s4-provision Add an invalid names check for 'domain == netbiosname'
[nivanova/samba-autobuild/.git] / source4 / scripting / python / samba / join.py
1 #!/usr/bin/env python
2 #
3 # python join code
4 # Copyright Andrew Tridgell 2010
5 # Copyright Andrew Bartlett 2010
6 #
7 # This program is free software; you can redistribute it and/or modify
8 # it under the terms of the GNU General Public License as published by
9 # the Free Software Foundation; either version 3 of the License, or
10 # (at your option) any later version.
11 #
12 # This program is distributed in the hope that it will be useful,
13 # but WITHOUT ANY WARRANTY; without even the implied warranty of
14 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15 # GNU General Public License for more details.
16 #
17 # You should have received a copy of the GNU General Public License
18 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
19 #
20
21 """Joining a domain."""
22
23 from samba.auth import system_session
24 from samba.samdb import SamDB
25 from samba import gensec, Ldb, drs_utils
26 import ldb, samba, sys, os, uuid
27 from samba.ndr import ndr_pack
28 from samba.dcerpc import security, drsuapi, misc, nbt
29 from samba.credentials import Credentials, DONT_USE_KERBEROS
30 from samba.provision import secretsdb_self_join, provision, FILL_DRS, find_setup_dir
31 from samba.schema import Schema
32 from samba.net import Net
33 import logging
34 import talloc
35
36 # this makes debugging easier
37 talloc.enable_null_tracking()
38
39 class dc_join:
40     '''perform a DC join'''
41
42     def __init__(ctx, server=None, creds=None, lp=None, site=None, netbios_name=None,
43                  targetdir=None, domain=None):
44         ctx.creds = creds
45         ctx.lp = lp
46         ctx.site = site
47         ctx.netbios_name = netbios_name
48         ctx.targetdir = targetdir
49
50         ctx.creds.set_gensec_features(creds.get_gensec_features() | gensec.FEATURE_SEAL)
51         ctx.net = Net(creds=ctx.creds, lp=ctx.lp)
52
53         if server is not None:
54             ctx.server = server
55         else:
56             print("Finding a writeable DC for domain '%s'" % domain)
57             ctx.server = ctx.find_dc(domain)
58             print("Found DC %s" % ctx.server)
59
60         ctx.samdb = SamDB(url="ldap://%s" % ctx.server,
61                           session_info=system_session(),
62                           credentials=ctx.creds, lp=ctx.lp)
63
64         ctx.myname = netbios_name
65         ctx.samname = "%s$" % ctx.myname
66         ctx.base_dn = str(ctx.samdb.get_default_basedn())
67         ctx.root_dn = str(ctx.samdb.get_root_basedn())
68         ctx.schema_dn = str(ctx.samdb.get_schema_basedn())
69         ctx.config_dn = str(ctx.samdb.get_config_basedn())
70         ctx.domsid = ctx.samdb.get_domain_sid()
71         ctx.domain_name = ctx.get_domain_name()
72
73         lp.set("workgroup", ctx.domain_name)
74         print("workgroup is %s" % ctx.domain_name)
75
76         ctx.dc_ntds_dn = ctx.get_dsServiceName()
77         ctx.dc_dnsHostName = ctx.get_dnsHostName()
78         ctx.behavior_version = ctx.get_behavior_version()
79
80         ctx.acct_pass = samba.generate_random_password(32, 40)
81
82         # work out the DNs of all the objects we will be adding
83         ctx.server_dn = "CN=%s,CN=Servers,CN=%s,CN=Sites,%s" % (ctx.myname, ctx.site, ctx.config_dn)
84         ctx.ntds_dn = "CN=NTDS Settings,%s" % ctx.server_dn
85         topology_base = "CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,%s" % ctx.base_dn
86         if ctx.dn_exists(topology_base):
87             ctx.topology_dn = "CN=%s,%s" % (ctx.myname, topology_base)
88         else:
89             ctx.topology_dn = None
90
