a428a7f06878431429d0b0ebb7cba1807ce91268
[samba.git] / source / rpc_server / srv_sid.c
1 /* 
2    Unix SMB/Netbios implementation.
3    Version 1.9.
4    Samba utility functions
5    Copyright (C) Andrew Tridgell 1992-1998
6    
7    This program is free software; you can redistribute it and/or modify
8    it under the terms of the GNU General Public License as published by
9    the Free Software Foundation; either version 2 of the License, or
10    (at your option) any later version.
11    
12    This program is distributed in the hope that it will be useful,
13    but WITHOUT ANY WARRANTY; without even the implied warranty of
14    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15    GNU General Public License for more details.
16    
17    You should have received a copy of the GNU General Public License
18    along with this program; if not, write to the Free Software
19    Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
20 */
21
22 #include "includes.h"
23
24
25 extern int DEBUGLEVEL;
26 extern pstring scope;
27 extern pstring global_myname;
28
29 /*
30  * This is set on startup - it defines the SID for this
31  * machine, and therefore the SAM database for which it is
32  * responsible.
33  */
34
35 DOM_SID global_sam_sid;
36
37 /*
38  * This is the name associated with the SAM database for
39  * which this machine is responsible.  In the case of a PDC
40  * or PDC, this name is the same as the workgroup.  In the
41  * case of "security = domain" mode, this is the same as
42  * the name of the server (global_myname).
43  */
44
45 fstring global_sam_name; 
46
47 /*
48  * This is obtained on startup - it defines the SID for which
49  * this machine is a member.  It is therefore only set, and
50  * used, in "security = domain" mode.
51  */
52
53 DOM_SID global_member_sid;
54
55 /*
56  * note the lack of a "global_member_name" - this is because
57  * this is the same as "global_myworkgroup".
58  */
59
60 /*
61  * some useful sids
62  */
63
64 DOM_SID global_sid_S_1_5_20; /* local well-known domain */
65 DOM_SID global_sid_S_1_1;    /* everyone */
66 DOM_SID global_sid_S_1_3;    /* */
67 DOM_SID global_sid_S_1_5;    /* NT Authority */
68
69 extern fstring global_myworkgroup;
70 /* extern fstring global_member_dom_name; */
71
72 static struct sid_name_map_info
73 {
74         DOM_SID *sid;
75         char *name;
76
77 }
78 sid_name_map[] =
79 {
80         { &global_sid_S_1_5_20, "BUILTIN" },
81         { &global_sid_S_1_1   , "Everyone" },
82         { &global_sid_S_1_3   , "don't know" },
83         { &global_sid_S_1_5   , "NT Authority" },
84         { &global_sam_sid     , global_sam_name },
85         { &global_member_sid  , global_myworkgroup },
86         { NULL                 , NULL      }
87 };
88
89 /****************************************************************************
90  Read the machine SID from a file.
91 ****************************************************************************/
92
93 static BOOL read_sid_from_file(int fd, char *sid_file)
94 {   
95   fstring fline;
96         fstring sid_str;
97     
98   memset(fline, '\0', sizeof(fline));
99
100   if (read(fd, fline, sizeof(fline) -1 ) < 0) {
101     DEBUG(0,("unable to read file %s. Error was %s\n",
102            sid_file, strerror(errno) ));
103     return False;
104   }
105
106   /*
107    * Convert to the machine SID.
108    */
109
110   fline[sizeof(fline)-1] = '\0';
111   if (!string_to_sid( &global_sam_sid, fline)) {
112     DEBUG(0,("unable to generate machine SID.\n"));
113     return False;
114   }
115
116         sid_to_string(sid_str, &global_sam_sid);
117         DEBUG(5,("read_sid_from_file: sid %s\n", sid_str));
118
119   return True;
120 }
121
122 /****************************************************************************
123  sets up the name associated with the SAM database for which we are responsible
124 ****************************************************************************/
125 void get_sam_domain_name(void)
126 {
127         switch (lp_server_role())
128         {
129                 case ROLE_DOMAIN_PDC:
130                 case ROLE_DOMAIN_BDC:
131                 {
132                         /* we are PDC (or BDC) for a Domain */
133                         fstrcpy(global_sam_name, lp_workgroup());
134                         break;
135                 }
136                 case ROLE_DOMAIN_MEMBER:
137                 {
138                         /* we are a "PDC", but FOR LOCAL SAM DATABASE ONLY */
139                         fstrcpy(global_sam_name, global_myname);
140                         break;
141                 }
142                 default:
143                 {
144                         /* no domain role, probably due to "security = share" */
145                         memset(global_sam_name, 0, sizeof(global_sam_name));
146                         break;
147                 }
148         }
149 }
150
151 /****************************************************************************
152  obtain the sid from the PDC.  do some verification along the way...
