source/dsdb/samdb/ldb_modules/kludge_acl.c

   1 /*
   2    ldb database library
   3
   4    Copyright (C) Andrew Bartlett 2005
   5    Copyright (C) Simo Sorce 2006
   6
   7     This program is free software; you can redistribute it and/or modify
   8    it under the terms of the GNU General Public License as published by
   9    the Free Software Foundation; either version 2 of the License, or
  10    (at your option) any later version.
  11
  12    This program is distributed in the hope that it will be useful,
  13    but WITHOUT ANY WARRANTY; without even the implied warranty of
  14    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15    GNU General Public License for more details.
  16
  17    You should have received a copy of the GNU General Public License
  18    along with this program; if not, write to the Free Software
  19    Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
  20 */
  21
  22 /*
  23  *  Name: ldb
  24  *
  25  *  Component: ldb kludge ACL module
  26  *
  27  *  Description: Simple module to enforce a simple form of access
  28  *               control, sufficient for securing a default Samba4
  29  *               installation.
  30  *
  31  *  Author: Andrew Bartlett
  32  */
  33
  34 #include "includes.h"
  35 #include "ldb/include/ldb.h"
  36 #include "ldb/include/ldb_errors.h"
  37 #include "ldb/include/ldb_private.h"
  38 #include "auth/auth.h"
  39 #include "libcli/security/security.h"
  40
  41 /* Kludge ACL rules:
  42  *
  43  * - System can read passwords
  44  * - Administrators can write anything
  45  * - Users can read anything that is not a password
  46  *
  47  */
  48
  49 enum user_is {
  50         ANONYMOUS,
  51         USER,
  52         ADMINISTRATOR,
  53         SYSTEM
  54 };
  55
  56 struct kludge_private_data {
  57         const char **password_attrs;
  58 };
  59
  60 static enum user_is what_is_user(struct ldb_module *module)
  61 {
  62         struct auth_session_info *session_info
  63                 = ldb_get_opaque(module->ldb, "sessionInfo");
  64         if (!session_info) {
  65                 return ANONYMOUS;
  66         }
  67
  68         if (security_token_is_system(session_info->security_token)) {
  69                 return SYSTEM;
  70         }
  71
  72         if (security_token_is_anonymous(session_info->security_token)) {
  73                 return ANONYMOUS;
  74         }
  75
  76         if (security_token_has_builtin_administrators(session_info->security_token)) {
  77                 return ADMINISTRATOR;
  78         }
  79
  80         if (security_token_has_nt_authenticated_users(session_info->security_token)) {
  81                 return USER;
  82         }
  83
  84         return ANONYMOUS;
  85 }
  86
  87 static const char *user_name(TALLOC_CTX *mem_ctx, struct ldb_module *module)
  88 {
  89         struct auth_session_info *session_info
  90                 = ldb_get_opaque(module->ldb, "sessionInfo");
  91         if (!session_info) {
  92                 return "UNKNOWN (NULL)";
  93         }
  94
  95         return talloc_asprintf(mem_ctx, "%s\\%s",
  96                                session_info->server_info->domain_name,
  97                                session_info->server_info->account_name);
  98 }
  99
 100 /* search */
 101 struct kludge_acl_context {
 102
 103         struct ldb_module *module;
 104         void *up_context;
 105         int (*up_callback)(struct ldb_context *, void *, struct ldb_reply *);
 106
 107         enum user_is user_type;
 108 };
 109
 110 static int kludge_acl_callback(struct ldb_context *ldb, void *context, struct ldb_reply *ares)
 111 {
 112         struct kludge_acl_context *ac;
 113         struct kludge_private_data *data;
 114         int i;
 115
 116         if (!context || !ares) {
 117                 ldb_set_errstring(ldb, "NULL Context or Result in callback");
 118                 goto error;
 119         }
 120
 121         ac = talloc_get_type(context, struct kludge_acl_context);
 122         data = talloc_get_type(ac->module->private_data, struct kludge_private_data);
 123
 124         if (ares->type == LDB_REPLY_ENTRY
 125             && data && data->password_attrs) /* if we are not initialized just get through */
 126         {
 127                 switch (ac->user_type) {
 128                 case SYSTEM:
 129                 case ADMINISTRATOR:
 130                         break;
 131                 default:
 132                         /* remove password attributes */
 133                         for (i = 0; data->password_attrs[i]; i++) {
 134                                 ldb_msg_remove_attr(ares->message, data->password_attrs[i]);
 135                         }
 136                 }
 137         }
 138
 139         return ac->up_callback(ldb, ac->up_context, ares);
 140
 141 error:
 142         talloc_free(ares);
 143         return LDB_ERR_OPERATIONS_ERROR;
 144 }
 145
 146 static int kludge_acl_search(struct ldb_module *module, struct ldb_request *req)
 147 {
 148         struct kludge_acl_context *ac;
 149         struct ldb_request *down_req;
 150         struct kludge_private_data *data;
 151         int ret, i;
 152
 153         req->handle = NULL;
 154
 155         ac = talloc(req, struct kludge_acl_context);
 156         if (ac == NULL) {
 157                 return LDB_ERR_OPERATIONS_ERROR;
 158         }
 159
 160         data = talloc_get_type(module->private_data, struct kludge_private_data);
 161
 162         ac->module = module;
 163         ac->up_context = req->context;
 164         ac->up_callback = req->callback;
 165         ac->user_type = what_is_user(module);
