret = krb5_unparse_name(context, principal, &principal_string);
 595
 596         if (ret != 0) {
 597                 return ret;
 598         }
 599
 600         nt_status = sam_get_results_principal((struct ldb_context *)db->hdb_db,
 601                                               mem_ctx, principal_string,
 602                                               &msg, &realm_ref_msg);
 603         free(principal_string);
 604         if (NT_STATUS_EQUAL(nt_status, NT_STATUS_NO_SUCH_USER)) {
 605                 return HDB_ERR_NOENTRY;
 606         } else if (NT_STATUS_EQUAL(nt_status, NT_STATUS_NO_MEMORY)) {
 607                 return ENOMEM;
 608         } else if (!NT_STATUS_IS_OK(nt_status)) {
 609                 return EINVAL;
 610         }
 611
 612         ret = LDB_message2entry(context, db, mem_ctx,
 613                                 principal, HDB_LDB_ENT_TYPE_CLIENT,
 614                                 msg[0], realm_ref_msg[0], entry_ex);
 615         return ret;
 616 }
 617
 618 static krb5_error_code LDB_fetch_krbtgt(krb5_context context, HDB *db,
 619                                         TALLOC_CTX *mem_ctx,
 620                                         krb5_const_principal principal,
 621                                         unsigned flags,
 622                                         hdb_entry_ex *entry_ex)
 623 {
 624         krb5_error_code ret;
 625         struct ldb_message **msg = NULL;
 626         struct ldb_message **realm_ref_msg = NULL;
 627         struct ldb_dn *realm_dn;
 628
 629         krb5_principal alloc_principal = NULL;
 630         if (principal->name.name_string.len != 2
 631             || (strcmp(principal->name.name_string.val[0], KRB5_TGS_NAME) != 0)) {
 632                 /* Not a krbtgt */
 633                 return HDB_ERR_NOENTRY;
 634         }
 635
 636         /* krbtgt case.  Either us or a trusted realm */
 637         if ((LDB_lookup_realm(context, (struct ldb_context *)db->hdb_db,
 638                               mem_ctx, principal->name.name_string.val[1], &realm_ref_msg) == 0)) {
 639                 /* us */
 640                 /* Cludge, cludge cludge.  If the realm part of krbtgt/realm,
 641                  * is in our db, then direct the caller at our primary
 642                  * krgtgt */
 643
 644                 const char *dnsdomain = ldb_msg_find_attr_as_string(realm_ref_msg[0], "dnsRoot", NULL);
 645                 char *realm_fixed = strupper_talloc(mem_ctx, dnsdomain);
 646                 if (!realm_fixed) {
 647                         krb5_set_error_string(context, "strupper_talloc: out of memory");
 648                         return ENOMEM;
 649                 }
 650
 651                 ret = krb5_copy_principal(context, principal, &alloc_principal);
 652                 if (ret) {
 653                         return ret;
 654                 }
 655
 656                 free(alloc_principal->name.name_string.val[1]);
 657                 alloc_principal->name.name_string.val[1] = strdup(realm_fixed);
 658                 talloc_free(realm_fixed);
 659                 if (!alloc_principal->name.name_string.val[1]) {
 660                         krb5_set_error_string(context, "LDB_fetch: strdup() failed!");
 661                         return ENOMEM;
 662                 }
 663                 principal = alloc_principal;
 664                 realm_dn = samdb_result_dn((struct ldb_context *)db->hdb_db, mem_ctx, realm_ref_msg[0], "nCName", NULL);
 665         } else {
 666                 /* we should lookup trusted domains */
 667                 return HDB_ERR_NOENTRY;
 668         }
 669
 670         realm_dn = samdb_result_dn((struct ldb_context *)db->hdb_db, mem_ctx, realm_ref_msg[0], "nCName", NULL);
 671
 672         ret = LDB_lookup_principal(context, (struct ldb_context *)db->hdb_db,
 673                                    mem_ctx,
 674                                    principal, HDB_LDB_ENT_TYPE_KRBTGT, realm_dn, &msg);
 675
 676         if (ret != 0) {
 677                 krb5_warnx(context, "LDB_fetch: could not find principal in DB");
 678                 krb5_set_error_string(context, "LDB_fetch: could not find principal in DB");
 679                 return ret;
 680         }
 681
 682         ret = LDB_message2entry(context, db, mem_ctx,
 683                                 principal, HDB_LDB_ENT_TYPE_KRBTGT,
 684                                 msg[0], realm_ref_msg[0], entry_ex);
 685         if (ret != 0) {
 686                 krb5_warnx(context, "LDB_fetch: message2entry failed");
