source3/utils/net_sam.c

   1 /*
   2  *  Unix SMB/CIFS implementation.
   3  *  Local SAM access routines
   4  *  Copyright (C) Volker Lendecke 2006
   5  *
   6  *  This program is free software; you can redistribute it and/or modify
   7  *  it under the terms of the GNU General Public License as published by
   8  *  the Free Software Foundation; either version 2 of the License, or
   9  *  (at your option) any later version.
  10  *
  11  *  This program is distributed in the hope that it will be useful,
  12  *  but WITHOUT ANY WARRANTY; without even the implied warranty of
  13  *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14  *  GNU General Public License for more details.
  15  *
  16  *  You should have received a copy of the GNU General Public License
  17  *  along with this program; if not, write to the Free Software
  18  *  Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
  19  */
  20
  21
  22 #include "includes.h"
  23 #include "utils/net.h"
  24
  25 /*
  26  * Set a user's data
  27  */
  28
  29 static int net_sam_userset(int argc, const char **argv, const char *field,
  30                            BOOL (*fn)(struct samu *, const char *,
  31                                       enum pdb_value_state))
  32 {
  33         struct samu *sam_acct = NULL;
  34         DOM_SID sid;
  35         enum lsa_SidType type;
  36         const char *dom, *name;
  37         NTSTATUS status;
  38
  39         if (argc != 2) {
  40                 d_fprintf(stderr, "usage: net sam set %s <user> <value>\n",
  41                           field);
  42                 return -1;
  43         }
  44
  45         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
  46                          &dom, &name, &sid, &type)) {
  47                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
  48                 return -1;
  49         }
  50
  51         if (type != SID_NAME_USER) {
  52                 d_fprintf(stderr, "%s is a %s, not a user\n", argv[0],
  53                           sid_type_lookup(type));
  54                 return -1;
  55         }
  56
  57         if ( !(sam_acct = samu_new( NULL )) ) {
  58                 d_fprintf(stderr, "Internal error\n");
  59                 return -1;
  60         }
  61
  62         if (!pdb_getsampwsid(sam_acct, &sid)) {
  63                 d_fprintf(stderr, "Loading user %s failed\n", argv[0]);
  64                 return -1;
  65         }
  66
  67         if (!fn(sam_acct, argv[1], PDB_CHANGED)) {
  68                 d_fprintf(stderr, "Internal error\n");
  69                 return -1;
  70         }
  71
  72         status = pdb_update_sam_account(sam_acct);
  73         if (!NT_STATUS_IS_OK(status)) {
  74                 d_fprintf(stderr, "Updating sam account %s failed with %s\n",
  75                           argv[0], nt_errstr(status));
  76                 return -1;
  77         }
  78
  79         TALLOC_FREE(sam_acct);
  80
  81         d_printf("Updated %s for %s\\%s to %s\n", field, dom, name, argv[1]);
  82         return 0;
  83 }
  84
  85 static int net_sam_set_fullname(int argc, const char **argv)
  86 {
  87         return net_sam_userset(argc, argv, "fullname",
  88                                pdb_set_fullname);
  89 }
  90
  91 static int net_sam_set_logonscript(int argc, const char **argv)
  92 {
  93         return net_sam_userset(argc, argv, "logonscript",
  94                                pdb_set_logon_script);
  95 }
  96
  97 static int net_sam_set_profilepath(int argc, const char **argv)
  98 {
  99         return net_sam_userset(argc, argv, "profilepath",
 100                                pdb_set_profile_path);
 101 }
 102
 103 static int net_sam_set_homedrive(int argc, const char **argv)
 104 {
 105         return net_sam_userset(argc, argv, "homedrive",
 106                                pdb_set_dir_drive);
 107 }
 108
 109 static int net_sam_set_homedir(int argc, const char **argv)
 110 {
 111         return net_sam_userset(argc, argv, "homedir",
 112                                pdb_set_homedir);
 113 }
 114
 115 static int net_sam_set_workstations(int argc, const char **argv)
 116 {
 117         return net_sam_userset(argc, argv, "workstations",
 118                                pdb_set_workstations);
 119 }
 120
 121 /*
 122  * Set account flags
 123  */
 124
 125 static int net_sam_set_userflag(int argc, const char **argv, const char *field,
 126                                 uint16 flag)
 127 {
 128         struct samu *sam_acct = NULL;
 129         DOM_SID sid;
 130         enum lsa_SidType type;
 131         const char *dom, *name;
 132         NTSTATUS status;
 133         uint16 acct_flags;
 134
 135         if ((argc != 2) || (!strequal(argv[1], "yes") &&
 136                             !strequal(argv[1], "no"))) {
 137                 d_fprintf(stderr, "usage: net sam set %s <user> [yes|no]\n",
 138                           field);
 139                 return -1;
 140         }
 141
 142         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 143                          &dom, &name, &sid, &type)) {
 144                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 145                 return -1;
 146         }
 147
 148         if (type != SID_NAME_USER) {
 149                 d_fprintf(stderr, "%s is a %s, not a user\n", argv[0],
 150                           sid_type_lookup(type));
 151                 return -1;
 152         }
 153
 154         if ( !(sam_acct = samu_new( NULL )) ) {
 155                 d_fprintf(stderr, "Internal error\n");
 156                 return -1;
 157         }
 158
 159         if (!pdb_getsampwsid(sam_acct, &sid)) {
 160                 d_fprintf(stderr, "Loading user %s failed\n", argv[0]);
 161                 return -1;
 162         }
 163
 164         acct_flags = pdb_get_acct_ctrl(sam_acct);
 165
 166         if (strequal(argv[1], "yes")) {
 167                 acct_flags |= flag;
 168         } else {
 169                 acct_flags &= ~flag;
 170         }
 171
 172         pdb_set_acct_ctrl(sam_acct, acct_flags, PDB_CHANGED);
 173
 174         status = pdb_update_sam_account(sam_acct);
 175         if (!NT_STATUS_IS_OK(status)) {
 176                 d_fprintf(stderr, "Updating sam account %s failed with %s\n",
 177                           argv[0], nt_errstr(status));
 178                 return -1;
 179         }
 180
 181         TALLOC_FREE(sam_acct);
 182
 183         d_fprintf(stderr, "Updated flag %s for %s\\%s to %s\n", field, dom,
 184                   name, argv[1]);
 185         return 0;
 186 }
 187
 188 static int net_sam_set_disabled(int argc, const char **argv)
 189 {
 190         return net_sam_set_userflag(argc, argv, "disabled", ACB_DISABLED);
 191 }
 192
 193 static int net_sam_set_pwnotreq(int argc, const char **argv)
 194 {
 195         return net_sam_set_userflag(argc, argv, "pwnotreq", ACB_PWNOTREQ);