153 ****************************************************************************/
154 BOOL get_member_domain_sid(void)
155 {
156         POLICY_HND pol;
157         fstring srv_name;
158         struct cli_state cli;
159         BOOL res = True;
160         DOM_SID sid3;
161         DOM_SID sid5;
162         fstring dom3;
163         fstring dom5;
164
165         switch (lp_server_role())
166         {
167                 case ROLE_DOMAIN_NONE:
168                 {
169                         ZERO_STRUCT(global_member_sid);
170                         return True;
171                 }
172                 case ROLE_DOMAIN_PDC:
173                 {
174                         sid_copy(&global_member_sid, &global_sam_sid);
175                         return True;
176                 }
177                 default:
178                 {
179                         /* member or BDC, we're going for connection to PDC */
180                         break;
181                 }
182         }
183
184         if (!cli_connect_serverlist(&cli, lp_passwordserver()))
185         {
186                 DEBUG(0,("get_member_domain_sid: unable to initialise client connection.\n"));
187                 return False;
188         }
189
190         /*
191          * Ok - we have an anonymous connection to the IPC$ share.
192          * Now start the NT Domain stuff :-).
193          */
194
195         fstrcpy(dom3, "");
196         fstrcpy(dom5, "");
197         ZERO_STRUCT(sid3);
198         ZERO_STRUCT(sid5);
199
200         fstrcpy(srv_name, "\\\\");
201         fstrcat(srv_name, global_myname);
202         strupper(srv_name);
203
204         /* open LSARPC session. */
205         res = res ? cli_nt_session_open(&cli, PIPE_LSARPC) : False;
206
207         /* lookup domain controller; receive a policy handle */
208         res = res ? do_lsa_open_policy(&cli, srv_name, &pol, False) : False;
209
210         /* send client info query, level 3.  receive domain name and sid */
211         res = res ? do_lsa_query_info_pol(&cli, &pol, 3, dom3, &sid3) : False;
212
213         /* send client info query, level 5.  receive domain name and sid */
214         res = res ? do_lsa_query_info_pol(&cli, &pol, 5, dom5, &sid5) : False;
215
216         /* close policy handle */
217         res = res ? do_lsa_close(&cli, &pol) : False;
218
219         /* close the session */
220         cli_nt_session_close(&cli);
221         cli_ulogoff(&cli);
222         cli_shutdown(&cli);
223
224         if (res)
225         {
226                 pstring sid;
227                 DEBUG(2,("LSA Query Info Policy\n"));
228                 sid_to_string(sid, &sid3);
229                 DEBUG(2,("Domain Member     - Domain: %s SID: %s\n", dom3, sid));
230                 sid_to_string(sid, &sid5);
231                 DEBUG(2,("Domain Controller - Domain: %s SID: %s\n", dom5, sid));
232
233                 if (!strequal(dom3, global_myworkgroup) ||
234                     !strequal(dom5, global_myworkgroup))
235                 {
236                         DEBUG(0,("get_member_domain_sid: %s is a DC for %s not %s\n",
237                                   cli.desthost, dom5, global_myworkgroup));
238                         res = False;
239                 }
240         }
241         else
242         {
243                 DEBUG(1,("lsa query info failed\n"));
244         }
245         if (!res)
246         {
247                 DEBUG(0,("get_member_domain_sid: unable to obtain Domain member SID\n"));
248         }
249         else
250         {
251                 /* this is a _lot_ of trouble to go to for just this info: */
252                 global_member_sid = sid5;
253         }
254
255         return res;
256 }
257
258 /****************************************************************************
259  creates some useful well known sids
260 ****************************************************************************/
261 void generate_wellknown_sids(void)
262 {
263         string_to_sid(&global_sid_S_1_5_20, "S-1-5-32");
264         string_to_sid(&global_sid_S_1_1   , "S-1-1"   );
265         string_to_sid(&global_sid_S_1_3   , "S-1-3"   );
266         string_to_sid(&global_sid_S_1_5   , "S-1-5"   );
267 }
268
269 /****************************************************************************
270  Generate the global machine sid. Look for the MACHINE.SID file first, if
271  not found then look in smb.conf and use it to create the MACHINE.SID file.
