Jerry rightly complained that we can't assume that the first domain is
[jra/samba/.git] / source3 / nsswitch / winbindd_util.c
1 /* 
2    Unix SMB/CIFS implementation.
3
4    Winbind daemon for ntdom nss module
5
6    Copyright (C) Tim Potter 2000-2001
7    Copyright (C) 2001 by Martin Pool <mbp@samba.org>
8    
9    This program is free software; you can redistribute it and/or modify
10    it under the terms of the GNU General Public License as published by
11    the Free Software Foundation; either version 2 of the License, or
12    (at your option) any later version.
13    
14    This program is distributed in the hope that it will be useful,
15    but WITHOUT ANY WARRANTY; without even the implied warranty of
16    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
17    GNU General Public License for more details.
18    
19    You should have received a copy of the GNU General Public License
20    along with this program; if not, write to the Free Software
21    Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
22 */
23
24 #include "includes.h"
25 #include "winbindd.h"
26
27 #undef DBGC_CLASS
28 #define DBGC_CLASS DBGC_WINBIND
29
30 /**
31  * @file winbindd_util.c
32  *
33  * Winbind daemon for NT domain authentication nss module.
34  **/
35
36
37 /**
38  * Used to clobber name fields that have an undefined value.
39  *
40  * Correct code should never look at a field that has this value.
41  **/
42
43 static const fstring name_deadbeef = "<deadbeef>";
44
45 /* The list of trusted domains.  Note that the list can be deleted and
46    recreated using the init_domain_list() function so pointers to
47    individual winbindd_domain structures cannot be made.  Keep a copy of
48    the domain name instead. */
49
50 static struct winbindd_domain *_domain_list;
51
52 struct winbindd_domain *domain_list(void)
53 {
54         /* Initialise list */
55
56         if (!_domain_list) 
57                 if (!init_domain_list()) 
58                         return NULL;
59
60         return _domain_list;
61 }
62
63 /* Free all entries in the trusted domain list */
64
65 void free_domain_list(void)
66 {
67         struct winbindd_domain *domain = _domain_list;
68
69         while(domain) {
70                 struct winbindd_domain *next = domain->next;
71                 
72                 DLIST_REMOVE(_domain_list, domain);
73                 SAFE_FREE(domain);
74                 domain = next;
75         }
76 }
77
78
79 /* Add a trusted domain to our list of domains */
80 static struct winbindd_domain *add_trusted_domain(const char *domain_name, const char *alt_name,
81                                                   struct winbindd_methods *methods,
82                                                   DOM_SID *sid)
83 {
84         struct winbindd_domain *domain;
85         char *contact_name;
86         const char *alternative_name = NULL;
87         
88         /* ignore alt_name if we are not in an AD domain */
89         
90         if ( (lp_security() == SEC_ADS) && alt_name && *alt_name) {
91                 alternative_name = alt_name;
92         }
93         
94         /* We can't call domain_list() as this function is called from
95            init_domain_list() and we'll get stuck in a loop. */
96         for (domain = _domain_list; domain; domain = domain->next) {
97                 if (strequal(domain_name, domain->name) ||
98                     strequal(domain_name, domain->alt_name)) {
99                         return domain;
100                 }
101                 if (alternative_name && *alternative_name) {
102                         if (strequal(alternative_name, domain->name) ||
103                             strequal(alternative_name, domain->alt_name)) {
104                                 return domain;
105                         }
106                 }
107         }
108         
109         /* Create new domain entry */
110
111         if ((domain = (struct winbindd_domain *)
112              malloc(sizeof(*domain))) == NULL)
113                 return NULL;
114
115         /* Fill in fields */
116         
117         ZERO_STRUCTP(domain);
118
119         /* prioritise the short name */
120         if (strchr_m(domain_name, '.') && alternative_name && *alternative_name) {
121                 fstrcpy(domain->name, alternative_name);
122                 fstrcpy(domain->alt_name, domain_name);
123         } else {
124                 fstrcpy(domain->name, domain_name);
125                 if (alternative_name) {
126                         fstrcpy(domain->alt_name, alternative_name);
127                 }
128         }
129
130         domain->methods = methods;
131         domain->backend = NULL;
132         domain->sequence_number = DOM_SEQUENCE_NONE;
133         domain->last_seq_check = 0;
134         if (sid) {
135                 sid_copy(&domain->sid, sid);
136         }
137         
138         /* see if this is a native mode win2k domain (use realm name if possible) */
139            
140         contact_name = *domain->alt_name ? domain->alt_name : domain->name;
141         domain->native_mode = cm_check_for_native_mode_win2k( contact_name );
142         
143         DEBUG(3,("add_trusted_domain: %s is a %s mode domain\n", contact_name,
144                 domain->native_mode ? "native" : "mixed (or NT4)" ));
145
146         /* Link to domain list */
147         DLIST_ADD(_domain_list, domain);
148         
149         DEBUG(1,("Added domain %s %s %s\n", 
150                  domain->name, domain->alt_name,
151                  sid?sid_string_static(&domain->sid):""));
152         
153         return domain;
154 }
155
156 /********************************************************************
157  Periodically we need to refresh the trusted domain cache for smbd 
