etc/afpd/auth.c

   1 /*
   2  * Copyright (c) 1990,1993 Regents of The University of Michigan.
   3  * All Rights Reserved.  See COPYRIGHT.
   4  */
   5
   6 #include <stdio.h>
   7 #include <stdlib.h>
   8 #include <unistd.h>
   9 #include <sys/types.h>
  10 #include <sys/param.h>
  11 #include <sys/stat.h>
  12 #include <netatalk/endian.h>
  13 #include <atalk/afp.h>
  14 #include <atalk/compat.h>
  15 #include <atalk/util.h>
  16 #include <limits.h>
  17 #include <string.h>
  18 #include <ctype.h>
  19 #include <pwd.h>
  20 #include <grp.h>
  21 #include <syslog.h>
  22
  23 #include "globals.h"
  24 #include "auth.h"
  25 #include "uam_auth.h"
  26 #include "switch.h"
  27 #include "status.h"
  28
  29 int     afp_version = 11;
  30 uid_t   uuid;
  31 #if defined( __svr4__ ) && !defined( NGROUPS )
  32 #define NGROUPS NGROUPS_MAX
  33 #endif __svr4__ NGROUPS
  34 #if defined( sun ) && !defined( __svr4__ ) || defined( ultrix )
  35 int     groups[ NGROUPS ];
  36 #else sun __svr4__ ultrix
  37 #if defined( __svr4__ ) && !defined( NGROUPS )
  38 #define NGROUPS NGROUPS_MAX
  39 #endif __svr4__ NGROUPS
  40 gid_t   groups[ NGROUPS ];
  41 #endif sun ultrix
  42 int     ngroups;
  43
  44 /*
  45  * These numbers are scattered throughout the code.
  46  */
  47 static struct afp_versions      afp_versions[] = {
  48     { "AFPVersion 1.1", 11 },
  49     { "AFPVersion 2.0", 20 },
  50     { "AFPVersion 2.1", 21 },
  51     { "AFP2.2", 22 }
  52 };
  53
  54 static struct uam_mod uam_modules = {NULL, NULL, &uam_modules, &uam_modules};
  55 static struct uam_obj uam_login = {"", "", 0, {{NULL}}, &uam_login,
  56                                    &uam_login};
  57 static struct uam_obj uam_changepw = {"", "", 0, {{NULL}}, &uam_changepw,
  58                                       &uam_changepw};
  59
  60 static struct uam_obj *afp_uam = NULL;
  61
  62
  63 /* Variables for CAP style printer authentication */
  64 #ifdef CAPDIR
  65 extern int addr_net, addr_node, addr_uid;
  66 extern char addr_name[32];
  67 #endif /* CAPDIR */
  68
  69 void status_versions( data )
  70     char        *data;
  71 {
  72     char                *start = data;
  73     u_int16_t           status;
  74     int                 len, num, i;
  75
  76     memcpy(&status, start + AFPSTATUS_VERSOFF, sizeof(status));
  77     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ] );
  78     data += ntohs( status );
  79     *data++ = num;
  80     for ( i = 0; i < num; i++ ) {
  81         len = strlen( afp_versions[ i ].av_name );
  82         *data++ = len;
  83         memcpy( data, afp_versions[ i ].av_name , len );
  84         data += len;
  85     }
  86     status = htons( data - start );
  87     memcpy(start + AFPSTATUS_UAMSOFF, &status, sizeof(status));
  88 }
  89
  90 void status_uams(char *data, const char *authlist)
  91 {
  92     char                *start = data;
  93     u_int16_t           status;
  94     struct uam_obj      *uams;
  95     int                 len, num = 0;
  96
  97     memcpy(&status, start + AFPSTATUS_UAMSOFF, sizeof(status));
  98     uams = &uam_login;
  99     while ((uams = uams->uam_prev) != &uam_login) {
 100       if (strstr(authlist, uams->uam_path))
 101         num++;
 102     }
 103
 104     data += ntohs( status );
 105     *data++ = num;
 106     while ((uams = uams->uam_prev) != &uam_login) {
