1097eb95754fd91d55c05f80c06a7df77e650e08
[kai/samba.git] / source3 / utils / net_rpc_join.c
1 /* 
2    Samba Unix/Linux SMB client library 
3    Distributed SMB/CIFS Server Management Utility 
4    Copyright (C) 2001 Andrew Bartlett (abartlet@samba.org)
5    Copyright (C) Tim Potter     2001
6
7    This program is free software; you can redistribute it and/or modify
8    it under the terms of the GNU General Public License as published by
9    the Free Software Foundation; either version 3 of the License, or
10    (at your option) any later version.
11    
12    This program is distributed in the hope that it will be useful,
13    but WITHOUT ANY WARRANTY; without even the implied warranty of
14    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15    GNU General Public License for more details.
16    
17    You should have received a copy of the GNU General Public License
18    along with this program.  If not, see <http://www.gnu.org/licenses/>.  */
19  
20 #include "includes.h"
21 #include "utils/net.h"
22
23 /* Macro for checking RPC error codes to make things more readable */
24
25 #define CHECK_RPC_ERR(rpc, msg) \
26         if (!NT_STATUS_IS_OK(result = rpc)) { \
27                 DEBUG(0, (msg ": %s\n", nt_errstr(result))); \
28                 goto done; \
29         }
30
31 #define CHECK_RPC_ERR_DEBUG(rpc, debug_args) \
32         if (!NT_STATUS_IS_OK(result = rpc)) { \
33                 DEBUG(0, debug_args); \
34                 goto done; \
35         }
36
37 /**
38  * confirm that a domain join is still valid
39  *
40  * @return A shell status integer (0 for success)
41  *
42  **/
43 int net_rpc_join_ok(const char *domain, const char *server, struct in_addr *ip )
44 {
45         enum security_types sec;
46         unsigned int conn_flags = NET_FLAGS_PDC;
47         uint32 neg_flags = NETLOGON_NEG_AUTH2_FLAGS|NETLOGON_NEG_SCHANNEL;
48         struct cli_state *cli = NULL;
49         struct rpc_pipe_client *pipe_hnd = NULL;
50         struct rpc_pipe_client *netlogon_pipe = NULL;
51         NTSTATUS ntret = NT_STATUS_UNSUCCESSFUL;
52
53         sec = (enum security_types)lp_security();
54
55         if (sec == SEC_ADS) {
56                 /* Connect to IPC$ using machine account's credentials. We don't use anonymous
57                    connection here, as it may be denied by server's local policy. */
58                 net_use_machine_account();
59
60         } else {
61                 /* some servers (e.g. WinNT) don't accept machine-authenticated
62                    smb connections */
63                 conn_flags |= NET_FLAGS_ANONYMOUS;
64         }
65
66         /* Connect to remote machine */
67         if (!(cli = net_make_ipc_connection_ex(domain, server, ip, conn_flags))) {
68                 return -1;
69         }
70
71         /* Setup the creds as though we're going to do schannel... */
72         netlogon_pipe = get_schannel_session_key(cli, domain, &neg_flags, &ntret);
73
74         /* We return NT_STATUS_INVALID_NETWORK_RESPONSE if the server is refusing
75            to negotiate schannel, but the creds were set up ok. That'll have to do. */
76
77         if (!netlogon_pipe) {
78                 if (NT_STATUS_EQUAL(ntret, NT_STATUS_INVALID_NETWORK_RESPONSE)) {
79                         cli_shutdown(cli);
80                         return 0;
81                 } else {
82                         DEBUG(0,("net_rpc_join_ok: failed to get schannel session "
83                                         "key from server %s for domain %s. Error was %s\n",
84                                 cli->desthost, domain, nt_errstr(ntret) ));
85                         cli_shutdown(cli);
86                         return -1;
87                 }
88         }
89
90         /* Only do the rest of the schannel test if the client is allowed to do this. */
91         if (!lp_client_schannel()) {
92                 cli_shutdown(cli);
93                 /* We're good... */
94                 return 0;
95         }
96
97         pipe_hnd = cli_rpc_pipe_open_schannel_with_key(cli, PI_NETLOGON,
98                                 PIPE_AUTH_LEVEL_PRIVACY,
99                                 domain, netlogon_pipe->dc, &ntret);
100
101         if (!pipe_hnd) {
102                 DEBUG(0,("net_rpc_join_ok: failed to open schannel session "
103                                 "on netlogon pipe to server %s for domain %s. Error was %s\n",
104                         cli->desthost, domain, nt_errstr(ntret) ));
105                 cli_shutdown(cli);
106                 return -1;
107         }
108
109         cli_shutdown(cli);
110         return 0;
111 }
112
113 /**
114  * Join a domain using the administrator username and password
115  *
116  * @param argc  Standard main() style argc
117  * @param argc  Standard main() style argv.  Initial components are already
118  *              stripped.  Currently not used.
