s4-join: added DC join to the python join code
[nivanova/samba-autobuild/.git] / source4 / scripting / python / samba / join.py
1 #!/usr/bin/env python
2 #
3 # python join code
4 # Copyright Andrew Tridgell 2010
5 # Copyright Andrew Bartlett 2010
6 #
7 # This program is free software; you can redistribute it and/or modify
8 # it under the terms of the GNU General Public License as published by
9 # the Free Software Foundation; either version 3 of the License, or
10 # (at your option) any later version.
11 #
12 # This program is distributed in the hope that it will be useful,
13 # but WITHOUT ANY WARRANTY; without even the implied warranty of
14 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15 # GNU General Public License for more details.
16 #
17 # You should have received a copy of the GNU General Public License
18 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
19 #
20
21 import samba.getopt as options
22 from samba.auth import system_session
23 from samba.samdb import SamDB
24 from samba import gensec, Ldb, drs_utils
25 import ldb, samba, sys, os, uuid
26 from samba.ndr import ndr_pack, ndr_unpack, ndr_print
27 from samba.dcerpc import security, drsuapi, misc, netlogon, nbt
28 from samba.credentials import Credentials, DONT_USE_KERBEROS
29 from samba.provision import secretsdb_self_join, provision, FILL_DRS, find_setup_dir
30 from samba.schema import Schema
31 from samba.net import Net
32 import logging
33 from samba.dsdb import DS_DOMAIN_FUNCTION_2008_R2
34 import talloc
35
36 # this makes debugging easier
37 talloc.enable_null_tracking()
38
39 class dc_join:
40     '''perform a DC join'''
41
42     def __init__(ctx, server=None, creds=None, lp=None, site=None, netbios_name=None,
43                  targetdir=None, domain=None):
44         ctx.creds = creds
45         ctx.lp = lp
46         ctx.site = site
47         ctx.netbios_name = netbios_name
48         ctx.targetdir = targetdir
49
50         ctx.creds.set_gensec_features(creds.get_gensec_features() | gensec.FEATURE_SEAL)
51         ctx.net = Net(creds=ctx.creds, lp=ctx.lp)
52
53         if server is not None:
54             ctx.server = server
55         else:
56             print("Finding a writeable DC for domain '%s'" % domain)
57             ctx.server = ctx.find_dc(domain)
58             print("Found DC %s" % ctx.server)
59
60         ctx.samdb = SamDB(url="ldap://%s" % ctx.server,
61                           session_info=system_session(),
62                           credentials=ctx.creds, lp=ctx.lp)
63
64         ctx.myname = netbios_name
65         ctx.samname = "%s$" % ctx.myname
66         ctx.base_dn = str(ctx.samdb.get_default_basedn())
67         ctx.root_dn = str(ctx.samdb.get_root_basedn())
68         ctx.schema_dn = str(ctx.samdb.get_schema_basedn())
69         ctx.config_dn = str(ctx.samdb.get_config_basedn())
70         ctx.domsid = ctx.samdb.get_domain_sid()
71         ctx.domain_name = ctx.get_domain_name()
72
73         lp.set("realm", ctx.domain_name)
74
75         ctx.dc_ntds_dn = ctx.get_dsServiceName()
76         ctx.dc_dnsHostName = ctx.get_dnsHostName()
77         ctx.acct_pass = samba.generate_random_password(12, 32)
78         ctx.mysid = ctx.get_mysid()
79
80         # work out the DNs of all the objects we will be adding
81         ctx.admin_dn = "<SID=%s>" % ctx.mysid
82         ctx.server_dn = "CN=%s,CN=Servers,CN=%s,CN=Sites,%s" % (ctx.myname, ctx.site, ctx.config_dn)
83         ctx.ntds_dn = "CN=NTDS Settings,%s" % ctx.server_dn
84         ctx.topology_dn = "CN=%s,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,%s" % (ctx.myname, ctx.base_dn)
85
86         ctx.dnsdomain = ldb.Dn(ctx.samdb, ctx.base_dn).canonical_str().split('/')[0]