 107       if (strstr(authlist, uams->uam_path)) {
 108         syslog(LOG_INFO, "uam: \"%s\" available", uams->uam_name);
 109         len = strlen( uams->uam_name);
 110         *data++ = len;
 111         memcpy( data, uams->uam_name, len );
 112         data += len;
 113       }
 114     }
 115
 116     /* icon offset */
 117     status = htons(data - start);
 118     memcpy(start + AFPSTATUS_ICONOFF, &status, sizeof(status));
 119 }
 120
 121 /* handle errors by closing the connection. this is only needed
 122  * by the afp_* functions. */
 123 static int send_reply(const AFPObj *obj, const int err)
 124 {
 125   if ((err == AFP_OK) || (err == AFPERR_AUTHCONT))
 126     return err;
 127
 128   obj->reply(obj->handle, err);
 129   obj->exit(0);
 130 }
 131
 132 static int login(AFPObj *obj, struct passwd *pwd, void (*logout)(void))
 133 {
 134 #ifdef CAPDIR
 135     char nodename[256];
 136     FILE *fp;
 137 #endif /* CAPDIR */
 138
 139     if ( pwd->pw_uid == 0 ) {   /* don't allow root login */
 140         syslog( LOG_ERR, "login: root login denied!" );
 141         return AFPERR_NOTAUTH;
 142     }
 143
 144     syslog( LOG_INFO, "login %s (uid %d, gid %d)", pwd->pw_name,
 145             pwd->pw_uid, pwd->pw_gid );
 146
 147 #ifdef CAPDIR
 148     if(addr_net && addr_node) { /* Do we have a valid Appletalk address? */
 149         addr_uid = pwd->pw_uid;
 150         strncpy(addr_name, pwd->pw_name, 32);
 151         sprintf(nodename, "%s/net%d.%dnode%d", CAPDIR, addr_net / 256, addr_net % 256, addr_node);
 152         syslog (LOG_INFO, "registering %s (uid %d) on %u.%u as %s",
 153                         addr_name, addr_uid, addr_net, addr_node, nodename);
 154         fp = fopen(nodename, "w");
 155         fprintf(fp, "%s\n", addr_name);
 156         fclose(fp);
 157     }
 158 #endif /* CAPDIR */
 159
 160     if (initgroups( pwd->pw_name, pwd->pw_gid ) < 0) {
 161 #ifdef RUN_AS_USER
 162       syslog(LOG_INFO, "running with uid %d", geteuid());
 163 #else
 164       syslog(LOG_ERR, "login: %m");
 165       return AFPERR_BADUAM;
 166 #endif
 167     }
 168
 169     if (setegid( pwd->pw_gid ) < 0 || seteuid( pwd->pw_uid ) < 0) {
 170         syslog( LOG_ERR, "login: %m" );
 171         return AFPERR_BADUAM;
 172     }
 173
 174     if (( ngroups = getgroups( NGROUPS, groups )) < 0 ) {
 175         syslog( LOG_ERR, "login: getgroups: %m" );
 176         return AFPERR_BADUAM;
 177     }
 178     uuid = pwd->pw_uid;
 179
 180     afp_switch = postauth_switch;
 181     obj->logout = logout;
 182     return( AFP_OK );
 183 }
 184
 185 int afp_login(obj, ibuf, ibuflen, rbuf, rbuflen )
 186     AFPObj      *obj;
 187     char        *ibuf, *rbuf;
 188     int         ibuflen, *rbuflen;
 189 {
 190     struct passwd *pwd = NULL;
 191     int         len, i, num;
 192
 193     *rbuflen = 0;
 194
 195     if ( nologin & 1)
 196         return send_reply(obj, AFPERR_SHUTDOWN );
 197
 198     ibuf++;
 199     len = (unsigned char) *ibuf++;
 200     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ]);
 201     for ( i = 0; i < num; i++ ) {
 202         if ( strncmp( ibuf, afp_versions[ i ].av_name , len ) == 0 ) {
 203             afp_version = afp_versions[ i ].av_number;
 204             break;
 205         }
 206     }
 207     if ( i == num )                             /* An inappropo version */
 208         return send_reply(obj, AFPERR_BADVERS );
