]> arthur.barton.de Git - netatalk.git/blob - etc/uams/uams_dhx_pam.c
projects / netatalk.git / blob
? search:


62969d66b357277684e80f00843f39dc427a504b
[netatalk.git] / etc / uams / uams_dhx_pam.c
1 /*
2  * $Id: uams_dhx_pam.c,v 1.13 2001-02-27 17:07:43 rufustfirefly Exp $
3  *
4  * Copyright (c) 1990,1993 Regents of The University of Michigan.
5  * Copyright (c) 1999 Adrian Sun (asun@u.washington.edu) 
6  * All Rights Reserved.  See COPYRIGHT.
7  */
8
9 #ifdef HAVE_CONFIG_H
10 #include "config.h"
11 #endif
12
13 #if defined(USE_PAM) && defined(UAM_DHX)
14 #include <stdio.h>
15 #include <stdlib.h>
16 #include <string.h>
17 #include <syslog.h>
18
19 #ifdef HAVE_UNISTD_H
20 #include <unistd.h>
21 #endif /* HAVE_UNISTD_H */
22
23 #include <security/pam_appl.h>
24
25 #ifdef OPENSSL_DHX
26 #include <openssl/bn.h>
27 #include <openssl/dh.h>
28 #include <openssl/cast.h>
29 #else
30 #include <bn.h>
31 #include <dh.h>
32 #include <cast.h>
33 #endif
34
35 #include <atalk/afp.h>
36 #include <atalk/uam.h>
37
38 #define KEYSIZE 16
39 #define PASSWDLEN 64
40 #define CRYPTBUFLEN  (KEYSIZE*2)
41 #define CRYPT2BUFLEN (KEYSIZE + PASSWDLEN)
42 #define CHANGEPWBUFLEN (KEYSIZE + 2*PASSWDLEN)
43
44 /* hash a number to a 16-bit quantity */
45 #define dhxhash(a) ((((unsigned long) (a) >> 8) ^ \
46                      (unsigned long) (a)) & 0xffff)
47
48 /* the secret key */
49 static CAST_KEY castkey;
50 static struct passwd *dhxpwd;
51 static u_int8_t randbuf[KEYSIZE];
52
53 /* diffie-hellman bits */
54 static unsigned char msg2_iv[] = "CJalbert";
55 static unsigned char msg3_iv[] = "LWallace";
56 static const u_int8_t p[] = {0xBA, 0x28, 0x73, 0xDF, 0xB0, 0x60, 0x57, 0xD4,
57                              0x3F, 0x20, 0x24, 0x74, 0x4C, 0xEE, 0xE7, 0x5B};
58 static const u_int8_t g = 0x07;
59
60
61 /* Static variables used to communicate between the conversation function
62  * and the server_login function
63  */
64 static pam_handle_t *pamh = NULL; 
65 static char *PAM_username;
66 static char *PAM_password;
67
68 /* PAM conversation function
69  * Here we assume (for now, at least) that echo on means login name, and
70  * echo off means password.