119  * @return A shell status integer (0 for success)
120  *
121  **/
122
123 int net_rpc_join_newstyle(int argc, const char **argv) 
124 {
125
126         /* libsmb variables */
127
128         struct cli_state *cli;
129         TALLOC_CTX *mem_ctx;
130         uint32 acb_info = ACB_WSTRUST;
131         uint32 neg_flags = NETLOGON_NEG_AUTH2_FLAGS|(lp_client_schannel() ? NETLOGON_NEG_SCHANNEL : 0);
132         uint32 sec_channel_type;
133         struct rpc_pipe_client *pipe_hnd = NULL;
134
135         /* rpc variables */
136
137         POLICY_HND lsa_pol, sam_pol, domain_pol, user_pol;
138         DOM_SID *domain_sid;
139         uint32 user_rid;
140
141         /* Password stuff */
142
143         char *clear_trust_password = NULL;
144         uchar pwbuf[516];
145         SAM_USERINFO_CTR ctr;
146         SAM_USER_INFO_24 p24;
147         SAM_USER_INFO_16 p16;
148         uchar md4_trust_password[16];
149
150         /* Misc */
151
152         NTSTATUS result;
153         int retval = 1;
154         char *domain = NULL;
155         uint32 num_rids, *name_types, *user_rids;
156         uint32 flags = 0x3e8;
157         char *acct_name;
158         const char *const_acct_name;
159
160         /* check what type of join */
161         if (argc >= 0) {
162                 sec_channel_type = get_sec_channel_type(argv[0]);
163         } else {
164                 sec_channel_type = get_sec_channel_type(NULL);
165         }
166
167         switch (sec_channel_type) {
168         case SEC_CHAN_WKSTA:
169                 acb_info = ACB_WSTRUST;
170                 break;
171         case SEC_CHAN_BDC:
172                 acb_info = ACB_SVRTRUST;
173                 break;
174 #if 0
175         case SEC_CHAN_DOMAIN:
176                 acb_info = ACB_DOMTRUST;
177                 break;
178 #endif
179         }
180
181         /* Make authenticated connection to remote machine */
182
183         if (!(cli = net_make_ipc_connection(NET_FLAGS_PDC))) 
184                 return 1;
185
186         if (!(mem_ctx = talloc_init("net_rpc_join_newstyle"))) {
187                 DEBUG(0, ("Could not initialise talloc context\n"));
188                 goto done;
189         }
190
191         /* Fetch domain sid */
192
193         pipe_hnd = cli_rpc_pipe_open_noauth(cli, PI_LSARPC, &result);
194         if (!pipe_hnd) {
195                 DEBUG(0, ("Error connecting to LSA pipe. Error was %s\n",
196                         nt_errstr(result) ));
197                 goto done;
198         }
199
200
201         CHECK_RPC_ERR(rpccli_lsa_open_policy(pipe_hnd, mem_ctx, True,
202                                           SEC_RIGHTS_MAXIMUM_ALLOWED,
203                                           &lsa_pol),
204                       "error opening lsa policy handle");
205
206         CHECK_RPC_ERR(rpccli_lsa_query_info_policy(pipe_hnd, mem_ctx, &lsa_pol,
207                                                 5, &domain, &domain_sid),
208                       "error querying info policy");
209
210         rpccli_lsa_Close(pipe_hnd, mem_ctx, &lsa_pol);
211         cli_rpc_pipe_close(pipe_hnd); /* Done with this pipe */
212
213         /* Bail out if domain didn't get set. */
214         if (!domain) {
215                 DEBUG(0, ("Could not get domain name.\n"));
216                 goto done;
217         }
218
219         /* Create domain user */
220         pipe_hnd = cli_rpc_pipe_open_noauth(cli, PI_SAMR, &result);
221         if (!pipe_hnd) {
222                 DEBUG(0, ("Error connecting to SAM pipe. Error was %s\n",
223                         nt_errstr(result) ));
224                 goto done;
225         }
226
227         CHECK_RPC_ERR(rpccli_samr_connect(pipe_hnd, mem_ctx, 
228                                        SEC_RIGHTS_MAXIMUM_ALLOWED,
229                                        &sam_pol),
230                       "could not connect to SAM database");
231
232         
233         CHECK_RPC_ERR(rpccli_samr_open_domain(pipe_hnd, mem_ctx, &sam_pol,
234                                            SEC_RIGHTS_MAXIMUM_ALLOWED,
235                                            domain_sid, &domain_pol),
236                       "could not open domain");
237
238         /* Create domain user */
239         if ((acct_name = talloc_asprintf(mem_ctx, "%s$", global_myname())) == NULL) {
240                 result = NT_STATUS_NO_MEMORY;
241                 goto done;
242         }
243         strlower_m(acct_name);
244         const_acct_name = acct_name;
245
246         result = rpccli_samr_create_dom_user(pipe_hnd, mem_ctx, &domain_pol,
247                                           acct_name, acb_info,