 209     ibuf += len;
 210
 211     len = (unsigned char) *ibuf++;
 212     if ((afp_uam = auth_uamfind(UAM_SERVER_LOGIN, ibuf, len)) == NULL)
 213       return send_reply(obj, AFPERR_BADUAM);
 214     ibuf += len;
 215
 216     i = afp_uam->u.uam_login.login(obj, &pwd, ibuf, ibuflen, rbuf, rbuflen);
 217     if (i || !pwd)
 218       return send_reply(obj, i);
 219
 220     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 221 }
 222
 223
 224 int afp_logincont(obj, ibuf, ibuflen, rbuf, rbuflen)
 225     AFPObj      *obj;
 226     char        *ibuf, *rbuf;
 227     int         ibuflen, *rbuflen;
 228 {
 229     struct passwd *pwd = NULL;
 230     int err;
 231
 232     if ( afp_uam == NULL || afp_uam->u.uam_login.logincont == NULL ) {
 233         *rbuflen = 0;
 234         return send_reply(obj, AFPERR_NOTAUTH );
 235     }
 236
 237     ibuf += 2;
 238     err = afp_uam->u.uam_login.logincont(obj, &pwd, ibuf, ibuflen,
 239                                          rbuf, rbuflen);
 240     if (err || !pwd)
 241       return send_reply(obj, err);
 242
 243     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 244 }
 245
 246
 247 int afp_logout(obj, ibuf, ibuflen, rbuf, rbuflen)
 248      AFPObj     *obj;
 249      char       *ibuf, *rbuf;
 250      int        ibuflen, *rbuflen;
 251 {
 252   syslog(LOG_INFO, "logout %s", obj->username);
 253   obj->exit(0);
 254 }
 255
 256
 257
 258 /* change password  --
 259  * NOTE: an FPLogin must already have completed successfully for this
 260  *       to work. this also does a little pre-processing before it hands
 261  *       it off to the uam.
 262  */
 263 int afp_changepw(obj, ibuf, ibuflen, rbuf, rbuflen )
 264     AFPObj      *obj;
 265     char        *ibuf, *rbuf;
 266     int         ibuflen, *rbuflen;
 267 {
 268   char username[MACFILELEN + 1], *start = ibuf;
 269   struct uam_obj *uam;
 270   struct passwd *pwd;
 271   int len;
 272
 273   *rbuflen = 0;
 274   ibuf += 2;
 275
 276   /* make sure we can deal w/ this uam */
 277   len = (unsigned char) *ibuf++;
 278   if ((uam = auth_uamfind(UAM_SERVER_CHANGEPW, ibuf, len)) == NULL)
 279     return AFPERR_BADUAM;
 280
 281   ibuf += len;
 282   if ((len + 1) & 1) /* pad byte */
 283     ibuf++;
 284
 285   len = (unsigned char) *ibuf++;
 286   if ( len > sizeof(username) - 1) {
 287     return AFPERR_PARAM;
 288   }
 289   memcpy(username, ibuf, len);
 290   username[ len ] = '\0';
 291   ibuf += len;
 292   if ((len + 1) & 1) /* pad byte */
 293     ibuf++;
 294
 295   syslog(LOG_INFO, "changing password for <%s>", username);
 296
 297   if (( pwd = uam_getname( username, sizeof(username))) == NULL )
 298     return AFPERR_PARAM;
 299
 300   /* send it off to the uam. we really don't use ibuflen right now. */
 301   ibuflen -= (ibuf - start);
 302   len = uam->u.uam_changepw(obj, username, pwd, ibuf, ibuflen,
 303                             rbuf, rbuflen);
 304   syslog(LOG_INFO, "password change %s.",
 305          (len == AFPERR_AUTHCONT) ? "continued" :
 306          (len ? "failed" : "succeeded"));
 307   return len;
 308 }
 309
 310
 311 /* FPGetUserInfo */
 312 int afp_getuserinfo(obj, ibuf, ibuflen, rbuf, rbuflen )
 313     AFPObj      *obj;
 314     char        *ibuf, *rbuf;
 315     int         ibuflen, *rbuflen;
 316 {
 317     u_int8_t  thisuser;
 318     u_int32_t id;
 319     u_int16_t bitmap;
 320
 321     *rbuflen = 0;
