libreplace: Fix the build on Solaris
[sfrench/samba-autobuild/.git] / python / samba / ntacls.py
1 # Unix SMB/CIFS implementation.
2 # Copyright (C) Matthieu Patou <mat@matws.net> 2009-2010
3 #
4 #
5 # This program is free software; you can redistribute it and/or modify
6 # it under the terms of the GNU General Public License as published by
7 # the Free Software Foundation; either version 3 of the License, or
8 # (at your option) any later version.
9 #
10 # This program is distributed in the hope that it will be useful,
11 # but WITHOUT ANY WARRANTY; without even the implied warranty of
12 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 # GNU General Public License for more details.
14 #
15 # You should have received a copy of the GNU General Public License
16 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
17 #
18
19 """NT Acls."""
20
21
22 import os
23 import samba.xattr_native, samba.xattr_tdb, samba.posix_eadb
24 from samba.dcerpc import security, xattr, idmap
25 from samba.ndr import ndr_pack, ndr_unpack
26 from samba.samba3 import smbd
27
28 class XattrBackendError(Exception):
29     """A generic xattr backend error."""
30
31
32 def checkset_backend(lp, backend, eadbfile):
33     '''return the path to the eadb, or None'''
34     if backend is None:
35         xattr_tdb = lp.get("xattr_tdb:file")
36         if xattr_tdb is not None:
37             return (samba.xattr_tdb, lp.get("xattr_tdb:file"))
38         posix_eadb = lp.get("posix:eadb")
39         if posix_eadb is not None:
40             return (samba.posix_eadb, lp.get("posix:eadb"))
41         return (None, None)
42     elif backend == "native":
43         return (None, None)
44     elif backend == "eadb":
45         if eadbfile is not None:
46             return (samba.posix_eadb, eadbfile)
47         else:
48             return (samba.posix_eadb, os.path.abspath(os.path.join(lp.get("private dir"), "eadb.tdb")))
49     elif backend == "tdb":
50         if eadbfile is not None:
51             return (samba.xattr_tdb, eadbfile)
52         else:
53             return (samba.xattr_tdb, os.path.abspath(os.path.join(lp.get("state dir"), "xattr.tdb")))
54     else:
55         raise XattrBackendError("Invalid xattr backend choice %s"%backend)
56
57 def getdosinfo(lp, file):
58     try:
59         attribute = samba.xattr_native.wrap_getxattr(file,
60                                                      xattr.XATTR_DOSATTRIB_NAME_S3)
61     except Exception:
62         return
63
64     return ndr_unpack(xattr.DOSATTRIB, attribute)
65
66 def getntacl(lp, file, backend=None, eadbfile=None, direct_db_access=True, service=None):
67     if direct_db_access:
68         (backend_obj, dbname) = checkset_backend(lp, backend, eadbfile)
69         if dbname is not None:
70             try:
71                 attribute = backend_obj.wrap_getxattr(dbname, file,
72                                                       xattr.XATTR_NTACL_NAME)
73             except Exception:
74                 # FIXME: Don't catch all exceptions, just those related to opening
75                 # xattrdb
76                 print "Fail to open %s" % dbname
77                 attribute = samba.xattr_native.wrap_getxattr(file,
78                                                              xattr.XATTR_NTACL_NAME)
79         else:
80             attribute = samba.xattr_native.wrap_getxattr(file,
81                                                          xattr.XATTR_NTACL_NAME)
82         ntacl = ndr_unpack(xattr.NTACL, attribute)
83         if ntacl.version == 1:
84             return ntacl.info
85         elif ntacl.version == 2:
86             return ntacl.info.sd
87         elif ntacl.version == 3:
88             return ntacl.info.sd
89         elif ntacl.version == 4:
90             return ntacl.info.sd
91     else:
92         return smbd.get_nt_acl(file, security.SECINFO_OWNER | security.SECINFO_GROUP | security.SECINFO_DACL | security.SECINFO_SACL, service=service)
93
94
95 def setntacl(lp, file, sddl, domsid, backend=None, eadbfile=None, use_ntvfs=True, skip_invalid_chown=False, passdb=None, service=None):
96     assert(isinstance(domsid, str) or isinstance(domsid, security.dom_sid))
97     if isinstance(domsid, str):
98         sid = security.dom_sid(domsid)
99     elif isinstance(domsid, security.dom_sid):
100         sid = domsid
101         domsid = str(sid)
102
103     assert(isinstance(sddl, str) or isinstance(sddl, security.descriptor))
104     if isinstance(sddl, str):
105         sd = security.descriptor.from_sddl(sddl, sid)
106     elif isinstance(sddl, security.descriptor):
107         sd = sddl
108         sddl = sd.as_sddl(sid)
109
110     if not use_ntvfs and skip_invalid_chown:
111         # Check if the owner can be resolved as a UID
112         (owner_id, owner_type) = passdb.sid_to_id(sd.owner_sid)
113         if ((owner_type != idmap.ID_TYPE_UID) and (owner_type != idmap.ID_TYPE_BOTH)):
114             # Check if this particular owner SID was domain admins,
115             # because we special-case this as mapping to
116             # 'administrator' instead.
