libatalk/acl/ldap.c

   1 /*
   2   $Id: ldap.c,v 1.4 2009-11-28 10:13:04 franklahm Exp $
   3   Copyright (c) 2008,2009 Frank Lahm <franklahm@gmail.com>
   4
   5   This program is free software; you can redistribute it and/or modify
   6   it under the terms of the GNU General Public License as published by
   7   the Free Software Foundation; either version 2 of the License, or
   8   (at your option) any later version.
   9
  10   This program is distributed in the hope that it will be useful,
  11   but WITHOUT ANY WARRANTY; without even the implied warranty of
  12   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  13   GNU General Public License for more details.
  14 */
  15
  16 #ifdef HAVE_CONFIG_H
  17 #include "config.h"
  18 #endif /* HAVE_CONFIG_H */
  19
  20 #include <stdio.h>
  21 #include <stdlib.h>
  22 #include <sys/time.h>
  23 #include <string.h>
  24 #include <errno.h>
  25 #include <ldap.h>
  26
  27 #include <atalk/logger.h>
  28 #include <atalk/afp.h>
  29 #include <atalk/uuid.h>
  30 #include <atalk/ldapconfig.h>   /* For struct ldap_pref */
  31
  32 typedef enum {
  33     KEEPALIVE = 1
  34 } ldapcon_t;
  35
  36 /********************************************************
  37  * LDAP config stuff. Filled by etc/afpd/acl_config.c
  38  ********************************************************/
  39 int ldap_config_valid;
  40
  41 char *ldap_server;
  42 int  ldap_auth_method;
  43 char *ldap_auth_dn;
  44 char *ldap_auth_pw;
  45 char *ldap_userbase;
  46 int  ldap_userscope;
  47 char *ldap_groupbase;
  48 int  ldap_groupscope;
  49 char *ldap_uuid_attr;
  50 char *ldap_name_attr;
  51 char *ldap_group_attr;
  52 char *ldap_uid_attr;
  53
  54 struct ldap_pref ldap_prefs[] = {
  55     {&ldap_server,     "ldap_server",      0, 0, -1},
  56     {&ldap_auth_method,"ldap_auth_method", 1, 1, -1},
  57     {&ldap_auth_dn,    "ldap_auth_dn",     0, 0,  0},
  58     {&ldap_auth_pw,    "ldap_auth_pw",     0, 0,  0},
  59     {&ldap_userbase,   "ldap_userbase",    0, 0, -1},
  60     {&ldap_userscope,  "ldap_userscope",   1 ,1, -1},
  61     {&ldap_groupbase,  "ldap_groupbase",   0, 0, -1},
  62     {&ldap_groupscope, "ldap_groupscope",  1 ,1, -1},
  63     {&ldap_uuid_attr,  "ldap_uuid_attr",   0, 0, -1},
  64     {&ldap_name_attr,  "ldap_name_attr",   0, 0, -1},
  65     {&ldap_group_attr, "ldap_group_attr",  0, 0, -1},
  66     {&ldap_uid_attr,   "ldap_uid_attr",    0, 0,  0},
  67     {NULL,             NULL,               0, 0, -1}
  68 };
  69
  70 struct pref_array prefs_array[] = {
  71     {"ldap_auth_method", "none",   LDAP_AUTH_NONE},
  72     {"ldap_auth_method", "simple", LDAP_AUTH_SIMPLE},
  73     {"ldap_auth_method", "sasl",   LDAP_AUTH_SASL},
  74     {"ldap_userscope",   "base",   LDAP_SCOPE_BASE},
  75     {"ldap_userscope",   "one",    LDAP_SCOPE_ONELEVEL},
  76     {"ldap_userscope",   "sub",    LDAP_SCOPE_SUBTREE},
  77     {"ldap_groupscope",  "base",   LDAP_SCOPE_BASE},
  78     {"ldap_groupscope",  "one",    LDAP_SCOPE_ONELEVEL},
  79     {"ldap_groupscope",  "sub",    LDAP_SCOPE_SUBTREE},
  80     {NULL,               NULL,     0}
  81 };
  82
  83 /********************************************************
  84  * Static helper function
  85  ********************************************************/
  86
  87 /*
  88  * ldap_getattr_fromfilter_withbase_scope():
  89  *   conflags: KEEPALIVE
  90  *   scope: LDAP_SCOPE_BASE, LDAP_SCOPE_ONELEVEL, LDAP_SCOPE_SUBTREE
  91  *   result: return unique search result here, allocated here, caller must free
  92  *
  93  * All connection managment to the LDAP server is done here. Just set KEEPALIVE if you know
  94  * you will be dispatching more than one search in a row, then don't set it with the last search.