87         ctx.realm = ctx.dnsdomain
88         ctx.dnshostname = "%s.%s" % (ctx.myname, ctx.dnsdomain)
89
90         ctx.acct_dn = "CN=%s,OU=Domain Controllers,%s" % (ctx.myname, ctx.base_dn)
91
92         ctx.setup_dir = find_setup_dir()
93         ctx.tmp_samdb = None
94
95         ctx.SPNs = [ "HOST/%s" % ctx.myname,
96                      "HOST/%s" % ctx.dnshostname ]
97
98         # these elements are optional
99         ctx.never_reveal_sid = None
100         ctx.reveal_sid = None
101         ctx.connection_dn = None
102         ctx.RODC = False
103         ctx.krbtgt_dn = None
104         ctx.drsuapi = None
105         ctx.managedby = None
106
107
108     def del_noerror(ctx, dn, recursive=False):
109         if recursive:
110             try:
111                 res = ctx.samdb.search(base=dn, scope=ldb.SCOPE_ONELEVEL, attrs=["dn"])
112             except:
113                 return
114             for r in res:
115                 ctx.del_noerror(r.dn, recursive=True)
116         try:
117             ctx.samdb.delete(dn)
118             print "Deleted %s" % dn
119         except:
120             pass
121
122     def cleanup_old_join(ctx):
123         '''remove any DNs from a previous join'''
124         try:
125             # find the krbtgt link
126             print("checking samaccountname")
127             res = ctx.samdb.search(base=ctx.samdb.get_default_basedn(),
128                                    expression='samAccountName=%s' % ctx.samname,
129                                    attrs=["msDS-krbTgtLink"])
130             if res:
131                 ctx.del_noerror(res[0].dn, recursive=True)
132             if ctx.connection_dn is not None:
133                 ctx.del_noerror(ctx.connection_dn)
134             if ctx.krbtgt_dn is not None:
135                 ctx.del_noerror(ctx.krbtgt_dn)
136             ctx.del_noerror(ctx.ntds_dn)
137             ctx.del_noerror(ctx.server_dn, recursive=True)
138             ctx.del_noerror(ctx.topology_dn)
139             if res:
140                 ctx.new_krbtgt_dn = res[0]["msDS-Krbtgtlink"][0]
141                 ctx.del_noerror(ctx.new_krbtgt_dn)
142         except:
143             pass
144
145     def find_dc(ctx, domain):
146         '''find a writeable DC for the given domain'''
147         try:
148             ctx.cldap_ret = ctx.net.finddc(domain, nbt.NBT_SERVER_LDAP | nbt.NBT_SERVER_DS | nbt.NBT_SERVER_WRITABLE)
149         except Exception, reason:
150             print("Failed to find a writeable DC for domain '%s': %s" % (domain, reason))
151             sys.exit(1)
152         if ctx.cldap_ret.client_site is not None and ctx.cldap_ret.client_site != "":
153             ctx.site = ctx.cldap_ret.client_site
154         return ctx.cldap_ret.pdc_dns_name
155
156
157     def get_dsServiceName(ctx):
158         res = ctx.samdb.search(base="", scope=ldb.SCOPE_BASE, attrs=["dsServiceName"])
159         return res[0]["dsServiceName"][0]
160
161     def get_dnsHostName(ctx):
162         res = ctx.samdb.search(base="", scope=ldb.SCOPE_BASE, attrs=["dnsHostName"])
163         return res[0]["dnsHostName"][0]
164
165     def get_domain_name(ctx):
166         '''get netbios name of the domain from the partitions record'''
167         partitions_dn = ctx.samdb.get_partitions_dn()
168         res = ctx.samdb.search(base=partitions_dn, scope=ldb.SCOPE_ONELEVEL, attrs=["nETBIOSName"],
169                                expression='ncName=%s' % ctx.samdb.get_default_basedn())
170         return res[0]["nETBIOSName"][0]
171
172     def get_mysid(ctx):
173         res = ctx.samdb.search(base="", scope=ldb.SCOPE_BASE, attrs=["tokenGroups"])
