source3/libsmb/samlogon_cache.c

   1 /*
   2    Unix SMB/CIFS implementation.
   3    Net_sam_logon info3 helpers
   4    Copyright (C) Alexander Bokovoy              2002.
   5    Copyright (C) Andrew Bartlett                2002.
   6    Copyright (C) Gerald Carter                  2003.
   7    Copyright (C) Tim Potter                     2003.
   8    Copyright (C) Guenther Deschner              2008.
   9
  10    This program is free software; you can redistribute it and/or modify
  11    it under the terms of the GNU General Public License as published by
  12    the Free Software Foundation; either version 3 of the License, or
  13    (at your option) any later version.
  14
  15    This program is distributed in the hope that it will be useful,
  16    but WITHOUT ANY WARRANTY; without even the implied warranty of
  17    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18    GNU General Public License for more details.
  19
  20    You should have received a copy of the GNU General Public License
  21    along with this program.  If not, see <http://www.gnu.org/licenses/>.
  22 */
  23
  24 #include "replace.h"
  25 #include "samlogon_cache.h"
  26 #include "system/filesys.h"
  27 #include "system/time.h"
  28 #include "lib/util/debug.h"
  29 #include "lib/util/talloc_stack.h"
  30 #include "source3/lib/util_path.h"
  31 #include "librpc/gen_ndr/ndr_krb5pac.h"
  32 #include "../libcli/security/security.h"
  33 #include "util_tdb.h"
  34
  35 #define NETSAMLOGON_TDB "netsamlogon_cache.tdb"
  36
  37 static TDB_CONTEXT *netsamlogon_tdb = NULL;
  38
  39 /***********************************************************************
  40  open the tdb
  41  ***********************************************************************/
  42
  43 bool netsamlogon_cache_init(void)
  44 {
  45         bool first_try = true;
  46         char *path = NULL;
  47         int ret;
  48         struct tdb_context *tdb;
  49
  50         if (netsamlogon_tdb) {
  51                 return true;
  52         }
  53
  54         path = cache_path(talloc_tos(), NETSAMLOGON_TDB);
  55         if (path == NULL) {
  56                 return false;
  57         }
  58 again:
  59         tdb = tdb_open_log(path, 0, TDB_DEFAULT|TDB_INCOMPATIBLE_HASH,
  60                            O_RDWR | O_CREAT, 0600);
  61         if (tdb == NULL) {
  62                 DEBUG(0,("tdb_open_log('%s') - failed\n", path));
  63                 goto clear;
  64         }
  65
  66         ret = tdb_check(tdb, NULL, NULL);
  67         if (ret != 0) {
  68                 tdb_close(tdb);
  69                 DEBUG(0,("tdb_check('%s') - failed\n", path));
  70                 goto clear;
  71         }
  72
  73         netsamlogon_tdb = tdb;
  74         talloc_free(path);
  75         return true;
  76
  77 clear:
  78         if (!first_try) {
  79                 talloc_free(path);
  80                 return false;
  81         }
  82         first_try = false;
  83
  84         DEBUG(0,("retry after truncate for '%s'\n", path));
  85         ret = truncate(path, 0);
  86         if (ret == -1) {
  87                 DBG_ERR("truncate failed: %s\n", strerror(errno));
  88                 talloc_free(path);
  89                 return false;
  90         }
  91
  92         goto again;
  93 }
  94
  95 /***********************************************************************
  96  Clear cache getpwnam and getgroups entries from the winbindd cache
  97 ***********************************************************************/
  98
  99 void netsamlogon_clear_cached_user(const struct dom_sid *user_sid)
 100 {
 101         struct dom_sid_buf keystr;
 102
 103         if (!netsamlogon_cache_init()) {
 104                 DEBUG(0,("netsamlogon_clear_cached_user: cannot open "
 105                         "%s for write!\n",
 106                         NETSAMLOGON_TDB));
 107                 return;
 108         }
 109
 110         /* Prepare key as DOMAIN-SID/USER-RID string */
 111         dom_sid_str_buf(user_sid, &keystr);
 112
 113         DBG_DEBUG("SID [%s]\n", keystr.buf);
 114
 115         tdb_delete_bystring(netsamlogon_tdb, keystr.buf);
 116 }
 117
 118 /***********************************************************************
 119  Store a netr_SamInfo3 structure in a tdb for later user
 120  username should be in UTF-8 format
 121 ***********************************************************************/
 122
 123 bool netsamlogon_cache_store(const char *username, struct netr_SamInfo3 *info3)
 124 {
 125         uint8_t dummy = 0;
 126         TDB_DATA data = { .dptr = &dummy, .dsize = sizeof(dummy) };
 127         struct dom_sid_buf keystr;
 128         bool result = false;
 129         struct dom_sid  user_sid;
 130         TALLOC_CTX *tmp_ctx = talloc_stackframe();
 131         DATA_BLOB blob;
 132         enum ndr_err_code ndr_err;
 133         struct netsamlogoncache_entry r;
 134         int ret;
 135
 136         if (!info3) {
 137                 goto fail;
 138         }
 139
 140         if (!netsamlogon_cache_init()) {
 141                 DEBUG(0,("netsamlogon_cache_store: cannot open %s for write!\n",
 142                         NETSAMLOGON_TDB));
 143                 goto fail;
 144         }
 145
 146         /*
 147          * First write a record with just the domain sid for
 148          * netsamlogon_cache_domain_known. Use TDB_INSERT to avoid
 149          * overwriting potentially other data. We're just interested
 150          * in the existence of that record.
