source3/lib/util_sid.c

   1 /*
   2    Unix SMB/CIFS implementation.
   3    Samba utility functions
   4    Copyright (C) Andrew Tridgell                1992-1998
   5    Copyright (C) Luke Kenneth Caseson Leighton  1998-1999
   6    Copyright (C) Jeremy Allison                 1999
   7    Copyright (C) Stefan (metze) Metzmacher      2002
   8    Copyright (C) Simo Sorce                     2002
   9
  10    This program is free software; you can redistribute it and/or modify
  11    it under the terms of the GNU General Public License as published by
  12    the Free Software Foundation; either version 2 of the License, or
  13    (at your option) any later version.
  14
  15    This program is distributed in the hope that it will be useful,
  16    but WITHOUT ANY WARRANTY; without even the implied warranty of
  17    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18    GNU General Public License for more details.
  19
  20    You should have received a copy of the GNU General Public License
  21    along with this program; if not, write to the Free Software
  22    Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
  23 */
  24
  25 #include "includes.h"
  26
  27 /*
  28  * Some useful sids
  29  */
  30
  31 DOM_SID global_sid_World_Domain;                /* Everyone domain */
  32 DOM_SID global_sid_World;                               /* Everyone */
  33 DOM_SID global_sid_Creator_Owner_Domain;    /* Creator Owner domain */
  34 DOM_SID global_sid_NT_Authority;                /* NT Authority */
  35 DOM_SID global_sid_System;              /* System */
  36 DOM_SID global_sid_NULL;                        /* NULL sid */
  37 DOM_SID global_sid_Authenticated_Users;         /* All authenticated rids */
  38 DOM_SID global_sid_Network;                     /* Network rids */
  39
  40 DOM_SID global_sid_Creator_Owner;       /* Creator Owner */
  41 DOM_SID global_sid_Creator_Group;       /* Creator Group */
  42 DOM_SID global_sid_Anonymous;           /* Anonymous login */
  43
  44 DOM_SID global_sid_Builtin;                     /* Local well-known domain */
  45 DOM_SID global_sid_Builtin_Administrators;      /* Builtin administrators */
  46 DOM_SID global_sid_Builtin_Users;               /* Builtin users */
  47 DOM_SID global_sid_Builtin_Guests;              /* Builtin guest users */
  48 DOM_SID global_sid_Builtin_Power_Users;         /* Builtin power users */
  49 DOM_SID global_sid_Builtin_Account_Operators;   /* Builtin account operators */
  50 DOM_SID global_sid_Builtin_Server_Operators;    /* Builtin server operators */
  51 DOM_SID global_sid_Builtin_Print_Operators;     /* Builtin print operators */
  52 DOM_SID global_sid_Builtin_Backup_Operators;    /* Builtin backup operators */
  53 DOM_SID global_sid_Builtin_Replicator;          /* Builtin replicator */
  54
  55 #define SECURITY_NULL_SID_AUTHORITY    0
  56 #define SECURITY_WORLD_SID_AUTHORITY   1
  57 #define SECURITY_LOCAL_SID_AUTHORITY   2
  58 #define SECURITY_CREATOR_SID_AUTHORITY 3
  59 #define SECURITY_NT_AUTHORITY          5
  60
  61 /*
  62  * An NT compatible anonymous token.
  63  */
  64
  65 static DOM_SID anon_sid_array[3];
  66
  67 NT_USER_TOKEN anonymous_token = {
  68         3,
  69         anon_sid_array
  70 };
  71
  72 static DOM_SID system_sid_array[4];
  73 NT_USER_TOKEN system_token = {
  74         1,
  75         system_sid_array
  76 };