 166
 167         down_req = talloc_zero(req, struct ldb_request);
 168         if (down_req == NULL) {
 169                 return LDB_ERR_OPERATIONS_ERROR;
 170         }
 171
 172         down_req->operation = req->operation;
 173         down_req->op.search.base = req->op.search.base;
 174         down_req->op.search.scope = req->op.search.scope;
 175         down_req->op.search.tree = req->op.search.tree;
 176         down_req->op.search.attrs = req->op.search.attrs;
 177
 178
 179         /*  FIXME: I hink we should copy the tree and keep the original
 180          *  unmodified. SSS */
 181         /* replace any attributes in the parse tree that are private,
 182            so we don't allow a search for 'sambaPassword=penguin',
 183            just as we would not allow that attribute to be returned */
 184         switch (ac->user_type) {
 185         case SYSTEM:
 186                 break;
 187         default:
 188                 /* remove password attributes */
 189                 for (i = 0; data && data->password_attrs && data->password_attrs[i]; i++) {
 190                         ldb_parse_tree_attr_replace(down_req->op.search.tree,
 191                                                     data->password_attrs[i],
 192                                                     "kludgeACLredactedattribute");
 193                 }
 194         }
 195
 196         down_req->controls = req->controls;
 197
 198         down_req->context = ac;
 199         down_req->callback = kludge_acl_callback;
 200         ldb_set_timeout_from_prev_req(module->ldb, req, down_req);
 201
 202         /* perform the search */
 203         ret = ldb_next_request(module, down_req);
 204
 205         /* do not free down_req as the call results may be linked to it,
 206          * it will be freed when the upper level request get freed */
 207         if (ret == LDB_SUCCESS) {
 208                 req->handle = down_req->handle;
 209         }
 210
 211         return ret;
 212 }
 213
 214 /* ANY change type */
 215 static int kludge_acl_change(struct ldb_module *module, struct ldb_request *req)
 216 {
 217         enum user_is user_type = what_is_user(module);
 218         switch (user_type) {
 219         case SYSTEM:
 220         case ADMINISTRATOR:
 221                 return ldb_next_request(module, req);
 222         default:
 223                 ldb_asprintf_errstring(module->ldb,
 224                                        "kludge_acl_change: "
 225                                        "attempted database modify not permitted. "
 226                                        "User %s is not SYSTEM or an administrator",
 227                                        user_name(req, module));
 228                 return LDB_ERR_INSUFFICIENT_ACCESS_RIGHTS;
 229         }
 230 }
 231
 232 static int kludge_acl_init(struct ldb_module *module)
 233 {
 234         int ret, i;
 235         TALLOC_CTX *mem_ctx = talloc_new(module);
 236         static const char *attrs[] = { "passwordAttribute", NULL };
 237         struct ldb_result *res;
 238         struct ldb_message *msg;
 239         struct ldb_message_element *password_attributes;
 240
 241         struct kludge_private_data *data;
 242
 243         data = talloc(module, struct kludge_private_data);
 244         if (data == NULL) {
 245                 return LDB_ERR_OPERATIONS_ERROR;
 246         }
 247
 248         data->password_attrs = NULL;
 249         module->private_data = data;
 250
 251         if (!mem_ctx) {
 252                 return LDB_ERR_OPERATIONS_ERROR;
 253         }
 254
 255         ret = ldb_search(module->ldb, ldb_dn_new(mem_ctx, module->ldb, "@KLUDGEACL"),
 256                          LDB_SCOPE_BASE,
 257                          NULL, attrs,
 258                          &res);
 259         if (ret != LDB_SUCCESS) {
 260                 goto done;
 261         }
 262         talloc_steal(mem_ctx, res);
 263         if (res->count == 0) {
 264                 goto done;
 265         }
 266
 267         if (res->count > 1) {
 268                 talloc_free(mem_ctx);
 269                 return LDB_ERR_CONSTRAINT_VIOLATION;
 270         }
 271
 272         msg = res->msgs[0];
 273
 274         password_attributes = ldb_msg_find_element(msg, "passwordAttribute");
 275         if (!password_attributes) {
 276                 goto done;
 277         }
 278         data->password_attrs = talloc_array(data, const char *, password_attributes->num_values + 1);
 279         if (!data->password_attrs) {
 280                 talloc_free(mem_ctx);
 281                 return LDB_ERR_OPERATIONS_ERROR;
 282         }
 283         for (i=0; i < password_attributes->num_values; i++) {
 284                 data->password_attrs[i] = (const char *)password_attributes->values[i].data;
 285                 talloc_steal(data->password_attrs, password_attributes->values[i].data);
 286         }
 287         data->password_attrs[i] = NULL;
 288
 289 done:
 290         talloc_free(mem_ctx);
 291         return ldb_next_init(module);
 292 }
 293
 294 static const struct ldb_module_ops kludge_acl_ops = {
 295         .name              = "kludge_acl",
 296         .search            = kludge_acl_search,
 297         .add               = kludge_acl_change,
 298         .modify            = kludge_acl_change,
 299         .del               = kludge_acl_change,
 300         .rename            = kludge_acl_change,
 301         .extended          = kludge_acl_change,
 302         .init_context      = kludge_acl_init
 303 };
 304
 305 int ldb_kludge_acl_init(void)
 306 {
 307         return ldb_register_module(&kludge_acl_ops);
 308 }