source4/torture/ldap/cldap.c

   1 /*
   2    Unix SMB/CIFS mplementation.
   3
   4    test CLDAP operations
   5
   6    Copyright (C) Andrew Tridgell 2005
   7
   8    This program is free software; you can redistribute it and/or modify
   9    it under the terms of the GNU General Public License as published by
  10    the Free Software Foundation; either version 3 of the License, or
  11    (at your option) any later version.
  12
  13    This program is distributed in the hope that it will be useful,
  14    but WITHOUT ANY WARRANTY; without even the implied warranty of
  15    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  16    GNU General Public License for more details.
  17
  18    You should have received a copy of the GNU General Public License
  19    along with this program.  If not, see <http://www.gnu.org/licenses/>.
  20
  21 */
  22
  23 #include "includes.h"
  24 #include "libcli/cldap/cldap.h"
  25 #include "libcli/ldap/ldap.h"
  26 #include "librpc/gen_ndr/ndr_nbt.h"
  27 #include "torture/torture.h"
  28 #include "lib/ldb/include/ldb.h"
  29 #include "param/param.h"
  30
  31 #define CHECK_STATUS(status, correct) torture_assert_ntstatus_equal(tctx, status, correct, "incorrect status")
  32
  33 #define CHECK_VAL(v, correct) torture_assert_int_equal(tctx, (v), (correct), "incorrect value");
  34
  35 #define CHECK_STRING(v, correct) torture_assert_str_equal(tctx, v, correct, "incorrect value");
  36 /*
  37   test netlogon operations
  38 */
  39 static bool test_cldap_netlogon(struct torture_context *tctx, const char *dest)
  40 {
  41         struct cldap_socket *cldap;
  42         NTSTATUS status;
  43         struct cldap_netlogon search, empty_search;
  44         struct netlogon_samlogon_response n1;
  45         struct GUID guid;
  46         int i;
  47
  48         cldap = cldap_socket_init(tctx, tctx->ev, lp_iconv_convenience(tctx->lp_ctx));
  49
  50         ZERO_STRUCT(search);
  51         search.in.dest_address = dest;
  52         search.in.dest_port = lp_cldap_port(tctx->lp_ctx);
  53         search.in.acct_control = -1;
  54         search.in.version = NETLOGON_NT_VERSION_5 | NETLOGON_NT_VERSION_5EX;
  55         search.in.map_response = true;
  56
  57         empty_search = search;
  58
  59         printf("Trying without any attributes\n");
  60         search = empty_search;
  61         status = cldap_netlogon(cldap, tctx, &search);
  62         CHECK_STATUS(status, NT_STATUS_OK);
  63
  64         n1 = search.out.netlogon;
  65
  66         search.in.user         = "Administrator";
  67         search.in.realm        = n1.nt5_ex.dns_domain;
  68         search.in.host         = "__cldap_torture__";
  69
  70         printf("Scanning for netlogon levels\n");
  71         for (i=0;i<256;i++) {
  72                 search.in.version = i;
  73                 printf("Trying netlogon level %d\n", i);
  74                 status = cldap_netlogon(cldap, tctx, &search);
  75                 CHECK_STATUS(status, NT_STATUS_OK);
  76         }
  77
  78         printf("Scanning for netlogon level bits\n");
  79         for (i=0;i<31;i++) {
  80                 search.in.version = (1<<i);
  81                 printf("Trying netlogon level 0x%x\n", i);
  82                 status = cldap_netlogon(cldap, tctx, &search);
  83                 CHECK_STATUS(status, NT_STATUS_OK);
  84         }
  85
  86         search.in.version = NETLOGON_NT_VERSION_5|NETLOGON_NT_VERSION_5EX|NETLOGON_NT_VERSION_IP;
  87
  88         status = cldap_netlogon(cldap, tctx, &search);
  89         CHECK_STATUS(status, NT_STATUS_OK);
  90
  91         printf("Trying with User=NULL\n");
  92
  93         search.in.user = NULL;
  94         status = cldap_netlogon(cldap, tctx, &search);
  95         CHECK_STATUS(status, NT_STATUS_OK);
  96         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
  97         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE_EX);
  98
  99         printf("Trying with User=Administrator\n");
 100
 101         search.in.user = "Administrator";
 102         status = cldap_netlogon(cldap, tctx, &search);
 103         CHECK_STATUS(status, NT_STATUS_OK);
 104
 105         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, search.in.user);
 106         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_USER_UNKNOWN_EX);
 107
 108         search.in.version = NETLOGON_NT_VERSION_5;
 109         status = cldap_netlogon(cldap, tctx, &search);
 110         CHECK_STATUS(status, NT_STATUS_OK);
 111
 112         printf("Trying with User=NULL\n");
 113
 114         search.in.user = NULL;
 115         status = cldap_netlogon(cldap, tctx, &search);
 116         CHECK_STATUS(status, NT_STATUS_OK);
 117         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
 118         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE);
 119
 120         printf("Trying with User=Administrator\n");
 121