174         binsid = res[0]["tokenGroups"][0]
175         return ctx.samdb.schema_format_value("objectSID", binsid)
176
177     def add_krbtgt_account(ctx):
178         '''RODCs need a special krbtgt account'''
179         print "Adding %s" % ctx.krbtgt_dn
180         rec = {
181             "dn" : ctx.krbtgt_dn,
182             "objectclass" : "user",
183             "useraccountcontrol" : str(samba.dsdb.UF_NORMAL_ACCOUNT |
184                                        samba.dsdb.UF_ACCOUNTDISABLE),
185             "showinadvancedviewonly" : "TRUE",
186             "description" : "krbtgt for %s" % ctx.samname}
187         ctx.samdb.add(rec, ["rodc_join:1:1"])
188
189         # now we need to search for the samAccountName attribute on the krbtgt DN,
190         # as this will have been magically set to the krbtgt number
191         res = ctx.samdb.search(base=ctx.krbtgt_dn, scope=ldb.SCOPE_BASE, attrs=["samAccountName"])
192         ctx.krbtgt_name = res[0]["samAccountName"][0]
193
194         print "Got krbtgt_name=%s" % ctx.krbtgt_name
195
196         m = ldb.Message()
197         m.dn = ldb.Dn(ctx.samdb, ctx.acct_dn)
198         m["msDS-krbTgtLink"] = ldb.MessageElement(ctx.krbtgt_dn,
199                                                   ldb.FLAG_MOD_REPLACE, "msDS-krbTgtLink")
200         ctx.samdb.modify(m)
201
202         ctx.new_krbtgt_dn = "CN=%s,CN=Users,%s" % (ctx.krbtgt_name, ctx.base_dn)
203         print "Renaming %s to %s" % (ctx.krbtgt_dn, ctx.new_krbtgt_dn)
204         ctx.samdb.rename(ctx.krbtgt_dn, ctx.new_krbtgt_dn)
205
206     def drsuapi_connect(ctx):
207         '''make a DRSUAPI connection to the server'''
208         binding_string = "ncacn_ip_tcp:%s[seal,print]" % ctx.server
209         ctx.drsuapi = drsuapi.drsuapi(binding_string, ctx.lp, ctx.creds)
210         ctx.drsuapi_handle = drs_utils.drs_DsBind(ctx.drsuapi)
211
212     def create_tmp_samdb(ctx):
213         '''create a temporary samdb object for schema queries'''
214         def setup_path(file):
215             return os.path.join(ctx.setup_dir, file)
216         ctx.tmp_schema = Schema(setup_path, security.dom_sid(ctx.domsid),
217                                 schemadn=ctx.schema_dn)
218         ctx.tmp_samdb = SamDB(session_info=system_session(), url=None, auto_connect=False,
219                               credentials=ctx.creds, lp=ctx.lp, global_schema=False,
220                               am_rodc=False)
221         ctx.tmp_samdb.set_schema(ctx.tmp_schema)
222
223     def build_DsReplicaAttribute(ctx, attrname, attrvalue):
224         '''build a DsReplicaAttributeCtr object'''
225         r = drsuapi.DsReplicaAttribute()
226         r.attid = ctx.tmp_samdb.get_attid_from_lDAPDisplayName(attrname)
227         r.value_ctr = 1
228
229
230     def DsAddEntry(ctx, rec):
231         '''add a record via the DRSUAPI DsAddEntry call'''
232         if ctx.drsuapi is None:
233             ctx.drsuapi_connect()
234         if ctx.tmp_samdb is None:
235             ctx.create_tmp_samdb()
236
237         id = drsuapi.DsReplicaObjectIdentifier()
238         id.dn = rec['dn']
239
240         attrs = []
241         for a in rec:
242             if a == 'dn':
243                 continue
244             if not isinstance(rec[a], list):
245                 v = [rec[a]]
246             else:
247                 v = rec[a]
248             rattr = ctx.tmp_samdb.dsdb_DsReplicaAttribute(ctx.tmp_samdb, a, v)
249             attrs.append(rattr)
250
251         attribute_ctr = drsuapi.DsReplicaAttributeCtr()
252         attribute_ctr.num_attributes = len(attrs)
253         attribute_ctr.attributes = attrs
254
255         object = drsuapi.DsReplicaObject()