272 ****************************************************************************/
273 BOOL generate_sam_sid(void)
274 {
275         int fd;
276         int i;
277         char *p;
278         pstring sid_file;
279         fstring sid_string;
280         SMB_STRUCT_STAT st;
281         uchar raw_sid_data[12];
282
283         pstrcpy(sid_file, lp_smb_passwd_file());
284         p = strrchr(sid_file, '/');
285         if (p != NULL) {
286                 *++p = '\0';
287         }
288
289         if (!directory_exist(sid_file, NULL)) {
290                 if (dos_mkdir(sid_file, 0700) != 0) {
291                         DEBUG(0,("can't create private directory %s : %s\n",
292                                  sid_file, strerror(errno)));
293                         return False;
294                 }
295         }
296
297         pstrcat(sid_file, "MACHINE.SID");
298     
299         if ((fd = sys_open(sid_file, O_RDWR | O_CREAT, 0644)) == -1) {
300                 DEBUG(0,("unable to open or create file %s. Error was %s\n",
301                          sid_file, strerror(errno) ));
302                 return False;
303         } 
304   
305         /*
306          * Check if the file contains data.
307          */
308         
309         if (sys_fstat( fd, &st) < 0) {
310                 DEBUG(0,("unable to stat file %s. Error was %s\n",
311                          sid_file, strerror(errno) ));
312                 close(fd);
313                 return False;
314         } 
315   
316         if (st.st_size > 0) {
317                 /*
318                  * We have a valid SID - read it.
319                  */
320                 if (!read_sid_from_file( fd, sid_file)) {
321                         DEBUG(0,("unable to read file %s. Error was %s\n",
322                                  sid_file, strerror(errno) ));
323                         close(fd);
324                         return False;
325                 }
326                 close(fd);
327                 return True;
328         } 
329   
330         /*
331          * Generate the new sid data & turn it into a string.
332          */
333         generate_random_buffer( raw_sid_data, 12, True);
334                 
335         fstrcpy( sid_string, "S-1-5-21");
336         for( i = 0; i < 3; i++) {
337                 fstring tmp_string;
338                 slprintf( tmp_string, sizeof(tmp_string) - 1, "-%u", IVAL(raw_sid_data, i*4));
339                 fstrcat( sid_string, tmp_string);
340         }
341         
342         fstrcat(sid_string, "\n");
343         
344         /*
345          * Ensure our new SID is valid.
346          */
347         
348         if (!string_to_sid( &global_sam_sid, sid_string)) {
349                 DEBUG(0,("unable to generate machine SID.\n"));
350                 return False;
351         } 
352   
353         /*
354          * Do an exclusive blocking lock on the file.
355          */
356         
357         if (!do_file_lock( fd, 60, F_WRLCK)) {
358                 DEBUG(0,("unable to lock file %s. Error was %s\n",
359                          sid_file, strerror(errno) ));
360                 close(fd);
361                 return False;
362         } 
363   
364         /*
365          * At this point we have a blocking lock on the SID
366          * file - check if in the meantime someone else wrote
367          * SID data into the file. If so - they were here first,
368          * use their data.
369          */
370         
371         if (sys_fstat( fd, &st) < 0) {
372                 DEBUG(0,("unable to stat file %s. Error was %s\n",
373                          sid_file, strerror(errno) ));
374                 close(fd);
375                 return False;
376         } 
377   
378         if (st.st_size > 0) {
379                 /*
380                  * Unlock as soon as possible to reduce
381                  * contention on the exclusive lock.
382                  */ 
383                 do_file_lock( fd, 60, F_UNLCK);
384                 
385                 /*
386                  * We have a valid SID - read it.
387                  */
388                 
389                 if (!read_sid_from_file( fd, sid_file)) {
390                         DEBUG(0,("unable to read file %s. Error was %s\n",
391                                  sid_file, strerror(errno) ));
392                         close(fd);
393                         return False;
394                 }
395                 close(fd);
396                 return True;
397         } 
398         
399         /*
400          * The file is still empty and we have an exlusive lock on it.
