8a16793843a8b2b45ee9ec177581921237bd623f
[kai/samba.git] / source3 / smbd / change_trust_pw.c
1 /* 
2  *  Unix SMB/Netbios implementation.
3  *  Version 3.0
4  *  Periodic Trust account password changing.
5  *  Copyright (C) Andrew Tridgell              1992-1997,
6  *  Copyright (C) Luke Kenneth Casson Leighton 1996-1997,
7  *  Copyright (C) Paul Ashton                       1997.
8  *  Copyright (C) Jeremy Allison                    1998.
9  *  Copyright (C) Andrew Bartlett                   2001.
10  *
11  *  This program is free software; you can redistribute it and/or modify
12  *  it under the terms of the GNU General Public License as published by
13  *  the Free Software Foundation; either version 2 of the License, or
14  *  (at your option) any later version.
15  *  
16  *  This program is distributed in the hope that it will be useful,
17  *  but WITHOUT ANY WARRANTY; without even the implied warranty of
18  *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
19  *  GNU General Public License for more details.
20  *  
21  *  You should have received a copy of the GNU General Public License
22  *  along with this program; if not, write to the Free Software
23  *  Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
24  */
25
26 #include "includes.h"
27
28 extern pstring global_myname;
29
30 /*********************************************************
31  Change the domain password on the PDC.
32 **********************************************************/
33
34 static NTSTATUS modify_trust_password( char *domain, char *remote_machine, 
35                                    unsigned char orig_trust_passwd_hash[16])
36 {
37   struct cli_state *cli;
38   DOM_SID domain_sid;
39   struct in_addr dest_ip;
40   NTSTATUS nt_status;
41
42   /*
43    * Ensure we have the domain SID for this domain.
44    */
45
46   if (!secrets_fetch_domain_sid(domain, &domain_sid)) {
47     DEBUG(0, ("domain_client_validate: unable to fetch domain sid.\n"));
48     return NT_STATUS_UNSUCCESSFUL;
49   }
50
51   if(!resolve_name( remote_machine, &dest_ip, 0x20)) {
52           DEBUG(0,("modify_trust_password: Can't resolve address for %s\n", remote_machine));
53           return NT_STATUS_UNSUCCESSFUL;
54   }
55   
56   if (!NT_STATUS_IS_OK(cli_full_connection(&cli, global_myname, remote_machine, 
57                                            &dest_ip, 0,
58                                            "IPC$", "IPC",  
59                                            "", "",
60                                            "", 0))) {
61           DEBUG(0,("modify_trust_password: Connection to %s failed!\n", remote_machine));
62           return NT_STATUS_UNSUCCESSFUL;
63   }
64       
65   /*
66    * Ok - we have an anonymous connection to the IPC$ share.
67    * Now start the NT Domain stuff :-).
68    */
69
70   if(cli_nt_session_open(cli, PIPE_NETLOGON) == False) {
71     DEBUG(0,("modify_trust_password: unable to open the domain client session to \
72 machine %s. Error was : %s.\n", remote_machine, cli_errstr(cli)));
73     cli_nt_session_close(cli);
74     cli_ulogoff(cli);
75     cli_shutdown(cli);
76     return NT_STATUS_UNSUCCESSFUL;
77   } 
78
79   nt_status = trust_pw_change_and_store_it(cli, cli->mem_ctx,
80                                            orig_trust_passwd_hash);
81   
82   cli_nt_session_close(cli);
83   cli_ulogoff(cli);
84   cli_shutdown(cli);
85   return nt_status;
86 }
87
88 /************************************************************************
89  Change the trust account password for a domain.
90 ************************************************************************/
91
92 NTSTATUS change_trust_account_password( char *domain, char *remote_machine_list)
93 {
94   fstring remote_machine;
95   unsigned char old_trust_passwd_hash[16];
96   time_t lct;
97   NTSTATUS res = NT_STATUS_UNSUCCESSFUL;
98
99   if(!secrets_fetch_trust_account_password(domain, old_trust_passwd_hash, &lct)) {
100     DEBUG(0,("change_trust_account_password: unable to read the machine \
101 account password for domain %s.\n", domain));
102     return NT_STATUS_UNSUCCESSFUL;
103   }
104
105   while(remote_machine_list && 
106         next_token(&remote_machine_list, remote_machine, 
107                    LIST_SEP, sizeof(remote_machine))) {
108     strupper(remote_machine);
109     if(strequal(remote_machine, "*")) {
110
111       /*
112        * We have been asked to dynamcially determine the IP addresses of the PDC.
113        */
114
115       struct in_addr *ip_list = NULL;
116       int count = 0;
117       int i;
118
119       /* Use the PDC *only* for this. */
120       if(!get_dc_list(True, domain, &ip_list, &count))
121         continue;
122
123       /*
124        * Try and connect to the PDC/BDC list in turn as an IP
125        * address used as a string.
126        */
127
128       for(i = 0; i < count; i++) {
129         fstring dc_name;
130         if(!lookup_dc_name(global_myname, domain, &ip_list[i], dc_name))
131           continue;
132         if(NT_STATUS_IS_OK(res = modify_trust_password( domain, dc_name,
133                                          old_trust_passwd_hash)))
134           break;
135       }
136
137       SAFE_FREE(ip_list);
138
139     } else {
140             res = modify_trust_password( domain, remote_machine,
141                                          old_trust_passwd_hash);
142     }
143
144   }
145
146   if (!NT_STATUS_IS_OK(res)) {
147           DEBUG(0,("%s : change_trust_account_password: Failed to change password for \
148 domain %s.\n", timestring(False), domain));
149   }
150   
151   return res;
152 }