]> arthur.barton.de Git - netatalk.git/blob - etc/uams/uams_dhx_pam.c
projects / netatalk.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
*** empty log message ***
[netatalk.git] / etc / uams / uams_dhx_pam.c
1 /*
2  * Copyright (c) 1990,1993 Regents of The University of Michigan.
3  * Copyright (c) 1999 Adrian Sun (asun@u.washington.edu) 
4  * All Rights Reserved.  See COPYRIGHT.
5  */
6
7 #ifdef HAVE_CONFIG_H
8 #include "config.h"
9 #endif
10
11 #if defined(USE_PAM) && defined(UAM_DHX)
12 #include <stdio.h>
13 #include <stdlib.h>
14 #include <string.h>
15 #include <syslog.h>
16
17 #include <security/pam_appl.h>
18
19 #ifdef OPENSSL_DHX
20 #include <openssl/bn.h>
21 #include <openssl/dh.h>
22 #include <openssl/cast.h>
23 #else
24 #include <bn.h>
25 #include <dh.h>
26 #include <cast.h>
27 #endif
28
29 #include <atalk/afp.h>
30 #include <atalk/uam.h>
31
32 #define KEYSIZE 16
33 #define PASSWDLEN 64
34 #define CRYPTBUFLEN  (KEYSIZE*2)
35 #define CRYPT2BUFLEN (KEYSIZE + PASSWDLEN)
36 #define CHANGEPWBUFLEN (KEYSIZE + 2*PASSWDLEN)
37
38 /* hash a number to a 16-bit quantity */
39 #define dhxhash(a) ((((unsigned long) (a) >> 8) ^ \
40                      (unsigned long) (a)) & 0xffff)
41
42 /* the secret key */
43 static CAST_KEY castkey;
44 static struct passwd *dhxpwd;
45 static u_int8_t randbuf[KEYSIZE];
46
47 /* diffie-hellman bits */
48 static unsigned char msg2_iv[] = "CJalbert";
49 static unsigned char msg3_iv[] = "LWallace";
50 static const u_int8_t p[] = {0xBA, 0x28, 0x73, 0xDF, 0xB0, 0x60, 0x57, 0xD4,
51                              0x3F, 0x20, 0x24, 0x74, 0x4C, 0xEE, 0xE7, 0x5B};
52 static const u_int8_t g = 0x07;
53
54
55 /* Static variables used to communicate between the conversation function
56  * and the server_login function
57  */
58 static pam_handle_t *pamh = NULL; 
59 static char *PAM_username;
60 static char *PAM_password;
61
62 /* PAM conversation function
63  * Here we assume (for now, at least) that echo on means login name, and
64  * echo off means password.
65  */
66 static int PAM_conv (int num_msg,
67                      const struct pam_message **msg,
68                      struct pam_response **resp,
69                      void *appdata_ptr) {
70   int count = 0;
71   struct pam_response *reply;
72   
73 #define COPY_STRING(s) (s) ? strdup(s) : NULL
74   
75   if (num_msg < 1)
76     /* Log Entry */
77            syslog(LOG_INFO, "uams_dhx_pam.c :PAM DHX Conversation Err -- %m");
78     /* Log Entry */
79     return PAM_CONV_ERR;
80
81   reply = (struct pam_response *) 
82     calloc(num_msg, sizeof(struct pam_response));
83
84   if (!reply)
85     /* Log Entry */
86            syslog(LOG_INFO, "uams_dhx_pam.c :PAM DHX Conversation Err -- %m");
87     /* Log Entry */
88     return PAM_CONV_ERR;
89
90   for (count = 0; count < num_msg; count++) {
91     char *string = NULL;
92
93     switch (msg[count]->msg_style) {
94     case PAM_PROMPT_ECHO_ON:
95       if (!(string = COPY_STRING(PAM_username)))
96     /* Log Entry */
97            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: username failure -- %m");
98     /* Log Entry */
99         goto pam_fail_conv;
100       break;
101     case PAM_PROMPT_ECHO_OFF:
102       if (!(string = COPY_STRING(PAM_password)))
103     /* Log Entry */
104            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: passwd failure: --: %m");
105     /* Log Entry */
106         goto pam_fail_conv;
107       break;
108     case PAM_TEXT_INFO:
109 #ifdef PAM_BINARY_PROMPT
110     case PAM_BINARY_PROMPT:
111 #endif
112       /* ignore it... */
113       break;
114     case PAM_ERROR_MSG:
115     default:
116     /* Log Entry */
117            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Binary_Prompt -- %m");
118     /* Log Entry */
119       goto pam_fail_conv;
120     }
121
122     if (string) {  
123       reply[count].resp_retcode = 0;
124       reply[count].resp = string;
