source/scripting/libjs/provision.js

   1 /*
   2         backend code for provisioning a Samba4 server
   3         Copyright Andrew Tridgell 2005
   4         Released under the GNU GPL v2 or later
   5 */
   6
   7 /* used to generate sequence numbers for records */
   8 provision_next_usn = 1;
   9
  10 sys = sys_init();
  11
  12 /*
  13   return true if the current install seems to be OK
  14 */
  15 function install_ok(session_info, credentials)
  16 {
  17         var lp = loadparm_init();
  18         var ldb = ldb_init();
  19         ldb.session_info = session_info;
  20         ldb.credentials = credentials;
  21         if (lp.get("realm") == "") {
  22                 return false;
  23         }
  24         var ok = ldb.connect(lp.get("sam database"));
  25         if (!ok) {
  26                 return false;
  27         }
  28         var res = ldb.search("(cn=Administrator)");
  29         if (res.length != 1) {
  30                 return false;
  31         }
  32         return true;
  33 }
  34
  35 /*
  36   find a user or group from a list of possibilities
  37 */
  38 function findnss()
  39 {
  40         var i;
  41         assert(arguments.length >= 2);
  42         var nssfn = arguments[0];
  43         for (i=1;i<arguments.length;i++) {
  44                 if (nssfn(arguments[i]) != undefined) {
  45                         return arguments[i];
  46                 }
  47         }
  48         printf("Unable to find user/group for %s\n", arguments[1]);
  49         assert(i<arguments.length);
  50 }
  51
  52 /*
  53    add a foreign security principle
  54  */
  55 function add_foreign(str, sid, desc, unixname)
  56 {
  57         var add = "
  58 dn: CN=${SID},CN=ForeignSecurityPrincipals,${BASEDN}
  59 objectClass: top
  60 objectClass: foreignSecurityPrincipal
  61 description: ${DESC}
  62 unixName: ${UNIXNAME}
  63 uSNCreated: 1
  64 uSNChanged: 1
  65 ";
  66         var sub = new Object();
  67         sub.SID = sid;
  68         sub.DESC = desc;
  69         sub.UNIXNAME = unixname;
  70         return str + substitute_var(add, sub);
  71 }
  72
  73 /*
  74   return current time as a nt time string
  75 */
  76 function nttime()
  77 {
  78         return "" + sys.nttime();
  79 }
  80
  81 /*
  82   return current time as a ldap time string
  83 */
  84 function ldaptime()
  85 {
  86         return sys.ldaptime(sys.nttime());
  87 }
  88
  89 /*
  90   return a date string suitable for a dns zone serial number
  91 */
  92 function datestring()
  93 {
  94         var t = sys.gmtime(sys.nttime());
  95         return sprintf("%04u%02u%02u%02u",
  96                        t.tm_year+1900, t.tm_mon+1, t.tm_mday, t.tm_hour);
  97 }
  98
  99 /*
 100   return first host IP
 101 */
 102 function hostip()
 103 {
 104         var list = sys.interfaces();
 105         return list[0];
 106 }
 107
 108 /*
 109   return next USN in the sequence
 110 */
 111 function nextusn()
 112 {
 113         provision_next_usn = provision_next_usn+1;
 114         return provision_next_usn;
 115 }
 116
 117 /*
 118   return first part of hostname
 119 */
 120 function hostname()
 121 {
 122         var s = split(".", sys.hostname());
 123         return s[0];
 124 }
 125
 126
 127 /* the ldb is in bad shape, possibly due to being built from an
 128    incompatible previous version of the code, so delete it
 129    completely */
 130 function ldb_delete(ldb)
 131 {
 132         println("Deleting " + ldb.filename);
 133         var lp = loadparm_init();
 134         sys.unlink(sprintf("%s/%s", lp.get("private dir"), ldb.filename));
 135         ldb.transaction_cancel();
 136         ldb.close();
 137         var ok = ldb.connect(ldb.filename);
 138         ldb.transaction_start();