158 ********************************************************************/
159
160 void rescan_trusted_domains( void )
161 {
162         static time_t last_scan;
163         time_t now = time(NULL);
164         struct winbindd_domain *mydomain = NULL;
165         
166         /* see if the time has come... */
167         
168         if ( (now > last_scan) && ((now-last_scan) < WINBINDD_RESCAN_FREQ) )
169                 return;
170                 
171         if ( (mydomain = find_our_domain()) == NULL ) {
172                 DEBUG(0,("rescan_trusted_domains: Can't find my own domain!\n"));
173                 return;
174         }
175         
176         /* this will only add new domains we didn't already know about */
177         
178         add_trusted_domains( mydomain );
179
180         last_scan = now;
181         
182         return; 
183 }
184
185 /********************************************************************
186   rescan our domains looking for new trusted domains
187 ********************************************************************/
188
189 void add_trusted_domains( struct winbindd_domain *domain )
190 {
191         TALLOC_CTX *mem_ctx;
192         NTSTATUS result;
193         time_t t;
194         char **names;
195         char **alt_names;
196         int num_domains = 0;
197         DOM_SID *dom_sids, null_sid;
198         int i;
199         struct winbindd_domain *new_domain;
200
201         /* trusted domains might be disabled */
202         if (!lp_allow_trusted_domains()) {
203                 return;
204         }
205
206         DEBUG(1, ("scanning trusted domain list\n"));
207
208         if (!(mem_ctx = talloc_init("init_domain_list")))
209                 return;
210            
211         ZERO_STRUCTP(&null_sid);
212
213         t = time(NULL);
214         
215         /* ask the DC what domains it trusts */
216         
217         result = domain->methods->trusted_domains(domain, mem_ctx, (unsigned int *)&num_domains,
218                 &names, &alt_names, &dom_sids);
219                 
220         if ( NT_STATUS_IS_OK(result) ) {
221
222                 /* Add each domain to the trusted domain list */
223                 
224                 for(i = 0; i < num_domains; i++) {
225                         DEBUG(10,("Found domain %s\n", names[i]));
226                         add_trusted_domain(names[i], alt_names?alt_names[i]:NULL,
227                                 domain->methods, &dom_sids[i]);
228                                            
229                         /* if the SID was empty, we better set it now */
230                         
231                         if ( sid_equal(&dom_sids[i], &null_sid) ) {
232                         
233                                 new_domain = find_domain_from_name(names[i]);
234                                  
235                                 /* this should never happen */
236                                 if ( !new_domain ) {    
237                                         DEBUG(0,("rescan_trust_domains: can't find the domain I just added! [%s]\n",
238                                                 names[i]));
239                                         break;
240                                 }
241                                  
242                                 /* call the cache method; which will operate on the winbindd_domain \
243                                    passed in and choose either rpc or ads as appropriate */
244
245                                 result = domain->methods->domain_sid( new_domain, &new_domain->sid );
246                                  
247                                 if ( NT_STATUS_IS_OK(result) )
248                                         sid_copy( &dom_sids[i], &new_domain->sid );
249                         }
250                         
251                         /* store trusted domain in the cache */
252                         trustdom_cache_store(names[i], alt_names ? alt_names[i] : NULL,
253                                              &dom_sids[i], t + WINBINDD_RESCAN_FREQ);
254                 }
255         }
256
257         talloc_destroy(mem_ctx);
258 }
259
260 /* Look up global info for the winbind daemon */
261 BOOL init_domain_list(void)
262 {
263         extern struct winbindd_methods cache_methods;
264         struct winbindd_domain *domain;
265
266         /* Free existing list */
267         free_domain_list();
268
269         /* Add ourselves as the first entry.  It *must* be the first entry */
270         
271         domain = add_trusted_domain( lp_workgroup(), lp_realm(), &cache_methods, NULL);
272         
273         domain->primary = True;
274
275         /* get any alternate name for the primary domain */
276         
277         cache_methods.alternate_name(domain);
278         
279         /* now we have the correct netbios (short) domain name */
280         
281         if ( *domain->name )
282                 set_global_myworkgroup( domain->name );
283                 
284         if (!secrets_fetch_domain_sid(domain->name, &domain->sid)) {
285                 DEBUG(1, ("Could not fetch sid for our domain %s\n",
286                           domain->name));
287                 return False;
288         }
289
290         /* do an initial scan for trusted domains */
291         add_trusted_domains(domain);
292
293         return True;
294 }
295
296 /** 
297  * Given a domain name, return the struct winbindd domain info for it 
298  *
299  * @note Do *not* pass lp_workgroup() to this function.  domain_list
300  *       may modify it's value, and free that pointer.  Instead, our local
301  *       domain may be found by looking at the first entry in domain_list()
302  *       directly.