 196 }
 197
 198 static int net_sam_set_autolock(int argc, const char **argv)
 199 {
 200         return net_sam_set_userflag(argc, argv, "autolock", ACB_AUTOLOCK);
 201 }
 202
 203 static int net_sam_set_pwnoexp(int argc, const char **argv)
 204 {
 205         return net_sam_set_userflag(argc, argv, "pwnoexp", ACB_PWNOEXP);
 206 }
 207
 208 /*
 209  * Set pass last change time, based on force pass change now
 210  */
 211
 212 static int net_sam_set_pwdmustchangenow(int argc, const char **argv)
 213 {
 214         struct samu *sam_acct = NULL;
 215         DOM_SID sid;
 216         enum lsa_SidType type;
 217         const char *dom, *name;
 218         NTSTATUS status;
 219
 220         if ((argc != 2) || (!strequal(argv[1], "yes") &&
 221                             !strequal(argv[1], "no"))) {
 222                 d_fprintf(stderr, "usage: net sam set pwdmustchangenow <user> [yes|no]\n");
 223                 return -1;
 224         }
 225
 226         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 227                          &dom, &name, &sid, &type)) {
 228                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 229                 return -1;
 230         }
 231
 232         if (type != SID_NAME_USER) {
 233                 d_fprintf(stderr, "%s is a %s, not a user\n", argv[0],
 234                           sid_type_lookup(type));
 235                 return -1;
 236         }
 237
 238         if ( !(sam_acct = samu_new( NULL )) ) {
 239                 d_fprintf(stderr, "Internal error\n");
 240                 return -1;
 241         }
 242
 243         if (!pdb_getsampwsid(sam_acct, &sid)) {
 244                 d_fprintf(stderr, "Loading user %s failed\n", argv[0]);
 245                 return -1;
 246         }
 247
 248         if (strequal(argv[1], "yes")) {
 249                 pdb_set_pass_last_set_time(sam_acct, 0, PDB_CHANGED);
 250         } else {
 251                 pdb_set_pass_last_set_time(sam_acct, time(NULL), PDB_CHANGED);
 252         }
 253
 254         status = pdb_update_sam_account(sam_acct);
 255         if (!NT_STATUS_IS_OK(status)) {
 256                 d_fprintf(stderr, "Updating sam account %s failed with %s\n",
 257                           argv[0], nt_errstr(status));
 258                 return -1;
 259         }
 260
 261         TALLOC_FREE(sam_acct);
 262
 263         d_fprintf(stderr, "Updated 'user must change password at next logon' for %s\\%s to %s\n", dom,
 264                   name, argv[1]);
 265         return 0;
 266 }
 267
 268
 269 /*
 270  * Set a user's or a group's comment
 271  */
 272
 273 static int net_sam_set_comment(int argc, const char **argv)
 274 {
 275         GROUP_MAP map;
 276         DOM_SID sid;
 277         enum lsa_SidType type;
 278         const char *dom, *name;
 279         NTSTATUS status;
 280
 281         if (argc != 2) {
 282                 d_fprintf(stderr, "usage: net sam set comment <name> "
 283                           "<comment>\n");
 284                 return -1;
 285         }
 286
 287         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 288                          &dom, &name, &sid, &type)) {
 289                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 290                 return -1;
 291         }
 292
 293         if (type == SID_NAME_USER) {
 294                 return net_sam_userset(argc, argv, "comment",
 295                                        pdb_set_acct_desc);
 296         }
 297
 298         if ((type != SID_NAME_DOM_GRP) && (type != SID_NAME_ALIAS) &&
 299             (type != SID_NAME_WKN_GRP)) {
 300                 d_fprintf(stderr, "%s is a %s, not a group\n", argv[0],
 301                           sid_type_lookup(type));
 302                 return -1;
 303         }
 304
 305         if (!pdb_getgrsid(&map, sid)) {
 306                 d_fprintf(stderr, "Could not load group %s\n", argv[0]);
 307                 return -1;
 308         }
 309
 310         fstrcpy(map.comment, argv[1]);
 311
 312         status = pdb_update_group_mapping_entry(&map);
 313
 314         if (!NT_STATUS_IS_OK(status)) {
 315                 d_fprintf(stderr, "Updating group mapping entry failed with "
 316                           "%s\n", nt_errstr(status));
 317                 return -1;
 318         }
 319
 320         d_printf("Updated comment of group %s\\%s to %s\n", dom, name,
 321                  argv[1]);
 322
 323         return 0;
 324 }
 325
 326 static int net_sam_set(int argc, const char **argv)
 327 {
 328         struct functable2 func[] = {
 329                 { "homedir", net_sam_set_homedir,
 330                   "Change a user's home directory" },
 331                 { "profilepath", net_sam_set_profilepath,
 332                   "Change a user's profile path" },
 333                 { "comment", net_sam_set_comment,
 334                   "Change a users or groups description" },
 335                 { "fullname", net_sam_set_fullname,
 336                   "Change a user's full name" },
 337                 { "logonscript", net_sam_set_logonscript,
 338                   "Change a user's logon script" },
 339                 { "homedrive", net_sam_set_homedrive,
 340                   "Change a user's home drive" },
 341                 { "workstations", net_sam_set_workstations,
 342                   "Change a user's allowed workstations" },
 343                 { "disabled", net_sam_set_disabled,
 344                   "Disable/Enable a user" },
 345                 { "pwnotreq", net_sam_set_pwnotreq,
 346                   "Disable/Enable the password not required flag" },
 347                 { "autolock", net_sam_set_autolock,
 348                   "Disable/Enable a user's lockout flag" },
 349                 { "pwnoexp", net_sam_set_pwnoexp,
 350                   "Disable/Enable whether a user's pw does not expire" },
 351                 { "pwdmustchangenow", net_sam_set_pwdmustchangenow,
 352                   "Force users password must change at next logon" },
 353                 {NULL, NULL}
 354         };
 355
 356         return net_run_function2(argc, argv, "net sam set", func);
 357 }
 358
 359 /*
 360  * Manage account policies
 361  */
 362
 363 static int net_sam_policy_set(int argc, const char **argv)
 364 {
 365         const char *account_policy = NULL;
 366         uint32 value, old_value;
 367         int field;
 368         char *endptr;
 369
 370         if (argc != 2) {
 371                 d_fprintf(stderr, "usage: net sam policy set "
 372                           "\"<account policy>\" <value> \n");
 373                 return -1;
 374         }
 375
 376         account_policy = argv[0];
 377         field = account_policy_name_to_fieldnum(account_policy);
 378
 379         if (strequal(argv[1], "forever") || strequal(argv[1], "never")
 380             || strequal(argv[1], "off")) {