 139         assert(ok);
 140 }
 141
 142 /*
 143   erase an ldb, removing all records
 144 */
 145 function ldb_erase(ldb)
 146 {
 147         var attrs = new Array("dn");
 148
 149         /* delete the specials */
 150         ldb.del("@INDEXLIST");
 151         ldb.del("@ATTRIBUTES");
 152         ldb.del("@SUBCLASSES");
 153         ldb.del("@MODULES");
 154
 155         /* and the rest */
 156         var res = ldb.search("(&(|(objectclass=*)(dn=*))(!(dn=@BASEINFO)))", attrs);
 157         var i;
 158         if (typeof(res) == "undefined") {
 159                 ldb_delete(ldb);
 160                 return;
 161         }
 162         for (i=0;i<res.length;i++) {
 163                 ldb.del(res[i].dn);
 164         }
 165         /* extra hack to ensure it's gone on remote ldap */
 166         ldb.del("cn=ROOTDSE");
 167
 168         var res = ldb.search("(&(|(objectclass=*)(dn=*))(!(dn=@BASEINFO)))", attrs);
 169         if (res.length != 0) {
 170                 ldb_delete(ldb);
 171                 return;
 172         }
 173         assert(res.length == 0);
 174 }
 175
 176 /*
 177   setup a ldb in the private dir
 178  */
 179 function setup_ldb(ldif, info, dbname)
 180 {
 181         var erase = true;
 182         var extra = "";
 183         var ldb = ldb_init();
 184         var lp = loadparm_init();
 185         ldb.session_info = info.session_info;
 186         ldb.credentials = info.credentials;
 187
 188         if (arguments.length >= 4) {
 189                 extra = arguments[3];
 190         }
 191
 192         if (arguments.length == 5) {
 193                 erase = arguments[4];
 194         }
 195
 196         var src = lp.get("setup directory") + "/" + ldif;
 197
 198         var data = sys.file_load(src);
 199         data = data + extra;
 200         data = substitute_var(data, info.subobj);
 201
 202         ldb.filename = dbname;
 203
 204         var connect_ok = ldb.connect(dbname);
 205         assert(connect_ok);
 206
 207         ldb.transaction_start();
 208
 209         if (erase) {
 210                 ldb_erase(ldb);
 211         }
 212
 213         var add_ok = ldb.add(data);
 214         if (!add_ok) {
 215                 info.message("ldb load failed: " + ldb.errstring() + "\n");
 216                 assert(add_ok);
 217         }
 218         var commit_ok = ldb.transaction_commit();
 219         if (!commit_ok) {
 220                 info.message("ldb commit failed: " + ldb.errstring() + "\n");
 221                 assert(add_ok);
 222         }
 223 }
 224
 225 /*
 226   setup a file in the private dir
 227  */
 228 function setup_file(template, fname, subobj)
 229 {
 230         var lp = loadparm_init();
 231         var f = fname;
 232         var src = lp.get("setup directory") + "/" + template;
 233
 234         sys.unlink(f);
 235
 236         var data = sys.file_load(src);
 237         data = substitute_var(data, subobj);
 238
 239         ok = sys.file_save(f, data);
 240         assert(ok);
 241 }
 242
 243 function provision_default_paths(subobj)
 244 {
 245         var lp = loadparm_init();
 246         var paths = new Object();
 247         paths.smbconf = lp.get("config file");
 248         paths.hklm = "hklm.ldb";
 249         paths.hkcu = "hkcu.ldb";
 250         paths.hkcr = "hkcr.ldb";
 251         paths.hku = "hku.ldb";
 252         paths.hkpd = "hkpd.ldb";
 253         paths.hkpt = "hkpt.ldb";
 254         paths.samdb = lp.get("sam database");
 255         paths.secrets = "secrets.ldb";
 256         paths.dns = lp.get("private dir") + "/" + subobj.DNSDOMAIN + ".zone";
 257         paths.winsdb = "wins.ldb";
 258         return paths;
 259 }
 260
 261 /*
 262   provision samba4 - caution, this wipes all existing data!