71  */
72 static int PAM_conv (int num_msg,
73                      const struct pam_message **msg,
74                      struct pam_response **resp,
75                      void *appdata_ptr) {
76   int count = 0;
77   struct pam_response *reply;
78   
79 #define COPY_STRING(s) (s) ? strdup(s) : NULL
80   
81   if (num_msg < 1) {
82     /* Log Entry */
83            syslog(LOG_INFO, "uams_dhx_pam.c :PAM DHX Conversation Err -- %m");
84     /* Log Entry */
85     return PAM_CONV_ERR;
86   }
87
88   reply = (struct pam_response *) 
89     calloc(num_msg, sizeof(struct pam_response));
90
91   if (!reply) {
92     /* Log Entry */
93            syslog(LOG_INFO, "uams_dhx_pam.c :PAM DHX Conversation Err -- %m");
94     /* Log Entry */
95     return PAM_CONV_ERR;
96   }
97
98   for (count = 0; count < num_msg; count++) {
99     char *string = NULL;
100
101     switch (msg[count]->msg_style) {
102     case PAM_PROMPT_ECHO_ON:
103       if (!(string = COPY_STRING(PAM_username))) {
104     /* Log Entry */
105            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: username failure -- %m");
106     /* Log Entry */
107         goto pam_fail_conv;
108       }
109       break;
110     case PAM_PROMPT_ECHO_OFF:
111       if (!(string = COPY_STRING(PAM_password))) {
112     /* Log Entry */
113            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: passwd failure: --: %m");
114     /* Log Entry */
115         goto pam_fail_conv;
116       }
117       break;
118     case PAM_TEXT_INFO:
119 #ifdef PAM_BINARY_PROMPT
120     case PAM_BINARY_PROMPT:
121 #endif
122       /* ignore it... */
123       break;
124     case PAM_ERROR_MSG:
125     default:
126     /* Log Entry */
127            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Binary_Prompt -- %m");
128     /* Log Entry */
129       goto pam_fail_conv;
130     }
131
132     if (string) {  
133       reply[count].resp_retcode = 0;
134       reply[count].resp = string;
135       string = NULL;
136     }
137   }
138
139   *resp = reply;
140     /* Log Entry */
141            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM Success -- %m");
142     /* Log Entry */
143   return PAM_SUCCESS;
144
145 pam_fail_conv:
146   for (count = 0; count < num_msg; count++) {
147     if (!reply[count].resp)
148         continue;
149     switch (msg[count]->msg_style) {
150     case PAM_PROMPT_ECHO_OFF:
151     case PAM_PROMPT_ECHO_ON:
152       free(reply[count].resp);
153       break;      
154     }
155   }
156   free(reply);
157     /* Log Entry */
158            syslog(LOG_INFO, "uams_dhx_pam.c :PAM DHX Conversation Err -- %m");
159     /* Log Entry */
160     return PAM_CONV_ERR;
161 }
162
163 static struct pam_conv PAM_conversation = {
164   &PAM_conv,
165   NULL
166 };
167
168
169 static int dhx_setup(void *obj, char *ibuf, int ibuflen, 
170                      char *rbuf, int *rbuflen)
171 {
172     u_int16_t sessid;
173     int i;
174     BIGNUM *bn, *gbn, *pbn;
175     DH *dh;
176
177     /* get the client's public key */
178     if (!(bn = BN_bin2bn(ibuf, KEYSIZE, NULL))) {
179     /* Log Entry */
180            syslog(LOG_INFO, "uams_dhx_pam.c :PAM No Public Key -- %m");
181     /* Log Entry */
182       return AFPERR_PARAM;
183     }
184
185     /* get our primes */
186     if (!(gbn = BN_bin2bn(&g, sizeof(g), NULL))) {
187       BN_clear_free(bn);
188     /* Log Entry */
189            syslog(LOG_INFO, "uams_dhx_pam.c :PAM No Primes: GBN -- %m");
190     /* Log Entry */
191       return AFPERR_PARAM;
192     }
193
194     if (!(pbn = BN_bin2bn(p, sizeof(p), NULL))) {
195       BN_free(gbn);
196       BN_clear_free(bn);
197     /* Log Entry */