 151          */
 152         dom_sid_str_buf(info3->base.domain_sid, &keystr);
 153
 154         ret = tdb_store_bystring(netsamlogon_tdb, keystr.buf, data, TDB_INSERT);
 155
 156         if ((ret == -1) && (tdb_error(netsamlogon_tdb) != TDB_ERR_EXISTS)) {
 157                 DBG_WARNING("Could not store domain marker for %s: %s\n",
 158                             keystr.buf, tdb_errorstr(netsamlogon_tdb));
 159                 goto fail;
 160         }
 161
 162         sid_compose(&user_sid, info3->base.domain_sid, info3->base.rid);
 163
 164         /* Prepare key as DOMAIN-SID/USER-RID string */
 165         dom_sid_str_buf(&user_sid, &keystr);
 166
 167         DBG_DEBUG("SID [%s]\n", keystr.buf);
 168
 169         /* Prepare data */
 170
 171         if (info3->base.full_name.string == NULL) {
 172                 struct netr_SamInfo3 *cached_info3;
 173                 const char *full_name = NULL;
 174
 175                 cached_info3 = netsamlogon_cache_get(tmp_ctx, &user_sid);
 176                 if (cached_info3 != NULL) {
 177                         full_name = cached_info3->base.full_name.string;
 178                 }
 179
 180                 if (full_name != NULL) {
 181                         info3->base.full_name.string = talloc_strdup(info3, full_name);
 182                         if (info3->base.full_name.string == NULL) {
 183                                 goto fail;
 184                         }
 185                 }
 186         }
 187
 188         /* only Samba fills in the username, not sure why NT doesn't */
 189         /* so we fill it in since winbindd_getpwnam() makes use of it */
 190
 191         if (!info3->base.account_name.string) {
 192                 info3->base.account_name.string = talloc_strdup(info3, username);
 193                 if (info3->base.account_name.string == NULL) {
 194                         goto fail;
 195                 }
 196         }
 197
 198         r.timestamp = time(NULL);
 199         r.info3 = *info3;
 200
 201         /* avoid storing secret information */
 202         ZERO_STRUCT(r.info3.base.key);
 203         ZERO_STRUCT(r.info3.base.LMSessKey);
 204
 205         if (DEBUGLEVEL >= 10) {
 206                 NDR_PRINT_DEBUG(netsamlogoncache_entry, &r);
 207         }
 208
 209         ndr_err = ndr_push_struct_blob(&blob, tmp_ctx, &r,
 210                                        (ndr_push_flags_fn_t)ndr_push_netsamlogoncache_entry);
 211         if (!NDR_ERR_CODE_IS_SUCCESS(ndr_err)) {
 212                 DBG_WARNING("failed to push entry to cache: %s\n",
 213                             ndr_errstr(ndr_err));
 214                 goto fail;
 215         }
 216
 217         data.dsize = blob.length;
 218         data.dptr = blob.data;
 219
 220         if (tdb_store_bystring(netsamlogon_tdb, keystr.buf, data, TDB_REPLACE) == 0) {
 221                 result = true;
 222         }
 223
 224 fail:
 225         TALLOC_FREE(tmp_ctx);
 226         return result;
 227 }
 228
 229 /***********************************************************************
 230  Retrieves a netr_SamInfo3 structure from a tdb.  Caller must
 231  free the user_info struct (talloced memory)
 232 ***********************************************************************/
 233
 234 struct netr_SamInfo3 *netsamlogon_cache_get(TALLOC_CTX *mem_ctx, const struct dom_sid *user_sid)
 235 {
 236         struct netr_SamInfo3 *info3 = NULL;
 237         TDB_DATA data;
 238         struct dom_sid_buf keystr;
 239         enum ndr_err_code ndr_err;
 240         DATA_BLOB blob;
 241         struct netsamlogoncache_entry r;
 242
 243         if (!netsamlogon_cache_init()) {
 244                 DEBUG(0,("netsamlogon_cache_get: cannot open %s for write!\n",
 245                         NETSAMLOGON_TDB));
 246                 return NULL;
 247         }
 248
 249         /* Prepare key as DOMAIN-SID/USER-RID string */
 250         dom_sid_str_buf(user_sid, &keystr);
 251         DBG_DEBUG("SID [%s]\n", keystr.buf);
 252         data = tdb_fetch_bystring( netsamlogon_tdb, keystr.buf );
 253
 254         if (!data.dptr) {
 255                 return NULL;
 256         }
 257
 258         info3 = talloc_zero(mem_ctx, struct netr_SamInfo3);
 259         if (!info3) {
 260                 goto done;
 261         }
 262
 263         blob = data_blob_const(data.dptr, data.dsize);
 264
 265         ndr_err = ndr_pull_struct_blob_all(
 266                 &blob, mem_ctx, &r,
 267                 (ndr_pull_flags_fn_t)ndr_pull_netsamlogoncache_entry);
 268
 269         if (!NDR_ERR_CODE_IS_SUCCESS(ndr_err)) {