  77
  78 /****************************************************************************
  79  Lookup string names for SID types.
  80 ****************************************************************************/
  81
  82 static const struct {
  83         enum SID_NAME_USE sid_type;
  84         const char *string;
  85 } sid_name_type[] = {
  86         {SID_NAME_USER, "User"},
  87         {SID_NAME_DOM_GRP, "Domain Group"},
  88         {SID_NAME_DOMAIN, "Domain"},
  89         {SID_NAME_ALIAS, "Local Group"},
  90         {SID_NAME_WKN_GRP, "Well-known Group"},
  91         {SID_NAME_DELETED, "Deleted Account"},
  92         {SID_NAME_INVALID, "Invalid Account"},
  93         {SID_NAME_UNKNOWN, "UNKNOWN"},
  94
  95         {SID_NAME_USE_NONE, NULL}
  96 };
  97
  98 const char *sid_type_lookup(uint32 sid_type)
  99 {
 100         int i = 0;
 101
 102         /* Look through list */
 103         while(sid_name_type[i].sid_type != 0) {
 104                 if (sid_name_type[i].sid_type == sid_type)
 105                         return sid_name_type[i].string;
 106                 i++;
 107         }
 108
 109         /* Default return */
 110         return "SID *TYPE* is INVALID";
 111 }
 112
 113 /****************************************************************************
 114  Creates some useful well known sids
 115 ****************************************************************************/
 116
 117 void generate_wellknown_sids(void)
 118 {
 119         static BOOL initialised = False;
 120
 121         if (initialised)
 122                 return;
 123
 124         /* SECURITY_NULL_SID_AUTHORITY */
 125         string_to_sid(&global_sid_NULL, "S-1-0-0");
 126
 127         /* SECURITY_WORLD_SID_AUTHORITY */
 128         string_to_sid(&global_sid_World_Domain, "S-1-1");
 129         string_to_sid(&global_sid_World, "S-1-1-0");
 130
 131         /* SECURITY_CREATOR_SID_AUTHORITY */
 132         string_to_sid(&global_sid_Creator_Owner_Domain, "S-1-3");
 133         string_to_sid(&global_sid_Creator_Owner, "S-1-3-0");
 134         string_to_sid(&global_sid_Creator_Group, "S-1-3-1");
 135
 136         /* SECURITY_NT_AUTHORITY */
 137         string_to_sid(&global_sid_NT_Authority, "S-1-5");
 138         string_to_sid(&global_sid_Network, "S-1-5-2");
 139         string_to_sid(&global_sid_Anonymous, "S-1-5-7");
 140         string_to_sid(&global_sid_Authenticated_Users, "S-1-5-11");
 141         string_to_sid(&global_sid_System, "S-1-5-18");
 142
 143         /* SECURITY_BUILTIN_DOMAIN_RID */
 144         string_to_sid(&global_sid_Builtin, "S-1-5-32");
 145         string_to_sid(&global_sid_Builtin_Administrators, "S-1-5-32-544");
 146         string_to_sid(&global_sid_Builtin_Users, "S-1-5-32-545");
 147         string_to_sid(&global_sid_Builtin_Guests, "S-1-5-32-546");
 148         string_to_sid(&global_sid_Builtin_Power_Users, "S-1-5-32-547");
 149         string_to_sid(&global_sid_Builtin_Account_Operators, "S-1-5-32-548");
 150         string_to_sid(&global_sid_Builtin_Server_Operators, "S-1-5-32-549");
 151         string_to_sid(&global_sid_Builtin_Print_Operators, "S-1-5-32-550");
 152         string_to_sid(&global_sid_Builtin_Backup_Operators, "S-1-5-32-551");
 153         string_to_sid(&global_sid_Builtin_Replicator, "S-1-5-32-552");
 154
 155         /* Create the anon token. */
 156         sid_copy( &anonymous_token.user_sids[0], &global_sid_World);
 157         sid_copy( &anonymous_token.user_sids[1], &global_sid_Network);
 158         sid_copy( &anonymous_token.user_sids[2], &global_sid_Anonymous);
 159
 160         /* Create the system token. */
 161         sid_copy( &system_token.user_sids[0], &global_sid_System);
 162
 163         initialised = True;