198            syslog(LOG_INFO, "uams_dhx_pam.c :PAM No Primes: PBN -- %m");
199     /* Log Entry */
200       return AFPERR_PARAM;
201     }
202
203     /* okay, we're ready */
204     if (!(dh = DH_new())) {
205       BN_free(pbn);
206       BN_free(gbn);
207       BN_clear_free(bn);
208     /* Log Entry */
209            syslog(LOG_INFO, "uams_dhx_pam.c :PAM DH was equal to DH_New... Go figure... -- %m");
210     /* Log Entry */
211       return AFPERR_PARAM;
212     }
213
214     /* generate key and make sure that we have enough space */
215     dh->p = pbn;
216     dh->g = gbn;
217     if (!DH_generate_key(dh) || (BN_num_bytes(dh->pub_key) > KEYSIZE)) {
218     /* Log Entry */
219            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Err Generating Key -- Not enough Space? -- %m");
220     /* Log Entry */
221     goto pam_fail;
222     }
223
224     /* figure out the key. store the key in rbuf for now. */
225     i = DH_compute_key(rbuf, bn, dh);
226     
227     /* set the key */
228     CAST_set_key(&castkey, i, rbuf);
229     
230     /* session id. it's just a hashed version of the object pointer. */
231     sessid = dhxhash(obj);
232     memcpy(rbuf, &sessid, sizeof(sessid));
233     rbuf += sizeof(sessid);
234     *rbuflen += sizeof(sessid);
235     
236     /* public key */
237     BN_bn2bin(dh->pub_key, rbuf); 
238     rbuf += KEYSIZE;
239     *rbuflen += KEYSIZE;
240
241     /* buffer to be encrypted */
242     i = sizeof(randbuf);
243     if (uam_afpserver_option(obj, UAM_OPTION_RANDNUM, (void *) randbuf,
244                              &i) < 0) {
245       *rbuflen = 0;
246     /* Log Entry */
247            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Buffer Encryption Err. -- %m");
248     /* Log Entry */
249       goto pam_fail;
250     }    
251     memcpy(rbuf, &randbuf, sizeof(randbuf));
252
253     /* get the signature. it's always 16 bytes. */
254 #if 0
255     if (uam_afpserver_option(obj, UAM_OPTION_SIGNATURE, 
256                              (void *) &buf, NULL) < 0) {
257       *rbuflen = 0;
258     /* Log Entry */
259            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Signature Retieval Failure -- %m");
260     /* Log Entry */
261       goto pam_fail;
262     }
263     memcpy(rbuf + KEYSIZE, buf, KEYSIZE); 
264 #else
265     memset(rbuf + KEYSIZE, 0, KEYSIZE); 
266 #endif
267
268     /* encrypt using cast */
269     CAST_cbc_encrypt(rbuf, rbuf, CRYPTBUFLEN, &castkey, msg2_iv, 
270                      CAST_ENCRYPT);
271     *rbuflen += CRYPTBUFLEN;
272     BN_free(bn);
273     DH_free(dh);
274     return AFPERR_AUTHCONT;
275
276 pam_fail:
277     BN_free(bn);
278     DH_free(dh);
279     /* Log Entry */
280            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Fail - Cast Encryption -- %m");
281     /* Log Entry */
282     return AFPERR_PARAM;
283 }
284
285
286 /* dhx login: things are done in a slightly bizarre order to avoid
287  * having to clean things up if there's an error. */
288 static int pam_login(void *obj, struct passwd **uam_pwd,
289                      char *ibuf, int ibuflen,
290                      char *rbuf, int *rbuflen)
291 {
292     char *buf;
293     int len, i;
294
295     *rbuflen = 0;
296
297     /* grab some of the options */
298     if (uam_afpserver_option(obj, UAM_OPTION_USERNAME, (void *) &buf,
299                              &i) < 0) {
300     /* Log Entry */
301            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: uam_afpserver_option didn't meet uam_option_username  -- %m");
302     /* Log Entry */
303       return AFPERR_PARAM;
304     }
305
306     len = (unsigned char) *ibuf++;
307     if ( len > i ) {
308     /* Log Entry */
