source/lib/sharesec.c

   1 /*
   2  *  Unix SMB/Netbios implementation.
   3  *  SEC_DESC handling functions
   4  *  Copyright (C) Jeremy R. Allison            1995-2003.
   5  *
   6  *  This program is free software; you can redistribute it and/or modify
   7  *  it under the terms of the GNU General Public License as published by
   8  *  the Free Software Foundation; either version 2 of the License, or
   9  *  (at your option) any later version.
  10  *
  11  *  This program is distributed in the hope that it will be useful,
  12  *  but WITHOUT ANY WARRANTY; without even the implied warranty of
  13  *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14  *  GNU General Public License for more details.
  15  *
  16  *  You should have received a copy of the GNU General Public License
  17  *  along with this program; if not, write to the Free Software
  18  *  Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
  19  */
  20
  21 #include "includes.h"
  22
  23 /*******************************************************************
  24  Create the share security tdb.
  25  ********************************************************************/
  26
  27 static TDB_CONTEXT *share_tdb; /* used for share security descriptors */
  28 #define SHARE_DATABASE_VERSION_V1 1
  29 #define SHARE_DATABASE_VERSION_V2 2 /* version id in little endian. */
  30
  31 /* Map generic permissions to file object specific permissions */
  32
  33 static struct generic_mapping file_generic_mapping = {
  34         FILE_GENERIC_READ,
  35         FILE_GENERIC_WRITE,
  36         FILE_GENERIC_EXECUTE,
  37         FILE_GENERIC_ALL
  38 };
  39
  40
  41 BOOL share_info_db_init(void)
  42 {
  43         const char *vstring = "INFO/version";
  44         int32 vers_id;
  45
  46         if (share_tdb) {
  47                 return True;
  48         }
  49
  50         share_tdb = tdb_open_log(lock_path("share_info.tdb"), 0, TDB_DEFAULT, O_RDWR|O_CREAT, 0600);
  51         if (!share_tdb) {
  52                 DEBUG(0,("Failed to open share info database %s (%s)\n",
  53                         lock_path("share_info.tdb"), strerror(errno) ));
  54                 return False;
  55         }
  56
  57         /* handle a Samba upgrade */
  58         tdb_lock_bystring(share_tdb, vstring, 0);
  59
  60         /* Cope with byte-reversed older versions of the db. */
  61         vers_id = tdb_fetch_int32(share_tdb, vstring);
  62         if ((vers_id == SHARE_DATABASE_VERSION_V1) || (IREV(vers_id) == SHARE_DATABASE_VERSION_V1)) {
  63                 /* Written on a bigendian machine with old fetch_int code. Save as le. */
  64                 tdb_store_int32(share_tdb, vstring, SHARE_DATABASE_VERSION_V2);
  65                 vers_id = SHARE_DATABASE_VERSION_V2;
  66         }
  67
  68         if (vers_id != SHARE_DATABASE_VERSION_V2) {
  69                 tdb_traverse(share_tdb, tdb_traverse_delete_fn, NULL);
  70                 tdb_store_int32(share_tdb, vstring, SHARE_DATABASE_VERSION_V2);
  71         }
  72         tdb_unlock_bystring(share_tdb, vstring);
  73
  74         return True;
  75 }
  76
  77 /*******************************************************************
  78  Fake up a Everyone, default access as a default.
  79  def_access is a GENERIC_XXX access mode.
  80  ********************************************************************/
  81
  82 SEC_DESC *get_share_security_default( TALLOC_CTX *ctx, size_t *psize, uint32 def_access)
  83 {
  84         SEC_ACCESS sa;
  85         SEC_ACE ace;
  86         SEC_ACL *psa = NULL;
  87         SEC_DESC *psd = NULL;
  88         uint32 spec_access = def_access;
  89
  90         se_map_generic(&spec_access, &file_generic_mapping);
  91
  92         init_sec_access(&sa, def_access | spec_access );
  93         init_sec_ace(&ace, &global_sid_World, SEC_ACE_TYPE_ACCESS_ALLOWED, sa, 0);
  94
  95         if ((psa = make_sec_acl(ctx, NT4_ACL_REVISION, 1, &ace)) != NULL) {
  96                 psd = make_sec_desc(ctx, SEC_DESC_REVISION, SEC_DESC_SELF_RELATIVE, NULL, NULL, NULL, psa, psize);
  97         }
  98
  99         if (!psd) {
 100                 DEBUG(0,("get_share_security: Failed to make SEC_DESC.\n"));
 101                 return NULL;
 102         }
 103
 104         return psd;
