etc/afpd/auth.c

   1 /*
   2  * Copyright (c) 1990,1993 Regents of The University of Michigan.
   3  * All Rights Reserved.  See COPYRIGHT.
   4  */
   5
   6 #include <stdio.h>
   7 #include <stdlib.h>
   8 #include <unistd.h>
   9 #include <sys/types.h>
  10 #include <sys/param.h>
  11 #include <sys/stat.h>
  12 #include <netatalk/endian.h>
  13 #include <atalk/afp.h>
  14 #include <atalk/compat.h>
  15 #include <atalk/util.h>
  16 #include <limits.h>
  17 #include <string.h>
  18 #include <ctype.h>
  19
  20 #ifdef SHADOWPW
  21 #include <shadow.h>
  22 #endif
  23
  24 #include <pwd.h>
  25 #include <grp.h>
  26 #include <syslog.h>
  27
  28 #include "globals.h"
  29 #include "auth.h"
  30 #include "uam_auth.h"
  31 #include "switch.h"
  32 #include "status.h"
  33
  34 int     afp_version = 11;
  35 uid_t   uuid;
  36 #if defined( __svr4__ ) && !defined( NGROUPS )
  37 #define NGROUPS NGROUPS_MAX
  38 #endif __svr4__ NGROUPS
  39 #if defined( sun ) && !defined( __svr4__ ) || defined( ultrix )
  40 int     groups[ NGROUPS ];
  41 #else sun __svr4__ ultrix
  42 #if defined( __svr4__ ) && !defined( NGROUPS )
  43 #define NGROUPS NGROUPS_MAX
  44 #endif __svr4__ NGROUPS
  45 gid_t   groups[ NGROUPS ];
  46 #endif sun ultrix
  47 int     ngroups;
  48
  49 /*
  50  * These numbers are scattered throughout the code.
  51  */
  52 static struct afp_versions      afp_versions[] = {
  53     { "AFPVersion 1.1", 11 },
  54     { "AFPVersion 2.0", 20 },
  55     { "AFPVersion 2.1", 21 },
  56     { "AFP2.2", 22 }
  57 };
  58
  59 static struct uam_mod uam_modules = {NULL, NULL, &uam_modules, &uam_modules};
  60 static struct uam_obj uam_login = {"", "", 0, {{NULL}}, &uam_login,
  61                                    &uam_login};
  62 static struct uam_obj uam_changepw = {"", "", 0, {{NULL}}, &uam_changepw,
  63                                       &uam_changepw};
  64
  65 static struct uam_obj *afp_uam = NULL;
  66
  67
  68 /* Variables for CAP style printer authentication */
  69 #ifdef CAPDIR
  70 extern int addr_net, addr_node, addr_uid;
  71 extern char addr_name[32];
  72 #endif /* CAPDIR */
  73
  74 void status_versions( data )
  75     char        *data;
  76 {
  77     char                *start = data;
  78     u_int16_t           status;
  79     int                 len, num, i;
  80
  81     memcpy(&status, start + AFPSTATUS_VERSOFF, sizeof(status));
  82     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ] );
  83     data += ntohs( status );
  84     *data++ = num;
  85     for ( i = 0; i < num; i++ ) {
  86         len = strlen( afp_versions[ i ].av_name );
  87         *data++ = len;
  88         memcpy( data, afp_versions[ i ].av_name , len );
  89         data += len;
  90     }
  91     status = htons( data - start );
  92     memcpy(start + AFPSTATUS_UAMSOFF, &status, sizeof(status));
  93 }
  94
  95 void status_uams(char *data, const char *authlist)
  96 {
  97     char                *start = data;
  98     u_int16_t           status;
  99     struct uam_obj      *uams;
 100     int                 len, num = 0;
 101
 102     memcpy(&status, start + AFPSTATUS_UAMSOFF, sizeof(status));
 103     uams = &uam_login;
 104     while ((uams = uams->uam_prev) != &uam_login) {
 105       if (strstr(authlist, uams->uam_path))
 106         num++;
 107     }
 108
 109     data += ntohs( status );
 110     *data++ = num;