256         object.identifier = id
257         object.attribute_ctr = attribute_ctr
258
259         first_object = drsuapi.DsReplicaObjectListItem()
260         first_object.object = object
261
262         req2 = drsuapi.DsAddEntryRequest2()
263         req2.first_object = first_object
264
265         # this dies
266         (level, ctr) = ctx.drsuapi.DsAddEntry(ctx.drsuapi_handle, 2, req2)
267
268
269     def join_add_objects(ctx):
270         '''add the various objects needed for the join'''
271         print "Adding %s" % ctx.acct_dn
272         rec = {
273             "dn" : ctx.acct_dn,
274             "objectClass": "computer",
275             "displayname": ctx.samname,
276             "samaccountname" : ctx.samname,
277             "userAccountControl" : str(ctx.userAccountControl),
278             "dnshostname" : ctx.dnshostname,
279             "msDS-SupportedEncryptionTypes" : str(samba.dsdb.ENC_ALL_TYPES)}
280         if ctx.managedby:
281             rec["managedby"] = ctx.managedby
282         if ctx.never_reveal_sid:
283             rec["msDS-NeverRevealGroup"] = ctx.never_reveal_sid
284         if ctx.reveal_sid:
285             rec["msDS-RevealOnDemandGroup"] = ctx.reveal_sid
286         ctx.samdb.add(rec)
287
288         if ctx.krbtgt_dn:
289             ctx.add_krbtgt_account()
290
291         print "Adding %s" % ctx.server_dn
292         rec = {
293             "dn": ctx.server_dn,
294             "objectclass" : "server",
295             "systemFlags" : str(samba.dsdb.SYSTEM_FLAG_CONFIG_ALLOW_RENAME |
296                                 samba.dsdb.SYSTEM_FLAG_CONFIG_ALLOW_LIMITED_MOVE |
297                                 samba.dsdb.SYSTEM_FLAG_DISALLOW_MOVE_ON_DELETE),
298             "serverReference" : ctx.acct_dn,
299             "dnsHostName" : ctx.dnshostname}
300         ctx.samdb.add(rec)
301
302         # FIXME: the partition (NC) assignment has to be made dynamic
303         print "Adding %s" % ctx.ntds_dn
304         rec = {
305             "dn" : ctx.ntds_dn,
306             "objectclass" : "nTDSDSA",
307             "systemFlags" : str(samba.dsdb.SYSTEM_FLAG_DISALLOW_MOVE_ON_DELETE),
308             "dMDLocation" : ctx.schema_dn,
309             "msDS-Behavior-Version" : str(DS_DOMAIN_FUNCTION_2008_R2),
310             "msDS-HasDomainNCs" : ctx.base_dn }
311
312         if ctx.RODC:
313             rec["objectCategory"] = "CN=NTDS-DSA-RO,%s" % ctx.schema_dn
314             rec["msDS-HasFullReplicaNCs"] = [ ctx.base_dn, ctx.config_dn, ctx.schema_dn ]
315             rec["options"] = "37"
316             ctx.samdb.add(rec, ["rodc_join:1:1"])
317         else:
318             rec["objectCategory"] = "CN=NTDS-DSA,%s" % ctx.schema_dn
319             rec["HasMasterNCs"]      = [ ctx.base_dn, ctx.config_dn, ctx.schema_dn ]
320             rec["msDS-HasMasterNCs"] = [ ctx.base_dn, ctx.config_dn, ctx.schema_dn ]
321             rec["options"] = "1"
322             rec["invocationId"] = str(uuid.uuid4())
323             ctx.DsAddEntry(rec)
324
325         # find the GUID of our NTDS DN
326         res = ctx.samdb.search(base=ctx.ntds_dn, scope=ldb.SCOPE_BASE, attrs=["objectGUID"])
327         ctx.ntds_guid = misc.GUID(ctx.samdb.schema_format_value("objectGUID", res[0]["objectGUID"][0]))
328
329         if ctx.connection_dn is not None:
330             print "Adding %s" % ctx.connection_dn
331             rec = {
332                 "dn" : ctx.connection_dn,
333                 "objectclass" : "nTDSConnection",
334                 "enabledconnection" : "TRUE",
335                 "options" : "65",
336                 "fromServer" : ctx.dc_ntds_dn}
337             ctx.samdb.add(rec)
338