 381                 value = -1;
 382         }
 383         else {
 384                 value = strtoul(argv[1], &endptr, 10);
 385
 386                 if ((endptr == argv[1]) || (endptr[0] != '\0')) {
 387                         d_printf("Unable to set policy \"%s\"! Invalid value "
 388                                  "\"%s\".\n",
 389                                  account_policy, argv[1]);
 390                         return -1;
 391                 }
 392         }
 393
 394         if (field == 0) {
 395                 const char **names;
 396                 int i, count;
 397
 398                 account_policy_names_list(&names, &count);
 399                 d_fprintf(stderr, "No account policy \"%s\"!\n\n", argv[0]);
 400                 d_fprintf(stderr, "Valid account policies are:\n");
 401
 402                 for (i=0; i<count; i++) {
 403                         d_fprintf(stderr, "%s\n", names[i]);
 404                 }
 405
 406                 SAFE_FREE(names);
 407                 return -1;
 408         }
 409
 410         if (!pdb_get_account_policy(field, &old_value)) {
 411                 d_fprintf(stderr, "Valid account policy, but unable to fetch "
 412                           "value!\n");
 413         }
 414
 415         if (!pdb_set_account_policy(field, value)) {
 416                 d_fprintf(stderr, "Valid account policy, but unable to "
 417                           "set value!\n");
 418                 return -1;
 419         }
 420
 421         d_printf("Account policy \"%s\" value was: %d\n", account_policy,
 422                  old_value);
 423
 424         d_printf("Account policy \"%s\" value is now: %d\n", account_policy,
 425                  value);
 426         return 0;
 427 }
 428
 429 static int net_sam_policy_show(int argc, const char **argv)
 430 {
 431         const char *account_policy = NULL;
 432         uint32 old_value;
 433         int field;
 434
 435         if (argc != 1) {
 436                 d_fprintf(stderr, "usage: net sam policy show"
 437                           " \"<account policy>\" \n");
 438                 return -1;
 439         }
 440
 441         account_policy = argv[0];
 442         field = account_policy_name_to_fieldnum(account_policy);
 443
 444         if (field == 0) {
 445                 const char **names;
 446                 int count;
 447                 int i;
 448                 account_policy_names_list(&names, &count);
 449                 d_fprintf(stderr, "No account policy by that name!\n");
 450                 if (count != 0) {
 451                         d_fprintf(stderr, "Valid account policies "
 452                                   "are:\n");
 453                         for (i=0; i<count; i++) {
 454                                 d_fprintf(stderr, "%s\n", names[i]);
 455                         }
 456                 }
 457                 SAFE_FREE(names);
 458                 return -1;
 459         }
 460
 461         if (!pdb_get_account_policy(field, &old_value)) {
 462                 fprintf(stderr, "Valid account policy, but unable to "
 463                         "fetch value!\n");
 464                 return -1;
 465         }
 466
 467         printf("Account policy \"%s\" description: %s\n",
 468                account_policy, account_policy_get_desc(field));
 469         printf("Account policy \"%s\" value is: %d\n", account_policy,
 470                old_value);
 471         return 0;
 472 }
 473
 474 static int net_sam_policy_list(int argc, const char **argv)
 475 {
 476         const char **names;
 477         int count;
 478         int i;
 479         account_policy_names_list(&names, &count);
 480         if (count != 0) {
 481                 d_fprintf(stderr, "Valid account policies "
 482                           "are:\n");
 483                 for (i = 0; i < count ; i++) {
 484                         d_fprintf(stderr, "%s\n", names[i]);
 485                 }
 486         }
 487         SAFE_FREE(names);
 488         return -1;
 489 }
 490
 491 static int net_sam_policy(int argc, const char **argv)
 492 {
 493         struct functable2 func[] = {
 494                 { "list", net_sam_policy_list,
 495                   "List account policies" },
 496                 { "show", net_sam_policy_show,
 497                   "Show account policies" },
 498                 { "set", net_sam_policy_set,
 499                   "Change account policies" },
 500                 {NULL, NULL}
 501         };
 502
 503         return net_run_function2(argc, argv, "net sam policy", func);
 504 }
 505
 506 /*
 507  * Map a unix group to a domain group
 508  */
 509
 510 static int net_sam_mapunixgroup(int argc, const char **argv)
 511 {
 512         NTSTATUS status;
 513         GROUP_MAP map;
 514         struct group *grp;
 515
 516         if (argc != 1) {
 517                 d_fprintf(stderr, "usage: net sam mapunixgroup <name>\n");
 518                 return -1;
 519         }
 520
 521         grp = getgrnam(argv[0]);
 522         if (grp == NULL) {
 523                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 524                 return -1;
 525         }
 526
 527         status = map_unix_group(grp, &map);
 528
 529         if (!NT_STATUS_IS_OK(status)) {
 530                 d_fprintf(stderr, "Mapping group %s failed with %s\n",
 531                           argv[0], nt_errstr(status));
 532                 return -1;
 533         }
 534
 535         d_printf("Mapped unix group %s to SID %s\n", argv[0],
 536                  sid_string_static(&map.sid));
 537
 538         return 0;
 539 }
 540
 541 /*
 542  * Create a local group
 543  */
 544
 545 static int net_sam_createlocalgroup(int argc, const char **argv)
 546 {
 547         NTSTATUS status;
 548         uint32 rid;
 549
 550         if (argc != 1) {
 551                 d_fprintf(stderr, "usage: net sam createlocalgroup <name>\n");
 552                 return -1;
 553         }
 554
 555         if (!winbind_ping()) {
 556                 d_fprintf(stderr, "winbind seems not to run. createlocalgroup "
 557                           "only works when winbind runs.\n");
 558                 return -1;
 559         }
 560
 561         status = pdb_create_alias(argv[0], &rid);
 562
 563         if (!NT_STATUS_IS_OK(status)) {
 564                 d_fprintf(stderr, "Creating %s failed with %s\n",
 565                           argv[0], nt_errstr(status));
 566                 return -1;
 567         }
 568
 569         d_printf("Created local group %s with RID %d\n", argv[0], rid);
 570
 571         return 0;
 572 }
 573
 574 /*
 575  * Delete a local group
 576  */
 577
 578 static int net_sam_deletelocalgroup(int argc, const char **argv)
 579 {
 580         DOM_SID sid;
 581         enum lsa_SidType type;
 582         const char *dom, *name;
 583         int ret;
 584
 585         if (argc != 1) {
