etc/afpd/auth.c

   1 /*
   2  * Copyright (c) 1990,1993 Regents of The University of Michigan.
   3  * All Rights Reserved.  See COPYRIGHT.
   4  */
   5
   6 #ifdef HAVE_CONFIG_H
   7 #include "config.h"
   8 #endif
   9
  10 #include <stdio.h>
  11 #include <stdlib.h>
  12 #include <unistd.h>
  13 #include <sys/types.h>
  14 #include <sys/param.h>
  15 #include <sys/stat.h>
  16 #include <netatalk/endian.h>
  17 #include <atalk/afp.h>
  18 #include <atalk/compat.h>
  19 #include <atalk/util.h>
  20 #include <limits.h>
  21 #include <string.h>
  22 #include <ctype.h>
  23
  24 #ifdef SHADOWPW
  25 #include <shadow.h>
  26 #endif
  27
  28 #include <pwd.h>
  29 #include <grp.h>
  30 #include <syslog.h>
  31
  32 #include "globals.h"
  33 #include "auth.h"
  34 #include "uam_auth.h"
  35 #include "switch.h"
  36 #include "status.h"
  37
  38 int     afp_version = 11;
  39 uid_t   uuid;
  40 #if defined( __svr4__ ) && !defined( NGROUPS )
  41 #define NGROUPS NGROUPS_MAX
  42 #endif __svr4__ NGROUPS
  43 #if defined( sun ) && !defined( __svr4__ ) || defined( ultrix )
  44 int     groups[ NGROUPS ];
  45 #else sun __svr4__ ultrix
  46 #if defined( __svr4__ ) && !defined( NGROUPS )
  47 #define NGROUPS NGROUPS_MAX
  48 #endif __svr4__ NGROUPS
  49 gid_t   groups[ NGROUPS ];
  50 #endif sun ultrix
  51 int     ngroups;
  52
  53 /*
  54  * These numbers are scattered throughout the code.
  55  */
  56 static struct afp_versions      afp_versions[] = {
  57     { "AFPVersion 1.1", 11 },
  58     { "AFPVersion 2.0", 20 },
  59     { "AFPVersion 2.1", 21 },
  60     { "AFP2.2", 22 }
  61 };
  62
  63 static struct uam_mod uam_modules = {NULL, NULL, &uam_modules, &uam_modules};
  64 static struct uam_obj uam_login = {"", "", 0, {{NULL}}, &uam_login,
  65                                    &uam_login};
  66 static struct uam_obj uam_changepw = {"", "", 0, {{NULL}}, &uam_changepw,
  67                                       &uam_changepw};
  68
  69 static struct uam_obj *afp_uam = NULL;
  70
  71
  72 /* Variables for CAP style printer authentication */
  73 #ifdef CAPDIR
  74 extern int addr_net, addr_node, addr_uid;
  75 extern char addr_name[32];
  76 #endif /* CAPDIR */
  77
  78 void status_versions( data )
  79     char        *data;
  80 {
  81     char                *start = data;
  82     u_int16_t           status;
  83     int                 len, num, i;
  84
  85     memcpy(&status, start + AFPSTATUS_VERSOFF, sizeof(status));
  86     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ] );
  87     data += ntohs( status );
  88     *data++ = num;
  89     for ( i = 0; i < num; i++ ) {
  90         len = strlen( afp_versions[ i ].av_name );
  91         *data++ = len;
  92         memcpy( data, afp_versions[ i ].av_name , len );
  93         data += len;
  94     }
  95     status = htons( data - start );
  96     memcpy(start + AFPSTATUS_UAMSOFF, &status, sizeof(status));
  97 }
  98
  99 void status_uams(char *data, const char *authlist)
 100 {
 101     char                *start = data;
 102     u_int16_t           status;
 103     struct uam_obj      *uams;
 104     int                 len, num = 0;
 105
 106     memcpy(&status, start + AFPSTATUS_UAMSOFF, sizeof(status));
 107     uams = &uam_login;
 108     while ((uams = uams->uam_prev) != &uam_login) {
 109       if (strstr(authlist, uams->uam_path))
 110         num++;
 111     }
 112
 113     data += ntohs( status );
 114     *data++ = num;
 115     while ((uams = uams->uam_prev) != &uam_login) {
 116       if (strstr(authlist, uams->uam_path)) {