339         print "Adding %s" % ctx.topology_dn
340         rec = {
341             "dn" : ctx.topology_dn,
342             "objectclass" : "msDFSR-Member",
343             "msDFSR-ComputerReference" : ctx.acct_dn,
344             "serverReference" : ctx.ntds_dn}
345         ctx.samdb.add(rec)
346
347         print "Adding SPNs to %s" % ctx.acct_dn
348         m = ldb.Message()
349         m.dn = ldb.Dn(ctx.samdb, ctx.acct_dn)
350         for i in range(len(ctx.SPNs)):
351             ctx.SPNs[i] = ctx.SPNs[i].replace("$NTDSGUID", str(ctx.ntds_guid))
352         m["servicePrincipalName"] = ldb.MessageElement(ctx.SPNs,
353                                                        ldb.FLAG_MOD_ADD,
354                                                        "servicePrincipalName")
355         ctx.samdb.modify(m)
356
357         print "Setting account password for %s" % ctx.samname
358         ctx.samdb.setpassword("(&(objectClass=user)(sAMAccountName=%s))" % ctx.samname,
359                               ctx.acct_pass,
360                               force_change_at_next_login=False,
361                               username=ctx.samname)
362         res = ctx.samdb.search(base=ctx.acct_dn, scope=ldb.SCOPE_BASE, attrs=["msDS-keyVersionNumber"])
363         ctx.key_version_number = res[0]["msDS-keyVersionNumber"]
364
365
366     def join_provision(ctx):
367         '''provision the local SAM'''
368
369         print "Calling bare provision"
370
371         logger = logging.getLogger("provision")
372         logger.addHandler(logging.StreamHandler(sys.stdout))
373         smbconf = ctx.lp.configfile
374
375         presult = provision(ctx.setup_dir, logger, system_session(), None,
376                             smbconf=smbconf, targetdir=ctx.targetdir, samdb_fill=FILL_DRS,
377                             realm=ctx.realm, rootdn=ctx.root_dn, domaindn=ctx.base_dn,
378                             schemadn=ctx.schema_dn,
379                             configdn=ctx.config_dn,
380                             serverdn=ctx.server_dn, domain=ctx.domain_name,
381                             hostname=ctx.myname, hostip="127.0.0.1", domainsid=ctx.domsid,
382                             machinepass=ctx.acct_pass, serverrole="domain controller",
383                             sitename=ctx.site)
384         print "Provision OK for domain DN %s" % presult.domaindn
385         ctx.local_samdb = presult.samdb
386         ctx.lp          = presult.lp
387         ctx.paths       = presult.paths
388
389
390     def join_replicate(ctx):
391         '''replicate the SAM'''
392
393         print "Starting replication"
394         ctx.local_samdb.transaction_start()
395
396         source_dsa_invocation_id = misc.GUID(ctx.samdb.get_invocation_id())
397
398         acct_creds = Credentials()
399         acct_creds.guess(ctx.lp)
400         acct_creds.set_kerberos_state(DONT_USE_KERBEROS)
401         acct_creds.set_username(ctx.samname)
402         acct_creds.set_password(ctx.acct_pass)
403
404         repl = drs_utils.drs_Replicate("ncacn_ip_tcp:%s[seal]" % ctx.server, ctx.lp, acct_creds, ctx.local_samdb)
405
406         repl.replicate(ctx.schema_dn, source_dsa_invocation_id, ctx.ntds_guid, schema=True, rodc=ctx.RODC)
407         repl.replicate(ctx.config_dn, source_dsa_invocation_id, ctx.ntds_guid, rodc=ctx.RODC)
408         repl.replicate(ctx.base_dn, source_dsa_invocation_id, ctx.ntds_guid, rodc=ctx.RODC)
409         if ctx.RODC:
410             repl.replicate(ctx.acct_dn, source_dsa_invocation_id, ctx.ntds_guid, exop=drsuapi.DRSUAPI_EXOP_REPL_SECRET, rodc=True)
411             repl.replicate(ctx.new_krbtgt_dn, source_dsa_invocation_id, ctx.ntds_guid, exop=drsuapi.DRSUAPI_EXOP_REPL_SECRET, rodc=True)