 586                 d_fprintf(stderr, "usage: net sam deletelocalgroup <name>\n");
 587                 return -1;
 588         }
 589
 590         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 591                          &dom, &name, &sid, &type)) {
 592                 d_fprintf(stderr, "Could not find name %s.\n", argv[0]);
 593                 return -1;
 594         }
 595
 596         if (type != SID_NAME_ALIAS) {
 597                 d_fprintf(stderr, "%s is a %s, not a local group.\n", argv[0],
 598                           sid_type_lookup(type));
 599                 return -1;
 600         }
 601
 602         ret = pdb_delete_alias(&sid);
 603
 604         if ( !ret ) {
 605                 d_fprintf(stderr, "Could not delete local group %s.\n", argv[0]);
 606                 return -1;
 607         }
 608
 609         d_printf("Deleted local group %s.\n", argv[0]);
 610
 611         return 0;
 612 }
 613
 614 /*
 615  * Create a local group
 616  */
 617
 618 static int net_sam_createbuiltingroup(int argc, const char **argv)
 619 {
 620         NTSTATUS status;
 621         uint32 rid;
 622         enum lsa_SidType type;
 623         fstring groupname;
 624         DOM_SID sid;
 625
 626         if (argc != 1) {
 627                 d_fprintf(stderr, "usage: net sam createbuiltingroup <name>\n");
 628                 return -1;
 629         }
 630
 631         if (!winbind_ping()) {
 632                 d_fprintf(stderr, "winbind seems not to run. createlocalgroup "
 633                           "only works when winbind runs.\n");
 634                 return -1;
 635         }
 636
 637         /* validate the name and get the group */
 638
 639         fstrcpy( groupname, "BUILTIN\\" );
 640         fstrcat( groupname, argv[0] );
 641
 642         if ( !lookup_name(tmp_talloc_ctx(), groupname, LOOKUP_NAME_ALL, NULL,
 643                           NULL, &sid, &type)) {
 644                 d_fprintf(stderr, "%s is not a BUILTIN group\n", argv[0]);
 645                 return -1;
 646         }
 647
 648         if ( !sid_peek_rid( &sid, &rid ) ) {
 649                 d_fprintf(stderr, "Failed to get RID for %s\n", argv[0]);
 650                 return -1;
 651         }
 652
 653         status = pdb_create_builtin_alias( rid );
 654
 655         if (!NT_STATUS_IS_OK(status)) {
 656                 d_fprintf(stderr, "Creating %s failed with %s\n",
 657                           argv[0], nt_errstr(status));
 658                 return -1;
 659         }
 660
 661         d_printf("Created BUILTIN group %s with RID %d\n", argv[0], rid);
 662
 663         return 0;
 664 }
 665
 666 /*
 667  * Add a group member
 668  */
 669
 670 static int net_sam_addmem(int argc, const char **argv)
 671 {
 672         const char *groupdomain, *groupname, *memberdomain, *membername;
 673         DOM_SID group, member;
 674         enum lsa_SidType grouptype, membertype;
 675         NTSTATUS status;
 676
 677         if (argc != 2) {
 678                 d_fprintf(stderr, "usage: net sam addmem <group> <member>\n");
 679                 return -1;
 680         }
 681
 682         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 683                          &groupdomain, &groupname, &group, &grouptype)) {
 684                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 685                 return -1;
 686         }
 687
 688         /* check to see if the member to be added is a name or a SID */
 689
 690         if (!lookup_name(tmp_talloc_ctx(), argv[1], LOOKUP_NAME_ISOLATED,
 691                          &memberdomain, &membername, &member, &membertype))
 692         {
 693                 /* try it as a SID */
 694
 695                 if ( !string_to_sid( &member, argv[1] ) ) {
 696                         d_fprintf(stderr, "Could not find member %s\n", argv[1]);
 697                         return -1;
 698                 }
 699
 700                 if ( !lookup_sid(tmp_talloc_ctx(), &member, &memberdomain,
 701                         &membername, &membertype) )
 702                 {
 703                         d_fprintf(stderr, "Could not resolve SID %s\n", argv[1]);
 704                         return -1;
 705                 }
 706         }
 707
 708         if ((grouptype == SID_NAME_ALIAS) || (grouptype == SID_NAME_WKN_GRP)) {
 709                 if ((membertype != SID_NAME_USER) &&
 710                     (membertype != SID_NAME_DOM_GRP)) {
 711                         d_fprintf(stderr, "%s is a local group, only users "
 712                                   "and domain groups can be added.\n"
 713                                   "%s is a %s\n", argv[0], argv[1],
 714                                   sid_type_lookup(membertype));
 715                         return -1;
 716                 }
 717                 status = pdb_add_aliasmem(&group, &member);
 718
 719                 if (!NT_STATUS_IS_OK(status)) {
 720                         d_fprintf(stderr, "Adding local group member failed "
 721                                   "with %s\n", nt_errstr(status));
 722                         return -1;
 723                 }
 724         } else {
 725                 d_fprintf(stderr, "Can only add members to local groups so "
 726                           "far, %s is a %s\n", argv[0],
 727                           sid_type_lookup(grouptype));
 728                 return -1;
 729         }
 730
 731         d_printf("Added %s\\%s to %s\\%s\n", memberdomain, membername,
 732                 groupdomain, groupname);
 733
 734         return 0;
 735 }
 736
 737 /*
 738  * Delete a group member
 739  */
 740
 741 static int net_sam_delmem(int argc, const char **argv)
 742 {
 743         const char *groupdomain, *groupname;
 744         const char *memberdomain = NULL;
 745         const char *membername = NULL;
 746         DOM_SID group, member;
 747         enum lsa_SidType grouptype;
 748         NTSTATUS status;
 749
 750         if (argc != 2) {
 751                 d_fprintf(stderr, "usage: net sam delmem <group> <member>\n");
 752                 return -1;
 753         }
 754
 755         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 756                          &groupdomain, &groupname, &group, &grouptype)) {
 757                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 758                 return -1;
 759         }
 760
 761         if (!lookup_name(tmp_talloc_ctx(), argv[1], LOOKUP_NAME_ISOLATED,
 762                          &memberdomain, &membername, &member, NULL)) {
 763                 if (!string_to_sid(&member, argv[1])) {
 764                         d_fprintf(stderr, "Could not find member %s\n",
 765                                   argv[1]);
 766                         return -1;
 767                 }
 768         }
 769
 770         if ((grouptype == SID_NAME_ALIAS) ||
 771             (grouptype == SID_NAME_WKN_GRP)) {