91         ctx.dnsdomain = ldb.Dn(ctx.samdb, ctx.base_dn).canonical_str().split('/')[0]
92
93         ctx.realm = ctx.dnsdomain
94         lp.set("realm", ctx.realm)
95
96         print("realm is %s" % ctx.realm)
97
98         ctx.dnshostname = "%s.%s" % (ctx.myname.lower(), ctx.dnsdomain)
99
100         ctx.acct_dn = "CN=%s,OU=Domain Controllers,%s" % (ctx.myname, ctx.base_dn)
101
102         ctx.setup_dir = find_setup_dir()
103         ctx.tmp_samdb = None
104
105         ctx.SPNs = [ "HOST/%s" % ctx.myname,
106                      "HOST/%s" % ctx.dnshostname,
107                      "GC/%s/%s" % (ctx.dnshostname, ctx.dnsdomain) ]
108
109         # these elements are optional
110         ctx.never_reveal_sid = None
111         ctx.reveal_sid = None
112         ctx.connection_dn = None
113         ctx.RODC = False
114         ctx.krbtgt_dn = None
115         ctx.drsuapi = None
116         ctx.managedby = None
117
118
119     def del_noerror(ctx, dn, recursive=False):
120         if recursive:
121             try:
122                 res = ctx.samdb.search(base=dn, scope=ldb.SCOPE_ONELEVEL, attrs=["dn"])
123             except Exception:
124                 return
125             for r in res:
126                 ctx.del_noerror(r.dn, recursive=True)
127         try:
128             ctx.samdb.delete(dn)
129             print "Deleted %s" % dn
130         except Exception:
131             pass
132
133     def cleanup_old_join(ctx):
134         '''remove any DNs from a previous join'''
135         try:
136             # find the krbtgt link
137             print("checking samaccountname")
138             res = ctx.samdb.search(base=ctx.samdb.get_default_basedn(),
139                                    expression='samAccountName=%s' % ctx.samname,
140                                    attrs=["msDS-krbTgtLink"])
141             if res:
142                 ctx.del_noerror(res[0].dn, recursive=True)
143             if ctx.connection_dn is not None:
144                 ctx.del_noerror(ctx.connection_dn)
145             if ctx.krbtgt_dn is not None:
146                 ctx.del_noerror(ctx.krbtgt_dn)
147             ctx.del_noerror(ctx.ntds_dn)
148             ctx.del_noerror(ctx.server_dn, recursive=True)
149             if ctx.topology_dn:
150                 ctx.del_noerror(ctx.topology_dn)
151             if res:
152                 ctx.new_krbtgt_dn = res[0]["msDS-Krbtgtlink"][0]
153                 ctx.del_noerror(ctx.new_krbtgt_dn)
154         except Exception:
155             pass
156
157     def find_dc(ctx, domain):
158         '''find a writeable DC for the given domain'''
159         try:
160             ctx.cldap_ret = ctx.net.finddc(domain, nbt.NBT_SERVER_LDAP | nbt.NBT_SERVER_DS | nbt.NBT_SERVER_WRITABLE)
161         except Exception:
162             raise Exception("Failed to find a writeable DC for domain '%s'" % domain)
163         if ctx.cldap_ret.client_site is not None and ctx.cldap_ret.client_site != "":
164             ctx.site = ctx.cldap_ret.client_site
165         return ctx.cldap_ret.pdc_dns_name
166
167
168     def get_dsServiceName(ctx):
169         res = ctx.samdb.search(base="", scope=ldb.SCOPE_BASE, attrs=["dsServiceName"])
170         return res[0]["dsServiceName"][0]
171
172     def get_behavior_version(ctx):
173         res = ctx.samdb.search(base=ctx.base_dn, scope=ldb.SCOPE_BASE, attrs=["msDS-Behavior-Version"])
174         if "msDS-Behavior-Version" in res[0]:
175             return int(res[0]["msDS-Behavior-Version"][0])
176         else:
177             return samba.dsdb.DS_DOMAIN_FUNCTION_2000
178
179     def get_dnsHostName(ctx):
180         res = ctx.samdb.search(base="", scope=ldb.SCOPE_BASE, attrs=["dnsHostName"])
181         return res[0]["dnsHostName"][0]