309            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Signature Retieval Failure -- %m");
310     /* Log Entry */
311         return( AFPERR_PARAM );
312     }
313
314     memcpy(buf, ibuf, len );
315     ibuf += len;
316     buf[ len ] = '\0';
317     if ((unsigned long) ibuf & 1) /* pad to even boundary */
318       ++ibuf;
319
320     if (( dhxpwd = uam_getname(buf, i)) == NULL ) {
321     /* Log Entry */
322            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: User entered a null value -- %m");
323     /* Log Entry */
324         return AFPERR_PARAM;
325     }
326
327     PAM_username = buf;
328     syslog( LOG_INFO, "dhx login: %s", buf);
329     return dhx_setup(obj, ibuf, ibuflen, rbuf, rbuflen);
330 }
331
332
333 static int pam_logincont(void *obj, struct passwd **uam_pwd,
334                          char *ibuf, int ibuflen, 
335                          char *rbuf, int *rbuflen)
336 {
337     char *hostname;
338     BIGNUM *bn1, *bn2, *bn3;
339     u_int16_t sessid;
340     int err, PAM_error;
341
342     *rbuflen = 0;
343
344     /* check for session id */
345     memcpy(&sessid, ibuf, sizeof(sessid));
346     if (sessid != dhxhash(obj)) {
347     /* Log Entry */
348            syslog(LOG_INFO, "uams_dhx_pam.c :PAM Session ID - DHXHash Mismatch -- %m");
349     /* Log Entry */
350       return AFPERR_PARAM;
351     }
352     ibuf += sizeof(sessid);
353     
354     if (uam_afpserver_option(obj, UAM_OPTION_HOSTNAME,
355                              (void *) &hostname, NULL) < 0)
356       return AFPERR_MISC;
357
358     CAST_cbc_encrypt(ibuf, rbuf, CRYPT2BUFLEN, &castkey,
359                      msg3_iv, CAST_DECRYPT);
360     memset(&castkey, 0, sizeof(castkey));
361
362     /* check to make sure that the random number is the same. we
363      * get sent back an incremented random number. */
364     if (!(bn1 = BN_bin2bn(rbuf, KEYSIZE, NULL)))
365       return AFPERR_PARAM;
366
367     if (!(bn2 = BN_bin2bn(randbuf, sizeof(randbuf), NULL))) {
368       BN_free(bn1);
369       return AFPERR_PARAM;
370     }
371       
372     /* zero out the random number */
373     memset(rbuf, 0, sizeof(randbuf));
374     memset(randbuf, 0, sizeof(randbuf));
375     rbuf += KEYSIZE;
376
377     if (!(bn3 = BN_new())) {
378       BN_free(bn2);
379       BN_free(bn1);
380       return AFPERR_PARAM;
381     }
382
383     BN_sub(bn3, bn1, bn2);
384     BN_free(bn2);
385     BN_free(bn1);
386
387     /* okay. is it one more? */
388     if (!BN_is_one(bn3)) {
389       BN_free(bn3);
390       return AFPERR_PARAM;
391     }
392     BN_free(bn3);
393
394     /* Set these things up for the conv function */
395     rbuf[PASSWDLEN] = '\0';
396     PAM_password = rbuf;
397
398     err = AFPERR_NOTAUTH;
399     PAM_error = pam_start("netatalk", PAM_username, &PAM_conversation,
400                           &pamh);
401     if (PAM_error != PAM_SUCCESS) {
402     /* Log Entry */
403            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", pam_strerror(pamh,PAM_error));
404     /* Log Entry */
405       goto logincont_err;
406     }
407
408     /* solaris craps out if PAM_TTY and PAM_RHOST aren't set. */
409     pam_set_item(pamh, PAM_TTY, "afpd");
410     pam_set_item(pamh, PAM_RHOST, hostname);
411     PAM_error = pam_authenticate(pamh,0);
412     if (PAM_error != PAM_SUCCESS) {
413       if (PAM_error == PAM_MAXTRIES) 
414         err = AFPERR_PWDEXPR;
415     /* Log Entry */
416            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", pam_strerror(pamh, PAM_error));
417     /* Log Entry */
418       goto logincont_err;
419     }      
420
421     PAM_error = pam_acct_mgmt(pamh, 0);
422     if (PAM_error != PAM_SUCCESS) {