248                                           0xe005000b, &user_pol, 
249                                           &user_rid);
250
251         if (!NT_STATUS_IS_OK(result) && 
252             !NT_STATUS_EQUAL(result, NT_STATUS_USER_EXISTS)) {
253                 d_fprintf(stderr, "Creation of workstation account failed\n");
254
255                 /* If NT_STATUS_ACCESS_DENIED then we have a valid
256                    username/password combo but the user does not have
257                    administrator access. */
258
259                 if (NT_STATUS_V(result) == NT_STATUS_V(NT_STATUS_ACCESS_DENIED))
260                         d_fprintf(stderr, "User specified does not have administrator privileges\n");
261
262                 goto done;
263         }
264
265         /* We *must* do this.... don't ask... */
266
267         if (NT_STATUS_IS_OK(result)) {
268                 rpccli_samr_close(pipe_hnd, mem_ctx, &user_pol);
269         }
270
271         CHECK_RPC_ERR_DEBUG(rpccli_samr_lookup_names(pipe_hnd, mem_ctx,
272                                                   &domain_pol, flags,
273                                                   1, &const_acct_name, 
274                                                   &num_rids,
275                                                   &user_rids, &name_types),
276                             ("error looking up rid for user %s: %s\n",
277                              acct_name, nt_errstr(result)));
278
279         if (name_types[0] != SID_NAME_USER) {
280                 DEBUG(0, ("%s is not a user account (type=%d)\n", acct_name, name_types[0]));
281                 goto done;
282         }
283
284         user_rid = user_rids[0];
285                 
286         /* Open handle on user */
287
288         CHECK_RPC_ERR_DEBUG(
289                 rpccli_samr_open_user(pipe_hnd, mem_ctx, &domain_pol,
290                                    SEC_RIGHTS_MAXIMUM_ALLOWED,
291                                    user_rid, &user_pol),
292                 ("could not re-open existing user %s: %s\n",
293                  acct_name, nt_errstr(result)));
294         
295         /* Create a random machine account password */
296
297         { 
298                 char *str;
299                 str = generate_random_str(DEFAULT_TRUST_ACCOUNT_PASSWORD_LENGTH);
300                 clear_trust_password = SMB_STRDUP(str);
301                 E_md4hash(clear_trust_password, md4_trust_password);
302         }
303
304         encode_pw_buffer(pwbuf, clear_trust_password, STR_UNICODE);
305
306         /* Set password on machine account */
307
308         ZERO_STRUCT(ctr);
309         ZERO_STRUCT(p24);
310
311         init_sam_user_info24(&p24, (char *)pwbuf,24);
312
313         ctr.switch_value = 24;
314         ctr.info.id24 = &p24;
315
316         CHECK_RPC_ERR(rpccli_samr_set_userinfo(pipe_hnd, mem_ctx, &user_pol, 24, 
317                                             &cli->user_session_key, &ctr),
318                       "error setting trust account password");
319
320         /* Why do we have to try to (re-)set the ACB to be the same as what
321            we passed in the samr_create_dom_user() call?  When a NT
322            workstation is joined to a domain by an administrator the
323            acb_info is set to 0x80.  For a normal user with "Add
324            workstations to the domain" rights the acb_info is 0x84.  I'm
325            not sure whether it is supposed to make a difference or not.  NT
326            seems to cope with either value so don't bomb out if the set
327            userinfo2 level 0x10 fails.  -tpot */
328
329         ZERO_STRUCT(ctr);
330         ctr.switch_value = 16;
331         ctr.info.id16 = &p16;
332
333         init_sam_user_info16(&p16, acb_info);
334
335         /* Ignoring the return value is necessary for joining a domain
336            as a normal user with "Add workstation to domain" privilege. */
337
338         result = rpccli_samr_set_userinfo2(pipe_hnd, mem_ctx, &user_pol, 16, 
339                                         &cli->user_session_key, &ctr);
340
341         rpccli_samr_close(pipe_hnd, mem_ctx, &user_pol);
342         cli_rpc_pipe_close(pipe_hnd); /* Done with this pipe */
343
344         /* Now check the whole process from top-to-bottom */
345
346         pipe_hnd = cli_rpc_pipe_open_noauth(cli, PI_NETLOGON, &result);
347         if (!pipe_hnd) {
348                 DEBUG(0,("Error connecting to NETLOGON pipe. Error was %s\n",
349                         nt_errstr(result) ));
350                 goto done;
351         }
352
353         result = rpccli_netlogon_setup_creds(pipe_hnd,