182
183     def get_domain_name(ctx):
184         '''get netbios name of the domain from the partitions record'''
185         partitions_dn = ctx.samdb.get_partitions_dn()
186         res = ctx.samdb.search(base=partitions_dn, scope=ldb.SCOPE_ONELEVEL, attrs=["nETBIOSName"],
187                                expression='ncName=%s' % ctx.samdb.get_default_basedn())
188         return res[0]["nETBIOSName"][0]
189
190     def get_mysid(ctx):
191         '''get the SID of the connected user. Only works with w2k8 and later,
192            so only used for RODC join'''
193         res = ctx.samdb.search(base="", scope=ldb.SCOPE_BASE, attrs=["tokenGroups"])
194         binsid = res[0]["tokenGroups"][0]
195         return ctx.samdb.schema_format_value("objectSID", binsid)
196
197     def dn_exists(ctx, dn):
198         '''check if a DN exists'''
199         try:
200             res = ctx.samdb.search(base=dn, scope=ldb.SCOPE_BASE, attrs=[])
201         except ldb.LdbError, (enum, estr):
202             if enum == ldb.ERR_NO_SUCH_OBJECT:
203                 return False
204             raise
205         return True
206
207     def add_krbtgt_account(ctx):
208         '''RODCs need a special krbtgt account'''
209         print "Adding %s" % ctx.krbtgt_dn
210         rec = {
211             "dn" : ctx.krbtgt_dn,
212             "objectclass" : "user",
213             "useraccountcontrol" : str(samba.dsdb.UF_NORMAL_ACCOUNT |
214                                        samba.dsdb.UF_ACCOUNTDISABLE),
215             "showinadvancedviewonly" : "TRUE",
216             "description" : "krbtgt for %s" % ctx.samname}
217         ctx.samdb.add(rec, ["rodc_join:1:1"])
218
219         # now we need to search for the samAccountName attribute on the krbtgt DN,
220         # as this will have been magically set to the krbtgt number
221         res = ctx.samdb.search(base=ctx.krbtgt_dn, scope=ldb.SCOPE_BASE, attrs=["samAccountName"])
222         ctx.krbtgt_name = res[0]["samAccountName"][0]
223
224         print "Got krbtgt_name=%s" % ctx.krbtgt_name
225
226         m = ldb.Message()
227         m.dn = ldb.Dn(ctx.samdb, ctx.acct_dn)
228         m["msDS-krbTgtLink"] = ldb.MessageElement(ctx.krbtgt_dn,
229                                                   ldb.FLAG_MOD_REPLACE, "msDS-krbTgtLink")
230         ctx.samdb.modify(m)
231
232         ctx.new_krbtgt_dn = "CN=%s,CN=Users,%s" % (ctx.krbtgt_name, ctx.base_dn)
233         print "Renaming %s to %s" % (ctx.krbtgt_dn, ctx.new_krbtgt_dn)
234         ctx.samdb.rename(ctx.krbtgt_dn, ctx.new_krbtgt_dn)
235
236     def drsuapi_connect(ctx):
237         '''make a DRSUAPI connection to the server'''
238         binding_options = "seal"
239         if ctx.lp.get("log level") >= 5:
240             binding_options += ",print"
241         binding_string = "ncacn_ip_tcp:%s[%s]" % (ctx.server, binding_options)
242         ctx.drsuapi = drsuapi.drsuapi(binding_string, ctx.lp, ctx.creds)
243         (ctx.drsuapi_handle, ctx.bind_supported_extensions) = drs_utils.drs_DsBind(ctx.drsuapi)
244
245     def create_tmp_samdb(ctx):
246         '''create a temporary samdb object for schema queries'''
247         def setup_path(file):
248             return os.path.join(ctx.setup_dir, file)
249         ctx.tmp_schema = Schema(setup_path, security.dom_sid(ctx.domsid),
250                                 schemadn=ctx.schema_dn)
251         ctx.tmp_samdb = SamDB(session_info=system_session(), url=None, auto_connect=False,
252                               credentials=ctx.creds, lp=ctx.lp, global_schema=False,
253                               am_rodc=False)
254         ctx.tmp_samdb.set_schema(ctx.tmp_schema)
255
256     def build_DsReplicaAttribute(ctx, attrname, attrvalue):