 111     while ((uams = uams->uam_prev) != &uam_login) {
 112       if (strstr(authlist, uams->uam_path)) {
 113         syslog(LOG_INFO, "uam: \"%s\" available", uams->uam_name);
 114         len = strlen( uams->uam_name);
 115         *data++ = len;
 116         memcpy( data, uams->uam_name, len );
 117         data += len;
 118       }
 119     }
 120
 121     /* icon offset */
 122     status = htons(data - start);
 123     memcpy(start + AFPSTATUS_ICONOFF, &status, sizeof(status));
 124 }
 125
 126 /* handle errors by closing the connection. this is only needed
 127  * by the afp_* functions. */
 128 static int send_reply(const AFPObj *obj, const int err)
 129 {
 130   if ((err == AFP_OK) || (err == AFPERR_AUTHCONT))
 131     return err;
 132
 133   obj->reply(obj->handle, err);
 134   obj->exit(0);
 135 }
 136
 137 static int login(AFPObj *obj, struct passwd *pwd, void (*logout)(void))
 138 {
 139 #ifdef CAPDIR
 140     char nodename[256];
 141     FILE *fp;
 142 #endif /* CAPDIR */
 143
 144     if ( pwd->pw_uid == 0 ) {   /* don't allow root login */
 145         syslog( LOG_ERR, "login: root login denied!" );
 146         return AFPERR_NOTAUTH;
 147     }
 148
 149     syslog( LOG_INFO, "login %s (uid %d, gid %d)", pwd->pw_name,
 150             pwd->pw_uid, pwd->pw_gid );
 151
 152 #ifdef CAPDIR
 153     if(addr_net && addr_node) { /* Do we have a valid Appletalk address? */
 154         addr_uid = pwd->pw_uid;
 155         strncpy(addr_name, pwd->pw_name, 32);
 156         sprintf(nodename, "%s/net%d.%dnode%d", CAPDIR, addr_net / 256, addr_net % 256, addr_node);
 157         syslog (LOG_INFO, "registering %s (uid %d) on %u.%u as %s",
 158                         addr_name, addr_uid, addr_net, addr_node, nodename);
 159         fp = fopen(nodename, "w");
 160         fprintf(fp, "%s\n", addr_name);
 161         fclose(fp);
 162     }
 163 #endif /* CAPDIR */
 164
 165     if (initgroups( pwd->pw_name, pwd->pw_gid ) < 0) {
 166 #ifdef RUN_AS_USER
 167       syslog(LOG_INFO, "running with uid %d", geteuid());
 168 #else
 169       syslog(LOG_ERR, "login: %m");
 170       return AFPERR_BADUAM;
 171 #endif
 172     }
 173
 174     if (setegid( pwd->pw_gid ) < 0 || seteuid( pwd->pw_uid ) < 0) {
 175         syslog( LOG_ERR, "login: %m" );
 176         return AFPERR_BADUAM;
 177     }
 178
 179     if (( ngroups = getgroups( NGROUPS, groups )) < 0 ) {
 180         syslog( LOG_ERR, "login: getgroups: %m" );
 181         return AFPERR_BADUAM;
 182     }
 183     uuid = pwd->pw_uid;
 184
 185     afp_switch = postauth_switch;
 186     obj->logout = logout;
 187     return( AFP_OK );
 188 }
 189
 190 int afp_login(obj, ibuf, ibuflen, rbuf, rbuflen )
 191     AFPObj      *obj;
 192     char        *ibuf, *rbuf;
 193     int         ibuflen, *rbuflen;
 194 {
 195     struct passwd *pwd = NULL;
 196     int         len, i, num;
 197
 198     *rbuflen = 0;
 199
 200     if ( nologin & 1)
 201         return send_reply(obj, AFPERR_SHUTDOWN );
 202
 203     ibuf++;
 204     len = (unsigned char) *ibuf++;
 205     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ]);
 206     for ( i = 0; i < num; i++ ) {
 207         if ( strncmp( ibuf, afp_versions[ i ].av_name , len ) == 0 ) {
 208             afp_version = afp_versions[ i ].av_number;
 209             break;
 210         }
 211     }
 212     if ( i == num )                             /* An inappropo version */