 772                 status = pdb_del_aliasmem(&group, &member);
 773
 774                 if (!NT_STATUS_IS_OK(status)) {
 775                         d_fprintf(stderr, "Deleting local group member failed "
 776                                   "with %s\n", nt_errstr(status));
 777                         return -1;
 778                 }
 779         } else {
 780                 d_fprintf(stderr, "Can only delete members from local groups "
 781                           "so far, %s is a %s\n", argv[0],
 782                           sid_type_lookup(grouptype));
 783                 return -1;
 784         }
 785
 786         if (membername != NULL) {
 787                 d_printf("Deleted %s\\%s from %s\\%s\n",
 788                          memberdomain, membername, groupdomain, groupname);
 789         } else {
 790                 d_printf("Deleted %s from %s\\%s\n",
 791                          sid_string_static(&member), groupdomain, groupname);
 792         }
 793
 794         return 0;
 795 }
 796
 797 /*
 798  * List group members
 799  */
 800
 801 static int net_sam_listmem(int argc, const char **argv)
 802 {
 803         const char *groupdomain, *groupname;
 804         DOM_SID group;
 805         enum lsa_SidType grouptype;
 806         NTSTATUS status;
 807
 808         if (argc != 1) {
 809                 d_fprintf(stderr, "usage: net sam listmem <group>\n");
 810                 return -1;
 811         }
 812
 813         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 814                          &groupdomain, &groupname, &group, &grouptype)) {
 815                 d_fprintf(stderr, "Could not find group %s\n", argv[0]);
 816                 return -1;
 817         }
 818
 819         if ((grouptype == SID_NAME_ALIAS) ||
 820             (grouptype == SID_NAME_WKN_GRP)) {
 821                 DOM_SID *members = NULL;
 822                 size_t i, num_members = 0;
 823
 824                 status = pdb_enum_aliasmem(&group, &members, &num_members);
 825
 826                 if (!NT_STATUS_IS_OK(status)) {
 827                         d_fprintf(stderr, "Listing group members failed with "
 828                                   "%s\n", nt_errstr(status));
 829                         return -1;
 830                 }
 831
 832                 d_printf("%s\\%s has %u members\n", groupdomain, groupname,
 833                          (unsigned int)num_members);
 834                 for (i=0; i<num_members; i++) {
 835                         const char *dom, *name;
 836                         if (lookup_sid(tmp_talloc_ctx(), &members[i],
 837                                        &dom, &name, NULL)) {
 838                                 d_printf(" %s\\%s\n", dom, name);
 839                         } else {
 840                                 d_printf(" %s\n",
 841                                          sid_string_static(&members[i]));
 842                         }
 843                 }
 844         } else {
 845                 d_fprintf(stderr, "Can only list local group members so far.\n"
 846                           "%s is a %s\n", argv[0], sid_type_lookup(grouptype));
 847                 return -1;
 848         }
 849
 850         return 0;
 851 }
 852
 853 /*
 854  * Do the listing
 855  */
 856 static int net_sam_do_list(int argc, const char **argv,
 857                            struct pdb_search *search, const char *what)
 858 {
 859         BOOL verbose = (argc == 1);
 860
 861         if ((argc > 1) ||
 862             ((argc == 1) && !strequal(argv[0], "verbose"))) {
 863                 d_fprintf(stderr, "usage: net sam list %s [verbose]\n", what);
 864                 return -1;
 865         }
 866
 867         if (search == NULL) {
 868                 d_fprintf(stderr, "Could not start search\n");
 869                 return -1;
 870         }
 871
 872         while (True) {
 873                 struct samr_displayentry entry;
 874                 if (!search->next_entry(search, &entry)) {
 875                         break;
 876                 }
 877                 if (verbose) {
 878                         d_printf("%s:%d:%s\n",
 879                                  entry.account_name,
 880                                  entry.rid,
 881                                  entry.description);
 882                 } else {
 883                         d_printf("%s\n", entry.account_name);
 884                 }
 885         }
 886
 887         search->search_end(search);
 888         return 0;
 889 }
 890
 891 static int net_sam_list_users(int argc, const char **argv)
 892 {
 893         return net_sam_do_list(argc, argv, pdb_search_users(ACB_NORMAL),
 894                                "users");
 895 }
 896
 897 static int net_sam_list_groups(int argc, const char **argv)
 898 {
 899         return net_sam_do_list(argc, argv, pdb_search_groups(), "groups");
 900 }
 901
 902 static int net_sam_list_localgroups(int argc, const char **argv)
 903 {
 904         return net_sam_do_list(argc, argv,
 905                                pdb_search_aliases(get_global_sam_sid()),
 906                                "localgroups");
 907 }
 908
 909 static int net_sam_list_builtin(int argc, const char **argv)
 910 {
 911         return net_sam_do_list(argc, argv,
 912                                pdb_search_aliases(&global_sid_Builtin),
 913                                "builtin");
 914 }
 915
 916 static int net_sam_list_workstations(int argc, const char **argv)
 917 {
 918         return net_sam_do_list(argc, argv,
 919                                pdb_search_users(ACB_WSTRUST),
 920                                "workstations");
 921 }
 922
 923 /*
 924  * List stuff
 925  */
 926
 927 static int net_sam_list(int argc, const char **argv)
 928 {
 929         struct functable2 func[] = {
 930                 { "users", net_sam_list_users,
 931                   "List SAM users" },
 932                 { "groups", net_sam_list_groups,
 933                   "List SAM groups" },
 934                 { "localgroups", net_sam_list_localgroups,
 935                   "List SAM local groups" },
 936                 { "builtin", net_sam_list_builtin,
 937                   "List builtin groups" },
 938                 { "workstations", net_sam_list_workstations,
 939                   "List domain member workstations" },
 940                 {NULL, NULL}
 941         };
 942
 943         return net_run_function2(argc, argv, "net sam list", func);
 944 }
 945
 946 /*
 947  * Show details of SAM entries
 948  */
 949
 950 static int net_sam_show(int argc, const char **argv)
 951 {
 952         DOM_SID sid;
 953         enum lsa_SidType type;
 954         const char *dom, *name;
 955
 956         if (argc != 1) {
 957                 d_fprintf(stderr, "usage: net sam show <name>\n");
 958                 return -1;
 959         }
 960