 122         search.in.user = "Administrator";
 123         status = cldap_netlogon(cldap, tctx, &search);
 124         CHECK_STATUS(status, NT_STATUS_OK);
 125
 126         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, search.in.user);
 127         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_USER_UNKNOWN);
 128
 129         search.in.version = NETLOGON_NT_VERSION_5 | NETLOGON_NT_VERSION_5EX;
 130
 131         printf("Trying with a GUID\n");
 132         search.in.realm       = NULL;
 133         search.in.domain_guid = GUID_string(tctx, &n1.nt5_ex.domain_uuid);
 134         status = cldap_netlogon(cldap, tctx, &search);
 135         CHECK_STATUS(status, NT_STATUS_OK);
 136         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_USER_UNKNOWN_EX);
 137         CHECK_STRING(GUID_string(tctx, &search.out.netlogon.nt5_ex.domain_uuid), search.in.domain_guid);
 138
 139         printf("Trying with a incorrect GUID\n");
 140         guid = GUID_random();
 141         search.in.user        = NULL;
 142         search.in.domain_guid = GUID_string(tctx, &guid);
 143         status = cldap_netlogon(cldap, tctx, &search);
 144         CHECK_STATUS(status, NT_STATUS_NOT_FOUND);
 145
 146         printf("Trying with a AAC\n");
 147         search.in.acct_control = ACB_WSTRUST|ACB_SVRTRUST;
 148         search.in.realm = n1.nt5_ex.dns_domain;
 149         status = cldap_netlogon(cldap, tctx, &search);
 150         CHECK_STATUS(status, NT_STATUS_OK);
 151         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE_EX);
 152         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
 153
 154         printf("Trying with a zero AAC\n");
 155         search.in.acct_control = 0x0;
 156         search.in.realm = n1.nt5_ex.dns_domain;
 157         status = cldap_netlogon(cldap, tctx, &search);
 158         CHECK_STATUS(status, NT_STATUS_OK);
 159         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE_EX);
 160         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
 161
 162         printf("Trying with a zero AAC and user=Administrator\n");
 163         search.in.acct_control = 0x0;
 164         search.in.user = "Administrator";
 165         search.in.realm = n1.nt5_ex.dns_domain;
 166         status = cldap_netlogon(cldap, tctx, &search);
 167         CHECK_STATUS(status, NT_STATUS_OK);
 168         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_USER_UNKNOWN_EX);
 169         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "Administrator");
 170
 171         printf("Trying with a bad AAC\n");
 172         search.in.user = NULL;
 173         search.in.acct_control = 0xFF00FF00;
 174         search.in.realm = n1.nt5_ex.dns_domain;
 175         status = cldap_netlogon(cldap, tctx, &search);
 176         CHECK_STATUS(status, NT_STATUS_OK);
 177         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE_EX);
 178         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
 179
 180         printf("Trying with a user only\n");
 181         search = empty_search;
 182         search.in.user = "Administrator";
 183         status = cldap_netlogon(cldap, tctx, &search);
 184         CHECK_STATUS(status, NT_STATUS_OK);
 185         CHECK_STRING(search.out.netlogon.nt5_ex.dns_domain, n1.nt5_ex.dns_domain);
 186         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, search.in.user);
 187
 188         printf("Trying with just a bad username\n");
 189         search.in.user = "___no_such_user___";
 190         status = cldap_netlogon(cldap, tctx, &search);
 191         CHECK_STATUS(status, NT_STATUS_OK);
 192         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, search.in.user);
 193         CHECK_STRING(search.out.netlogon.nt5_ex.dns_domain, n1.nt5_ex.dns_domain);
 194         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_USER_UNKNOWN_EX);
 195
 196         printf("Trying with just a bad domain\n");
 197         search = empty_search;
 198         search.in.realm = "___no_such_domain___";
 199         status = cldap_netlogon(cldap, tctx, &search);
 200         CHECK_STATUS(status, NT_STATUS_NOT_FOUND);
 201
 202         printf("Trying with a incorrect domain and correct guid\n");
 203         search.in.domain_guid = GUID_string(tctx, &n1.nt5_ex.domain_uuid);
 204         status = cldap_netlogon(cldap, tctx, &search);
 205         CHECK_STATUS(status, NT_STATUS_OK);
 206         CHECK_STRING(search.out.netlogon.nt5_ex.dns_domain, n1.nt5_ex.dns_domain);
 207         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
 208         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE_EX);
 209
 210         printf("Trying with a incorrect domain and incorrect guid\n");
 211         search.in.domain_guid = GUID_string(tctx, &guid);
 212         status = cldap_netlogon(cldap, tctx, &search);
 213         CHECK_STATUS(status, NT_STATUS_NOT_FOUND);
 214         CHECK_STRING(search.out.netlogon.nt5_ex.dns_domain, n1.nt5_ex.dns_domain);
