etc/afpd/auth.c

   1 /*
   2  * Copyright (c) 1990,1993 Regents of The University of Michigan.
   3  * All Rights Reserved.  See COPYRIGHT.
   4  */
   5
   6 #ifdef HAVE_CONFIG_H
   7 #include "config.h"
   8 #endif
   9
  10 #include <stdio.h>
  11 #include <stdlib.h>
  12 #include <unistd.h>
  13 #include <sys/types.h>
  14 #include <sys/param.h>
  15 #include <sys/stat.h>
  16 #include <netatalk/endian.h>
  17 #include <atalk/afp.h>
  18 #include <atalk/compat.h>
  19 #include <atalk/util.h>
  20 #include <limits.h>
  21 #include <string.h>
  22 #include <ctype.h>
  23
  24 #ifdef SHADOWPW
  25 #include <shadow.h>
  26 #endif
  27
  28 #include <pwd.h>
  29 #include <grp.h>
  30 #include <syslog.h>
  31
  32 #include "globals.h"
  33 #include "auth.h"
  34 #include "uam_auth.h"
  35 #include "switch.h"
  36 #include "status.h"
  37
  38 int     afp_version = 11;
  39 uid_t   uuid;
  40 #if defined( __svr4__ ) && !defined( NGROUPS )
  41 #define NGROUPS NGROUPS_MAX
  42 #endif __svr4__ NGROUPS
  43 #if defined( sun ) && !defined( __svr4__ ) || defined( ultrix )
  44 int     groups[ NGROUPS ];
  45 #else sun __svr4__ ultrix
  46 #if defined( __svr4__ ) && !defined( NGROUPS )
  47 #define NGROUPS NGROUPS_MAX
  48 #endif __svr4__ NGROUPS
  49 gid_t   groups[ NGROUPS ];
  50 #endif sun ultrix
  51 int     ngroups;
  52
  53 /*
  54  * These numbers are scattered throughout the code.
  55  */
  56 static struct afp_versions      afp_versions[] = {
  57     { "AFPVersion 1.1", 11 },
  58     { "AFPVersion 2.0", 20 },
  59     { "AFPVersion 2.1", 21 },
  60     { "AFP2.2", 22 }
  61 };
  62
  63 static struct uam_mod uam_modules = {NULL, NULL, &uam_modules, &uam_modules};
  64 static struct uam_obj uam_login = {"", "", 0, {{NULL}}, &uam_login,
  65                                    &uam_login};
  66 static struct uam_obj uam_changepw = {"", "", 0, {{NULL}}, &uam_changepw,
  67                                       &uam_changepw};
  68
  69 static struct uam_obj *afp_uam = NULL;
  70
  71
  72 /* Variables for CAP style printer authentication */
  73 #ifdef CAPDIR
  74 extern int addr_net, addr_node, addr_uid;
  75 extern char addr_name[32];
  76 #endif /* CAPDIR */
  77
  78 void status_versions( data )
  79     char        *data;
  80 {
  81     char                *start = data;
  82     u_int16_t           status;
  83     int                 len, num, i;
  84
  85     memcpy(&status, start + AFPSTATUS_VERSOFF, sizeof(status));
  86     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ] );
  87     data += ntohs( status );
  88     *data++ = num;
  89     for ( i = 0; i < num; i++ ) {
  90         len = strlen( afp_versions[ i ].av_name );
  91         *data++ = len;
  92         memcpy( data, afp_versions[ i ].av_name , len );
  93         data += len;
  94     }
  95     status = htons( data - start );
  96     memcpy(start + AFPSTATUS_UAMSOFF, &status, sizeof(status));
  97 }
  98
  99 void status_uams(char *data, const char *authlist)
 100 {
 101     char                *start = data;
 102     u_int16_t           status;
 103     struct uam_obj      *uams;
 104     int                 len, num = 0;
 105
 106     memcpy(&status, start + AFPSTATUS_UAMSOFF, sizeof(status));
 107     uams = &uam_login;
 108     while ((uams = uams->uam_prev) != &uam_login) {
 109       if (strstr(authlist, uams->uam_path))
 110         num++;
 111     }
 112
 113     data += ntohs( status );