303  *
304  *
305  * @return The domain structure for the named domain, if it is working.
306  */
307
308 struct winbindd_domain *find_domain_from_name(const char *domain_name)
309 {
310         struct winbindd_domain *domain;
311
312         /* Search through list */
313
314         for (domain = domain_list(); domain != NULL; domain = domain->next) {
315                 if (strequal(domain_name, domain->name) ||
316                     (domain->alt_name[0] && strequal(domain_name, domain->alt_name))) {
317                         return domain;
318                 }
319         }
320
321         /* Not found */
322
323         return NULL;
324 }
325
326 /* Given a domain sid, return the struct winbindd domain info for it */
327
328 struct winbindd_domain *find_domain_from_sid(DOM_SID *sid)
329 {
330         struct winbindd_domain *domain;
331
332         /* Search through list */
333
334         for (domain = domain_list(); domain != NULL; domain = domain->next) {
335                 if (sid_compare_domain(sid, &domain->sid) == 0)
336                         return domain;
337         }
338
339         /* Not found */
340
341         return NULL;
342 }
343
344 /* Given a domain sid, return the struct winbindd domain info for it */
345
346 struct winbindd_domain *find_our_domain()
347 {
348         struct winbindd_domain *domain;
349
350         /* Search through list */
351
352         for (domain = domain_list(); domain != NULL; domain = domain->next) {
353                 if (domain->primary)
354                         return domain;
355         }
356
357         /* Not found */
358
359         return NULL;
360 }
361
362 /* Lookup a sid in a domain from a name */
363
364 BOOL winbindd_lookup_sid_by_name(struct winbindd_domain *domain, 
365                                  const char *name, DOM_SID *sid, 
366                                  enum SID_NAME_USE *type)
367 {
368         NTSTATUS result;
369         TALLOC_CTX *mem_ctx;
370         /* Don't bother with machine accounts */
371
372         if (name[strlen(name) - 1] == '$')
373                 return False;
374
375         mem_ctx = talloc_init("lookup_sid_by_name for %s\n", name);
376         if (!mem_ctx) 
377                 return False;
378         
379         /* Lookup name */
380         result = domain->methods->name_to_sid(domain, mem_ctx, name, sid, type);
381
382         talloc_destroy(mem_ctx);
383         
384         /* Return rid and type if lookup successful */
385         if (!NT_STATUS_IS_OK(result)) {
386                 *type = SID_NAME_UNKNOWN;
387         }
388
389         return NT_STATUS_IS_OK(result);
390 }
391
392 /**
393  * @brief Lookup a name in a domain from a sid.
394  *
395  * @param sid Security ID you want to look up.
396  * @param name On success, set to the name corresponding to @p sid.
397  * @param dom_name On success, set to the 'domain name' corresponding to @p sid.
398  * @param type On success, contains the type of name: alias, group or
399  * user.
400  * @retval True if the name exists, in which case @p name and @p type
401  * are set, otherwise False.