 687         }
 688         return ret;
 689 }
 690
 691 static krb5_error_code LDB_fetch_server(krb5_context context, HDB *db,
 692                                         TALLOC_CTX *mem_ctx,
 693                                         krb5_const_principal principal,
 694                                         unsigned flags,
 695                                         hdb_entry_ex *entry_ex)
 696 {
 697         krb5_error_code ret;
 698         const char *realm;
 699         struct ldb_message **msg = NULL;
 700         struct ldb_message **realm_ref_msg = NULL;
 701         struct ldb_dn *partitions_basedn = samdb_partitions_dn(db->hdb_db, mem_ctx);
 702         if (principal->name.name_string.len >= 2) {
 703                 /* 'normal server' case */
 704                 int ldb_ret;
 705                 NTSTATUS nt_status;
 706                 struct ldb_dn *user_dn, *domain_dn;
 707                 char *principal_string;
 708
 709                 ret = krb5_unparse_name_flags(context, principal,
 710                                               KRB5_PRINCIPAL_UNPARSE_NO_REALM,
 711                                               &principal_string);
 712                 if (ret != 0) {
 713                         return ret;
 714                 }
 715
 716                 /* At this point we may find the host is known to be
 717                  * in a different realm, so we should generate a
 718                  * referral instead */
 719                 nt_status = crack_service_principal_name((struct ldb_context *)db->hdb_db,
 720                                                          mem_ctx, principal_string,
 721                                                          &user_dn, &domain_dn);
 722                 free(principal_string);
 723
 724                 if (!NT_STATUS_IS_OK(nt_status)) {
 725                         return HDB_ERR_NOENTRY;
 726                 }
 727
 728                 ldb_ret = gendb_search_dn((struct ldb_context *)db->hdb_db,
 729                                           mem_ctx, user_dn, &msg, krb5_attrs);
 730
 731                 if (ldb_ret != 1) {
 732                         return HDB_ERR_NOENTRY;
 733                 }
 734
 735                 ldb_ret = gendb_search((struct ldb_context *)db->hdb_db,
 736                                        mem_ctx, partitions_basedn, &realm_ref_msg, realm_ref_attrs,
 737                                        "ncName=%s", ldb_dn_get_linearized(domain_dn));
 738
 739                 if (ldb_ret != 1) {
 740                         return HDB_ERR_NOENTRY;
 741                 }
 742
 743         } else {
 744                 struct ldb_dn *realm_dn;
 745                 /* server as client principal case, but we must not lookup userPrincipalNames */
 746
 747                 realm = krb5_principal_get_realm(context, principal);
 748
 749                 ret = LDB_lookup_realm(context, (struct ldb_context *)db->hdb_db,
 750                                        mem_ctx, realm, &realm_ref_msg);
 751                 if (ret != 0) {
 752                         return HDB_ERR_NOENTRY;
 753                 }
 754
 755                 realm_dn = samdb_result_dn((struct ldb_context *)db->hdb_db, mem_ctx, realm_ref_msg[0], "nCName", NULL);
 756
 757                 ret = LDB_lookup_principal(context, (struct ldb_context *)db->hdb_db,
 758                                            mem_ctx,
 759                                            principal, HDB_LDB_ENT_TYPE_SERVER, realm_dn, &msg);
 760
 761                 if (ret != 0) {
 762                         return ret;
 763                 }
 764         }
 765
 766         ret = LDB_message2entry(context, db, mem_ctx,
 767                                 principal, HDB_LDB_ENT_TYPE_SERVER,
 768                                 msg[0], realm_ref_msg[0], entry_ex);
 769         if (ret != 0) {
 770                 krb5_warnx(context, "LDB_fetch: message2entry failed");
 771         }
 772
 773         return ret;
 774 }
 775
 776 static krb5_error_code LDB_fetch(krb5_context context, HDB *db,
 777                                  krb5_const_principal principal,
 778                                  unsigned flags,
 779                                  hdb_entry_ex *entry_ex)
 780 {
 781         krb5_error_code ret = HDB_ERR_NOENTRY;
 782
 783         TALLOC_CTX *mem_ctx = talloc_named(db, 0, "LDB_fetch context");
 784
 785         if (!mem_ctx) {
 786                 krb5_set_error_string(context, "LDB_fetch: talloc_named() failed!");
 787                 return ENOMEM;