 322     ibuf++;
 323     thisuser = *ibuf++;
 324     ibuf += sizeof(id); /* userid is not used in AFP 2.0 */
 325     memcpy(&bitmap, ibuf, sizeof(bitmap));
 326     bitmap = ntohs(bitmap);
 327
 328     /* deal with error cases. we don't have to worry about
 329      * AFPERR_ACCESS or AFPERR_NOITEM as geteuid and getegid always
 330      * succeed. */
 331     if (!thisuser)
 332       return AFPERR_PARAM;
 333     if ((bitmap & USERIBIT_ALL) != bitmap)
 334       return AFPERR_BITMAP;
 335
 336     /* copy the bitmap back to reply buffer */
 337     memcpy(rbuf, ibuf, sizeof(bitmap));
 338     rbuf += sizeof(bitmap);
 339     *rbuflen = sizeof(bitmap);
 340
 341     /* copy the user/group info */
 342     if (bitmap & USERIBIT_USER) {
 343       id = htonl(geteuid());
 344       memcpy(rbuf, &id, sizeof(id));
 345       rbuf += sizeof(id);
 346       *rbuflen += sizeof(id);
 347     }
 348
 349     if (bitmap & USERIBIT_GROUP) {
 350       id = htonl(getegid());
 351       memcpy(rbuf, &id, sizeof(id));
 352       rbuf += sizeof(id);
 353       *rbuflen += sizeof(id);
 354     }
 355
 356     return AFP_OK;
 357 }
 358
 359 #define UAM_LIST(type) (((type) == UAM_SERVER_LOGIN) ? &uam_login : \
 360                         (((type) == UAM_SERVER_CHANGEPW) ? \
 361                          &uam_changepw : NULL))
 362
 363 /* just do a linked list search. this could be sped up with a hashed
 364  * list, but i doubt anyone's going to have enough uams to matter. */
 365 struct uam_obj *auth_uamfind(const int type, const char *name,
 366                              const int len)
 367 {
 368   struct uam_obj *prev, *start;
 369
 370   if (!name || !(start = UAM_LIST(type)))
 371     return NULL;
 372
 373   prev = start;
 374   while ((prev = prev->uam_prev) != start)
 375     if (strndiacasecmp(prev->uam_name, name, len) == 0)
 376       return prev;
 377
 378   return NULL;
 379 }
 380
 381 int auth_register(const int type, struct uam_obj *uam)
 382 {
 383   struct uam_obj *start;
 384
 385   if (!uam || !uam->uam_name || (*uam->uam_name == '\0'))
 386     return -1;
 387
 388   if (!(start = UAM_LIST(type)))
 389     return 0; /* silently fail */
 390
 391   uam_attach(start, uam);
 392   return 0;
 393 }
 394
 395 /* load all of the modules */
 396 int auth_load(const char *path, const char *list)
 397 {
 398   char name[MAXPATHLEN + 1], buf[MAXPATHLEN + 1], *p;
 399   struct uam_mod *mod;
 400   struct stat st;
 401   int len;
 402
 403   if (!path || !list || (len = strlen(path)) > sizeof(name) - 2)
 404     return -1;
 405
 406   strncpy(buf, list, sizeof(buf));
 407   if ((p = strtok(buf, ",")) == NULL)
 408     return -1;
 409
 410   strcpy(name, path);
 411   if (name[len - 1] != '/') {
 412     strcat(name, "/");
 413     len++;
 414   }
 415
 416   while (p) {
 417     strncpy(name + len, p, sizeof(name) - len);
 418     if ((stat(name, &st) == 0) && (mod = uam_load(name, p))) {
 419       uam_attach(&uam_modules, mod);
 420       syslog(LOG_INFO, "uam: %s loaded", p);
 421     }
 422     p = strtok(NULL, ",");
 423   }
 424 }
 425
 426 /* get rid of all of the uams */
 427 void auth_unload()
 428 {
 429   struct uam_mod *mod, *prev, *start = &uam_modules;
 430
 431   prev = start->uam_prev;
 432   while ((mod = prev) != start) {
 433     prev = prev->uam_prev;
 434     uam_detach(mod);
 435     uam_unload(mod);
 436   }
 437 }