402  **/
403 BOOL winbindd_lookup_name_by_sid(DOM_SID *sid,
404                                  fstring dom_name,
405                                  fstring name,
406                                  enum SID_NAME_USE *type)
407 {
408         char *names;
409         NTSTATUS result;
410         TALLOC_CTX *mem_ctx;
411         BOOL rv = False;
412         struct winbindd_domain *domain;
413
414         domain = find_domain_from_sid(sid);
415
416         if (!domain) {
417                 DEBUG(1,("Can't find domain from sid\n"));
418                 return False;
419         }
420
421         /* Lookup name */
422
423         if (!(mem_ctx = talloc_init("winbindd_lookup_name_by_sid")))
424                 return False;
425         
426         result = domain->methods->sid_to_name(domain, mem_ctx, sid, &names, type);
427
428         /* Return name and type if successful */
429         
430         if ((rv = NT_STATUS_IS_OK(result))) {
431                 fstrcpy(dom_name, domain->name);
432                 fstrcpy(name, names);
433         } else {
434                 *type = SID_NAME_UNKNOWN;
435                 fstrcpy(name, name_deadbeef);
436         }
437         
438         talloc_destroy(mem_ctx);
439
440         return rv;
441 }
442
443
444 /* Free state information held for {set,get,end}{pw,gr}ent() functions */
445
446 void free_getent_state(struct getent_state *state)
447 {
448         struct getent_state *temp;
449
450         /* Iterate over state list */
451
452         temp = state;
453
454         while(temp != NULL) {
455                 struct getent_state *next;
456
457                 /* Free sam entries then list entry */
458
459                 SAFE_FREE(state->sam_entries);
460                 DLIST_REMOVE(state, state);
461                 next = temp->next;
462
463                 SAFE_FREE(temp);
464                 temp = next;
465         }
466 }
467
468 /* Parse winbindd related parameters */
469
470 BOOL winbindd_param_init(void)
471 {
472         /* Parse winbind uid and winbind_gid parameters */
473
474         if (!lp_idmap_uid(&server_state.uid_low, &server_state.uid_high)) {
475                 DEBUG(0, ("winbindd: idmap uid range missing or invalid\n"));
476                 DEBUG(0, ("winbindd: cannot continue, exiting.\n"));
477                 return False;
478         }
479         
480         if (!lp_idmap_gid(&server_state.gid_low, &server_state.gid_high)) {
481                 DEBUG(0, ("winbindd: idmap gid range missing or invalid\n"));
482                 DEBUG(0, ("winbindd: cannot continue, exiting.\n"));
483                 return False;
484         }
485         
486         return True;
487 }
488
489 /* Check if a domain is present in a comma-separated list of domains */
490
491 BOOL check_domain_env(char *domain_env, char *domain)
492 {
493         fstring name;
494         const char *tmp = domain_env;
495
496         while(next_token(&tmp, name, ",", sizeof(fstring))) {
497                 if (strequal(name, domain))
498                         return True;
499         }
500
501         return False;
502 }
503
504 /* Is this a domain which we may assume no DOMAIN\ prefix? */
505
506 static BOOL assume_domain(const char *domain) {
507         if ((lp_winbind_use_default_domain()  
508                   || lp_winbind_trusted_domains_only()) &&
509             strequal(lp_workgroup(), domain)) 
510                 return True;
511
512         if (strequal(get_global_sam_name(), domain)) 
513                 return True;
514         
515         return False;
516 }
517
518 /* Parse a string of the form DOMAIN/user into a domain and a user */
519
520 BOOL parse_domain_user(const char *domuser, fstring domain, fstring user)
521 {
522         char *p = strchr(domuser,*lp_winbind_separator());
523
524         if ( !p ) {
525                 fstrcpy(user, domuser);
526                 
527                 if ( assume_domain(lp_workgroup())) {
528                         fstrcpy(domain, lp_workgroup());
529                 } else if (assume_domain(get_global_sam_name())) {
530                         fstrcpy( domain, get_global_sam_name() ); 
531                 } else {
532                         fstrcpy( domain, "");
533                 }
534         } 
535         else {
536                 fstrcpy(user, p+1);
537                 fstrcpy(domain, domuser);
538                 domain[PTR_DIFF(p, domuser)] = 0;
539         }
540         
541         strupper_m(domain);
542         
543         return True;
544 }
545
546 /*
547     Fill DOMAIN\\USERNAME entry accounting 'winbind use default domain' and
548     'winbind separator' options.