125       string = NULL;
126     }
127   }
128
129   *resp = reply;
130     /* Log Entry */
131            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM Success -- %m");
132     /* Log Entry */
133   return PAM_SUCCESS;
134
135 pam_fail_conv:
136   for (count = 0; count < num_msg; count++) {
137     if (!reply[count].resp)
138         continue;
139     switch (msg[count]->msg_style) {
140     case PAM_PROMPT_ECHO_OFF:
141     case PAM_PROMPT_ECHO_ON:
142       free(reply[count].resp);
143       break;      
144     }
145   }
146   free(reply);
147     /* Log Entry */
148            syslog(LOG_INFO, "uams_dhx_pam.c :PAM DHX Conversation Err -- %m");
149     /* Log Entry */
150     return PAM_CONV_ERR;
151 }
152
153 static struct pam_conv PAM_conversation = {
154   &PAM_conv,
155   NULL
156 };
157
158
159 static int dhx_setup(void *obj, char *ibuf, int ibuflen, 
160                      char *rbuf, int *rbuflen)
161 {
162     u_int16_t sessid;
163     int i;
164     BIGNUM *bn, *gbn, *pbn;
165     DH *dh;
166
167     /* get the client's public key */
168     if (!(bn = BN_bin2bn(ibuf, KEYSIZE, NULL)))
169       return AFPERR_PARAM;
170
171     /* get our primes */
172     if (!(gbn = BN_bin2bn(&g, sizeof(g), NULL))) {
173       BN_clear_free(bn);
174       return AFPERR_PARAM;
175     }
176
177     if (!(pbn = BN_bin2bn(p, sizeof(p), NULL))) {
178       BN_free(gbn);
179       BN_clear_free(bn);
180       return AFPERR_PARAM;
181     }
182
183     /* okay, we're ready */
184     if (!(dh = DH_new())) {
185       BN_free(pbn);
186       BN_free(gbn);
187       BN_clear_free(bn);
188       return AFPERR_PARAM;
189     }
190
191     /* generate key and make sure that we have enough space */
192     dh->p = pbn;
193     dh->g = gbn;
194     if (!DH_generate_key(dh) || (BN_num_bytes(dh->pub_key) > KEYSIZE)) {
195     /* Log Entry */
196            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Err Generating Key -- Not enough Space? -- %m");
197     /* Log Entry */
198     goto pam_fail;
199     }
200
201     /* figure out the key. store the key in rbuf for now. */
202     i = DH_compute_key(rbuf, bn, dh);
203     
204     /* set the key */
205     CAST_set_key(&castkey, i, rbuf);
206     
207     /* session id. it's just a hashed version of the object pointer. */
208     sessid = dhxhash(obj);
209     memcpy(rbuf, &sessid, sizeof(sessid));
210     rbuf += sizeof(sessid);
211     *rbuflen += sizeof(sessid);
212     
213     /* public key */
214     BN_bn2bin(dh->pub_key, rbuf); 
215     rbuf += KEYSIZE;
216     *rbuflen += KEYSIZE;
217
218     /* buffer to be encrypted */
219     i = sizeof(randbuf);
220     if (uam_afpserver_option(obj, UAM_OPTION_RANDNUM, (void *) randbuf,
221                              &i) < 0) {
222       *rbuflen = 0;
223     /* Log Entry */
224            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Buffer Encryption Err. -- %m");
225     /* Log Entry */
226       goto pam_fail;
227     }    
228     memcpy(rbuf, &randbuf, sizeof(randbuf));
229
230     /* get the signature. it's always 16 bytes. */
231 #if 0
232     if (uam_afpserver_option(obj, UAM_OPTION_SIGNATURE, 
233                              (void *) &buf, NULL) < 0) {
234       *rbuflen = 0;
235     /* Log Entry */
236            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Signature Retieval Failure -- %m");
237     /* Log Entry */
238       goto pam_fail;
239     }
240     memcpy(rbuf + KEYSIZE, buf, KEYSIZE); 
241 #else
242     memset(rbuf + KEYSIZE, 0, KEYSIZE); 
243 #endif
244
245     /* encrypt using cast */
246     CAST_cbc_encrypt(rbuf, rbuf, CRYPTBUFLEN, &castkey, msg2_iv, 
247                      CAST_ENCRYPT);
248     *rbuflen += CRYPTBUFLEN;
249     BN_free(bn);
250     DH_free(dh);
251     return AFPERR_AUTHCONT;
252
253 pam_fail:
254     BN_free(bn);
255     DH_free(dh);
256     /* Log Entry */