 263 */
 264 function provision(subobj, message, blank, paths, session_info, credentials)
 265 {
 266         var data = "";
 267         var lp = loadparm_init();
 268         var sys = sys_init();
 269         var info = new Object();
 270
 271         /*
 272           some options need to be upper/lower case
 273         */
 274         subobj.REALM       = strupper(subobj.REALM);
 275         subobj.HOSTNAME    = strlower(subobj.HOSTNAME);
 276         subobj.DOMAIN      = strupper(subobj.DOMAIN);
 277         assert(valid_netbios_name(subobj.DOMAIN));
 278         subobj.NETBIOSNAME = strupper(subobj.HOSTNAME);
 279         assert(valid_netbios_name(subobj.NETBIOSNAME));
 280         var rdns = split(",", subobj.BASEDN);
 281         subobj.RDN_DC = substr(rdns[0], strlen("DC="));
 282
 283         data = add_foreign(data, "S-1-5-7",  "Anonymous",           "${NOBODY}");
 284         data = add_foreign(data, "S-1-1-0",  "World",               "${NOGROUP}");
 285         data = add_foreign(data, "S-1-5-2",  "Network",             "${NOGROUP}");
 286         data = add_foreign(data, "S-1-5-18", "System",              "${ROOT}");
 287         data = add_foreign(data, "S-1-5-11", "Authenticated Users", "${USERS}");
 288
 289         provision_next_usn = 1;
 290
 291         info.subobj = subobj;
 292         info.message = message;
 293         info.credentials = credentials;
 294         info.session_info = session_info;
 295
 296         /* only install a new smb.conf if there isn't one there already */
 297         var st = sys.stat(paths.smbconf);
 298         if (st == undefined) {
 299                 message("Setting up smb.conf\n");
 300                 setup_file("provision.smb.conf", paths.smbconf, subobj);
 301                 lp.reload();
 302         }
 303         message("Setting up secrets.ldb\n");
 304         setup_ldb("secrets.ldif", info, paths.secrets);
 305         message("Setting up keytabs\n");
 306         var keytab_ok = credentials_update_all_keytabs();
 307         assert(keytab_ok);
 308         message("Setting up hklm.ldb\n");
 309         setup_ldb("hklm.ldif", info, paths.hklm);
 310
 311
 312         message("Setting up sam.ldb attributes\n");
 313         setup_ldb("provision_init.ldif", info, paths.samdb);
 314         message("Setting up sam.ldb schema\n");
 315         setup_ldb("schema.ldif", info, paths.samdb, NULL, false);
 316         message("Setting up display specifiers\n");
 317         setup_ldb("display_specifiers.ldif", info, paths.samdb, NULL, false);
 318         message("Setting up sam.ldb templates\n");
 319         setup_ldb("provision_templates.ldif", info, paths.samdb, NULL, false);
 320         message("Setting up sam.ldb data\n");
 321         setup_ldb("provision.ldif", info, paths.samdb, NULL, false);
 322         if (blank == false) {
 323                 message("Setting up sam.ldb users and groups\n");
 324                 setup_ldb("provision_users.ldif", info, paths.samdb, data, false);
 325         }
 326         return true;
 327 }
 328
 329 /* Write out a DNS zone file, from the info in the current database */
 330 function provision_dns(subobj, message, paths, session_info, credentials)
 331 {
 332         message("Setting up DNS zone: " + subobj.DNSDOMAIN + " \n");
 333         var ldb = ldb_init();
 334         ldb.session_info = session_info;
 335         ldb.credentials = credentials;
 336
 337         /* connect to the sam */
 338         var ok = ldb.connect(paths.samdb);
 339         assert(ok);
 340
 341         /* These values may have changed, due to an incoming SamSync, so fetch them from the database */
 342         subobj.DOMAINGUID = searchone(ldb, "(&(objectClass=domainDNS)(dnsDomain=" + subobj.DNSDOMAIN + "))", "objectGUID");
 343         assert(subobj.DOMAINGUID != undefined);
 344
 345         subobj.HOSTGUID = searchone(ldb, "(&(objectClass=computer)(cn=" + subobj.NETBIOSNAME + "))", "objectGUID");
 346         assert(subobj.HOSTGUID != undefined);
 347