 961         if (!lookup_name(tmp_talloc_ctx(), argv[0], LOOKUP_NAME_ISOLATED,
 962                          &dom, &name, &sid, &type)) {
 963                 d_fprintf(stderr, "Could not find name %s\n", argv[0]);
 964                 return -1;
 965         }
 966
 967         d_printf("%s\\%s is a %s with SID %s\n", dom, name,
 968                  sid_type_lookup(type), sid_string_static(&sid));
 969
 970         return 0;
 971 }
 972
 973 #ifdef HAVE_LDAP
 974
 975 /*
 976  * Init an LDAP tree with default users and Groups
 977  * if ldapsam:editposix is enabled
 978  */
 979
 980 static int net_sam_provision(int argc, const char **argv)
 981 {
 982         TALLOC_CTX *tc;
 983         char *ldap_bk;
 984         char *ldap_uri = NULL;
 985         char *p;
 986         struct smbldap_state *ls;
 987         GROUP_MAP gmap;
 988         DOM_SID gsid;
 989         gid_t domusers_gid = -1;
 990         gid_t domadmins_gid = -1;
 991         struct samu *samuser;
 992         struct passwd *pwd;
 993
 994         tc = talloc_new(NULL);
 995         if (!tc) {
 996                 d_fprintf(stderr, "Out of Memory!\n");
 997                 return -1;
 998         }
 999
1000         if ((ldap_bk = talloc_strdup(tc, lp_passdb_backend())) == NULL) {
1001                 d_fprintf(stderr, "talloc failed\n");
1002                 talloc_free(tc);
1003                 return -1;
1004         }
1005         p = strchr(ldap_bk, ':');
1006         if (p) {
1007                 *p = 0;
1008                 ldap_uri = talloc_strdup(tc, p+1);
1009                 trim_char(ldap_uri, ' ', ' ');
1010         }
1011
1012         trim_char(ldap_bk, ' ', ' ');
1013
1014         if (strcmp(ldap_bk, "ldapsam") != 0) {
1015                 d_fprintf(stderr, "Provisioning works only with ldapsam backend\n");
1016                 goto failed;
1017         }
1018
1019         if (!lp_parm_bool(-1, "ldapsam", "trusted", False) ||
1020             !lp_parm_bool(-1, "ldapsam", "editposix", False)) {
1021
1022                 d_fprintf(stderr, "Provisioning works only if ldapsam:trusted"
1023                                   " and ldapsam:editposix are enabled.\n");
1024                 goto failed;
1025         }
1026
1027         if (!winbind_ping()) {
1028                 d_fprintf(stderr, "winbind seems not to run. Provisioning "
1029                           "LDAP only works when winbind runs.\n");
1030                 goto failed;
1031         }
1032
1033         if (!NT_STATUS_IS_OK(smbldap_init(tc, NULL, ldap_uri, &ls))) {
1034                 d_fprintf(stderr, "Unable to connect to the LDAP server.\n");
1035                 goto failed;
1036         }
1037
1038         d_printf("Checking for Domain Users group.\n");
1039
1040         sid_compose(&gsid, get_global_sam_sid(), DOMAIN_GROUP_RID_USERS);
1041
1042         if (!pdb_getgrsid(&gmap, gsid)) {
1043                 LDAPMod **mods = NULL;
1044                 char *dn;
1045                 char *uname;
1046                 char *wname;
1047                 char *gidstr;
1048                 char *gtype;
1049                 int rc;
1050
1051                 d_printf("Adding the Domain Users group.\n");
1052
1053                 /* lets allocate a new groupid for this group */
1054                 if (!winbind_allocate_gid(&domusers_gid)) {
1055                         d_fprintf(stderr, "Unable to allocate a new gid to create Domain Users group!\n");
1056                         goto domu_done;
1057                 }
1058
1059                 uname = talloc_strdup(tc, "domusers");
1060                 wname = talloc_strdup(tc, "Domain Users");
1061                 dn = talloc_asprintf(tc, "cn=%s,%s", "domusers", lp_ldap_group_suffix());
1062                 gidstr = talloc_asprintf(tc, "%d", domusers_gid);
1063                 gtype = talloc_asprintf(tc, "%d", SID_NAME_DOM_GRP);
1064
1065                 if (!uname || !wname || !dn || !gidstr || !gtype) {
1066                         d_fprintf(stderr, "Out of Memory!\n");
1067                         goto failed;
1068                 }
1069
1070                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectclass", LDAP_OBJ_POSIXGROUP);
1071                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_GROUPMAP);
1072                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", uname);
1073                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", wname);
1074                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1075                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSid", sid_string_static(&gsid));
1076                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaGroupType", gtype);
1077
1078                 talloc_autofree_ldapmod(tc, mods);
1079
1080                 rc = smbldap_add(ls, dn, mods);
1081
1082                 if (rc != LDAP_SUCCESS) {
1083                         d_fprintf(stderr, "Failed to add Domain Users group to ldap directory\n");
1084                 }
1085         } else {
1086                 domusers_gid = gmap.gid;
1087                 d_printf("found!\n");
1088         }
1089
1090 domu_done:
1091
1092         d_printf("Checking for Domain Admins group.\n");
1093
1094         sid_compose(&gsid, get_global_sam_sid(), DOMAIN_GROUP_RID_ADMINS);
1095
1096         if (!pdb_getgrsid(&gmap, gsid)) {
1097                 LDAPMod **mods = NULL;
1098                 char *dn;
1099                 char *uname;
1100                 char *wname;
1101                 char *gidstr;
1102                 char *gtype;
1103                 int rc;
1104
1105                 d_printf("Adding the Domain Admins group.\n");
1106
1107                 /* lets allocate a new groupid for this group */
1108                 if (!winbind_allocate_gid(&domadmins_gid)) {
1109                         d_fprintf(stderr, "Unable to allocate a new gid to create Domain Admins group!\n");
1110                         goto doma_done;
1111                 }
1112
1113                 uname = talloc_strdup(tc, "domadmins");
1114                 wname = talloc_strdup(tc, "Domain Admins");
1115                 dn = talloc_asprintf(tc, "cn=%s,%s", "domadmins", lp_ldap_group_suffix());
1116                 gidstr = talloc_asprintf(tc, "%d", domadmins_gid);
1117                 gtype = talloc_asprintf(tc, "%d", SID_NAME_DOM_GRP);
1118
1119                 if (!uname || !wname || !dn || !gidstr || !gtype) {
1120                         d_fprintf(stderr, "Out of Memory!\n");
1121                         goto failed;
1122                 }
1123
1124                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectclass", LDAP_OBJ_POSIXGROUP);
1125                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_GROUPMAP);
1126                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", uname);
1127                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", wname);