 105 }
 106
 107 /*******************************************************************
 108  Pull a security descriptor from the share tdb.
 109  ********************************************************************/
 110
 111 SEC_DESC *get_share_security( TALLOC_CTX *ctx, int snum, size_t *psize)
 112 {
 113         prs_struct ps;
 114         fstring key;
 115         SEC_DESC *psd = NULL;
 116
 117         if (!share_info_db_init()) {
 118                 return NULL;
 119         }
 120
 121         *psize = 0;
 122
 123         /* Fetch security descriptor from tdb */
 124
 125         slprintf(key, sizeof(key)-1, "SECDESC/%s", lp_servicename(snum));
 126
 127         if (tdb_prs_fetch(share_tdb, key, &ps, ctx)!=0 ||
 128                 !sec_io_desc("get_share_security", &psd, &ps, 1)) {
 129
 130                 DEBUG(4,("get_share_security: using default secdesc for %s\n", lp_servicename(snum) ));
 131
 132                 return get_share_security_default(ctx, psize, GENERIC_ALL_ACCESS);
 133         }
 134
 135         if (psd)
 136                 *psize = sec_desc_size(psd);
 137
 138         prs_mem_free(&ps);
 139         return psd;
 140 }
 141
 142 /*******************************************************************
 143  Store a security descriptor in the share db.
 144  ********************************************************************/
 145
 146 BOOL set_share_security(TALLOC_CTX *ctx, const char *share_name, SEC_DESC *psd)
 147 {
 148         prs_struct ps;
 149         TALLOC_CTX *mem_ctx = NULL;
 150         fstring key;
 151         BOOL ret = False;
 152
 153         if (!share_info_db_init()) {
 154                 return False;
 155         }
 156
 157         mem_ctx = talloc_init("set_share_security");
 158         if (mem_ctx == NULL)
 159                 return False;
 160
 161         prs_init(&ps, (uint32)sec_desc_size(psd), mem_ctx, MARSHALL);
 162
 163         if (!sec_io_desc("share_security", &psd, &ps, 1))
 164                 goto out;
 165
 166         slprintf(key, sizeof(key)-1, "SECDESC/%s", share_name);
 167
 168         if (tdb_prs_store(share_tdb, key, &ps)==0) {
 169                 ret = True;
 170                 DEBUG(5,("set_share_security: stored secdesc for %s\n", share_name ));
 171         } else {
 172                 DEBUG(1,("set_share_security: Failed to store secdesc for %s\n", share_name ));
 173         }
 174
 175         /* Free malloc'ed memory */
 176
 177 out:
 178
 179         prs_mem_free(&ps);
 180         if (mem_ctx)
 181                 talloc_destroy(mem_ctx);
 182         return ret;
 183 }
 184
 185 /*******************************************************************
 186  Delete a security descriptor.
 187 ********************************************************************/
 188
 189 BOOL delete_share_security(int snum)
 190 {
 191         TDB_DATA kbuf;
 192         fstring key;
 193
 194         slprintf(key, sizeof(key)-1, "SECDESC/%s", lp_servicename(snum));
 195         kbuf.dptr = key;
 196         kbuf.dsize = strlen(key)+1;
 197
 198         if (tdb_delete(share_tdb, kbuf) != 0) {
 199                 DEBUG(0,("delete_share_security: Failed to delete entry for share %s\n",
 200                                 lp_servicename(snum) ));
 201                 return False;
 202         }
 203
 204         return True;