412
413         print "Committing SAM database"
414         ctx.local_samdb.transaction_commit()
415
416
417     def join_finalise(ctx):
418         '''finalise the join, mark us synchronised and setup secrets db'''
419
420         print "Setting isSynchronized"
421         m = ldb.Message()
422         m.dn = ldb.Dn(ctx.samdb, '@ROOTDSE')
423         m["isSynchronized"] = ldb.MessageElement("TRUE", ldb.FLAG_MOD_REPLACE, "isSynchronized")
424         ctx.samdb.modify(m)
425
426         secrets_ldb = Ldb(ctx.paths.secrets, session_info=system_session(), lp=ctx.lp)
427
428         print "Setting up secrets database"
429         secretsdb_self_join(secrets_ldb, domain=ctx.domain_name,
430                             realm=ctx.realm,
431                             dnsdomain=ctx.dnsdomain,
432                             netbiosname=ctx.myname,
433                             domainsid=security.dom_sid(ctx.domsid),
434                             machinepass=ctx.acct_pass,
435                             secure_channel_type=misc.SEC_CHAN_RODC,
436                             key_version_number=ctx.key_version_number)
437
438     def do_join(ctx):
439         ctx.cleanup_old_join()
440         try:
441             ctx.join_add_objects()
442             ctx.join_provision()
443             ctx.join_replicate()
444             ctx.join_finalise()
445         except:
446             print "Join failed - cleaning up"
447             ctx.cleanup_old_join()
448             raise
449
450
451 def join_RODC(server=None, creds=None, lp=None, site=None, netbios_name=None,
452               targetdir=None, domain=None):
453     """join as a RODC"""
454
455     ctx = dc_join(server, creds, lp, site, netbios_name, targetdir, domain)
456
457     ctx.krbtgt_dn = "CN=krbtgt_%s,CN=Users,%s" % (ctx.myname, ctx.base_dn)
458
459     # setup some defaults for accounts that should be replicated to this RODC
460     ctx.never_reveal_sid = [ "<SID=%s-%s>" % (ctx.domsid, security.DOMAIN_RID_RODC_DENY),
461                              "<SID=%s>" % security.SID_BUILTIN_ADMINISTRATORS,
462                              "<SID=%s>" % security.SID_BUILTIN_SERVER_OPERATORS,
463                              "<SID=%s>" % security.SID_BUILTIN_BACKUP_OPERATORS,
464                              "<SID=%s>" % security.SID_BUILTIN_ACCOUNT_OPERATORS ]
465     ctx.reveal_sid = "<SID=%s-%s>" % (ctx.domsid, security.DOMAIN_RID_RODC_ALLOW)
466
467     ctx.managedby = ctx.admin_dn
468
469     ctx.userAccountControl = (samba.dsdb.UF_WORKSTATION_TRUST_ACCOUNT |
470                               samba.dsdb.UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION |
471                               samba.dsdb.UF_PARTIAL_SECRETS_ACCOUNT)
472
473     ctx.SPNs.extend([ "RestrictedKrbHost/%s" % ctx.myname,
474                       "RestrictedKrbHost/%s" % ctx.dnshostname ])
475
476     ctx.connection_dn = "CN=RODC Connection (FRS),%s" % ctx.ntds_dn
477     ctx.RODC = True
478     ctx.do_join()
479     print "Joined domain %s (SID %s) as an RODC" % (ctx.domain_name, ctx.domsid)
480
481
482 def join_DC(server=None, creds=None, lp=None, site=None, netbios_name=None,
483             targetdir=None, domain=None):
484     """join as a DC"""
485     ctx = dc_join(server, creds, lp, site, netbios_name, targetdir, domain)
486
487     ctx.userAccountControl = samba.dsdb.UF_SERVER_TRUST_ACCOUNT | samba.dsdb.UF_TRUSTED_FOR_DELEGATION
488
489     ctx.SPNs.append('E3514235-4B06-11D1-AB04-00C04FC2DCD2/$NTDSGUID/%s' % ctx.dnsdomain)
490
491     ctx.do_join()
492     print "Joined domain %s (SID %s) as an DC" % (ctx.domain_name, ctx.domsid)