 114     *data++ = num;
 115     while ((uams = uams->uam_prev) != &uam_login) {
 116       if (strstr(authlist, uams->uam_path)) {
 117         syslog(LOG_INFO, "uam: \"%s\" available", uams->uam_name);
 118         len = strlen( uams->uam_name);
 119         *data++ = len;
 120         memcpy( data, uams->uam_name, len );
 121         data += len;
 122       }
 123     }
 124
 125     /* icon offset */
 126     status = htons(data - start);
 127     memcpy(start + AFPSTATUS_ICONOFF, &status, sizeof(status));
 128 }
 129
 130 /* handle errors by closing the connection. this is only needed
 131  * by the afp_* functions. */
 132 static int send_reply(const AFPObj *obj, const int err)
 133 {
 134   if ((err == AFP_OK) || (err == AFPERR_AUTHCONT))
 135     return err;
 136
 137   obj->reply(obj->handle, err);
 138   obj->exit(0);
 139 }
 140
 141 static int login(AFPObj *obj, struct passwd *pwd, void (*logout)(void))
 142 {
 143 #ifdef CAPDIR
 144     char nodename[256];
 145     FILE *fp;
 146 #endif /* CAPDIR */
 147
 148     if ( pwd->pw_uid == 0 ) {   /* don't allow root login */
 149         syslog( LOG_ERR, "login: root login denied!" );
 150         return AFPERR_NOTAUTH;
 151     }
 152
 153     syslog( LOG_INFO, "login %s (uid %d, gid %d)", pwd->pw_name,
 154             pwd->pw_uid, pwd->pw_gid );
 155
 156 #ifdef CAPDIR
 157     if(addr_net && addr_node) { /* Do we have a valid Appletalk address? */
 158         addr_uid = pwd->pw_uid;
 159         strncpy(addr_name, pwd->pw_name, 32);
 160         sprintf(nodename, "%s/net%d.%dnode%d", CAPDIR, addr_net / 256, addr_net % 256, addr_node);
 161         syslog (LOG_INFO, "registering %s (uid %d) on %u.%u as %s",
 162                         addr_name, addr_uid, addr_net, addr_node, nodename);
 163         fp = fopen(nodename, "w");
 164         fprintf(fp, "%s\n", addr_name);
 165         fclose(fp);
 166     }
 167 #endif /* CAPDIR */
 168
 169     if (initgroups( pwd->pw_name, pwd->pw_gid ) < 0) {
 170 #ifdef RUN_AS_USER
 171       syslog(LOG_INFO, "running with uid %d", geteuid());
 172 #else
 173       syslog(LOG_ERR, "login: %m");
 174       return AFPERR_BADUAM;
 175 #endif
 176     }
 177
 178     if (setegid( pwd->pw_gid ) < 0 || seteuid( pwd->pw_uid ) < 0) {
 179         syslog( LOG_ERR, "login: %m" );
 180         return AFPERR_BADUAM;
 181     }
 182
 183     if (( ngroups = getgroups( NGROUPS, groups )) < 0 ) {
 184         syslog( LOG_ERR, "login: getgroups: %m" );
 185         return AFPERR_BADUAM;
 186     }
 187     uuid = pwd->pw_uid;
 188
 189     afp_switch = postauth_switch;
 190     obj->logout = logout;
 191     return( AFP_OK );
 192 }
 193
 194 int afp_login(obj, ibuf, ibuflen, rbuf, rbuflen )
 195     AFPObj      *obj;
 196     char        *ibuf, *rbuf;
 197     int         ibuflen, *rbuflen;
 198 {
 199     struct passwd *pwd = NULL;
 200     int         len, i, num;
 201
 202     *rbuflen = 0;
 203
 204     if ( nologin & 1)
 205         return send_reply(obj, AFPERR_SHUTDOWN );
 206
 207     ibuf++;
 208     len = (unsigned char) *ibuf++;
 209     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ]);
 210     for ( i = 0; i < num; i++ ) {
 211         if ( strncmp( ibuf, afp_versions[ i ].av_name , len ) == 0 ) {
 212             afp_version = afp_versions[ i ].av_number;
 213             break;
 214         }
 215     }
 216     if ( i == num )                             /* An inappropo version */