401          * Write out out SID data into the file.
402          */
403         
404         if (fchmod(fd, 0644) < 0) {
405                 DEBUG(0,("unable to set correct permissions on file %s. \
406 Error was %s\n", sid_file, strerror(errno) ));
407                 close(fd);
408                 return False;
409         } 
410         
411         if (write( fd, sid_string, strlen(sid_string)) != strlen(sid_string)) {
412                 DEBUG(0,("unable to write file %s. Error was %s\n",
413                          sid_file, strerror(errno) ));
414                 close(fd);
415                 return False;
416         } 
417         
418         /*
419          * Unlock & exit.
420          */
421         
422         do_file_lock( fd, 60, F_UNLCK);
423         close(fd);
424         return True;
425 }   
426
427 /**************************************************************************
428  turns a domain name into a SID.
429
430  *** side-effect: if the domain name is NULL, it is set to our domain ***
431
432 ***************************************************************************/
433 BOOL map_domain_name_to_sid(DOM_SID *sid, char **nt_domain)
434 {
435         if (nt_domain == NULL)
436         {
437                 *sid = global_sam_sid;
438                 return True;
439         }
440
441         if ((*nt_domain) == NULL)
442         {
443                 DEBUG(5,("map_domain_name_to_sid: overriding NULL name to %s\n",
444                           global_sam_name));
445                 (*nt_domain) = strdup(global_sam_name);
446                 sid_copy(sid, &global_sam_sid);
447                 return True;
448         }
449
450         if ((*nt_domain)[0] == 0)
451         {
452                 DEBUG(5,("map_domain_name_to_sid: overriding blank name to %s\n",
453                           global_sam_name));
454                 free(*nt_domain);
455                 (*nt_domain) = strdup(global_sam_name);
456                 sid_copy(sid, &global_sam_sid);
457                 return True;
458         }
459
460         if (strequal((*nt_domain), global_sam_name))
461         {
462                 sid_copy(sid, &global_sam_sid);
463                 return True;
464         }
465
466         DEBUG(0,("map_domain_name_to_sid: mapping to %s NOT IMPLEMENTED\n",
467                   (*nt_domain)));
468         return False;
469 }
470
471 /**************************************************************************
472  turns a domain SID into a name.
473
474 ***************************************************************************/
475 BOOL map_domain_sid_to_name(DOM_SID *sid, char *nt_domain)
476 {
477         fstring sid_str;
478         int i = 0;
479         sid_to_string(sid_str, sid);
480
481         DEBUG(5,("map_domain_sid_to_name: %s\n", sid_str));
482
483         if (nt_domain == NULL)
484         {
485                 return False;
486         }
487
488         while (sid_name_map[i].sid != NULL)
489         {
490                 sid_to_string(sid_str, sid_name_map[i].sid);
491                 DEBUG(5,("compare: %s\n", sid_str));
492                 if (sid_equal(sid_name_map[i].sid, sid))
493                 {
494                         fstrcpy(nt_domain, sid_name_map[i].name);
495                         DEBUG(5,("found %s\n", nt_domain));
496                         return True;
497                 }
498                 i++;
499         }
500
501         DEBUG(0,("map_domain_sid_to_name: mapping NOT IMPLEMENTED\n"));
502
503         return False;
504 }
505
506 /**************************************************************************
507  splits a name of format \DOMAIN\name into its two components.
508  sets the DOMAIN name to global_sam_name if it has not been specified.
509 ***************************************************************************/
510 BOOL split_domain_name(char *fullname, char *domain, char *name)
511 {
512         fstring full_name;
513         char *p;
514
515         if (fullname == NULL || domain == NULL || name == NULL)
516         {
517                 return False;
518         }
519
520         if (fullname[0] == '\\')
521         {
522                 fullname++;
523         }
524         fstrcpy(full_name, fullname);
525         p = strchr(full_name+1, '\\');
526
527         if (p != NULL)
528         {
529                 *p = 0;
530                 fstrcpy(domain, full_name);
531                 fstrcpy(name, p+1);
532         }
533         else
534         {
535                 fstrcpy(domain, global_sam_name);
536                 fstrcpy(name, full_name);
537         }
538
539         DEBUG(5,("name '%s' split into '\\%s\\%s'\n", fullname, domain, name));
540         return True;
541 }