 213         return send_reply(obj, AFPERR_BADVERS );
 214     ibuf += len;
 215
 216     len = (unsigned char) *ibuf++;
 217     if ((afp_uam = auth_uamfind(UAM_SERVER_LOGIN, ibuf, len)) == NULL)
 218       return send_reply(obj, AFPERR_BADUAM);
 219     ibuf += len;
 220
 221     i = afp_uam->u.uam_login.login(obj, &pwd, ibuf, ibuflen, rbuf, rbuflen);
 222     if (i || !pwd)
 223       return send_reply(obj, i);
 224
 225     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 226 }
 227
 228
 229 int afp_logincont(obj, ibuf, ibuflen, rbuf, rbuflen)
 230     AFPObj      *obj;
 231     char        *ibuf, *rbuf;
 232     int         ibuflen, *rbuflen;
 233 {
 234     struct passwd *pwd = NULL;
 235     int err;
 236
 237     if ( afp_uam == NULL || afp_uam->u.uam_login.logincont == NULL ) {
 238         *rbuflen = 0;
 239         return send_reply(obj, AFPERR_NOTAUTH );
 240     }
 241
 242     ibuf += 2;
 243     err = afp_uam->u.uam_login.logincont(obj, &pwd, ibuf, ibuflen,
 244                                          rbuf, rbuflen);
 245     if (err || !pwd)
 246       return send_reply(obj, err);
 247
 248     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 249 }
 250
 251
 252 int afp_logout(obj, ibuf, ibuflen, rbuf, rbuflen)
 253      AFPObj     *obj;
 254      char       *ibuf, *rbuf;
 255      int        ibuflen, *rbuflen;
 256 {
 257   syslog(LOG_INFO, "logout %s", obj->username);
 258   obj->exit(0);
 259 }
 260
 261
 262
 263 /* change password  --
 264  * NOTE: an FPLogin must already have completed successfully for this
 265  *       to work. this also does a little pre-processing before it hands
 266  *       it off to the uam.
 267  */
 268 int afp_changepw(obj, ibuf, ibuflen, rbuf, rbuflen )
 269     AFPObj      *obj;
 270     char        *ibuf, *rbuf;
 271     int         ibuflen, *rbuflen;
 272 {
 273   char username[MACFILELEN + 1], *start = ibuf;
 274   struct uam_obj *uam;
 275   struct passwd *pwd;
 276   int len;
 277
 278   *rbuflen = 0;
 279   ibuf += 2;
 280
 281   /* make sure we can deal w/ this uam */
 282   len = (unsigned char) *ibuf++;
 283   if ((uam = auth_uamfind(UAM_SERVER_CHANGEPW, ibuf, len)) == NULL)
 284     return AFPERR_BADUAM;
 285
 286   ibuf += len;
 287   if ((len + 1) & 1) /* pad byte */
 288     ibuf++;
 289
 290   len = (unsigned char) *ibuf++;
 291   if ( len > sizeof(username) - 1) {
 292     return AFPERR_PARAM;
 293   }
 294   memcpy(username, ibuf, len);
 295   username[ len ] = '\0';
 296   ibuf += len;
 297   if ((len + 1) & 1) /* pad byte */
 298     ibuf++;
 299
 300   syslog(LOG_INFO, "changing password for <%s>", username);
 301
 302   if (( pwd = uam_getname( username, sizeof(username))) == NULL )
 303     return AFPERR_PARAM;
 304
 305   /* send it off to the uam. we really don't use ibuflen right now. */
 306   ibuflen -= (ibuf - start);
 307   len = uam->u.uam_changepw(obj, username, pwd, ibuf, ibuflen,
 308                             rbuf, rbuflen);
 309   syslog(LOG_INFO, "password change %s.",
 310          (len == AFPERR_AUTHCONT) ? "continued" :
 311          (len ? "failed" : "succeeded"));
 312   return len;
 313 }
 314
 315
 316 /* FPGetUserInfo */
 317 int afp_getuserinfo(obj, ibuf, ibuflen, rbuf, rbuflen )
 318     AFPObj      *obj;
 319     char        *ibuf, *rbuf;
 320     int         ibuflen, *rbuflen;
 321 {
 322     u_int8_t  thisuser;
 323     u_int32_t id;
 324     u_int16_t bitmap;
 325