423       if (PAM_error == PAM_ACCT_EXPIRED)
424         err = AFPERR_PWDEXPR;
425 #ifdef PAM_AUTHTOKEN_REQD
426       else if (PAM_error == PAM_AUTHTOKEN_REQD) 
427         err = AFPERR_PWDCHNG;
428 #endif
429     /* Log Entry */
430            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", pam_strerror(pamh, PAM_error));
431     /* Log Entry */
432       goto logincont_err;
433     }
434
435 #ifndef PAM_CRED_ESTABLISH
436 #define PAM_CRED_ESTABLISH PAM_ESTABLISH_CRED
437 #endif
438     PAM_error = pam_setcred(pamh, PAM_CRED_ESTABLISH);
439     if (PAM_error != PAM_SUCCESS) {
440     /* Log Entry */
441            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", pam_strerror(pamh, PAM_error));
442     /* Log Entry */
443       goto logincont_err;
444     }
445
446     PAM_error = pam_open_session(pamh, 0);
447     if (PAM_error != PAM_SUCCESS) {
448     /* Log Entry */
449            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", pam_strerror(pamh, PAM_error));
450     /* Log Entry */
451       goto logincont_err;
452     }
453
454     memset(rbuf, 0, PASSWDLEN); /* zero out the password */
455     *uam_pwd = dhxpwd;
456     /* Log Entry */
457            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM Auth OK!: %s -- %m", AFP_OK);
458     /* Log Entry */
459     return AFP_OK;
460
461 logincont_err:
462     pam_end(pamh, PAM_error);
463     pamh = NULL;
464     memset(rbuf, 0, CRYPT2BUFLEN);
465     return err;
466 }
467
468 /* logout */
469 static void pam_logout() {
470     pam_close_session(pamh, 0);
471     pam_end(pamh, 0);
472     pamh = NULL;
473 }
474
475
476 /* change pw for dhx needs a couple passes to get everything all
477  * right. basically, it's like the login/logincont sequence */
478 static int pam_changepw(void *obj, char *username,
479                         struct passwd *pwd, char *ibuf, int ibuflen,
480                         char *rbuf, int *rbuflen)
481 {
482     BIGNUM *bn1, *bn2, *bn3;
483
484     char *hostname;
485     pam_handle_t *lpamh;
486     uid_t uid;
487     u_int16_t sessid;
488     int PAM_error;
489
490     /* grab the id */
491     memcpy(&sessid, ibuf, sizeof(sessid));
492     ibuf += sizeof(sessid);
493     
494     if (!sessid) {  /* no sessid -> initialization phase */
495       PAM_username = username;
496       ibuflen -= sizeof(sessid);
497       return dhx_setup(obj, ibuf, ibuflen, rbuf, rbuflen);
498     }
499
500
501     /* otherwise, it's like logincont but different. */
502
503     /* check out the session id */
504     if (sessid != dhxhash(obj)) {
505     /* Log Entry */
506            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Session ID not Equal to DHX Hash -- %m");
507     /* Log Entry */
508       return AFPERR_PARAM;
509     }
510
511     /* we need this for pam */
512     if (uam_afpserver_option(obj, UAM_OPTION_HOSTNAME,
513                              (void *) &hostname, NULL) < 0) {
514     /* Log Entry */
515            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Hostname Null?? -- %m");
516     /* Log Entry */
517       return AFPERR_MISC;
518     }
519
520     /* grab the client's nonce, old password, and new password. */
521     CAST_cbc_encrypt(ibuf, ibuf, CHANGEPWBUFLEN, &castkey,
522                      msg3_iv, CAST_DECRYPT);
523     memset(&castkey, 0, sizeof(castkey));
524
525     /* check to make sure that the random number is the same. we
526      * get sent back an incremented random number. */
527     if (!(bn1 = BN_bin2bn(ibuf, KEYSIZE, NULL))) {
528     /* Log Entry */
529            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Random Number Not the same or not incremented-- %m");