 348         setup_file("provision.zone",
 349                    paths.dns,
 350                    subobj);
 351
 352         message("Please install the zone located in " + paths.dns + " into your DNS server\n");
 353 }
 354
 355 /*
 356   guess reasonably default options for provisioning
 357 */
 358 function provision_guess()
 359 {
 360         var subobj = new Object();
 361         var nss = nss_init();
 362         var lp = loadparm_init();
 363         var rdn_list;
 364         random_init(local);
 365
 366         subobj.REALM        = strupper(lp.get("realm"));
 367         subobj.DOMAIN       = lp.get("workgroup");
 368         subobj.HOSTNAME     = hostname();
 369
 370         assert(subobj.REALM);
 371         assert(subobj.DOMAIN);
 372         assert(subobj.HOSTNAME);
 373
 374         subobj.HOSTIP       = hostip();
 375         subobj.DOMAINGUID   = randguid();
 376         subobj.DOMAINSID    = randsid();
 377         subobj.HOSTGUID     = randguid();
 378         subobj.INVOCATIONID = randguid();
 379         subobj.KRBTGTPASS   = randpass(12);
 380         subobj.MACHINEPASS  = randpass(12);
 381         subobj.ADMINPASS    = randpass(12);
 382         subobj.DEFAULTSITE  = "Default-First-Site-Name";
 383         subobj.NEWGUID      = randguid;
 384         subobj.NTTIME       = nttime;
 385         subobj.LDAPTIME     = ldaptime;
 386         subobj.DATESTRING   = datestring;
 387         subobj.USN          = nextusn;
 388         subobj.ROOT         = findnss(nss.getpwnam, "root");
 389         subobj.NOBODY       = findnss(nss.getpwnam, "nobody");
 390         subobj.NOGROUP      = findnss(nss.getgrnam, "nogroup", "nobody");
 391         subobj.WHEEL        = findnss(nss.getgrnam, "wheel", "root", "staff");
 392         subobj.USERS        = findnss(nss.getgrnam, "users", "guest", "other");
 393         subobj.DNSDOMAIN    = strlower(subobj.REALM);
 394         subobj.DNSNAME      = sprintf("%s.%s",
 395                                       strlower(subobj.HOSTNAME),
 396                                       subobj.DNSDOMAIN);
 397         rdn_list = split(".", subobj.DNSDOMAIN);
 398         subobj.BASEDN       = "DC=" + join(",DC=", rdn_list);
 399         return subobj;
 400 }
 401
 402 /*
 403   search for one attribute as a string
 404  */
 405 function searchone(ldb, expression, attribute)
 406 {
 407         var attrs = new Array(attribute);
 408         res = ldb.search(expression, attrs);
 409         if (res.length != 1 ||
 410             res[0][attribute] == undefined) {
 411                 return undefined;
 412         }
 413         return res[0][attribute];
 414 }
 415
 416 /*
 417   modify an account to remove the
 418 */
 419 function enable_account(ldb, user_dn)
 420 {
 421         var attrs = new Array("userAccountControl");
 422         var res = ldb.search(NULL, user_dn, ldb.SCOPE_ONELEVEL, attrs);
 423         assert(res.length == 1);
 424         var userAccountControl = res[0].userAccountControl;
 425         userAccountControl = userAccountControl - 2; /* remove disabled bit */
 426         var mod = sprintf("
 427 dn: %s
 428 changetype: modify
 429 replace: userAccountControl
 430 userAccountControl: %u
 431 ",
 432                           user_dn, userAccountControl);
 433         var ok = ldb.modify(mod);
 434         return ok;
 435 }
 436
 437
 438 /*
 439   add a new user record
 440 */
 441 function newuser(username, unixname, password, message, session_info, credentials)
 442 {
 443         var lp = loadparm_init();
 444         var samdb = lp.get("sam database");
 445         var ldb = ldb_init();
 446         random_init(local);
 447         ldb.session_info = session_info;
 448         ldb.credentials = credentials;
 449
 450         /* connect to the sam */
 451         var ok = ldb.connect(samdb);
 452         assert(ok);
 453
 454         ldb.transaction_start();
 455
 456         /* find the DNs for the domain and the domain users group */
 457         var domain_dn = searchone(ldb, "objectClass=domainDNS", "dn");