 788         }
 789
 790         if (flags & HDB_F_GET_CLIENT) {
 791                 ret = LDB_fetch_client(context, db, mem_ctx, principal, flags, entry_ex);
 792                 if (ret != HDB_ERR_NOENTRY) goto done;
 793         }
 794         if (flags & HDB_F_GET_SERVER) {
 795                 ret = LDB_fetch_server(context, db, mem_ctx, principal, flags, entry_ex);
 796                 if (ret != HDB_ERR_NOENTRY) goto done;
 797                 ret = LDB_fetch_krbtgt(context, db, mem_ctx, principal, flags, entry_ex);
 798                 if (ret != HDB_ERR_NOENTRY) goto done;
 799         }
 800         if (flags & HDB_F_GET_KRBTGT) {
 801                 ret = LDB_fetch_krbtgt(context, db, mem_ctx, principal, flags, entry_ex);
 802                 if (ret != HDB_ERR_NOENTRY) goto done;
 803         }
 804
 805 done:
 806         talloc_free(mem_ctx);
 807         return ret;
 808 }
 809
 810 static krb5_error_code LDB_store(krb5_context context, HDB *db, unsigned flags, hdb_entry_ex *entry)
 811 {
 812         return HDB_ERR_DB_INUSE;
 813 }
 814
 815 static krb5_error_code LDB_remove(krb5_context context, HDB *db, krb5_const_principal principal)
 816 {
 817         return HDB_ERR_DB_INUSE;
 818 }
 819
 820 struct hdb_ldb_seq {
 821         struct ldb_context *ctx;
 822         int index;
 823         int count;
 824         struct ldb_message **msgs;
 825         struct ldb_message **realm_ref_msgs;
 826 };
 827
 828 static krb5_error_code LDB_seq(krb5_context context, HDB *db, unsigned flags, hdb_entry_ex *entry)
 829 {
 830         krb5_error_code ret;
 831         struct hdb_ldb_seq *priv = (struct hdb_ldb_seq *)db->hdb_openp;
 832         TALLOC_CTX *mem_ctx;
 833         hdb_entry_ex entry_ex;
 834         memset(&entry_ex, '\0', sizeof(entry_ex));
 835
 836         if (!priv) {
 837                 return HDB_ERR_NOENTRY;
 838         }
 839
 840         mem_ctx = talloc_named(priv, 0, "LDB_seq context");
 841
 842         if (!mem_ctx) {
 843                 krb5_set_error_string(context, "LDB_seq: talloc_named() failed!");
 844                 return ENOMEM;
 845         }
 846
 847         if (priv->index < priv->count) {
 848                 ret = LDB_message2entry(context, db, mem_ctx,
 849                                         NULL, HDB_LDB_ENT_TYPE_ANY,
 850                                         priv->msgs[priv->index++],
 851                                         priv->realm_ref_msgs[0], entry);
 852         } else {
 853                 ret = HDB_ERR_NOENTRY;
 854         }
 855
 856         if (ret != 0) {
 857                 talloc_free(priv);
 858                 db->hdb_openp = NULL;
 859         } else {
 860                 talloc_free(mem_ctx);
 861         }
 862
 863         return ret;
 864 }
 865
 866 static krb5_error_code LDB_firstkey(krb5_context context, HDB *db, unsigned flags,
 867                                         hdb_entry_ex *entry)
 868 {
 869         struct ldb_context *ldb_ctx = (struct ldb_context *)db->hdb_db;
 870         struct hdb_ldb_seq *priv = (struct hdb_ldb_seq *)db->hdb_openp;
 871         char *realm;
 872         struct ldb_dn *realm_dn = NULL;
 873         struct ldb_result *res = NULL;
 874         struct ldb_message **realm_ref_msgs = NULL;
 875         krb5_error_code ret;
 876         TALLOC_CTX *mem_ctx;
 877         int lret;
 878
 879         if (priv) {
 880                 talloc_free(priv);
 881                 db->hdb_openp = 0;
 882         }
 883
 884         priv = (struct hdb_ldb_seq *) talloc(db, struct hdb_ldb_seq);
 885         if (!priv) {
 886                 krb5_set_error_string(context, "talloc: out of memory");
 887                 return ENOMEM;
 888         }
 889
 890         priv->ctx = ldb_ctx;
 891         priv->index = 0;
 892         priv->msgs = NULL;
 893         priv->realm_ref_msgs = NULL;
 894         priv->count = 0;
 895
 896         mem_ctx = talloc_named(priv, 0, "LDB_firstkey context");
 897
 898         if (!mem_ctx) {
 899                 krb5_set_error_string(context, "LDB_firstkey: talloc_named() failed!");
 900                 return ENOMEM;
 901         }
 902
 903         ret = krb5_get_default_realm(context, &realm);
 904         if (ret != 0) {
 905                 talloc_free(priv);
 906                 return ret;
 907         }
 908
 909         ret = LDB_lookup_realm(context, (struct ldb_context *)db->hdb_db,
 910                                mem_ctx, realm, &realm_ref_msgs);
 911
 912         free(realm);
 913
 914         if (ret != 0) {
