source4/scripting/python/samba/ntacls.py

   1 # Unix SMB/CIFS implementation.
   2 # Copyright (C) Matthieu Patou <mat@matws.net> 2009-2010
   3 #
   4 #
   5 # This program is free software; you can redistribute it and/or modify
   6 # it under the terms of the GNU General Public License as published by
   7 # the Free Software Foundation; either version 3 of the License, or
   8 # (at your option) any later version.
   9 #
  10 # This program is distributed in the hope that it will be useful,
  11 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  12 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  13 # GNU General Public License for more details.
  14 #
  15 # You should have received a copy of the GNU General Public License
  16 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
  17 #
  18
  19 """NT Acls."""
  20
  21
  22 import os
  23 import samba.xattr_native, samba.xattr_tdb
  24 from samba.dcerpc import security, xattr
  25 from samba.ndr import ndr_pack, ndr_unpack
  26
  27 class XattrBackendError(Exception):
  28     """A generic xattr backend error."""
  29
  30
  31 def checkset_backend(lp, backend, eadbfile):
  32     '''return the path to the eadb, or None'''
  33     if backend is None:
  34         return lp.get("posix:eadb")
  35     elif backend == "native":
  36         return None
  37     elif backend == "tdb":
  38         if eadbfile is not None:
  39             return eadbfile
  40         else:
  41             return os.path.abspath(os.path.join(lp.get("private dir"), "eadb.tdb"))
  42     else:
  43         raise XattrBackendError("Invalid xattr backend choice %s"%backend)
  44
  45
  46 def getntacl(lp, file, backend=None, eadbfile=None):
  47     eadbname = checkset_backend(lp, backend, eadbfile)
  48     if eadbname is not None:
  49         try:
  50             attribute = samba.xattr_tdb.wrap_getxattr(eadbname, file,
  51                 xattr.XATTR_NTACL_NAME)
  52         except Exception:
  53             # FIXME: Don't catch all exceptions, just those related to opening
  54             # xattrdb
  55             print "Fail to open %s" % eadbname
  56             attribute = samba.xattr_native.wrap_getxattr(file,
  57                 xattr.XATTR_NTACL_NAME)
  58     else:
  59         attribute = samba.xattr_native.wrap_getxattr(file,
  60             xattr.XATTR_NTACL_NAME)
  61     ntacl = ndr_unpack(xattr.NTACL, attribute)
  62     return ntacl
  63
  64
  65 def setntacl(lp, file, sddl, domsid, backend=None, eadbfile=None):
  66     eadbname = checkset_backend(lp, backend, eadbfile)
  67     ntacl = xattr.NTACL()
  68     ntacl.version = 1
  69     sid = security.dom_sid(domsid)
  70     sd = security.descriptor.from_sddl(sddl, sid)
  71     ntacl.info = sd
  72     if eadbname is not None:
  73         try:
  74             samba.xattr_tdb.wrap_setxattr(eadbname,
  75                 file, xattr.XATTR_NTACL_NAME, ndr_pack(ntacl))
  76         except Exception:
  77             # FIXME: Don't catch all exceptions, just those related to opening
  78             # xattrdb
  79             print "Fail to open %s" % eadbname
  80             samba.xattr_native.wrap_setxattr(file, xattr.XATTR_NTACL_NAME,
  81                 ndr_pack(ntacl))
  82     else:
  83         samba.xattr_native.wrap_setxattr(file, xattr.XATTR_NTACL_NAME,
  84                 ndr_pack(ntacl))
  85
  86
  87 def ldapmask2filemask(ldm):
  88     """Takes the access mask of a DS ACE and transform them in a File ACE mask.