 117         syslog(LOG_INFO, "uam: \"%s\" available", uams->uam_name);
 118         len = strlen( uams->uam_name);
 119         *data++ = len;
 120         memcpy( data, uams->uam_name, len );
 121         data += len;
 122       }
 123     }
 124
 125     /* icon offset */
 126     status = htons(data - start);
 127     memcpy(start + AFPSTATUS_ICONOFF, &status, sizeof(status));
 128 }
 129
 130 /* handle errors by closing the connection. this is only needed
 131  * by the afp_* functions. */
 132 static int send_reply(const AFPObj *obj, const int err)
 133 {
 134   if ((err == AFP_OK) || (err == AFPERR_AUTHCONT))
 135     return err;
 136
 137   obj->reply(obj->handle, err);
 138   obj->exit(0);
 139 }
 140
 141 static int login(AFPObj *obj, struct passwd *pwd, void (*logout)(void))
 142 {
 143 #ifdef CAPDIR
 144     char nodename[256];
 145     FILE *fp;
 146 #endif /* CAPDIR */
 147 #ifdef ADMIN_GRP
 148     struct group *grps;
 149 #endif ADMIN_GRP
 150
 151     if ( pwd->pw_uid == 0 ) {   /* don't allow root login */
 152         syslog( LOG_ERR, "login: root login denied!" );
 153         return AFPERR_NOTAUTH;
 154     }
 155
 156     syslog( LOG_INFO, "login %s (uid %d, gid %d)", pwd->pw_name,
 157             pwd->pw_uid, pwd->pw_gid );
 158
 159 #ifdef CAPDIR
 160     if(addr_net && addr_node) { /* Do we have a valid Appletalk address? */
 161         addr_uid = pwd->pw_uid;
 162         strncpy(addr_name, pwd->pw_name, 32);
 163         sprintf(nodename, "%s/net%d.%dnode%d", CAPDIR, addr_net / 256, addr_net % 256, addr_node);
 164         syslog (LOG_INFO, "registering %s (uid %d) on %u.%u as %s",
 165                         addr_name, addr_uid, addr_net, addr_node, nodename);
 166         fp = fopen(nodename, "w");
 167         fprintf(fp, "%s\n", addr_name);
 168         fclose(fp);
 169     }
 170 #endif /* CAPDIR */
 171
 172     if (initgroups( pwd->pw_name, pwd->pw_gid ) < 0) {
 173 #ifdef RUN_AS_USER
 174       syslog(LOG_INFO, "running with uid %d", geteuid());
 175 #else
 176       syslog(LOG_ERR, "login: %m");
 177       return AFPERR_BADUAM;
 178 #endif
 179 #ifdef ADMIN_GRP
 180     if ((grps = getgrnam(ADMIN_GRP)) != NULL) {
 181       while (*(grps->gr_mem) != NULL) {
 182         if (strcmp(pwd->pw_name, *grps->gr_mem) == 0) {
 183           syslog(LOG_INFO, "User %s has admin privs, logging in as superuser.",
 184             pwd->pw_name);
 185           pwd->pw_gid = grps->gr_gid;
 186           pwd->pw_uid = 0;
 187           strcpy (pwd->pw_name, "root");
 188           break;
 189         }
 190         *(grps->gr_mem)++;
 191       }
 192     }
 193 #endif ADMIN_GRP
 194
 195     }
 196
 197     if (setegid( pwd->pw_gid ) < 0 || seteuid( pwd->pw_uid ) < 0) {
 198         syslog( LOG_ERR, "login: %m" );
 199         return AFPERR_BADUAM;
 200     }
 201
 202     if (( ngroups = getgroups( NGROUPS, groups )) < 0 ) {
 203         syslog( LOG_ERR, "login: getgroups: %m" );
 204         return AFPERR_BADUAM;
 205     }
 206     uuid = pwd->pw_uid;
 207
 208     afp_switch = postauth_switch;
 209     obj->logout = logout;
 210     return( AFP_OK );
 211 }
 212
 213 int afp_login(obj, ibuf, ibuflen, rbuf, rbuflen )
 214     AFPObj      *obj;
 215     char        *ibuf, *rbuf;
 216     int         ibuflen, *rbuflen;
 217 {
 218     struct passwd *pwd = NULL;
 219     int         len, i, num;
 220
 221     *rbuflen = 0;
 222
 223     if ( nologin & 1)
 224         return send_reply(obj, AFPERR_SHUTDOWN );
 225
 226     ibuf++;
 227     len = (unsigned char) *ibuf++;
 228     num = sizeof( afp_versions ) / sizeof( afp_versions[ 0 ]);