 915                 talloc_free(priv);
 916                 krb5_warnx(context, "LDB_firstkey: could not find realm\n");
 917                 return HDB_ERR_NOENTRY;
 918         }
 919
 920         realm_dn = samdb_result_dn((struct ldb_context *)db->hdb_db, mem_ctx, realm_ref_msgs[0], "nCName", NULL);
 921
 922         priv->realm_ref_msgs = talloc_steal(priv, realm_ref_msgs);
 923
 924         lret = ldb_search(ldb_ctx, realm_dn,
 925                                  LDB_SCOPE_SUBTREE, "(objectClass=user)",
 926                                  krb5_attrs, &res);
 927
 928         if (lret != LDB_SUCCESS) {
 929                 talloc_free(priv);
 930                 return HDB_ERR_NOENTRY;
 931         }
 932
 933         priv->count = res->count;
 934         priv->msgs = talloc_steal(priv, res->msgs);
 935         talloc_free(res);
 936
 937         db->hdb_openp = priv;
 938
 939         ret = LDB_seq(context, db, flags, entry);
 940
 941         if (ret != 0) {
 942                 talloc_free(priv);
 943                 db->hdb_openp = NULL;
 944         } else {
 945                 talloc_free(mem_ctx);
 946         }
 947         return ret;
 948 }
 949
 950 static krb5_error_code LDB_nextkey(krb5_context context, HDB *db, unsigned flags,
 951                                    hdb_entry_ex *entry)
 952 {
 953         return LDB_seq(context, db, flags, entry);
 954 }
 955
 956 static krb5_error_code LDB_destroy(krb5_context context, HDB *db)
 957 {
 958         talloc_free(db);
 959         return 0;
 960 }
 961
 962 /* This interface is to be called by the KDC, which is expecting Samba
 963  * calling conventions.  It is also called by a wrapper
 964  * (hdb_ldb_create) from the kpasswdd -> krb5 -> keytab_hdb -> hdb
 965  * code */
 966
 967 NTSTATUS kdc_hdb_ldb_create(TALLOC_CTX *mem_ctx,
 968                             krb5_context context, struct HDB **db, const char *arg)
 969 {
 970         NTSTATUS nt_status;
 971         struct auth_session_info *session_info;
 972         *db = talloc(mem_ctx, HDB);
 973         if (!*db) {
 974                 krb5_set_error_string(context, "malloc: out of memory");
 975                 return NT_STATUS_NO_MEMORY;
 976         }
 977
 978         (*db)->hdb_master_key_set = 0;
 979         (*db)->hdb_db = NULL;
 980
 981         nt_status = auth_system_session_info(*db, &session_info);
 982         if (!NT_STATUS_IS_OK(nt_status)) {
 983                 return nt_status;
 984         }
 985
 986         /* The idea here is very simple.  Using Kerberos to
 987          * authenticate the KDC to the LDAP server is higly likely to
 988          * be circular.
 989          *
 990          * In future we may set this up to use EXERNAL and SSL
 991          * certificates, for now it will almost certainly be NTLMSSP
 992         */
 993
 994         cli_credentials_set_kerberos_state(session_info->credentials,
 995                                            CRED_DONT_USE_KERBEROS);
 996
 997         /* Setup the link to LDB */
 998         (*db)->hdb_db = samdb_connect(*db, session_info);
 999         if ((*db)->hdb_db == NULL) {
1000                 DEBUG(1, ("hdb_ldb_create: Cannot open samdb for KDC backend!"));
1001                 return NT_STATUS_CANT_ACCESS_DOMAIN_INFO;
1002         }
1003
1004         (*db)->hdb_openp = 0;
1005         (*db)->hdb_open = LDB_open;
1006         (*db)->hdb_close = LDB_close;
1007         (*db)->hdb_fetch = LDB_fetch;
1008         (*db)->hdb_store = LDB_store;
1009         (*db)->hdb_remove = LDB_remove;
1010         (*db)->hdb_firstkey = LDB_firstkey;
1011         (*db)->hdb_nextkey = LDB_nextkey;
1012         (*db)->hdb_lock = LDB_lock;
1013         (*db)->hdb_unlock = LDB_unlock;
1014         (*db)->hdb_rename = LDB_rename;
1015         /* we don't implement these, as we are not a lockable database */
1016         (*db)->hdb__get = NULL;
1017         (*db)->hdb__put = NULL;
1018         /* kadmin should not be used for deletes - use other tools instead */
1019         (*db)->hdb__del = NULL;
1020         (*db)->hdb_destroy = LDB_destroy;
1021
1022         return NT_STATUS_OK;
1023 }
1024
1025 krb5_error_code hdb_ldb_create(krb5_context context, struct HDB **db, const char *arg)
1026 {
1027         NTSTATUS nt_status;
1028         /* The global kdc_mem_ctx, Disgusting, ugly hack, but it means one less private hook */
1029         nt_status = kdc_hdb_ldb_create(kdc_mem_ctx, context, db, arg);
1030
1031         if (NT_STATUS_IS_OK(nt_status)) {
1032                 return 0;
1033         }
1034         return EINVAL;
1035 }