549     This means:
550         - omit DOMAIN when 'winbind use default domain = true' and DOMAIN is
551         lp_workgroup()
552
553     If we are a PDC or BDC, and this is for our domain, do likewise.
554
555     Also, if omit DOMAIN if 'winbind trusted domains only = true', as the 
556     username is then unqualified in unix
557          
558 */
559 void fill_domain_username(fstring name, const char *domain, const char *user)
560 {
561         if (assume_domain(domain)) {
562                 strlcpy(name, user, sizeof(fstring));
563         } else {
564                 slprintf(name, sizeof(fstring) - 1, "%s%s%s",
565                          domain, lp_winbind_separator(),
566                          user);
567         }
568 }
569
570 /*
571  * Winbindd socket accessor functions
572  */
573
574 char *get_winbind_priv_pipe_dir(void) 
575 {
576         return lock_path(WINBINDD_PRIV_SOCKET_SUBDIR);
577 }
578
579 /* Open the winbindd socket */
580
581 static int _winbindd_socket = -1;
582 static int _winbindd_priv_socket = -1;
583
584 int open_winbindd_socket(void)
585 {
586         if (_winbindd_socket == -1) {
587                 _winbindd_socket = create_pipe_sock(
588                         WINBINDD_SOCKET_DIR, WINBINDD_SOCKET_NAME, 0755);
589                 DEBUG(10, ("open_winbindd_socket: opened socket fd %d\n",
590                            _winbindd_socket));
591         }
592
593         return _winbindd_socket;
594 }
595
596 int open_winbindd_priv_socket(void)
597 {
598         if (_winbindd_priv_socket == -1) {
599                 _winbindd_priv_socket = create_pipe_sock(
600                         get_winbind_priv_pipe_dir(), WINBINDD_SOCKET_NAME, 0750);
601                 DEBUG(10, ("open_winbindd_priv_socket: opened socket fd %d\n",
602                            _winbindd_priv_socket));
603         }
604
605         return _winbindd_priv_socket;
606 }
607
608 /* Close the winbindd socket */
609
610 void close_winbindd_socket(void)
611 {
612         if (_winbindd_socket != -1) {
613                 DEBUG(10, ("close_winbindd_socket: closing socket fd %d\n",
614                            _winbindd_socket));
615                 close(_winbindd_socket);
616                 _winbindd_socket = -1;
617         }
618         if (_winbindd_priv_socket != -1) {
619                 DEBUG(10, ("close_winbindd_socket: closing socket fd %d\n",
620                            _winbindd_priv_socket));
621                 close(_winbindd_priv_socket);
622                 _winbindd_priv_socket = -1;
623         }
624 }
625
626 /*
627  * Client list accessor functions
628  */
629
630 static struct winbindd_cli_state *_client_list;
631 static int _num_clients;
632
633 /* Return list of all connected clients */
634
635 struct winbindd_cli_state *winbindd_client_list(void)
636 {
637         return _client_list;
638 }
639
640 /* Add a connection to the list */
641
642 void winbindd_add_client(struct winbindd_cli_state *cli)
643 {
644         DLIST_ADD(_client_list, cli);
645         _num_clients++;
646 }
647
648 /* Remove a client from the list */
649
650 void winbindd_remove_client(struct winbindd_cli_state *cli)
651 {
652         DLIST_REMOVE(_client_list, cli);
653         _num_clients--;
654 }
655
656 /* Close all open clients */
657
658 void winbindd_kill_all_clients(void)
659 {
660         struct winbindd_cli_state *cl = winbindd_client_list();
661
662         DEBUG(10, ("winbindd_kill_all_clients: going postal\n"));
663
664         while (cl) {
665                 struct winbindd_cli_state *next;
666                 
667                 next = cl->next;
668                 winbindd_remove_client(cl);
669                 cl = next;
670         }
671 }
672
673 /* Return number of open clients */
674
675 int winbindd_num_clients(void)
676 {
677         return _num_clients;
678 }
679
680 /* Help with RID -> SID conversion */
681
682 DOM_SID *rid_to_talloced_sid(struct winbindd_domain *domain,
683                                     TALLOC_CTX *mem_ctx,
684                                     uint32 rid) 
685 {
686         DOM_SID *sid;
687         sid = talloc(mem_ctx, sizeof(*sid));
688         if (!sid) {
689                 smb_panic("rid_to_to_talloced_sid: talloc for DOM_SID failed!\n");
690         }
691         sid_copy(sid, &domain->sid);
692         sid_append_rid(sid, rid);
693         return sid;
694 }
695         
696 /*****************************************************************************
697  For idmap conversion: convert one record to new format
698  Ancient versions (eg 2.2.3a) of winbindd_idmap.tdb mapped DOMAINNAME/rid
699  instead of the SID.