257         '''build a DsReplicaAttributeCtr object'''
258         r = drsuapi.DsReplicaAttribute()
259         r.attid = ctx.tmp_samdb.get_attid_from_lDAPDisplayName(attrname)
260         r.value_ctr = 1
261
262
263     def DsAddEntry(ctx, rec):
264         '''add a record via the DRSUAPI DsAddEntry call'''
265         if ctx.drsuapi is None:
266             ctx.drsuapi_connect()
267         if ctx.tmp_samdb is None:
268             ctx.create_tmp_samdb()
269
270         id = drsuapi.DsReplicaObjectIdentifier()
271         id.dn = rec['dn']
272
273         attrs = []
274         for a in rec:
275             if a == 'dn':
276                 continue
277             if not isinstance(rec[a], list):
278                 v = [rec[a]]
279             else:
280                 v = rec[a]
281             rattr = ctx.tmp_samdb.dsdb_DsReplicaAttribute(ctx.tmp_samdb, a, v)
282             attrs.append(rattr)
283
284         attribute_ctr = drsuapi.DsReplicaAttributeCtr()
285         attribute_ctr.num_attributes = len(attrs)
286         attribute_ctr.attributes = attrs
287
288         object = drsuapi.DsReplicaObject()
289         object.identifier = id
290         object.attribute_ctr = attribute_ctr
291
292         first_object = drsuapi.DsReplicaObjectListItem()
293         first_object.object = object
294
295         req2 = drsuapi.DsAddEntryRequest2()
296         req2.first_object = first_object
297
298         (level, ctr) = ctx.drsuapi.DsAddEntry(ctx.drsuapi_handle, 2, req2)
299         if ctr.err_ver != 1:
300             raise RuntimeError("expected err_ver 1, got %u" % ctr.err_ver)
301         if ctr.err_data.status != (0, 'WERR_OK'):
302             print("DsAddEntry failed with status %s info %s" % (ctr.err_data.status,
303                                                                 ctr.err_data.info.extended_err))
304             raise RuntimeError("DsAddEntry failed")
305
306     def join_add_objects(ctx):
307         '''add the various objects needed for the join'''
308         print "Adding %s" % ctx.acct_dn
309         rec = {
310             "dn" : ctx.acct_dn,
311             "objectClass": "computer",
312             "displayname": ctx.samname,
313             "samaccountname" : ctx.samname,
314             "userAccountControl" : str(ctx.userAccountControl | samba.dsdb.UF_ACCOUNTDISABLE),
315             "dnshostname" : ctx.dnshostname}
316         if ctx.behavior_version >= samba.dsdb.DS_DOMAIN_FUNCTION_2008:
317             rec['msDS-SupportedEncryptionTypes'] = str(samba.dsdb.ENC_ALL_TYPES)
318         if ctx.managedby:
319             rec["managedby"] = ctx.managedby
320         if ctx.never_reveal_sid:
321             rec["msDS-NeverRevealGroup"] = ctx.never_reveal_sid
322         if ctx.reveal_sid:
323             rec["msDS-RevealOnDemandGroup"] = ctx.reveal_sid
324         ctx.samdb.add(rec)
325
326         if ctx.krbtgt_dn:
327             ctx.add_krbtgt_account()
328
329         print "Adding %s" % ctx.server_dn
330         rec = {
331             "dn": ctx.server_dn,
332             "objectclass" : "server",
333             "systemFlags" : str(samba.dsdb.SYSTEM_FLAG_CONFIG_ALLOW_RENAME |
334                                 samba.dsdb.SYSTEM_FLAG_CONFIG_ALLOW_LIMITED_MOVE |
335                                 samba.dsdb.SYSTEM_FLAG_DISALLOW_MOVE_ON_DELETE),
336             "serverReference" : ctx.acct_dn,
337             "dnsHostName" : ctx.dnshostname}
338         ctx.samdb.add(rec)
339
340         # FIXME: the partition (NC) assignment has to be made dynamic
341         print "Adding %s" % ctx.ntds_dn
342         rec = {
343             "dn" : ctx.ntds_dn,
344             "objectclass" : "nTDSDSA",