 270                 DEBUG(0,("netsamlogon_cache_get: failed to pull entry from cache\n"));
 271                 tdb_delete_bystring(netsamlogon_tdb, keystr.buf);
 272                 TALLOC_FREE(info3);
 273                 goto done;
 274         }
 275
 276         if (DEBUGLEVEL >= 10) {
 277                 NDR_PRINT_DEBUG(netsamlogoncache_entry, &r);
 278         }
 279
 280         info3 = (struct netr_SamInfo3 *)talloc_memdup(mem_ctx, &r.info3,
 281                                                       sizeof(r.info3));
 282
 283  done:
 284         SAFE_FREE(data.dptr);
 285
 286         return info3;
 287 }
 288
 289 bool netsamlogon_cache_have(const struct dom_sid *sid)
 290 {
 291         struct dom_sid_buf keystr;
 292         bool ok;
 293
 294         if (!netsamlogon_cache_init()) {
 295                 DBG_WARNING("Cannot open %s\n", NETSAMLOGON_TDB);
 296                 return false;
 297         }
 298
 299         dom_sid_str_buf(sid, &keystr);
 300
 301         ok = tdb_exists(netsamlogon_tdb, string_term_tdb_data(keystr.buf));
 302         return ok;
 303 }
 304
 305 struct netsamlog_cache_forall_state {
 306         TALLOC_CTX *mem_ctx;
 307         int (*cb)(const char *sid_str,
 308                   time_t when_cached,
 309                   struct netr_SamInfo3 *,
 310                   void *private_data);
 311         void *private_data;
 312 };
 313
 314 static int netsamlog_cache_traverse_cb(struct tdb_context *tdb,
 315                                        TDB_DATA key,
 316                                        TDB_DATA data,
 317                                        void *private_data)
 318 {
 319         struct netsamlog_cache_forall_state *state =
 320                 (struct netsamlog_cache_forall_state *)private_data;
 321         TALLOC_CTX *mem_ctx = NULL;
 322         DATA_BLOB blob;
 323         const char *sid_str = NULL;
 324         struct dom_sid sid;
 325         struct netsamlogoncache_entry r;
 326         enum ndr_err_code ndr_err;
 327         int ret;
 328         bool ok;
 329
 330         if (key.dsize == 0) {
 331                 return 0;
 332         }
 333         if (key.dptr[key.dsize - 1] != '\0') {
 334                 return 0;
 335         }
 336         if (data.dptr == NULL) {
 337                 return 0;
 338         }
 339         sid_str = (char *)key.dptr;
 340
 341         ok = string_to_sid(&sid, sid_str);
 342         if (!ok) {
 343                 DBG_ERR("String to SID failed for %s\n", sid_str);
 344                 return -1;
 345         }
 346
 347         if (sid.num_auths != 5) {
 348                 return 0;
 349         }
 350
 351         mem_ctx = talloc_new(state->mem_ctx);
 352         if (mem_ctx == NULL) {
 353                 return -1;
 354         }
 355
 356         blob = data_blob_const(data.dptr, data.dsize);
 357
 358         ndr_err = ndr_pull_struct_blob(
 359                 &blob, state->mem_ctx, &r,
 360                 (ndr_pull_flags_fn_t)ndr_pull_netsamlogoncache_entry);
 361
 362         if (!NDR_ERR_CODE_IS_SUCCESS(ndr_err)) {
 363                 DBG_ERR("failed to pull entry from cache\n");
 364                 return -1;
 365         }
 366
 367         ret = state->cb(sid_str, r.timestamp, &r.info3, state->private_data);
 368
 369         TALLOC_FREE(mem_ctx);
 370         return ret;
 371 }
 372
 373 int netsamlog_cache_for_all(int (*cb)(const char *sid_str,
 374                                       time_t when_cached,
 375                                       struct netr_SamInfo3 *,
 376                                       void *private_data),
 377                             void *private_data)
 378 {
 379         int ret;
 380         TALLOC_CTX *mem_ctx = NULL;
 381         struct netsamlog_cache_forall_state state;
 382
 383         if (!netsamlogon_cache_init()) {
 384                 DBG_ERR("Cannot open %s\n", NETSAMLOGON_TDB);
 385                 return -1;
 386         }
 387
 388         mem_ctx = talloc_init("netsamlog_cache_for_all");
 389         if (mem_ctx == NULL) {
 390                 return -1;
 391         }
 392
 393         state = (struct netsamlog_cache_forall_state) {
 394                 .mem_ctx = mem_ctx,
 395                 .cb = cb,
 396                 .private_data = private_data,
 397         };
 398
 399         ret = tdb_traverse_read(netsamlogon_tdb,
 400                                 netsamlog_cache_traverse_cb,
 401                                 &state);
 402
 403         TALLOC_FREE(state.mem_ctx);
 404         return ret;
 405 }