117             if sd.owner_sid == security.dom_sid("%s-%d" % (domsid, security.DOMAIN_RID_ADMINS)):
118                 administrator = security.dom_sid("%s-%d" % (domsid, security.DOMAIN_RID_ADMINISTRATOR))
119                 (admin_id, admin_type) = passdb.sid_to_id(administrator)
120
121                 # Confirm we have a UID for administrator
122                 if ((admin_type == idmap.ID_TYPE_UID) or (admin_type == idmap.ID_TYPE_BOTH)):
123
124                     # Set it, changing the owner to 'administrator' rather than domain admins
125                     sd2 = sd
126                     sd2.owner_sid = administrator
127
128                     smbd.set_nt_acl(file, security.SECINFO_OWNER |security.SECINFO_GROUP | security.SECINFO_DACL | security.SECINFO_SACL, sd2, service=service)
129
130                     # and then set an NTVFS ACL (which does not set the posix ACL) to pretend the owner really was set
131                     use_ntvfs = True
132                 else:
133                     raise XattrBackendError("Unable to find UID for domain administrator %s, got id %d of type %d" % (administrator, admin_id, admin_type))
134             else:
135                 # For all other owning users, reset the owner to root
136                 # and then set the ACL without changing the owner
137                 #
138                 # This won't work in test environments, as it tries a real (rather than xattr-based fake) chown
139
140                 os.chown(file, 0, 0)
141                 smbd.set_nt_acl(file, security.SECINFO_GROUP | security.SECINFO_DACL | security.SECINFO_SACL, sd, service=service)
142
143     if use_ntvfs:
144         (backend_obj, dbname) = checkset_backend(lp, backend, eadbfile)
145         ntacl = xattr.NTACL()
146         ntacl.version = 1
147         ntacl.info = sd
148         if dbname is not None:
149             try:
150                 backend_obj.wrap_setxattr(dbname,
151                                           file, xattr.XATTR_NTACL_NAME, ndr_pack(ntacl))
152             except Exception:
153                 # FIXME: Don't catch all exceptions, just those related to opening
154                 # xattrdb
155                 print "Fail to open %s" % dbname
156                 samba.xattr_native.wrap_setxattr(file, xattr.XATTR_NTACL_NAME,
157                                                  ndr_pack(ntacl))
158         else:
159             samba.xattr_native.wrap_setxattr(file, xattr.XATTR_NTACL_NAME,
160                                              ndr_pack(ntacl))
161     else:
162         smbd.set_nt_acl(file, security.SECINFO_OWNER | security.SECINFO_GROUP | security.SECINFO_DACL | security.SECINFO_SACL, sd, service=service)
163
164
165 def ldapmask2filemask(ldm):
166     """Takes the access mask of a DS ACE and transform them in a File ACE mask.