345             "systemFlags" : str(samba.dsdb.SYSTEM_FLAG_DISALLOW_MOVE_ON_DELETE),
346             "dMDLocation" : ctx.schema_dn}
347
348         if ctx.behavior_version >= samba.dsdb.DS_DOMAIN_FUNCTION_2003:
349             rec["msDS-Behavior-Version"] = str(ctx.behavior_version)
350
351         if ctx.behavior_version >= samba.dsdb.DS_DOMAIN_FUNCTION_2003:
352             rec["msDS-HasDomainNCs"] = ctx.base_dn
353
354         if ctx.RODC:
355             rec["objectCategory"] = "CN=NTDS-DSA-RO,%s" % ctx.schema_dn
356             rec["msDS-HasFullReplicaNCs"] = [ ctx.base_dn, ctx.config_dn, ctx.schema_dn ]
357             rec["options"] = "37"
358             ctx.samdb.add(rec, ["rodc_join:1:1"])
359         else:
360             rec["objectCategory"] = "CN=NTDS-DSA,%s" % ctx.schema_dn
361             rec["HasMasterNCs"]      = [ ctx.base_dn, ctx.config_dn, ctx.schema_dn ]
362             if ctx.behavior_version >= samba.dsdb.DS_DOMAIN_FUNCTION_2003:
363                 rec["msDS-HasMasterNCs"] = [ ctx.base_dn, ctx.config_dn, ctx.schema_dn ]
364             rec["options"] = "1"
365             rec["invocationId"] = ndr_pack(misc.GUID(str(uuid.uuid4())))
366             ctx.DsAddEntry(rec)
367
368         # find the GUID of our NTDS DN
369         res = ctx.samdb.search(base=ctx.ntds_dn, scope=ldb.SCOPE_BASE, attrs=["objectGUID"])
370         ctx.ntds_guid = misc.GUID(ctx.samdb.schema_format_value("objectGUID", res[0]["objectGUID"][0]))
371
372         if ctx.connection_dn is not None:
373             print "Adding %s" % ctx.connection_dn
374             rec = {
375                 "dn" : ctx.connection_dn,
376                 "objectclass" : "nTDSConnection",
377                 "enabledconnection" : "TRUE",
378                 "options" : "65",
379                 "fromServer" : ctx.dc_ntds_dn}
380             ctx.samdb.add(rec)
381
382         if ctx.topology_dn:
383             print "Adding %s" % ctx.topology_dn
384             rec = {
385                 "dn" : ctx.topology_dn,
386                 "objectclass" : "msDFSR-Member",
387                 "msDFSR-ComputerReference" : ctx.acct_dn,
388                 "serverReference" : ctx.ntds_dn}
389             ctx.samdb.add(rec)
390
391         print "Adding SPNs to %s" % ctx.acct_dn
392         m = ldb.Message()
393         m.dn = ldb.Dn(ctx.samdb, ctx.acct_dn)
394         for i in range(len(ctx.SPNs)):
395             ctx.SPNs[i] = ctx.SPNs[i].replace("$NTDSGUID", str(ctx.ntds_guid))
396         m["servicePrincipalName"] = ldb.MessageElement(ctx.SPNs,
397                                                        ldb.FLAG_MOD_ADD,
398                                                        "servicePrincipalName")
399         ctx.samdb.modify(m)
400
401         print "Setting account password for %s" % ctx.samname
402         ctx.samdb.setpassword("(&(objectClass=user)(sAMAccountName=%s))" % ctx.samname,
403                               ctx.acct_pass,
404                               force_change_at_next_login=False,
405                               username=ctx.samname)
406         res = ctx.samdb.search(base=ctx.acct_dn, scope=ldb.SCOPE_BASE, attrs=["msDS-keyVersionNumber"])
407         ctx.key_version_number = int(res[0]["msDS-keyVersionNumber"][0])
408
409         print("Enabling account")
410         m = ldb.Message()
411         m.dn = ldb.Dn(ctx.samdb, ctx.acct_dn)
412         m["userAccountControl"] = ldb.MessageElement(str(ctx.userAccountControl),
413                                                      ldb.FLAG_MOD_REPLACE,
414                                                      "userAccountControl")
415         ctx.samdb.modify(m)
416
417     def join_provision(ctx):
418         '''provision the local SAM'''
419
420         print "Calling bare provision"