 229     for ( i = 0; i < num; i++ ) {
 230         if ( strncmp( ibuf, afp_versions[ i ].av_name , len ) == 0 ) {
 231             afp_version = afp_versions[ i ].av_number;
 232             break;
 233         }
 234     }
 235     if ( i == num )                             /* An inappropo version */
 236         return send_reply(obj, AFPERR_BADVERS );
 237     ibuf += len;
 238
 239     len = (unsigned char) *ibuf++;
 240     if ((afp_uam = auth_uamfind(UAM_SERVER_LOGIN, ibuf, len)) == NULL)
 241       return send_reply(obj, AFPERR_BADUAM);
 242     ibuf += len;
 243
 244     i = afp_uam->u.uam_login.login(obj, &pwd, ibuf, ibuflen, rbuf, rbuflen);
 245     if (i || !pwd)
 246       return send_reply(obj, i);
 247
 248     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 249 }
 250
 251
 252 int afp_logincont(obj, ibuf, ibuflen, rbuf, rbuflen)
 253     AFPObj      *obj;
 254     char        *ibuf, *rbuf;
 255     int         ibuflen, *rbuflen;
 256 {
 257     struct passwd *pwd = NULL;
 258     int err;
 259
 260     if ( afp_uam == NULL || afp_uam->u.uam_login.logincont == NULL ) {
 261         *rbuflen = 0;
 262         return send_reply(obj, AFPERR_NOTAUTH );
 263     }
 264
 265     ibuf += 2;
 266     err = afp_uam->u.uam_login.logincont(obj, &pwd, ibuf, ibuflen,
 267                                          rbuf, rbuflen);
 268     if (err || !pwd)
 269       return send_reply(obj, err);
 270
 271     return send_reply(obj, login(obj, pwd, afp_uam->u.uam_login.logout));
 272 }
 273
 274
 275 int afp_logout(obj, ibuf, ibuflen, rbuf, rbuflen)
 276      AFPObj     *obj;
 277      char       *ibuf, *rbuf;
 278      int        ibuflen, *rbuflen;
 279 {
 280   syslog(LOG_INFO, "logout %s", obj->username);
 281   obj->exit(0);
 282 }
 283
 284
 285
 286 /* change password  --
 287  * NOTE: an FPLogin must already have completed successfully for this
 288  *       to work. this also does a little pre-processing before it hands
 289  *       it off to the uam.
 290  */
 291 int afp_changepw(obj, ibuf, ibuflen, rbuf, rbuflen )
 292     AFPObj      *obj;
 293     char        *ibuf, *rbuf;
 294     int         ibuflen, *rbuflen;
 295 {
 296   char username[MACFILELEN + 1], *start = ibuf;
 297   struct uam_obj *uam;
 298   struct passwd *pwd;
 299   int len;
 300
 301   *rbuflen = 0;
 302   ibuf += 2;
 303
 304   /* make sure we can deal w/ this uam */
 305   len = (unsigned char) *ibuf++;
 306   if ((uam = auth_uamfind(UAM_SERVER_CHANGEPW, ibuf, len)) == NULL)
 307     return AFPERR_BADUAM;
 308
 309   ibuf += len;
 310   if ((len + 1) & 1) /* pad byte */
 311     ibuf++;
 312
 313   len = (unsigned char) *ibuf++;
 314   if ( len > sizeof(username) - 1) {
 315     return AFPERR_PARAM;
 316   }
 317   memcpy(username, ibuf, len);
 318   username[ len ] = '\0';
 319   ibuf += len;
 320   if ((len + 1) & 1) /* pad byte */
 321     ibuf++;
 322
 323   syslog(LOG_INFO, "changing password for <%s>", username);
 324
 325   if (( pwd = uam_getname( username, sizeof(username))) == NULL )
 326     return AFPERR_PARAM;
 327
 328   /* send it off to the uam. we really don't use ibuflen right now. */
 329   ibuflen -= (ibuf - start);
 330   len = uam->u.uam_changepw(obj, username, pwd, ibuf, ibuflen,
 331                             rbuf, rbuflen);
 332   syslog(LOG_INFO, "password change %s.",
 333          (len == AFPERR_AUTHCONT) ? "continued" :
 334          (len ? "failed" : "succeeded"));
 335   return len;
 336 }
 337
 338
 339 /* FPGetUserInfo */
 340 int afp_getuserinfo(obj, ibuf, ibuflen, rbuf, rbuflen )
 341     AFPObj      *obj;