 205 }
 206
 207 /***************************************************************************
 208  Parse the contents of an acl string from a usershare file.
 209 ***************************************************************************/
 210
 211 BOOL parse_usershare_acl(TALLOC_CTX *ctx, const char *acl_str, SEC_DESC **ppsd)
 212 {
 213         size_t s_size = 0;
 214         const char *pacl = acl_str;
 215         int num_aces = 0;
 216         SEC_ACE *ace_list = NULL;
 217         SEC_ACL *psa = NULL;
 218         SEC_DESC *psd = NULL;
 219         size_t sd_size = 0;
 220         int i;
 221
 222         *ppsd = NULL;
 223
 224         /* If the acl string is blank return "Everyone:R" */
 225         if (!*acl_str) {
 226                 SEC_DESC *default_psd = get_share_security_default(ctx, &s_size, GENERIC_READ_ACCESS);
 227                 if (!default_psd) {
 228                         return False;
 229                 }
 230                 *ppsd = default_psd;
 231                 return True;
 232         }
 233
 234         num_aces = 1;
 235
 236         /* Add the number of ',' characters to get the number of aces. */
 237         num_aces += count_chars(pacl,',');
 238
 239         ace_list = TALLOC_ARRAY(ctx, SEC_ACE, num_aces);
 240         if (!ace_list) {
 241                 return False;
 242         }
 243
 244         for (i = 0; i < num_aces; i++) {
 245                 SEC_ACCESS sa;
 246                 uint32 g_access;
 247                 uint32 s_access;
 248                 DOM_SID sid;
 249                 fstring sidstr;
 250                 uint8 type = SEC_ACE_TYPE_ACCESS_ALLOWED;
 251
 252                 if (!next_token(&pacl, sidstr, ":", sizeof(sidstr))) {
 253                         DEBUG(0,("parse_usershare_acl: malformed usershare acl looking "
 254                                 "for ':' in string '%s'\n", pacl));
 255                         return False;
 256                 }
 257
 258                 if (!string_to_sid(&sid, sidstr)) {
 259                         DEBUG(0,("parse_usershare_acl: failed to convert %s to sid.\n",
 260                                 sidstr ));
 261                         return False;
 262                 }
 263
 264                 switch (*pacl) {
 265                         case 'F': /* Full Control, ie. R+W */
 266                         case 'f': /* Full Control, ie. R+W */
 267                                 s_access = g_access = GENERIC_ALL_ACCESS;
 268                                 break;
 269                         case 'R': /* Read only. */
 270                         case 'r': /* Read only. */
 271                                 s_access = g_access = GENERIC_READ_ACCESS;
 272                                 break;
 273                         case 'D': /* Deny all to this SID. */
 274                         case 'd': /* Deny all to this SID. */
 275                                 type = SEC_ACE_TYPE_ACCESS_DENIED;
 276                                 s_access = g_access = GENERIC_ALL_ACCESS;
 277                                 break;
 278                         default:
 279                                 DEBUG(0,("parse_usershare_acl: unknown acl type at %s.\n",
 280                                         pacl ));
 281                                 return False;
 282                 }
 283
 284                 pacl++;
 285                 if (*pacl && *pacl != ',') {
 286                         DEBUG(0,("parse_usershare_acl: bad acl string at %s.\n",
 287                                 pacl ));
 288                         return False;
 289                 }
 290                 pacl++; /* Go past any ',' */
 291
 292                 se_map_generic(&s_access, &file_generic_mapping);
 293                 init_sec_access(&sa, g_access | s_access );
 294                 init_sec_ace(&ace_list[i], &sid, type, sa, 0);
 295         }
 296
 297         if ((psa = make_sec_acl(ctx, NT4_ACL_REVISION, num_aces, ace_list)) != NULL) {
 298                 psd = make_sec_desc(ctx, SEC_DESC_REVISION, SEC_DESC_SELF_RELATIVE, NULL, NULL, NULL, psa, &sd_size);
 299         }
 300
 301         if (!psd) {
 302                 DEBUG(0,("parse_usershare_acl: Failed to make SEC_DESC.\n"));
 303                 return False;
 304         }
 305
 306         *ppsd = psd;
 307         return True;
 308 }