 164 }
 165
 166 /**************************************************************************
 167  Create the SYSTEM token.
 168 ***************************************************************************/
 169
 170 NT_USER_TOKEN *get_system_token(void)
 171 {
 172         generate_wellknown_sids(); /* The token is initialised here */
 173         return &system_token;
 174 }
 175
 176 /**************************************************************************
 177  Splits a name of format \DOMAIN\name or name into its two components.
 178  Sets the DOMAIN name to global_myname() if it has not been specified.
 179 ***************************************************************************/
 180
 181 void split_domain_name(const char *fullname, char *domain, char *name)
 182 {
 183         pstring full_name;
 184         const char *sep;
 185         char *p;
 186
 187         sep = lp_winbind_separator();
 188
 189         *domain = *name = '\0';
 190
 191         if (fullname[0] == sep[0] || fullname[0] == '\\')
 192                 fullname++;
 193
 194         pstrcpy(full_name, fullname);
 195         p = strchr_m(full_name+1, '\\');
 196         if (!p) p = strchr_m(full_name+1, sep[0]);
 197
 198         if (p != NULL) {
 199                 *p = 0;
 200                 fstrcpy(domain, full_name);
 201                 fstrcpy(name, p+1);
 202         } else {
 203                 fstrcpy(domain, global_myname());
 204                 fstrcpy(name, full_name);
 205         }
 206
 207         DEBUG(10,("split_domain_name:name '%s' split into domain :'%s' and user :'%s'\n",
 208                         fullname, domain, name));
 209 }
 210
 211 /****************************************************************************
 212  Test if a SID is wellknown and resolvable.
 213 ****************************************************************************/
 214
 215 BOOL resolvable_wellknown_sid(DOM_SID *sid)
 216 {
 217         uint32 ia = (sid->id_auth[5]) +
 218                         (sid->id_auth[4] << 8 ) +
 219                         (sid->id_auth[3] << 16) +
 220                         (sid->id_auth[2] << 24);
 221
 222         if (sid->sid_rev_num != SEC_DESC_REVISION || sid->num_auths < 1)
 223                 return False;
 224
 225         return (ia == SECURITY_WORLD_SID_AUTHORITY ||
 226                 ia == SECURITY_CREATOR_SID_AUTHORITY);
 227 }
 228
 229 /*****************************************************************
 230  Convert a SID to an ascii string.
 231 *****************************************************************/
 232
 233 char *sid_to_string(fstring sidstr_out, const DOM_SID *sid)
 234 {
 235         char subauth[16];
 236         int i;
 237         uint32 ia;
 238
 239         if (!sid) {
 240                 fstrcpy(sidstr_out, "(NULL SID)");
 241                 return sidstr_out;
 242         }
 243
 244         /*
 245          * BIG NOTE: this function only does SIDS where the identauth is not >= 2^32
 246          * in a range of 2^48.
 247          */
 248         ia = (sid->id_auth[5]) +
 249                 (sid->id_auth[4] << 8 ) +
 250                 (sid->id_auth[3] << 16) +
 251                 (sid->id_auth[2] << 24);
 252
 253         slprintf(sidstr_out, sizeof(fstring) - 1, "S-%u-%lu", (unsigned int)sid->sid_rev_num, (unsigned long)ia);
 254
 255         for (i = 0; i < sid->num_auths; i++) {
 256                 slprintf(subauth, sizeof(subauth)-1, "-%lu", (unsigned long)sid->sub_auths[i]);
 257                 fstrcat(sidstr_out, subauth);
 258         }
 259
 260         return sidstr_out;
 261 }
 262
 263 /*****************************************************************
 264  Useful function for debug lines.
 265 *****************************************************************/
 266
 267 const char *sid_string_static(const DOM_SID *sid)
 268 {
 269         static fstring sid_str;
 270         sid_to_string(sid_str, sid);
 271         return sid_str;