 342     char        *ibuf, *rbuf;
 343     int         ibuflen, *rbuflen;
 344 {
 345     u_int8_t  thisuser;
 346     u_int32_t id;
 347     u_int16_t bitmap;
 348
 349     *rbuflen = 0;
 350     ibuf++;
 351     thisuser = *ibuf++;
 352     ibuf += sizeof(id); /* userid is not used in AFP 2.0 */
 353     memcpy(&bitmap, ibuf, sizeof(bitmap));
 354     bitmap = ntohs(bitmap);
 355
 356     /* deal with error cases. we don't have to worry about
 357      * AFPERR_ACCESS or AFPERR_NOITEM as geteuid and getegid always
 358      * succeed. */
 359     if (!thisuser)
 360       return AFPERR_PARAM;
 361     if ((bitmap & USERIBIT_ALL) != bitmap)
 362       return AFPERR_BITMAP;
 363
 364     /* copy the bitmap back to reply buffer */
 365     memcpy(rbuf, ibuf, sizeof(bitmap));
 366     rbuf += sizeof(bitmap);
 367     *rbuflen = sizeof(bitmap);
 368
 369     /* copy the user/group info */
 370     if (bitmap & USERIBIT_USER) {
 371       id = htonl(geteuid());
 372       memcpy(rbuf, &id, sizeof(id));
 373       rbuf += sizeof(id);
 374       *rbuflen += sizeof(id);
 375     }
 376
 377     if (bitmap & USERIBIT_GROUP) {
 378       id = htonl(getegid());
 379       memcpy(rbuf, &id, sizeof(id));
 380       rbuf += sizeof(id);
 381       *rbuflen += sizeof(id);
 382     }
 383
 384     return AFP_OK;
 385 }
 386
 387 #define UAM_LIST(type) (((type) == UAM_SERVER_LOGIN) ? &uam_login : \
 388                         (((type) == UAM_SERVER_CHANGEPW) ? \
 389                          &uam_changepw : NULL))
 390
 391 /* just do a linked list search. this could be sped up with a hashed
 392  * list, but i doubt anyone's going to have enough uams to matter. */
 393 struct uam_obj *auth_uamfind(const int type, const char *name,
 394                              const int len)
 395 {
 396   struct uam_obj *prev, *start;
 397
 398   if (!name || !(start = UAM_LIST(type)))
 399     return NULL;
 400
 401   prev = start;
 402   while ((prev = prev->uam_prev) != start)
 403     if (strndiacasecmp(prev->uam_name, name, len) == 0)
 404       return prev;
 405
 406   return NULL;
 407 }
 408
 409 int auth_register(const int type, struct uam_obj *uam)
 410 {
 411   struct uam_obj *start;
 412
 413   if (!uam || !uam->uam_name || (*uam->uam_name == '\0'))
 414     return -1;
 415
 416   if (!(start = UAM_LIST(type)))
 417     return 0; /* silently fail */
 418
 419   uam_attach(start, uam);
 420   return 0;
 421 }
 422
 423 /* load all of the modules */
 424 int auth_load(const char *path, const char *list)
 425 {
 426   char name[MAXPATHLEN + 1], buf[MAXPATHLEN + 1], *p;
 427   struct uam_mod *mod;
 428   struct stat st;
 429   int len;
 430
 431   if (!path || !list || (len = strlen(path)) > sizeof(name) - 2)
 432     return -1;
 433
 434   strncpy(buf, list, sizeof(buf));
 435   if ((p = strtok(buf, ",")) == NULL)
 436     return -1;
 437
 438   strcpy(name, path);
 439   if (name[len - 1] != '/') {
 440     strcat(name, "/");
 441     len++;
 442   }
 443
 444   while (p) {
 445     strncpy(name + len, p, sizeof(name) - len);
 446     if ((stat(name, &st) == 0) && (mod = uam_load(name, p))) {
 447       uam_attach(&uam_modules, mod);
 448       syslog(LOG_INFO, "uam: %s loaded", p);
 449     }
 450     p = strtok(NULL, ",");
 451   }
 452 }
 453
 454 /* get rid of all of the uams */
 455 void auth_unload()
 456 {
 457   struct uam_mod *mod, *prev, *start = &uam_modules;
 458
 459   prev = start->uam_prev;
 460   while ((mod = prev) != start) {
 461     prev = prev->uam_prev;
 462     uam_detach(mod);
 463     uam_unload(mod);
 464   }
 465 }