1128                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1129                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSid", sid_string_static(&gsid));
1130                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaGroupType", gtype);
1131
1132                 talloc_autofree_ldapmod(tc, mods);
1133
1134                 rc = smbldap_add(ls, dn, mods);
1135
1136                 if (rc != LDAP_SUCCESS) {
1137                         d_fprintf(stderr, "Failed to add Domain Admins group to ldap directory\n");
1138                 }
1139         } else {
1140                 domadmins_gid = gmap.gid;
1141                 d_printf("found!\n");
1142         }
1143
1144 doma_done:
1145
1146         d_printf("Check for Administrator account.\n");
1147
1148         samuser = samu_new(tc);
1149         if (!samuser) {
1150                 d_fprintf(stderr, "Out of Memory!\n");
1151                 goto failed;
1152         }
1153
1154         if (!pdb_getsampwnam(samuser, "Administrator")) {
1155                 LDAPMod **mods = NULL;
1156                 DOM_SID sid;
1157                 char *dn;
1158                 char *name;
1159                 char *uidstr;
1160                 char *gidstr;
1161                 char *shell;
1162                 char *dir;
1163                 uid_t uid;
1164                 int rc;
1165
1166                 d_printf("Adding the Administrator user.\n");
1167
1168                 if (domadmins_gid == -1) {
1169                         d_fprintf(stderr, "Can't create Administrator user, Domain Admins group not available!\n");
1170                         goto done;
1171                 }
1172                 if (!winbind_allocate_uid(&uid)) {
1173                         d_fprintf(stderr, "Unable to allocate a new uid to create the Administrator user!\n");
1174                         goto done;
1175                 }
1176                 name = talloc_strdup(tc, "Administrator");
1177                 dn = talloc_asprintf(tc, "uid=Administrator,%s", lp_ldap_user_suffix());
1178                 uidstr = talloc_asprintf(tc, "%d", uid);
1179                 gidstr = talloc_asprintf(tc, "%d", domadmins_gid);
1180                 dir = talloc_sub_specified(tc, lp_template_homedir(),
1181                                                 "Administrator",
1182                                                 get_global_sam_name(),
1183                                                 uid, domadmins_gid);
1184                 shell = talloc_sub_specified(tc, lp_template_shell(),
1185                                                 "Administrator",
1186                                                 get_global_sam_name(),
1187                                                 uid, domadmins_gid);
1188
1189                 if (!name || !dn || !uidstr || !gidstr || !dir || !shell) {
1190                         d_fprintf(stderr, "Out of Memory!\n");
1191                         goto failed;
1192                 }
1193
1194                 sid_compose(&sid, get_global_sam_sid(), DOMAIN_USER_RID_ADMIN);
1195
1196                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_ACCOUNT);
1197                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_POSIXACCOUNT);
1198                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_SAMBASAMACCOUNT);
1199                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uid", name);
1200                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", name);
1201                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", name);
1202                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uidNumber", uidstr);
1203                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1204                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "homeDirectory", dir);
1205                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "loginShell", shell);
1206                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSID", sid_string_static(&sid));
1207                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaAcctFlags",
1208                                 pdb_encode_acct_ctrl(ACB_NORMAL|ACB_DISABLED,
1209                                 NEW_PW_FORMAT_SPACE_PADDED_LEN));
1210
1211                 talloc_autofree_ldapmod(tc, mods);
1212
1213                 rc = smbldap_add(ls, dn, mods);
1214
1215                 if (rc != LDAP_SUCCESS) {
1216                         d_fprintf(stderr, "Failed to add Administrator user to ldap directory\n");
1217                 }
1218         } else {
1219                 d_printf("found!\n");
1220         }
1221
1222         d_printf("Checking for Guest user.\n");
1223
1224         samuser = samu_new(tc);
1225         if (!samuser) {
1226                 d_fprintf(stderr, "Out of Memory!\n");
1227                 goto failed;
1228         }
1229
1230         if (!pdb_getsampwnam(samuser, lp_guestaccount())) {
1231                 LDAPMod **mods = NULL;
1232                 DOM_SID sid;
1233                 char *dn;
1234                 char *uidstr;
1235                 char *gidstr;
1236                 int rc;
1237
1238                 d_printf("Adding the Guest user.\n");
1239
1240                 pwd = getpwnam_alloc(tc, lp_guestaccount());
1241
1242                 if (!pwd) {
1243                         if (domusers_gid == -1) {
1244                                 d_fprintf(stderr, "Can't create Guest user, Domain Users group not available!\n");
1245                                 goto done;
1246                         }
1247                         if ((pwd = talloc(tc, struct passwd)) == NULL) {
1248                                 d_fprintf(stderr, "talloc failed\n");
1249                                 goto done;
1250                         }
1251                         pwd->pw_name = talloc_strdup(pwd, lp_guestaccount());
1252                         if (!winbind_allocate_uid(&(pwd->pw_uid))) {
1253                                 d_fprintf(stderr, "Unable to allocate a new uid to create the Guest user!\n");
1254                                 goto done;
1255                         }
1256                         pwd->pw_gid = domusers_gid;
1257                         pwd->pw_dir = talloc_strdup(tc, "/");
1258                         pwd->pw_shell = talloc_strdup(tc, "/bin/false");
1259                         if (!pwd->pw_dir || !pwd->pw_shell) {
1260                                 d_fprintf(stderr, "Out of Memory!\n");
1261                                 goto failed;
1262                         }
1263                 }
1264
1265                 sid_compose(&sid, get_global_sam_sid(), DOMAIN_USER_RID_GUEST);
1266
1267                 dn = talloc_asprintf(tc, "uid=%s,%s", pwd->pw_name, lp_ldap_user_suffix ());
1268                 uidstr = talloc_asprintf(tc, "%d", pwd->pw_uid);