421
422         logger = logging.getLogger("provision")
423         logger.addHandler(logging.StreamHandler(sys.stdout))
424         smbconf = ctx.lp.configfile
425
426         presult = provision(ctx.setup_dir, logger, system_session(), None,
427                             smbconf=smbconf, targetdir=ctx.targetdir, samdb_fill=FILL_DRS,
428                             realm=ctx.realm, rootdn=ctx.root_dn, domaindn=ctx.base_dn,
429                             schemadn=ctx.schema_dn,
430                             configdn=ctx.config_dn,
431                             serverdn=ctx.server_dn, domain=ctx.domain_name,
432                             hostname=ctx.myname, domainsid=ctx.domsid,
433                             machinepass=ctx.acct_pass, serverrole="domain controller",
434                             sitename=ctx.site, lp=ctx.lp)
435         print "Provision OK for domain DN %s" % presult.domaindn
436         ctx.local_samdb = presult.samdb
437         ctx.lp          = presult.lp
438         ctx.paths       = presult.paths
439
440
441     def join_replicate(ctx):
442         '''replicate the SAM'''
443
444         print "Starting replication"
445         ctx.local_samdb.transaction_start()
446
447         source_dsa_invocation_id = misc.GUID(ctx.samdb.get_invocation_id())
448         destination_dsa_guid = ctx.ntds_guid
449
450         if ctx.RODC:
451             repl_creds = Credentials()
452             repl_creds.guess(ctx.lp)
453             repl_creds.set_kerberos_state(DONT_USE_KERBEROS)
454             repl_creds.set_username(ctx.samname)
455             repl_creds.set_password(ctx.acct_pass)
456         else:
457             repl_creds = ctx.creds
458
459         binding_options = "seal"
460         if ctx.lp.get("debug level") >= 5:
461             binding_options += ",print"
462         repl = drs_utils.drs_Replicate("ncacn_ip_tcp:%s[%s]" % (ctx.server, binding_options),
463                                        ctx.lp, repl_creds, ctx.local_samdb)
464
465         repl.replicate(ctx.schema_dn, source_dsa_invocation_id, destination_dsa_guid,
466                        schema=True, rodc=ctx.RODC,
467                        replica_flags=ctx.replica_flags)
468         repl.replicate(ctx.config_dn, source_dsa_invocation_id, destination_dsa_guid,
469                        rodc=ctx.RODC, replica_flags=ctx.replica_flags)
470         repl.replicate(ctx.base_dn, source_dsa_invocation_id, destination_dsa_guid,
471                        rodc=ctx.RODC, replica_flags=ctx.replica_flags)
472         if ctx.RODC:
473             repl.replicate(ctx.acct_dn, source_dsa_invocation_id, destination_dsa_guid,
474                            exop=drsuapi.DRSUAPI_EXOP_REPL_SECRET, rodc=True)
475             repl.replicate(ctx.new_krbtgt_dn, source_dsa_invocation_id, destination_dsa_guid,
476                            exop=drsuapi.DRSUAPI_EXOP_REPL_SECRET, rodc=True)
477
478         print "Committing SAM database"
479         ctx.local_samdb.transaction_commit()
480
481
482     def join_finalise(ctx):
483         '''finalise the join, mark us synchronised and setup secrets db'''
484
485         print "Setting isSynchronized"
486         m = ldb.Message()
487         m.dn = ldb.Dn(ctx.samdb, '@ROOTDSE')
488         m["isSynchronized"] = ldb.MessageElement("TRUE", ldb.FLAG_MOD_REPLACE, "isSynchronized")
489         ctx.samdb.modify(m)
490
491         secrets_ldb = Ldb(ctx.paths.secrets, session_info=system_session(), lp=ctx.lp)
492
493         print "Setting up secrets database"
494         secretsdb_self_join(secrets_ldb, domain=ctx.domain_name,
495                             realm=ctx.realm,
496                             dnsdomain=ctx.dnsdomain,