257            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Fail - Cast Encryption -- %m");
258     /* Log Entry */
259     return AFPERR_PARAM;
260 }
261
262
263 /* dhx login: things are done in a slightly bizarre order to avoid
264  * having to clean things up if there's an error. */
265 static int pam_login(void *obj, struct passwd **uam_pwd,
266                      char *ibuf, int ibuflen,
267                      char *rbuf, int *rbuflen)
268 {
269     char *buf;
270     int len, i;
271
272     *rbuflen = 0;
273
274     /* grab some of the options */
275     if (uam_afpserver_option(obj, UAM_OPTION_USERNAME, (void *) &buf,
276                              &i) < 0)
277     /* Log Entry */
278            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: uam_afpserver_option didn't meet uam_option_username  -- %m");
279     /* Log Entry */
280       return AFPERR_PARAM;
281
282     len = (unsigned char) *ibuf++;
283     if ( len > i ) {
284     /* Log Entry */
285            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Signature Retieval Failure -- %m");
286     /* Log Entry */
287         return( AFPERR_PARAM );
288     }
289
290     memcpy(buf, ibuf, len );
291     ibuf += len;
292     buf[ len ] = '\0';
293     if ((unsigned long) ibuf & 1) /* pad to even boundary */
294       ++ibuf;
295
296     if (( dhxpwd = uam_getname(buf, i)) == NULL ) {
297     /* Log Entry */
298            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: User entered a null value -- %m");
299     /* Log Entry */
300         return AFPERR_PARAM;
301     }
302
303     PAM_username = buf;
304     syslog( LOG_INFO, "dhx login: %s", buf);
305     return dhx_setup(obj, ibuf, ibuflen, rbuf, rbuflen);
306 }
307
308
309 static int pam_logincont(void *obj, struct passwd **uam_pwd,
310                          char *ibuf, int ibuflen, 
311                          char *rbuf, int *rbuflen)
312 {
313     char *hostname;
314     BIGNUM *bn1, *bn2, *bn3;
315     u_int16_t sessid;
316     int err, PAM_error;
317
318     *rbuflen = 0;
319
320     /* check for session id */
321     memcpy(&sessid, ibuf, sizeof(sessid));
322     if (sessid != dhxhash(obj))
323       return AFPERR_PARAM;
324     ibuf += sizeof(sessid);
325     
326     if (uam_afpserver_option(obj, UAM_OPTION_HOSTNAME,
327                              (void *) &hostname, NULL) < 0)
328       return AFPERR_MISC;
329
330     CAST_cbc_encrypt(ibuf, rbuf, CRYPT2BUFLEN, &castkey,
331                      msg3_iv, CAST_DECRYPT);
332     memset(&castkey, 0, sizeof(castkey));
333
334     /* check to make sure that the random number is the same. we
335      * get sent back an incremented random number. */
336     if (!(bn1 = BN_bin2bn(rbuf, KEYSIZE, NULL)))
337       return AFPERR_PARAM;
338
339     if (!(bn2 = BN_bin2bn(randbuf, sizeof(randbuf), NULL))) {
340       BN_free(bn1);
341       return AFPERR_PARAM;
342     }
343       
344     /* zero out the random number */
345     memset(rbuf, 0, sizeof(randbuf));
346     memset(randbuf, 0, sizeof(randbuf));
347     rbuf += KEYSIZE;
348
349     if (!(bn3 = BN_new())) {
350       BN_free(bn2);
351       BN_free(bn1);
352       return AFPERR_PARAM;
353     }
354
355     BN_sub(bn3, bn1, bn2);
356     BN_free(bn2);
357     BN_free(bn1);
358
359     /* okay. is it one more? */
360     if (!BN_is_one(bn3)) {
361       BN_free(bn3);
362       return AFPERR_PARAM;
363     }
364     BN_free(bn3);
365
366     /* Set these things up for the conv function */
367     rbuf[PASSWDLEN] = '\0';
368     PAM_password = rbuf;
369
370     err = AFPERR_NOTAUTH;
371     PAM_error = pam_start("netatalk", PAM_username, &PAM_conversation,
372                           &pamh);
373     if (PAM_error != PAM_SUCCESS)
374     /* Log Entry */
375            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", PAM_error);
376     /* Log Entry */
377       goto logincont_err;
378