 217         return send_reply(obj, AFPERR_BADVERS );
 218     ibuf += len;
 219
 220     len = (unsigned char) *ibuf++;
 221     if ((afp_uam = auth_uamfind(UAM_SERVER_LOGIN, ibuf, len)) == NULL)
 222       return send_reply(obj, AFPERR_BADUAM);
 223     ibuf += len;
 224
 225     i = afp_uam->u.uam_login.login(obj, &pwd, ibuf, ibuflen, rbuf, rbuflen);
 226     if (i || !pwd)
 227       return send_reply(obj, i);
 228
 229     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 230 }
 231
 232
 233 int afp_logincont(obj, ibuf, ibuflen, rbuf, rbuflen)
 234     AFPObj      *obj;
 235     char        *ibuf, *rbuf;
 236     int         ibuflen, *rbuflen;
 237 {
 238     struct passwd *pwd = NULL;
 239     int err;
 240
 241     if ( afp_uam == NULL || afp_uam->u.uam_login.logincont == NULL ) {
 242         *rbuflen = 0;
 243         return send_reply(obj, AFPERR_NOTAUTH );
 244     }
 245
 246     ibuf += 2;
 247     err = afp_uam->u.uam_login.logincont(obj, &pwd, ibuf, ibuflen,
 248                                          rbuf, rbuflen);
 249     if (err || !pwd)
 250       return send_reply(obj, err);
 251
 252     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 253 }
 254
 255
 256 int afp_logout(obj, ibuf, ibuflen, rbuf, rbuflen)
 257      AFPObj     *obj;
 258      char       *ibuf, *rbuf;
 259      int        ibuflen, *rbuflen;
 260 {
 261   syslog(LOG_INFO, "logout %s", obj->username);
 262   obj->exit(0);
 263 }
 264
 265
 266
 267 /* change password  --
 268  * NOTE: an FPLogin must already have completed successfully for this
 269  *       to work. this also does a little pre-processing before it hands
 270  *       it off to the uam.
 271  */
 272 int afp_changepw(obj, ibuf, ibuflen, rbuf, rbuflen )
 273     AFPObj      *obj;
 274     char        *ibuf, *rbuf;
 275     int         ibuflen, *rbuflen;
 276 {
 277   char username[MACFILELEN + 1], *start = ibuf;
 278   struct uam_obj *uam;
 279   struct passwd *pwd;
 280   int len;
 281
 282   *rbuflen = 0;
 283   ibuf += 2;
 284
 285   /* make sure we can deal w/ this uam */
 286   len = (unsigned char) *ibuf++;
 287   if ((uam = auth_uamfind(UAM_SERVER_CHANGEPW, ibuf, len)) == NULL)
 288     return AFPERR_BADUAM;
 289
 290   ibuf += len;
 291   if ((len + 1) & 1) /* pad byte */
 292     ibuf++;
 293
 294   len = (unsigned char) *ibuf++;
 295   if ( len > sizeof(username) - 1) {
 296     return AFPERR_PARAM;
 297   }
 298   memcpy(username, ibuf, len);
 299   username[ len ] = '\0';
 300   ibuf += len;
 301   if ((len + 1) & 1) /* pad byte */
 302     ibuf++;
 303
 304   syslog(LOG_INFO, "changing password for <%s>", username);
 305
 306   if (( pwd = uam_getname( username, sizeof(username))) == NULL )
 307     return AFPERR_PARAM;
 308
 309   /* send it off to the uam. we really don't use ibuflen right now. */
 310   ibuflen -= (ibuf - start);
 311   len = uam->u.uam_changepw(obj, username, pwd, ibuf, ibuflen,
 312                             rbuf, rbuflen);
 313   syslog(LOG_INFO, "password change %s.",
 314          (len == AFPERR_AUTHCONT) ? "continued" :
 315          (len ? "failed" : "succeeded"));
 316   return len;
 317 }
 318
 319
 320 /* FPGetUserInfo */
 321 int afp_getuserinfo(obj, ibuf, ibuflen, rbuf, rbuflen )
 322     AFPObj      *obj;
 323     char        *ibuf, *rbuf;
 324     int         ibuflen, *rbuflen;
 325 {
 326     u_int8_t  thisuser;
 327     u_int32_t id;
 328     u_int16_t bitmap;