 272 }
 273
 274 /*****************************************************************
 275  Convert a string to a SID. Returns True on success, False on fail.
 276 *****************************************************************/
 277
 278 BOOL string_to_sid(DOM_SID *sidout, const char *sidstr)
 279 {
 280         pstring tok;
 281         char *q;
 282         const char *p;
 283         /* BIG NOTE: this function only does SIDS where the identauth is not >= 2^32 */
 284         uint32 ia;
 285
 286         if (StrnCaseCmp( sidstr, "S-", 2)) {
 287                 DEBUG(0,("string_to_sid: Sid %s does not start with 'S-'.\n", sidstr));
 288                 return False;
 289         }
 290
 291         memset((char *)sidout, '\0', sizeof(DOM_SID));
 292
 293         p = q = strdup(sidstr + 2);
 294         if (p == NULL) {
 295                 DEBUG(0, ("string_to_sid: out of memory!\n"));
 296                 return False;
 297         }
 298
 299         if (!next_token(&p, tok, "-", sizeof(tok))) {
 300                 DEBUG(0,("string_to_sid: Sid %s is not in a valid format.\n", sidstr));
 301                 SAFE_FREE(q);
 302                 return False;
 303         }
 304
 305         /* Get the revision number. */
 306         sidout->sid_rev_num = (uint8)strtoul(tok, NULL, 10);
 307
 308         if (!next_token(&p, tok, "-", sizeof(tok))) {
 309                 DEBUG(0,("string_to_sid: Sid %s is not in a valid format.\n", sidstr));
 310                 SAFE_FREE(q);
 311                 return False;
 312         }
 313
 314         /* identauth in decimal should be <  2^32 */
 315         ia = (uint32)strtoul(tok, NULL, 10);
 316
 317         /* NOTE - the ia value is in big-endian format. */
 318         sidout->id_auth[0] = 0;
 319         sidout->id_auth[1] = 0;
 320         sidout->id_auth[2] = (ia & 0xff000000) >> 24;
 321         sidout->id_auth[3] = (ia & 0x00ff0000) >> 16;
 322         sidout->id_auth[4] = (ia & 0x0000ff00) >> 8;
 323         sidout->id_auth[5] = (ia & 0x000000ff);
 324
 325         sidout->num_auths = 0;
 326
 327         while(next_token(&p, tok, "-", sizeof(tok)) &&
 328                 sidout->num_auths < MAXSUBAUTHS) {
 329                 /*
 330                  * NOTE - the subauths are in native machine-endian format. They
 331                  * are converted to little-endian when linearized onto the wire.
 332                  */
 333                 sid_append_rid(sidout, (uint32)strtoul(tok, NULL, 10));
 334         }
 335
 336         SAFE_FREE(q);
 337         return True;
 338 }
 339
 340 /*****************************************************************
 341  Add a rid to the end of a sid
 342 *****************************************************************/
 343
 344 BOOL sid_append_rid(DOM_SID *sid, uint32 rid)
 345 {
 346         if (sid->num_auths < MAXSUBAUTHS) {
 347                 sid->sub_auths[sid->num_auths++] = rid;
 348                 return True;
 349         }
 350         return False;
 351 }
 352
 353 /*****************************************************************
 354  Removes the last rid from the end of a sid
 355 *****************************************************************/
 356
 357 BOOL sid_split_rid(DOM_SID *sid, uint32 *rid)
 358 {
 359         if (sid->num_auths > 0) {
 360                 sid->num_auths--;
 361                 *rid = sid->sub_auths[sid->num_auths];
 362                 return True;
 363         }
 364         return False;
 365 }
 366
 367 /*****************************************************************
 368  Return the last rid from the end of a sid
 369 *****************************************************************/
 370
 371 BOOL sid_peek_rid(const DOM_SID *sid, uint32 *rid)
 372 {
 373         if (!sid || !rid)
 374                 return False;
 375
 376         if (sid->num_auths > 0) {
 377                 *rid = sid->sub_auths[sid->num_auths - 1];
 378                 return True;
 379         }
 380         return False;
 381 }
 382
 383 /*****************************************************************
 384  Return the last rid from the end of a sid
 385  and check the sid against the exp_dom_sid
 386 *****************************************************************/
 387
 388 BOOL sid_peek_check_rid(const DOM_SID *exp_dom_sid, const DOM_SID *sid, uint32 *rid)
 389 {
 390         if (!exp_dom_sid || !sid || !rid)
 391                 return False;
 392
 393
 394         if (sid_compare_domain(exp_dom_sid, sid)!=0){
 395                 *rid=(-1);
 396                 return False;
 397         }
 398
 399         return sid_peek_rid(sid, rid);
 400 }
 401
 402 /*****************************************************************
 403  Copies a sid
 404 *****************************************************************/
 405
 406 void sid_copy(DOM_SID *dst, const DOM_SID *src)
 407 {
 408         int i;
 409
 410         ZERO_STRUCTP(dst);
 411
 412         dst->sid_rev_num = src->sid_rev_num;
 413         dst->num_auths = src->num_auths;
 414
 415         memcpy(&dst->id_auth[0], &src->id_auth[0], sizeof(src->id_auth));
 416
 417         for (i = 0; i < src->num_auths; i++)
 418                 dst->sub_auths[i] = src->sub_auths[i];