700 *****************************************************************************/
701 static int convert_fn(TDB_CONTEXT *tdb, TDB_DATA key, TDB_DATA data, void *state)
702 {
703         struct winbindd_domain *domain;
704         char *p;
705         DOM_SID sid;
706         uint32 rid;
707         fstring keystr;
708         fstring dom_name;
709         TDB_DATA key2;
710         BOOL *failed = (BOOL *)state;
711
712         DEBUG(10,("Converting %s\n", key.dptr));
713
714         p = strchr(key.dptr, '/');
715         if (!p)
716                 return 0;
717
718         *p = 0;
719         fstrcpy(dom_name, key.dptr);
720         *p++ = '/';
721
722         domain = find_domain_from_name(dom_name);
723         if (domain == NULL) {
724                 /* We must delete the old record. */
725                 DEBUG(0,("Unable to find domain %s\n", dom_name ));
726                 DEBUG(0,("deleting record %s\n", key.dptr ));
727
728                 if (tdb_delete(tdb, key) != 0) {
729                         DEBUG(0, ("Unable to delete record %s\n", key.dptr));
730                         *failed = True;
731                         return -1;
732                 }
733
734                 return 0;
735         }
736
737         rid = atoi(p);
738
739         sid_copy(&sid, &domain->sid);
740         sid_append_rid(&sid, rid);
741
742         sid_to_string(keystr, &sid);
743         key2.dptr = keystr;
744         key2.dsize = strlen(keystr) + 1;
745
746         if (tdb_store(tdb, key2, data, TDB_INSERT) != 0) {
747                 DEBUG(0,("Unable to add record %s\n", key2.dptr ));
748                 *failed = True;
749                 return -1;
750         }
751
752         if (tdb_store(tdb, data, key2, TDB_REPLACE) != 0) {
753                 DEBUG(0,("Unable to update record %s\n", data.dptr ));
754                 *failed = True;
755                 return -1;
756         }
757
758         if (tdb_delete(tdb, key) != 0) {
759                 DEBUG(0,("Unable to delete record %s\n", key.dptr ));
760                 *failed = True;
761                 return -1;
762         }
763
764         return 0;
765 }
766
767 /* These definitions are from sam/idmap_tdb.c. Replicated here just
768    out of laziness.... :-( */
769
770 /* High water mark keys */
771 #define HWM_GROUP  "GROUP HWM"
772 #define HWM_USER   "USER HWM"
773
774 /* idmap version determines auto-conversion */
775 #define IDMAP_VERSION 2
776
777
778 /*****************************************************************************
779  Convert the idmap database from an older version.
780 *****************************************************************************/
781
782 static BOOL idmap_convert(const char *idmap_name)
783 {
784         int32 vers;
785         BOOL bigendianheader;
786         BOOL failed = False;
787         TDB_CONTEXT *idmap_tdb;
788
789         if (!(idmap_tdb = tdb_open_log(idmap_name, 0,
790                                         TDB_DEFAULT, O_RDWR,
791                                         0600))) {
792                 DEBUG(0, ("idmap_convert: Unable to open idmap database\n"));
793                 return False;
794         }
795
796         bigendianheader = (idmap_tdb->flags & TDB_BIGENDIAN) ? True : False;
797
798         vers = tdb_fetch_int32(idmap_tdb, "IDMAP_VERSION");
799
800         if (((vers == -1) && bigendianheader) || (IREV(vers) == IDMAP_VERSION)) {
801                 /* Arrggghh ! Bytereversed or old big-endian - make order independent ! */
802                 /*
803                  * high and low records were created on a
804                  * big endian machine and will need byte-reversing.