497                             netbiosname=ctx.myname,
498                             domainsid=security.dom_sid(ctx.domsid),
499                             machinepass=ctx.acct_pass,
500                             secure_channel_type=ctx.secure_channel_type,
501                             key_version_number=ctx.key_version_number)
502
503     def do_join(ctx):
504         ctx.cleanup_old_join()
505         try:
506             ctx.join_add_objects()
507             ctx.join_provision()
508             ctx.join_replicate()
509             ctx.join_finalise()
510         except Exception:
511             print "Join failed - cleaning up"
512             ctx.cleanup_old_join()
513             raise
514
515
516 def join_RODC(server=None, creds=None, lp=None, site=None, netbios_name=None,
517               targetdir=None, domain=None):
518     """join as a RODC"""
519
520     ctx = dc_join(server, creds, lp, site, netbios_name, targetdir, domain)
521
522     ctx.krbtgt_dn = "CN=krbtgt_%s,CN=Users,%s" % (ctx.myname, ctx.base_dn)
523
524     # setup some defaults for accounts that should be replicated to this RODC
525     ctx.never_reveal_sid = [ "<SID=%s-%s>" % (ctx.domsid, security.DOMAIN_RID_RODC_DENY),
526                              "<SID=%s>" % security.SID_BUILTIN_ADMINISTRATORS,
527                              "<SID=%s>" % security.SID_BUILTIN_SERVER_OPERATORS,
528                              "<SID=%s>" % security.SID_BUILTIN_BACKUP_OPERATORS,
529                              "<SID=%s>" % security.SID_BUILTIN_ACCOUNT_OPERATORS ]
530     ctx.reveal_sid = "<SID=%s-%s>" % (ctx.domsid, security.DOMAIN_RID_RODC_ALLOW)
531
532     mysid = ctx.get_mysid()
533     admin_dn = "<SID=%s>" % mysid
534     ctx.managedby = admin_dn
535
536     ctx.userAccountControl = (samba.dsdb.UF_WORKSTATION_TRUST_ACCOUNT |
537                               samba.dsdb.UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION |
538                               samba.dsdb.UF_PARTIAL_SECRETS_ACCOUNT)
539
540     ctx.SPNs.extend([ "RestrictedKrbHost/%s" % ctx.myname,
541                       "RestrictedKrbHost/%s" % ctx.dnshostname ])
542
543     ctx.connection_dn = "CN=RODC Connection (FRS),%s" % ctx.ntds_dn
544     ctx.secure_channel_type = misc.SEC_CHAN_RODC
545     ctx.RODC = True
546     ctx.replica_flags  =  (drsuapi.DRSUAPI_DRS_INIT_SYNC |
547                            drsuapi.DRSUAPI_DRS_PER_SYNC |
548                            drsuapi.DRSUAPI_DRS_GET_ANC |
549                            drsuapi.DRSUAPI_DRS_NEVER_SYNCED |
550                            drsuapi.DRSUAPI_DRS_SPECIAL_SECRET_PROCESSING |
551                            drsuapi.DRSUAPI_DRS_GET_ALL_GROUP_MEMBERSHIP)
552     ctx.do_join()
553
554
555     print "Joined domain %s (SID %s) as an RODC" % (ctx.domain_name, ctx.domsid)
556
557
558 def join_DC(server=None, creds=None, lp=None, site=None, netbios_name=None,
559             targetdir=None, domain=None):
560     """join as a DC"""
561     ctx = dc_join(server, creds, lp, site, netbios_name, targetdir, domain)
562
563     ctx.userAccountControl = samba.dsdb.UF_SERVER_TRUST_ACCOUNT | samba.dsdb.UF_TRUSTED_FOR_DELEGATION
564
565     ctx.SPNs.append('E3514235-4B06-11D1-AB04-00C04FC2DCD2/$NTDSGUID/%s' % ctx.dnsdomain)
566     ctx.secure_channel_type = misc.SEC_CHAN_BDC
567
568     ctx.replica_flags = (drsuapi.DRSUAPI_DRS_WRIT_REP |
569                          drsuapi.DRSUAPI_DRS_INIT_SYNC |
570                          drsuapi.DRSUAPI_DRS_PER_SYNC |
571                          drsuapi.DRSUAPI_DRS_FULL_SYNC_IN_PROGRESS |
572                          drsuapi.DRSUAPI_DRS_NEVER_SYNCED)
573
574     ctx.do_join()
575     print "Joined domain %s (SID %s) as a DC" % (ctx.domain_name, ctx.domsid)