  89     """
  90     RIGHT_DS_CREATE_CHILD     = 0x00000001
  91     RIGHT_DS_DELETE_CHILD     = 0x00000002
  92     RIGHT_DS_LIST_CONTENTS    = 0x00000004
  93     ACTRL_DS_SELF             = 0x00000008
  94     RIGHT_DS_READ_PROPERTY    = 0x00000010
  95     RIGHT_DS_WRITE_PROPERTY   = 0x00000020
  96     RIGHT_DS_DELETE_TREE      = 0x00000040
  97     RIGHT_DS_LIST_OBJECT      = 0x00000080
  98     RIGHT_DS_CONTROL_ACCESS   = 0x00000100
  99     FILE_READ_DATA            = 0x0001
 100     FILE_LIST_DIRECTORY       = 0x0001
 101     FILE_WRITE_DATA           = 0x0002
 102     FILE_ADD_FILE             = 0x0002
 103     FILE_APPEND_DATA          = 0x0004
 104     FILE_ADD_SUBDIRECTORY     = 0x0004
 105     FILE_CREATE_PIPE_INSTANCE = 0x0004
 106     FILE_READ_EA              = 0x0008
 107     FILE_WRITE_EA             = 0x0010
 108     FILE_EXECUTE              = 0x0020
 109     FILE_TRAVERSE             = 0x0020
 110     FILE_DELETE_CHILD         = 0x0040
 111     FILE_READ_ATTRIBUTES      = 0x0080
 112     FILE_WRITE_ATTRIBUTES     = 0x0100
 113     DELETE                    = 0x00010000
 114     READ_CONTROL              = 0x00020000
 115     WRITE_DAC                 = 0x00040000
 116     WRITE_OWNER               = 0x00080000
 117     SYNCHRONIZE               = 0x00100000
 118     STANDARD_RIGHTS_ALL       = 0x001F0000
 119
 120     filemask = ldm & STANDARD_RIGHTS_ALL
 121
 122     if (ldm & RIGHT_DS_READ_PROPERTY) and (ldm & RIGHT_DS_LIST_CONTENTS):
 123         filemask = filemask | (SYNCHRONIZE | FILE_LIST_DIRECTORY |\
 124                                 FILE_READ_ATTRIBUTES | FILE_READ_EA |\
 125                                 FILE_READ_DATA | FILE_EXECUTE)
 126
 127     if ldm & RIGHT_DS_WRITE_PROPERTY:
 128         filemask = filemask | (SYNCHRONIZE | FILE_WRITE_DATA |\
 129                                 FILE_APPEND_DATA | FILE_WRITE_EA |\
 130                                 FILE_WRITE_ATTRIBUTES | FILE_ADD_FILE |\
 131                                 FILE_ADD_SUBDIRECTORY)
 132
 133     if ldm & RIGHT_DS_CREATE_CHILD:
 134         filemask = filemask | (FILE_ADD_SUBDIRECTORY | FILE_ADD_FILE)
 135
 136     if ldm & RIGHT_DS_DELETE_CHILD:
 137         filemask = filemask | FILE_DELETE_CHILD
 138
 139     return filemask
 140
 141
 142 def dsacl2fsacl(dssddl, domsid):
 143     """
 144
 145     This function takes an the SDDL representation of a DS
 146     ACL and return the SDDL representation of this ACL adapted
 147     for files. It's used for Policy object provision
 148     """
 149     sid = security.dom_sid(domsid)
 150     ref = security.descriptor.from_sddl(dssddl, sid)
 151     fdescr = security.descriptor()
 152     fdescr.owner_sid = ref.owner_sid
 153     fdescr.group_sid = ref.group_sid
 154     fdescr.type = ref.type
 155     fdescr.revision = ref.revision
 156     fdescr.sacl = ref.sacl
 157     aces = ref.dacl.aces
 158     for i in range(0, len(aces)):
 159         ace = aces[i]
 160         if not ace.type & security.SEC_ACE_TYPE_ACCESS_ALLOWED_OBJECT and str(ace.trustee) != security.SID_BUILTIN_PREW2K:
 161        #    if fdescr.type & security.SEC_DESC_DACL_AUTO_INHERITED:
 162             ace.flags = ace.flags | security.SEC_ACE_FLAG_OBJECT_INHERIT | security.SEC_ACE_FLAG_CONTAINER_INHERIT
 163             if str(ace.trustee) == security.SID_CREATOR_OWNER:
 164                 # For Creator/Owner the IO flag is set as this ACE has only a sense for child objects
 165                 ace.flags = ace.flags | security.SEC_ACE_FLAG_INHERIT_ONLY
 166             ace.access_mask =  ldapmask2filemask(ace.access_mask)
 167             fdescr.dacl_add(ace)
 168
 169     return fdescr.as_sddl(sid)