 326     *rbuflen = 0;
 327     ibuf++;
 328     thisuser = *ibuf++;
 329     ibuf += sizeof(id); /* userid is not used in AFP 2.0 */
 330     memcpy(&bitmap, ibuf, sizeof(bitmap));
 331     bitmap = ntohs(bitmap);
 332
 333     /* deal with error cases. we don't have to worry about
 334      * AFPERR_ACCESS or AFPERR_NOITEM as geteuid and getegid always
 335      * succeed. */
 336     if (!thisuser)
 337       return AFPERR_PARAM;
 338     if ((bitmap & USERIBIT_ALL) != bitmap)
 339       return AFPERR_BITMAP;
 340
 341     /* copy the bitmap back to reply buffer */
 342     memcpy(rbuf, ibuf, sizeof(bitmap));
 343     rbuf += sizeof(bitmap);
 344     *rbuflen = sizeof(bitmap);
 345
 346     /* copy the user/group info */
 347     if (bitmap & USERIBIT_USER) {
 348       id = htonl(geteuid());
 349       memcpy(rbuf, &id, sizeof(id));
 350       rbuf += sizeof(id);
 351       *rbuflen += sizeof(id);
 352     }
 353
 354     if (bitmap & USERIBIT_GROUP) {
 355       id = htonl(getegid());
 356       memcpy(rbuf, &id, sizeof(id));
 357       rbuf += sizeof(id);
 358       *rbuflen += sizeof(id);
 359     }
 360
 361     return AFP_OK;
 362 }
 363
 364 #define UAM_LIST(type) (((type) == UAM_SERVER_LOGIN) ? &uam_login : \
 365                         (((type) == UAM_SERVER_CHANGEPW) ? \
 366                          &uam_changepw : NULL))
 367
 368 /* just do a linked list search. this could be sped up with a hashed
 369  * list, but i doubt anyone's going to have enough uams to matter. */
 370 struct uam_obj *auth_uamfind(const int type, const char *name,
 371                              const int len)
 372 {
 373   struct uam_obj *prev, *start;
 374
 375   if (!name || !(start = UAM_LIST(type)))
 376     return NULL;
 377
 378   prev = start;
 379   while ((prev = prev->uam_prev) != start)
 380     if (strndiacasecmp(prev->uam_name, name, len) == 0)
 381       return prev;
 382
 383   return NULL;
 384 }
 385
 386 int auth_register(const int type, struct uam_obj *uam)
 387 {
 388   struct uam_obj *start;
 389
 390   if (!uam || !uam->uam_name || (*uam->uam_name == '\0'))
 391     return -1;
 392
 393   if (!(start = UAM_LIST(type)))
 394     return 0; /* silently fail */
 395
 396   uam_attach(start, uam);
 397   return 0;
 398 }
 399
 400 /* load all of the modules */
 401 int auth_load(const char *path, const char *list)
 402 {
 403   char name[MAXPATHLEN + 1], buf[MAXPATHLEN + 1], *p;
 404   struct uam_mod *mod;
 405   struct stat st;
 406   int len;
 407
 408   if (!path || !list || (len = strlen(path)) > sizeof(name) - 2)
 409     return -1;
 410
 411   strncpy(buf, list, sizeof(buf));
 412   if ((p = strtok(buf, ",")) == NULL)
 413     return -1;
 414
 415   strcpy(name, path);
 416   if (name[len - 1] != '/') {
 417     strcat(name, "/");
 418     len++;
 419   }
 420
 421   while (p) {
 422     strncpy(name + len, p, sizeof(name) - len);
 423     if ((stat(name, &st) == 0) && (mod = uam_load(name, p))) {
 424       uam_attach(&uam_modules, mod);
 425       syslog(LOG_INFO, "uam: %s loaded", p);
 426     }
 427     p = strtok(NULL, ",");
 428   }
 429 }
 430
 431 /* get rid of all of the uams */
 432 void auth_unload()
 433 {
 434   struct uam_mod *mod, *prev, *start = &uam_modules;
 435
 436   prev = start->uam_prev;
 437   while ((mod = prev) != start) {
 438     prev = prev->uam_prev;
 439     uam_detach(mod);
 440     uam_unload(mod);
 441   }
 442 }