 419 }
 420
 421 /*****************************************************************
 422  Write a sid out into on-the-wire format.
 423 *****************************************************************/
 424
 425 BOOL sid_linearize(char *outbuf, size_t len, const DOM_SID *sid)
 426 {
 427         size_t i;
 428
 429         if (len < sid_size(sid))
 430                 return False;
 431
 432         SCVAL(outbuf,0,sid->sid_rev_num);
 433         SCVAL(outbuf,1,sid->num_auths);
 434         memcpy(&outbuf[2], sid->id_auth, 6);
 435         for(i = 0; i < sid->num_auths; i++)
 436                 SIVAL(outbuf, 8 + (i*4), sid->sub_auths[i]);
 437
 438         return True;
 439 }
 440
 441 /*****************************************************************
 442  Parse a on-the-wire SID to a DOM_SID.
 443 *****************************************************************/
 444
 445 BOOL sid_parse(const char *inbuf, size_t len, DOM_SID *sid)
 446 {
 447         int i;
 448         if (len < 8)
 449                 return False;
 450
 451         ZERO_STRUCTP(sid);
 452
 453         sid->sid_rev_num = CVAL(inbuf, 0);
 454         sid->num_auths = CVAL(inbuf, 1);
 455         memcpy(sid->id_auth, inbuf+2, 6);
 456         if (len < 8 + sid->num_auths*4)
 457                 return False;
 458         for (i=0;i<sid->num_auths;i++)
 459                 sid->sub_auths[i] = IVAL(inbuf, 8+i*4);
 460         return True;
 461 }
 462
 463 /*****************************************************************
 464  Compare the auth portion of two sids.
 465 *****************************************************************/
 466
 467 static int sid_compare_auth(const DOM_SID *sid1, const DOM_SID *sid2)
 468 {
 469         int i;
 470
 471         if (sid1 == sid2)
 472                 return 0;
 473         if (!sid1)
 474                 return -1;
 475         if (!sid2)
 476                 return 1;
 477
 478         if (sid1->sid_rev_num != sid2->sid_rev_num)
 479                 return sid1->sid_rev_num - sid2->sid_rev_num;
 480
 481         for (i = 0; i < 6; i++)
 482                 if (sid1->id_auth[i] != sid2->id_auth[i])
 483                         return sid1->id_auth[i] - sid2->id_auth[i];
 484
 485         return 0;