354                                         cli->desthost, /* server name */
355                                         domain,        /* domain */
356                                         global_myname(), /* client name */
357                                         global_myname(), /* machine account name */
358                                         md4_trust_password,
359                                         sec_channel_type,
360                                         &neg_flags);
361
362         if (!NT_STATUS_IS_OK(result)) {
363                 DEBUG(0, ("Error in domain join verification (credential setup failed): %s\n\n",
364                           nt_errstr(result)));
365
366                 if ( NT_STATUS_EQUAL(result, NT_STATUS_ACCESS_DENIED) &&
367                      (sec_channel_type == SEC_CHAN_BDC) ) {
368                         d_fprintf(stderr, "Please make sure that no computer account\n"
369                                  "named like this machine (%s) exists in the domain\n",
370                                  global_myname());
371                 }
372
373                 goto done;
374         }
375
376         /* We can only check the schannel connection if the client is allowed
377            to do this and the server supports it. If not, just assume success
378            (after all the rpccli_netlogon_setup_creds() succeeded, and we'll
379            do the same again (setup creds) in net_rpc_join_ok(). JRA. */
380
381         if (lp_client_schannel() && (neg_flags & NETLOGON_NEG_SCHANNEL)) {
382                 struct rpc_pipe_client *netlogon_schannel_pipe = 
383                                                 cli_rpc_pipe_open_schannel_with_key(cli,
384                                                         PI_NETLOGON,
385                                                         PIPE_AUTH_LEVEL_PRIVACY,
386                                                         domain,
387                                                         pipe_hnd->dc,
388                                                         &result);
389
390                 if (!NT_STATUS_IS_OK(result)) {
391                         DEBUG(0, ("Error in domain join verification (schannel setup failed): %s\n\n",
392                                   nt_errstr(result)));
393
394                         if ( NT_STATUS_EQUAL(result, NT_STATUS_ACCESS_DENIED) &&
395                              (sec_channel_type == SEC_CHAN_BDC) ) {
396                                 d_fprintf(stderr, "Please make sure that no computer account\n"
397                                          "named like this machine (%s) exists in the domain\n",
398                                          global_myname());
399                         }
400
401                         goto done;
402                 }
403                 cli_rpc_pipe_close(netlogon_schannel_pipe);
404         }
405
406         cli_rpc_pipe_close(pipe_hnd);
407
408         /* Now store the secret in the secrets database */
409
410         strupper_m(domain);
411
412         if (!secrets_store_domain_sid(domain, domain_sid)) {
413                 DEBUG(0, ("error storing domain sid for %s\n", domain));
414                 goto done;
415         }
416
417         if (!secrets_store_machine_password(clear_trust_password, domain, sec_channel_type)) {
418                 DEBUG(0, ("error storing plaintext domain secrets for %s\n", domain));
419         }
420
421         /* double-check, connection from scratch */
422         retval = net_rpc_join_ok(domain, cli->desthost, &cli->dest_ip);
423         
424 done:
425
426         /* Display success or failure */
427
428         if (domain) {
429                 if (retval != 0) {
430                         fprintf(stderr,"Unable to join domain %s.\n",domain);
431                 } else {
432                         printf("Joined domain %s.\n",domain);
433                 }
434         }
435         
436         cli_shutdown(cli);
437
438         SAFE_FREE(clear_trust_password);
439
440         return retval;
441 }
442
443 /**
444  * check that a join is OK
445  *
446  * @return A shell status integer (0 for success)
447  *
448  **/
449 int net_rpc_testjoin(int argc, const char **argv) 
450 {
451         char *domain = smb_xstrdup(opt_target_workgroup);
452
453         /* Display success or failure */
454         if (net_rpc_join_ok(domain, NULL, NULL) != 0) {
455                 fprintf(stderr,"Join to domain '%s' is not valid\n",domain);
456                 free(domain);
457                 return -1;
458         }
459
460         printf("Join to '%s' is OK\n",domain);
461         free(domain);
462         return 0;
463 }