379     /* solaris craps out if PAM_TTY and PAM_RHOST aren't set. */
380     pam_set_item(pamh, PAM_TTY, "afpd");
381     pam_set_item(pamh, PAM_RHOST, hostname);
382     PAM_error = pam_authenticate(pamh,0);
383     if (PAM_error != PAM_SUCCESS) {
384       if (PAM_error == PAM_MAXTRIES) 
385         err = AFPERR_PWDEXPR;
386     /* Log Entry */
387            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", PAM_error);
388     /* Log Entry */
389       goto logincont_err;
390     }      
391
392     PAM_error = pam_acct_mgmt(pamh, 0);
393     if (PAM_error != PAM_SUCCESS) {
394       if (PAM_error == PAM_ACCT_EXPIRED)
395         err = AFPERR_PWDEXPR;
396 #ifdef PAM_AUTHTOKEN_REQD
397       else if (PAM_error == PAM_AUTHTOKEN_REQD) 
398         err = AFPERR_PWDCHNG;
399 #endif
400     /* Log Entry */
401            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", PAM_error);
402     /* Log Entry */
403       goto logincont_err;
404     }
405
406 #ifndef PAM_CRED_ESTABLISH
407 #define PAM_CRED_ESTABLISH PAM_ESTABLISH_CRED
408 #endif
409     PAM_error = pam_setcred(pamh, PAM_CRED_ESTABLISH);
410     if (PAM_error != PAM_SUCCESS)
411     /* Log Entry */
412            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", PAM_error);
413     /* Log Entry */
414       goto logincont_err;
415
416     PAM_error = pam_open_session(pamh, 0);
417     if (PAM_error != PAM_SUCCESS)
418     /* Log Entry */
419            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM_Error: %s -- %m", PAM_error);
420     /* Log Entry */
421       goto logincont_err;
422
423     memset(rbuf, 0, PASSWDLEN); /* zero out the password */
424     *uam_pwd = dhxpwd;
425     /* Log Entry */
426            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: PAM Auth OK!: %s -- %m", AFP_OK);
427     /* Log Entry */
428     return AFP_OK;
429
430 logincont_err:
431     pam_end(pamh, PAM_error);
432     pamh = NULL;
433     memset(rbuf, 0, CRYPT2BUFLEN);
434     return err;
435 }
436
437 /* logout */
438 static void pam_logout() {
439     pam_close_session(pamh, 0);
440     pam_end(pamh, 0);
441     pamh = NULL;
442 }
443
444
445 /* change pw for dhx needs a couple passes to get everything all
446  * right. basically, it's like the login/logincont sequence */
447 static int pam_changepw(void *obj, char *username,
448                         struct passwd *pwd, char *ibuf, int ibuflen,
449                         char *rbuf, int *rbuflen)
450 {
451     BIGNUM *bn1, *bn2, *bn3;
452
453     char *hostname;
454     pam_handle_t *lpamh;
455     uid_t uid;
456     u_int16_t sessid;
457     int PAM_error;
458
459     /* grab the id */
460     memcpy(&sessid, ibuf, sizeof(sessid));
461     ibuf += sizeof(sessid);
462     
463     if (!sessid) {  /* no sessid -> initialization phase */
464       PAM_username = username;
465       ibuflen -= sizeof(sessid);
466       return dhx_setup(obj, ibuf, ibuflen, rbuf, rbuflen);
467     }
468
469
470     /* otherwise, it's like logincont but different. */
471
472     /* check out the session id */
473     if (sessid != dhxhash(obj))
474     /* Log Entry */
475            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Session ID not Equal to DHX Hash -- %m",);
476     /* Log Entry */
477       return AFPERR_PARAM;
478
479     /* we need this for pam */
480     if (uam_afpserver_option(obj, UAM_OPTION_HOSTNAME,
481                              (void *) &hostname, NULL) < 0)
482     /* Log Entry */
483            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Hostname Null?? -- %m",);
484     /* Log Entry */
485       return AFPERR_MISC;
486
487     /* grab the client's nonce, old password, and new password. */
488     CAST_cbc_encrypt(ibuf, ibuf, CHANGEPWBUFLEN, &castkey,
489                      msg3_iv, CAST_DECRYPT);
490     memset(&castkey, 0, sizeof(castkey));
491
492     /* check to make sure that the random number is the same. we