 215         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
 216         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE_EX);
 217
 218         printf("Trying with a incorrect GUID and correct domain\n");
 219         search.in.domain_guid = GUID_string(tctx, &guid);
 220         search.in.realm = n1.nt5_ex.dns_domain;
 221         status = cldap_netlogon(cldap, tctx, &search);
 222         CHECK_STATUS(status, NT_STATUS_OK);
 223         CHECK_STRING(search.out.netlogon.nt5_ex.dns_domain, n1.nt5_ex.dns_domain);
 224         CHECK_STRING(search.out.netlogon.nt5_ex.user_name, "");
 225         CHECK_VAL(search.out.netlogon.nt5_ex.command, LOGON_SAM_LOGON_RESPONSE_EX);
 226
 227         return true;
 228 }
 229
 230 /*
 231   convert a ldap result message to a ldb message. This allows us to
 232   use the convenient ldif dump routines in ldb to print out cldap
 233   search results
 234 */
 235 static struct ldb_message *ldap_msg_to_ldb(TALLOC_CTX *mem_ctx, struct ldb_context *ldb, struct ldap_SearchResEntry *res)
 236 {
 237         struct ldb_message *msg;
 238
 239         msg = ldb_msg_new(mem_ctx);
 240         msg->dn = ldb_dn_new(msg, ldb, res->dn);
 241         msg->num_elements = res->num_attributes;
 242         msg->elements = talloc_steal(msg, res->attributes);
 243         return msg;
 244 }
 245
 246 /*
 247   dump a set of cldap results
 248 */
 249 static void cldap_dump_results(struct cldap_search *search)
 250 {
 251         struct ldb_ldif ldif;
 252         struct ldb_context *ldb;
 253
 254         if (!search || !(search->out.response)) {
 255                 return;
 256         }
 257
 258         /* we need a ldb context to use ldb_ldif_write_file() */
 259         ldb = ldb_init(NULL);
 260
 261         ZERO_STRUCT(ldif);
 262         ldif.msg = ldap_msg_to_ldb(ldb, ldb, search->out.response);
 263
 264         ldb_ldif_write_file(ldb, stdout, &ldif);
 265
 266         talloc_free(ldb);
 267 }
 268
 269 /*
 270   test generic cldap operations
 271 */
 272 static bool test_cldap_generic(struct torture_context *tctx, const char *dest)
 273 {
 274         struct cldap_socket *cldap;
 275         NTSTATUS status;
 276         struct cldap_search search;
 277         const char *attrs1[] = { "currentTime", "highestCommittedUSN", NULL };
 278         const char *attrs2[] = { "currentTime", "highestCommittedUSN", "netlogon", NULL };
 279         const char *attrs3[] = { "netlogon", NULL };
 280
 281         cldap = cldap_socket_init(tctx, tctx->ev, lp_iconv_convenience(tctx->lp_ctx));
 282
 283         ZERO_STRUCT(search);
 284         search.in.dest_address = dest;
 285         search.in.dest_port = lp_cldap_port(tctx->lp_ctx);
 286         search.in.timeout = 10;
 287         search.in.retries = 3;
 288
 289         status = cldap_search(cldap, tctx, &search);
 290         CHECK_STATUS(status, NT_STATUS_OK);
 291
 292         printf("fetching whole rootDSE\n");
 293         search.in.filter = "(objectclass=*)";
 294         search.in.attributes = NULL;
 295
 296         status = cldap_search(cldap, tctx, &search);
 297         CHECK_STATUS(status, NT_STATUS_OK);
 298
 299         if (DEBUGLVL(3)) cldap_dump_results(&search);
 300
 301         printf("fetching currentTime and USN\n");
 302         search.in.filter = "(objectclass=*)";
 303         search.in.attributes = attrs1;
 304
 305         status = cldap_search(cldap, tctx, &search);
 306         CHECK_STATUS(status, NT_STATUS_OK);
 307
 308         if (DEBUGLVL(3)) cldap_dump_results(&search);
 309
 310         printf("Testing currentTime, USN and netlogon\n");
 311         search.in.filter = "(objectclass=*)";
 312         search.in.attributes = attrs2;
 313
 314         status = cldap_search(cldap, tctx, &search);
 315         CHECK_STATUS(status, NT_STATUS_OK);
 316
 317         if (DEBUGLVL(3)) cldap_dump_results(&search);
 318
 319         printf("Testing objectClass=* and netlogon\n");
 320         search.in.filter = "(objectclass2=*)";
 321         search.in.attributes = attrs3;
 322
 323         status = cldap_search(cldap, tctx, &search);
 324         CHECK_STATUS(status, NT_STATUS_OK);
 325
 326         if (DEBUGLVL(3)) cldap_dump_results(&search);
 327
 328         printf("Testing a false expression\n");
 329         search.in.filter = "(&(objectclass=*)(highestCommittedUSN=2))";
 330         search.in.attributes = attrs1;
 331
 332         status = cldap_search(cldap, tctx, &search);
 333         CHECK_STATUS(status, NT_STATUS_OK);
 334
 335         if (DEBUGLVL(3)) cldap_dump_results(&search);
 336
 337         return true;
 338 }
 339
 340 bool torture_cldap(struct torture_context *torture)
 341 {
 342         bool ret = true;
 343         const char *host = torture_setting_string(torture, "host", NULL);
 344
 345         ret &= test_cldap_netlogon(torture, host);
 346         ret &= test_cldap_generic(torture, host);
 347
 348         return ret;
 349 }
 350