167     """
168     RIGHT_DS_CREATE_CHILD     = 0x00000001
169     RIGHT_DS_DELETE_CHILD     = 0x00000002
170     RIGHT_DS_LIST_CONTENTS    = 0x00000004
171     ACTRL_DS_SELF             = 0x00000008
172     RIGHT_DS_READ_PROPERTY    = 0x00000010
173     RIGHT_DS_WRITE_PROPERTY   = 0x00000020
174     RIGHT_DS_DELETE_TREE      = 0x00000040
175     RIGHT_DS_LIST_OBJECT      = 0x00000080
176     RIGHT_DS_CONTROL_ACCESS   = 0x00000100
177     FILE_READ_DATA            = 0x0001
178     FILE_LIST_DIRECTORY       = 0x0001
179     FILE_WRITE_DATA           = 0x0002
180     FILE_ADD_FILE             = 0x0002
181     FILE_APPEND_DATA          = 0x0004
182     FILE_ADD_SUBDIRECTORY     = 0x0004
183     FILE_CREATE_PIPE_INSTANCE = 0x0004
184     FILE_READ_EA              = 0x0008
185     FILE_WRITE_EA             = 0x0010
186     FILE_EXECUTE              = 0x0020
187     FILE_TRAVERSE             = 0x0020
188     FILE_DELETE_CHILD         = 0x0040
189     FILE_READ_ATTRIBUTES      = 0x0080
190     FILE_WRITE_ATTRIBUTES     = 0x0100
191     DELETE                    = 0x00010000
192     READ_CONTROL              = 0x00020000
193     WRITE_DAC                 = 0x00040000
194     WRITE_OWNER               = 0x00080000
195     SYNCHRONIZE               = 0x00100000
196     STANDARD_RIGHTS_ALL       = 0x001F0000
197
198     filemask = ldm & STANDARD_RIGHTS_ALL
199
200     if (ldm & RIGHT_DS_READ_PROPERTY) and (ldm & RIGHT_DS_LIST_CONTENTS):
201         filemask = filemask | (SYNCHRONIZE | FILE_LIST_DIRECTORY |
202                                 FILE_READ_ATTRIBUTES | FILE_READ_EA |
203                                 FILE_READ_DATA | FILE_EXECUTE)
204
205     if ldm & RIGHT_DS_WRITE_PROPERTY:
206         filemask = filemask | (SYNCHRONIZE | FILE_WRITE_DATA |
207                                 FILE_APPEND_DATA | FILE_WRITE_EA |
208                                 FILE_WRITE_ATTRIBUTES | FILE_ADD_FILE |
209                                 FILE_ADD_SUBDIRECTORY)
210
211     if ldm & RIGHT_DS_CREATE_CHILD:
212         filemask = filemask | (FILE_ADD_SUBDIRECTORY | FILE_ADD_FILE)
213
214     if ldm & RIGHT_DS_DELETE_CHILD:
215         filemask = filemask | FILE_DELETE_CHILD
216
217     return filemask
218
219
220 def dsacl2fsacl(dssddl, sid, as_sddl=True):
221     """
222
223     This function takes an the SDDL representation of a DS
224     ACL and return the SDDL representation of this ACL adapted
225     for files. It's used for Policy object provision
226     """
227     ref = security.descriptor.from_sddl(dssddl, sid)
228     fdescr = security.descriptor()
229     fdescr.owner_sid = ref.owner_sid
230     fdescr.group_sid = ref.group_sid
231     fdescr.type = ref.type
232     fdescr.revision = ref.revision
233     aces = ref.dacl.aces
234     for i in range(0, len(aces)):
235         ace = aces[i]
236         if not ace.type & security.SEC_ACE_TYPE_ACCESS_ALLOWED_OBJECT and str(ace.trustee) != security.SID_BUILTIN_PREW2K:
237        #    if fdescr.type & security.SEC_DESC_DACL_AUTO_INHERITED:
238             ace.flags = ace.flags | security.SEC_ACE_FLAG_OBJECT_INHERIT | security.SEC_ACE_FLAG_CONTAINER_INHERIT
239             if str(ace.trustee) == security.SID_CREATOR_OWNER:
240                 # For Creator/Owner the IO flag is set as this ACE has only a sense for child objects
241                 ace.flags = ace.flags | security.SEC_ACE_FLAG_INHERIT_ONLY
242             ace.access_mask =  ldapmask2filemask(ace.access_mask)
243             fdescr.dacl_add(ace)
244
245     if not as_sddl:
246         return fdescr
247
248     return fdescr.as_sddl(sid)