493      * get sent back an incremented random number. */
494     if (!(bn1 = BN_bin2bn(ibuf, KEYSIZE, NULL)))
495     /* Log Entry */
496            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Random Number Not the same or not incremented-- %m",);
497     /* Log Entry */
498       return AFPERR_PARAM;
499
500     if (!(bn2 = BN_bin2bn(randbuf, sizeof(randbuf), NULL))) {
501       BN_free(bn1);
502     /* Log Entry */
503            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Random Number Not the same or not incremented -- %m",);
504     /* Log Entry */
505       return AFPERR_PARAM;
506     }
507       
508     /* zero out the random number */
509     memset(rbuf, 0, sizeof(randbuf));
510     memset(randbuf, 0, sizeof(randbuf));
511
512     if (!(bn3 = BN_new())) {
513       BN_free(bn2);
514       BN_free(bn1);
515     /* Log Entry */
516            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Random Number did not Zero -- %m",);
517     /* Log Entry */
518       return AFPERR_PARAM;
519     }
520
521     BN_sub(bn3, bn1, bn2);
522     BN_free(bn2);
523     BN_free(bn1);
524
525     /* okay. is it one more? */
526 #if 0
527     if (!BN_is_one(bn3)) {
528       BN_free(bn3);
529     /* Log Entry */
530            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: After Random Number not Zero, is it one more? -- %m",);
531     /* Log Entry */
532       return AFPERR_PARAM;
533     }
534 #endif
535     BN_free(bn3);
536
537     /* Set these things up for the conv function. the old password
538      * is at the end. */
539     ibuf += KEYSIZE;
540     ibuf[PASSWDLEN + PASSWDLEN] = '\0';
541     PAM_password = ibuf + PASSWDLEN;
542
543     PAM_error = pam_start("netatalk", username, &PAM_conversation,
544                           &lpamh);
545     if (PAM_error != PAM_SUCCESS)
546     /* Log Entry */
547            syslog(LOG_INFO, "uams_dhx_pam.c :PAM: Needless to say, PAM_error is != to PAM_SUCCESS -- %m",);
548     /* Log Entry */
549       return AFPERR_PARAM;
550     pam_set_item(lpamh, PAM_TTY, "afpd");
551     pam_set_item(lpamh, PAM_RHOST, hostname);
552
553     /* we might need to do this as root */
554     uid = geteuid();
555     seteuid(0);
556     PAM_error = pam_authenticate(lpamh, 0);
557     if (PAM_error != PAM_SUCCESS) {
558       seteuid(uid);
559       pam_end(lpamh, PAM_error);
560       return AFPERR_NOTAUTH;
561     }
562
563     /* clear out old passwd */
564     memset(ibuf + PASSWDLEN, 0, PASSWDLEN);
565
566     /* new password */
567     PAM_password = ibuf;
568     ibuf[PASSWDLEN] = '\0';
569
570     /* this really does need to be done as root */
571     PAM_error = pam_chauthtok(lpamh, 0);
572     seteuid(uid); /* un-root ourselves. */
573     memset(ibuf, 0, PASSWDLEN);
574     if (PAM_error != PAM_SUCCESS) {
575       pam_end(lpamh, PAM_error);
576       return AFPERR_ACCESS;
577     }
578
579     pam_end(lpamh, 0);
580     return AFP_OK;
581 }
582
583
584 static int uam_setup(const char *path)
585 {
586   if (uam_register(UAM_SERVER_LOGIN, path, "DHCAST128", pam_login, 
587                    pam_logincont, pam_logout) < 0)
588     return -1;
589
590   if (uam_register(UAM_SERVER_CHANGEPW, path, "DHCAST128", 
591                    pam_changepw) < 0) {
592     uam_unregister(UAM_SERVER_LOGIN, "DHCAST128");
593     return -1;
594   }
595
596   /*uam_register(UAM_SERVER_PRINTAUTH, path, "DHCAST128",
597     pam_printer);*/
598
599   return 0;
600 }
601
602 static void uam_cleanup(void)
603 {
604   uam_unregister(UAM_SERVER_LOGIN, "DHCAST128");
605   uam_unregister(UAM_SERVER_CHANGEPW, "DHCAST128");
606   /*uam_unregister(UAM_SERVER_PRINTAUTH, "DHCAST128"); */
607 }
608
609 UAM_MODULE_EXPORT struct uam_export uams_dhx = {
610   UAM_MODULE_SERVER,
611   UAM_MODULE_VERSION,
612   uam_setup, uam_cleanup
613 };
614
615 #endif /* USE_PAM && UAM_DHX */
616 \0
Alex' Netatalk development repository