 329
 330     *rbuflen = 0;
 331     ibuf++;
 332     thisuser = *ibuf++;
 333     ibuf += sizeof(id); /* userid is not used in AFP 2.0 */
 334     memcpy(&bitmap, ibuf, sizeof(bitmap));
 335     bitmap = ntohs(bitmap);
 336
 337     /* deal with error cases. we don't have to worry about
 338      * AFPERR_ACCESS or AFPERR_NOITEM as geteuid and getegid always
 339      * succeed. */
 340     if (!thisuser)
 341       return AFPERR_PARAM;
 342     if ((bitmap & USERIBIT_ALL) != bitmap)
 343       return AFPERR_BITMAP;
 344
 345     /* copy the bitmap back to reply buffer */
 346     memcpy(rbuf, ibuf, sizeof(bitmap));
 347     rbuf += sizeof(bitmap);
 348     *rbuflen = sizeof(bitmap);
 349
 350     /* copy the user/group info */
 351     if (bitmap & USERIBIT_USER) {
 352       id = htonl(geteuid());
 353       memcpy(rbuf, &id, sizeof(id));
 354       rbuf += sizeof(id);
 355       *rbuflen += sizeof(id);
 356     }
 357
 358     if (bitmap & USERIBIT_GROUP) {
 359       id = htonl(getegid());
 360       memcpy(rbuf, &id, sizeof(id));
 361       rbuf += sizeof(id);
 362       *rbuflen += sizeof(id);
 363     }
 364
 365     return AFP_OK;
 366 }
 367
 368 #define UAM_LIST(type) (((type) == UAM_SERVER_LOGIN) ? &uam_login : \
 369                         (((type) == UAM_SERVER_CHANGEPW) ? \
 370                          &uam_changepw : NULL))
 371
 372 /* just do a linked list search. this could be sped up with a hashed
 373  * list, but i doubt anyone's going to have enough uams to matter. */
 374 struct uam_obj *auth_uamfind(const int type, const char *name,
 375                              const int len)
 376 {
 377   struct uam_obj *prev, *start;
 378
 379   if (!name || !(start = UAM_LIST(type)))
 380     return NULL;
 381
 382   prev = start;
 383   while ((prev = prev->uam_prev) != start)
 384     if (strndiacasecmp(prev->uam_name, name, len) == 0)
 385       return prev;
 386
 387   return NULL;
 388 }
 389
 390 int auth_register(const int type, struct uam_obj *uam)
 391 {
 392   struct uam_obj *start;
 393
 394   if (!uam || !uam->uam_name || (*uam->uam_name == '\0'))
 395     return -1;
 396
 397   if (!(start = UAM_LIST(type)))
 398     return 0; /* silently fail */
 399
 400   uam_attach(start, uam);
 401   return 0;
 402 }
 403
 404 /* load all of the modules */
 405 int auth_load(const char *path, const char *list)
 406 {
 407   char name[MAXPATHLEN + 1], buf[MAXPATHLEN + 1], *p;
 408   struct uam_mod *mod;
 409   struct stat st;
 410   int len;
 411
 412   if (!path || !list || (len = strlen(path)) > sizeof(name) - 2)
 413     return -1;
 414
 415   strncpy(buf, list, sizeof(buf));
 416   if ((p = strtok(buf, ",")) == NULL)
 417     return -1;
 418
 419   strcpy(name, path);
 420   if (name[len - 1] != '/') {
 421     strcat(name, "/");
 422     len++;
 423   }
 424
 425   while (p) {
 426     strncpy(name + len, p, sizeof(name) - len);
 427     if ((stat(name, &st) == 0) && (mod = uam_load(name, p))) {
 428       uam_attach(&uam_modules, mod);
 429       syslog(LOG_INFO, "uam: %s loaded", p);
 430     }
 431     p = strtok(NULL, ",");
 432   }
 433 }
 434
 435 /* get rid of all of the uams */
 436 void auth_unload()
 437 {
 438   struct uam_mod *mod, *prev, *start = &uam_modules;
 439
 440   prev = start->uam_prev;
 441   while ((mod = prev) != start) {
 442     prev = prev->uam_prev;
 443     uam_detach(mod);
 444     uam_unload(mod);
 445   }
 446 }