 486 }
 487
 488 /*****************************************************************
 489  Compare two sids.
 490 *****************************************************************/
 491
 492 int sid_compare(const DOM_SID *sid1, const DOM_SID *sid2)
 493 {
 494         int i;
 495
 496         if (sid1 == sid2)
 497                 return 0;
 498         if (!sid1)
 499                 return -1;
 500         if (!sid2)
 501                 return 1;
 502
 503         /* Compare most likely different rids, first: i.e start at end */
 504         if (sid1->num_auths != sid2->num_auths)
 505                 return sid1->num_auths - sid2->num_auths;
 506
 507         for (i = sid1->num_auths-1; i >= 0; --i)
 508                 if (sid1->sub_auths[i] != sid2->sub_auths[i])
 509                         return sid1->sub_auths[i] - sid2->sub_auths[i];
 510
 511         return sid_compare_auth(sid1, sid2);
 512 }
 513
 514 /*****************************************************************
 515  See if 2 SIDs are in the same domain
 516  this just compares the leading sub-auths
 517 *****************************************************************/
 518
 519 int sid_compare_domain(const DOM_SID *sid1, const DOM_SID *sid2)
 520 {
 521         int n, i;
 522
 523         n = MIN(sid1->num_auths, sid2->num_auths);
 524
 525         for (i = n-1; i >= 0; --i)
 526                 if (sid1->sub_auths[i] != sid2->sub_auths[i])
 527                         return sid1->sub_auths[i] - sid2->sub_auths[i];
 528
 529         return sid_compare_auth(sid1, sid2);
 530 }
 531
 532 /*****************************************************************
 533  Compare two sids.
 534 *****************************************************************/
 535
 536 BOOL sid_equal(const DOM_SID *sid1, const DOM_SID *sid2)
 537 {
 538         return sid_compare(sid1, sid2) == 0;
 539 }
 540
 541 /*****************************************************************
 542  Check if the SID is the builtin SID (S-1-5-32).
 543 *****************************************************************/
 544
 545 BOOL sid_check_is_builtin(const DOM_SID *sid)
 546 {
 547         return sid_equal(sid, &global_sid_Builtin);
 548 }
 549
 550 /*****************************************************************
 551  Check if the SID is one of the builtin SIDs (S-1-5-32-a).
 552 *****************************************************************/
 553
 554 BOOL sid_check_is_in_builtin(const DOM_SID *sid)
 555 {
 556         DOM_SID dom_sid;
 557         uint32 rid;
 558
 559         sid_copy(&dom_sid, sid);
 560         sid_split_rid(&dom_sid, &rid);
 561
 562         return sid_equal(&dom_sid, &global_sid_Builtin);
 563 }
 564
 565 /*****************************************************************
 566  Calculates size of a sid.
 567 *****************************************************************/
 568
 569 size_t sid_size(const DOM_SID *sid)
 570 {
 571         if (sid == NULL)
 572                 return 0;
 573
 574         return sid->num_auths * sizeof(uint32) + 8;
 575 }
 576
 577 /*****************************************************************
 578  Returns true if SID is internal (and non-mappable).
 579 *****************************************************************/
 580
 581 BOOL non_mappable_sid(DOM_SID *sid)
 582 {
 583         DOM_SID dom;
 584         uint32 rid;
 585
 586         sid_copy(&dom, sid);
 587         sid_split_rid(&dom, &rid);
 588
 589         if (sid_equal(&dom, &global_sid_Builtin))
 590                 return True;
 591
 592         if (sid_equal(&dom, &global_sid_NT_Authority))
 593                 return True;
 594
 595         return False;
 596 }
 597
 598 /*****************************************************************
 599  Return the binary string representation of a DOM_SID.
 600  Caller must free.
 601 *****************************************************************/
 602
 603 char *sid_binstring(const DOM_SID *sid)
 604 {
 605         char *buf, *s;
 606         int len = sid_size(sid);
 607         buf = malloc(len);
 608         if (!buf)
 609                 return NULL;
 610         sid_linearize(buf, len, sid);
 611         s = binary_string(buf, len);
 612         free(buf);
 613         return s;
 614 }
 615
 616
 617 /*****************************************************************
 618  Print a GUID structure for debugging.
 619 *****************************************************************/
 620
 621 void print_guid(GUID *guid)
 622 {
 623         int i;
 624
 625         d_printf("%08x-%04x-%04x",
 626                  IVAL(guid->info, 0), SVAL(guid->info, 4), SVAL(guid->info, 6));
 627         d_printf("-%02x%02x-", guid->info[8], guid->info[9]);
 628         for (i=10;i<GUID_SIZE;i++)
 629                 d_printf("%02x", guid->info[i]);
 630         d_printf("\n");
 631 }