 458         assert(domain_dn != undefined);
 459         var dom_users = searchone(ldb, "name=Domain Users", "dn");
 460         assert(dom_users != undefined);
 461
 462         var user_dn = sprintf("CN=%s,CN=Users,%s", username, domain_dn);
 463
 464
 465         /*
 466           the new user record. note the reliance on the samdb module to fill
 467           in a sid, guid etc
 468         */
 469         var ldif = sprintf("
 470 dn: %s
 471 sAMAccountName: %s
 472 memberOf: %s
 473 unixName: %s
 474 sambaPassword: %s
 475 objectClass: user
 476 ",
 477                            user_dn, username, dom_users,
 478                            unixname, password);
 479         /*
 480           add the user to the users group as well
 481         */
 482         var modgroup = sprintf("
 483 dn: %s
 484 changetype: modify
 485 add: member
 486 member: %s
 487 ",
 488                                dom_users, user_dn);
 489
 490
 491         /*
 492           now the real work
 493         */
 494         message("Adding user %s\n", user_dn);
 495         ok = ldb.add(ldif);
 496         if (ok != true) {
 497                 message("Failed to add %s - %s\n", user_dn, ldb.errstring());
 498                 return false;
 499         }
 500
 501         message("Modifying group %s\n", dom_users);
 502         ok = ldb.modify(modgroup);
 503         if (ok != true) {
 504                 message("Failed to modify %s - %s\n", dom_users, ldb.errstring());
 505                 return false;
 506         }
 507
 508         /*
 509           modify the userAccountControl to remove the disabled bit
 510         */
 511         ok = enable_account(ldb, user_dn);
 512         if (ok) {
 513                 ldb.transaction_commit();
 514         }
 515         return ok;
 516 }
 517
 518 // Check whether a name is valid as a NetBIOS name.
 519 // FIXME: There are probably more constraints here.
 520 // crh has a paragraph on this in his book (1.4.1.1)
 521 function valid_netbios_name(name)
 522 {
 523         if (strlen(name) > 13) return false;
 524         return true;
 525 }
 526
 527 function provision_validate(subobj, message)
 528 {
 529         if (!valid_netbios_name(subobj.DOMAIN)) {
 530                 message("Invalid NetBIOS name for domain\n");
 531                 return false;
 532         }
 533
 534         if (!valid_netbios_name(subobj.NETBIOSNAME)) {
 535                 message("Invalid NetBIOS name for host\n");
 536                 return false;
 537         }
 538
 539         return true;
 540 }
 541
 542 function join_domain(domain, netbios_name, join_type, creds, message)
 543 {
 544         var ctx = NetContext(creds);
 545         var joindom = new Object();
 546         joindom.domain = domain;
 547         joindom.join_type = join_type;
 548         joindom.netbios_name = netbios_name;
 549         if (!ctx.JoinDomain(joindom)) {
 550                 message("Domain Join failed: " + join.error_string);
 551                 return false;
 552         }
 553         return true;
 554 }
 555
 556 /* Vampire a remote domain.  Session info and credentials are required for for
 557  * access to our local database (might be remote ldap)
 558  */
 559
 560 function vampire(domain, session_info, credentials, message) {
 561         var ctx = NetContext(credentials);
 562         vampire = new Object();
 563         var machine_creds = credentials_init();
 564         machine_creds.set_domain(form.DOMAIN);
 565         if (!machine_creds.set_machine_account()) {
 566                 message("Failed to access domain join information!");
 567                 return false;
 568         }
 569         vampire.machine_creds = machine_creds;
 570         vampire.session_info = session_info;
 571         if (!ctx.SamSyncLdb(vampire)) {
 572                 message("Migration of remote domain to Samba failed: " + vampire.error_string);
 573                 return false;
 574         }
 575         return true;
 576 }
 577
 578 return 0;