530     /* Log Entry */
531       return AFPERR_PARAM;
532     }
533
534     if (!(bn2 = BN_bin2bn(randbuf, sizeof(randbuf), NULL))) {
535       BN_free(bn1);
536     /* Log Entry */
537            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Random Number Not the same or not incremented -- %m");
538     /* Log Entry */
539       return AFPERR_PARAM;
540     }
541       
542     /* zero out the random number */
543     memset(rbuf, 0, sizeof(randbuf));
544     memset(randbuf, 0, sizeof(randbuf));
545
546     if (!(bn3 = BN_new())) {
547       BN_free(bn2);
548       BN_free(bn1);
549     /* Log Entry */
550            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Random Number did not Zero -- %m");
551     /* Log Entry */
552       return AFPERR_PARAM;
553     }
554
555     BN_sub(bn3, bn1, bn2);
556     BN_free(bn2);
557     BN_free(bn1);
558
559     /* okay. is it one more? */
560 #if 0
561     if (!BN_is_one(bn3)) {
562       BN_free(bn3);
563     /* Log Entry */
564            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: After Random Number not Zero, is it one more? -- %m");
565     /* Log Entry */
566       return AFPERR_PARAM;
567     }
568 #endif
569     BN_free(bn3);
570
571     /* Set these things up for the conv function. the old password
572      * is at the end. */
573     ibuf += KEYSIZE;
574     ibuf[PASSWDLEN + PASSWDLEN] = '\0';
575     PAM_password = ibuf + PASSWDLEN;
576
577     PAM_error = pam_start("netatalk", username, &PAM_conversation,
578                           &lpamh);
579     if (PAM_error != PAM_SUCCESS) {
580     /* Log Entry */
581            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Needless to say, PAM_error is != to PAM_SUCCESS -- %m");
582     /* Log Entry */
583       return AFPERR_PARAM;
584     }
585     pam_set_item(lpamh, PAM_TTY, "afpd");
586     pam_set_item(lpamh, PAM_RHOST, hostname);
587
588     /* we might need to do this as root */
589     uid = geteuid();
590     seteuid(0);
591     PAM_error = pam_authenticate(lpamh, 0);
592     if (PAM_error != PAM_SUCCESS) {
593       seteuid(uid);
594       pam_end(lpamh, PAM_error);
595       return AFPERR_NOTAUTH;
596     }
597
598     /* clear out old passwd */
599     memset(ibuf + PASSWDLEN, 0, PASSWDLEN);
600
601     /* new password */
602     PAM_password = ibuf;
603     ibuf[PASSWDLEN] = '\0';
604
605     /* this really does need to be done as root */
606     PAM_error = pam_chauthtok(lpamh, 0);
607     seteuid(uid); /* un-root ourselves. */
608     memset(ibuf, 0, PASSWDLEN);
609     if (PAM_error != PAM_SUCCESS) {
610       pam_end(lpamh, PAM_error);
611       return AFPERR_ACCESS;
612     }
613
614     pam_end(lpamh, 0);
615     return AFP_OK;
616 }
617
618
619 static int uam_setup(const char *path)
620 {
621   if (uam_register(UAM_SERVER_LOGIN, path, "DHCAST128", pam_login, 
622                    pam_logincont, pam_logout) < 0)
623     return -1;
624
625   if (uam_register(UAM_SERVER_CHANGEPW, path, "DHCAST128", 
626                    pam_changepw) < 0) {
627     uam_unregister(UAM_SERVER_LOGIN, "DHCAST128");
628     return -1;
629   }
630
631   /*uam_register(UAM_SERVER_PRINTAUTH, path, "DHCAST128",
632     pam_printer);*/
633
634   return 0;
635 }
636
637 static void uam_cleanup(void)
638 {
639   uam_unregister(UAM_SERVER_LOGIN, "DHCAST128");
640   uam_unregister(UAM_SERVER_CHANGEPW, "DHCAST128");
641   /*uam_unregister(UAM_SERVER_PRINTAUTH, "DHCAST128"); */
642 }
643
644 UAM_MODULE_EXPORT struct uam_export uams_dhx = {
645   UAM_MODULE_SERVER,
646   UAM_MODULE_VERSION,
647   uam_setup, uam_cleanup
648 };
649
650 #endif /* USE_PAM && UAM_DHX */
651
Alex' Netatalk development repository