1269                 gidstr = talloc_asprintf(tc, "%d", pwd->pw_gid);
1270                 if (!dn || !uidstr || !gidstr) {
1271                         d_fprintf(stderr, "Out of Memory!\n");
1272                         goto failed;
1273                 }
1274
1275                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_ACCOUNT);
1276                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_POSIXACCOUNT);
1277                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_SAMBASAMACCOUNT);
1278                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uid", pwd->pw_name);
1279                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", pwd->pw_name);
1280                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", pwd->pw_name);
1281                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "uidNumber", uidstr);
1282                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1283                 if ((pwd->pw_dir != NULL) && (pwd->pw_dir[0] != '\0')) {
1284                         smbldap_set_mod(&mods, LDAP_MOD_ADD, "homeDirectory", pwd->pw_dir);
1285                 }
1286                 if ((pwd->pw_shell != NULL) && (pwd->pw_shell[0] != '\0')) {
1287                         smbldap_set_mod(&mods, LDAP_MOD_ADD, "loginShell", pwd->pw_shell);
1288                 }
1289                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSID", sid_string_static(&sid));
1290                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaAcctFlags",
1291                                 pdb_encode_acct_ctrl(ACB_NORMAL|ACB_DISABLED,
1292                                 NEW_PW_FORMAT_SPACE_PADDED_LEN));
1293
1294                 talloc_autofree_ldapmod(tc, mods);
1295
1296                 rc = smbldap_add(ls, dn, mods);
1297
1298                 if (rc != LDAP_SUCCESS) {
1299                         d_fprintf(stderr, "Failed to add Guest user to ldap directory\n");
1300                 }
1301         } else {
1302                 d_printf("found!\n");
1303         }
1304
1305         d_printf("Checking Guest's group.\n");
1306
1307         pwd = getpwnam_alloc(NULL, lp_guestaccount());
1308         if (!pwd) {
1309                 d_fprintf(stderr, "Failed to find just created Guest account!\n"
1310                                   "   Is nss properly configured?!\n");
1311                 goto failed;
1312         }
1313
1314         if (pwd->pw_gid == domusers_gid) {
1315                 d_printf("found!\n");
1316                 goto done;
1317         }
1318
1319         if (!pdb_getgrgid(&gmap, pwd->pw_gid)) {
1320                 LDAPMod **mods = NULL;
1321                 char *dn;
1322                 char *uname;
1323                 char *wname;
1324                 char *gidstr;
1325                 char *gtype;
1326                 int rc;
1327
1328                 d_printf("Adding the Domain Guests group.\n");
1329
1330                 uname = talloc_strdup(tc, "domguests");
1331                 wname = talloc_strdup(tc, "Domain Guests");
1332                 dn = talloc_asprintf(tc, "cn=%s,%s", "domguests", lp_ldap_group_suffix());
1333                 gidstr = talloc_asprintf(tc, "%d", pwd->pw_gid);
1334                 gtype = talloc_asprintf(tc, "%d", SID_NAME_DOM_GRP);
1335
1336                 if (!uname || !wname || !dn || !gidstr || !gtype) {
1337                         d_fprintf(stderr, "Out of Memory!\n");
1338                         goto failed;
1339                 }
1340
1341                 sid_compose(&gsid, get_global_sam_sid(), DOMAIN_GROUP_RID_GUESTS);
1342
1343                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectclass", LDAP_OBJ_POSIXGROUP);
1344                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "objectClass", LDAP_OBJ_GROUPMAP);
1345                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "cn", uname);
1346                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "displayName", wname);
1347                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "gidNumber", gidstr);
1348                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaSid", sid_string_static(&gsid));
1349                 smbldap_set_mod(&mods, LDAP_MOD_ADD, "sambaGroupType", gtype);
1350
1351                 talloc_autofree_ldapmod(tc, mods);
1352
1353                 rc = smbldap_add(ls, dn, mods);
1354
1355                 if (rc != LDAP_SUCCESS) {
1356                         d_fprintf(stderr, "Failed to add Domain Guests group to ldap directory\n");
1357                 }
1358         } else {
1359                 d_printf("found!\n");
1360         }
1361
1362
1363 done:
1364         talloc_free(tc);
1365         return 0;
1366
1367 failed:
1368         talloc_free(tc);
1369         return -1;
1370 }
1371
1372 #endif
1373
1374 /***********************************************************
1375  migrated functionality from smbgroupedit
1376  **********************************************************/
1377 int net_sam(int argc, const char **argv)
1378 {
1379         struct functable2 func[] = {
1380                 { "createbuiltingroup", net_sam_createbuiltingroup,
1381                   "Create a new BUILTIN group" },
1382                 { "createlocalgroup", net_sam_createlocalgroup,
1383                   "Create a new local group" },
1384                 { "deletelocalgroup", net_sam_deletelocalgroup,
1385                   "Delete an existing local group" },
1386                 { "mapunixgroup", net_sam_mapunixgroup,
1387                   "Map a unix group to a domain group" },
1388                 { "addmem", net_sam_addmem,
1389                   "Add a member to a group" },
1390                 { "delmem", net_sam_delmem,
1391                   "Delete a member from a group" },
1392                 { "listmem", net_sam_listmem,
1393                   "List group members" },
1394                 { "list", net_sam_list,
1395                   "List users, groups and local groups" },
1396                 { "show", net_sam_show,
1397                   "Show details of a SAM entry" },
1398                 { "set", net_sam_set,
1399                   "Set details of a SAM account" },
1400                 { "policy", net_sam_policy,
1401                   "Set account policies" },
1402 #ifdef HAVE_LDAP
1403                 { "provision", net_sam_provision,
1404                   "Provision a clean User Database" },
1405 #endif
1406                 { NULL, NULL, NULL }
1407         };
1408
1409         /* we shouldn't have silly checks like this */
1410         if (getuid() != 0) {
1411                 d_fprintf(stderr, "You must be root to edit the SAM "
1412                           "directly.\n");
1413                 return -1;
1414         }
1415
1416         return net_run_function2(argc, argv, "net sam", func);
1417 }
1418