805                  */
806
807                 int32 wm;
808
809                 wm = tdb_fetch_int32(idmap_tdb, HWM_USER);
810
811                 if (wm != -1) {
812                         wm = IREV(wm);
813                 }  else {
814                         wm = server_state.uid_low;
815                 }
816
817                 if (tdb_store_int32(idmap_tdb, HWM_USER, wm) == -1) {
818                         DEBUG(0, ("idmap_convert: Unable to byteswap user hwm in idmap database\n"));
819                         tdb_close(idmap_tdb);
820                         return False;
821                 }
822
823                 wm = tdb_fetch_int32(idmap_tdb, HWM_GROUP);
824                 if (wm != -1) {
825                         wm = IREV(wm);
826                 } else {
827                         wm = server_state.gid_low;
828                 }
829
830                 if (tdb_store_int32(idmap_tdb, HWM_GROUP, wm) == -1) {
831                         DEBUG(0, ("idmap_convert: Unable to byteswap group hwm in idmap database\n"));
832                         tdb_close(idmap_tdb);
833                         return False;
834                 }
835         }
836
837         /* the old format stored as DOMAIN/rid - now we store the SID direct */
838         tdb_traverse(idmap_tdb, convert_fn, &failed);
839
840         if (failed) {
841                 DEBUG(0, ("Problem during conversion\n"));
842                 tdb_close(idmap_tdb);
843                 return False;
844         }
845
846         if (tdb_store_int32(idmap_tdb, "IDMAP_VERSION", IDMAP_VERSION) == -1) {
847                 DEBUG(0, ("idmap_convert: Unable to dtore idmap version in databse\n"));
848                 tdb_close(idmap_tdb);
849                 return False;
850         }
851
852         tdb_close(idmap_tdb);
853         return True;
854 }
855
856 /*****************************************************************************
857  Convert the idmap database from an older version if necessary
858 *****************************************************************************/
859
860 BOOL winbindd_upgrade_idmap(void)
861 {
862         pstring idmap_name;
863         pstring backup_name;
864         SMB_STRUCT_STAT stbuf;
865         TDB_CONTEXT *idmap_tdb;
866
867         pstrcpy(idmap_name, lock_path("winbindd_idmap.tdb"));
868
869         if (!file_exist(idmap_name, &stbuf)) {
870                 /* nothing to convert return */
871                 return True;
872         }
873
874         if (!(idmap_tdb = tdb_open_log(idmap_name, 0,
875                                         TDB_DEFAULT, O_RDWR,
876                                         0600))) {
877                 DEBUG(0, ("idmap_convert: Unable to open idmap database\n"));
878                 return False;
879         }
880
881         if (tdb_fetch_int32(idmap_tdb, "IDMAP_VERSION") == IDMAP_VERSION) {
882                 /* nothing to convert return */
883                 tdb_close(idmap_tdb);
884                 return True;
885         }
886
887         /* backup_tdb expects the tdb not to be open */
888         tdb_close(idmap_tdb);
889
890         DEBUG(0, ("Upgrading winbindd_idmap.tdb from an old version\n"));
891
892         pstrcpy(backup_name, idmap_name);
893         pstrcat(backup_name, ".bak");
894
895         if (backup_tdb(idmap_name, backup_name) != 0) {
896                 DEBUG(0, ("Could not backup idmap database\n"));
897                 return False;
898         }
899
900         return idmap_convert(idmap_name);
901 }
902
903 /*******************************************************************
904  wrapper around retrieving the trust account password
905 *******************************************************************/
906
907 BOOL get_trust_pw(const char *domain, uint8 ret_pwd[16],
908                           time_t *pass_last_set_time, uint32 *channel)
909 {
910         DOM_SID sid;
911         char *pwd;
912
913         /* if we are a DC and this is not our domain, then lookup an account
914            for the domain trust */
915            
916         if ( IS_DC && !strequal(domain, lp_workgroup()) && lp_allow_trusted_domains() ) 
917         {
918                 if ( !secrets_fetch_trusted_domain_password(domain, &pwd, &sid, 
919                         pass_last_set_time) ) 
920                 {
921                         DEBUG(0, ("get_trust_pw: could not fetch trust account "
922                                   "password for trusted domain %s\n", domain));
923                         return False;
924                 }
925                 
926                 *channel = SEC_CHAN_DOMAIN;
927                 E_md4hash(pwd, ret_pwd);
928                 SAFE_FREE(pwd);
929
930                 return True;
931         }
932         else    /* just get the account for our domain (covers 
933                    ROLE_DOMAIN_MEMBER as well */
934         {
935                 /* get the machine trust account for our domain */
936
937                 if ( !secrets_fetch_trust_account_password (lp_workgroup(), ret_pwd,
938                         pass_last_set_time, channel) ) 
939                 {
940                         DEBUG(0, ("get_trust_pw: could not fetch trust account "
941                                   "password for my domain %s\n", domain));
942                         return False;
943                 }
944                 
945                 return True;
946         }
947         
948         /* Failure */
949 }
950