  95  * You MUST dispatch the queries timely, otherwise the LDAP handle might timeout.
  96  */
  97 static int ldap_getattr_fromfilter_withbase_scope( const char *searchbase,
  98                                                    const char *filter,
  99                                                    char *attributes[],
 100                                                    int scope,
 101                                                    ldapcon_t conflags,
 102                                                    char **result) {
 103     int ret = 0;
 104     int ldaperr;
 105     int desired_version  = LDAP_VERSION3;
 106     static int ldapconnected = 0;
 107     static LDAP *ld     = NULL;
 108     LDAPMessage* msg    = NULL;
 109     LDAPMessage* entry  = NULL;
 110
 111     char **attribute_values;
 112     struct timeval timeout;
 113
 114 //    LOG(log_debug, logtype_afpd,"ldap_getattr_fromfilter_withbase_scope: BEGIN");
 115
 116     timeout.tv_sec = 3;
 117     timeout.tv_usec = 0;
 118
 119     /* init LDAP if necessary */
 120     if (!ldapconnected) {
 121 //  LOG(log_debug, logtype_default, "ldap_getattr_fromfilter_withbase_scope: LDAP server: \'%s\'", ldap_server);
 122         if ((ld = ldap_init(ldap_server, LDAP_PORT)) == NULL ) {
 123             LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: ldap_init error");
 124             return -1;
 125         }
 126         if (ldap_set_option(ld, LDAP_OPT_PROTOCOL_VERSION, &desired_version) != 0) {
 127             /* LDAP_OPT_SUCCESS is not in the proposed standard, so we check for 0
 128                http://tools.ietf.org/id/draft-ietf-ldapext-ldap-c-api-05.txt */
 129             LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: ldap_set_option failed!");
 130             ret = -1;
 131             goto cleanup;
 132         }
 133     }
 134
 135     /* connect */
 136     if (!ldapconnected) {
 137         if (LDAP_AUTH_NONE == ldap_auth_method) {
 138             if (ldap_bind_s(ld, "", "", LDAP_AUTH_SIMPLE) != LDAP_SUCCESS ) {
 139                 LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: ldap_bind failed!");
 140                 LOG(log_error, logtype_default, "ldap_auth_method: \'%d\'", ldap_auth_method);
 141                 return -1;
 142             }
 143             ldapconnected = 1;
 144
 145         } else if (LDAP_AUTH_SIMPLE == ldap_auth_method) {
 146             if (ldap_bind_s(ld, ldap_auth_dn, ldap_auth_pw, ldap_auth_method) != LDAP_SUCCESS ) {
 147                 LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: ldap_bind failed!");
 148                 LOG(log_error, logtype_default, "ldap_auth_dn: \'%s\', ldap_auth_pw: \'%s\', ldap_auth_method: \'%d\'",
 149                     ldap_auth_dn, ldap_auth_pw, ldap_auth_method);
 150                 return -1;
 151             }
 152             ldapconnected = 1;
 153         }
 154     }
 155
 156 //    LOG(log_debug, logtype_afpd,"LDAP start search: base: %s, filter: %s, attr: %s", searchbase, filter, attributes[0]);
 157
 158     /* start LDAP search */
 159     ldaperr = ldap_search_st(ld, searchbase, scope, filter, attributes, 0, &timeout, &msg);
 160     if (ldaperr != LDAP_SUCCESS) {
 161         LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: ldap_search_st failed: %s", ldap_err2string(ldaperr));
 162         ret = -1;
 163         goto cleanup;
 164     }
 165
 166     /* parse search result */
 167 //    LOG(log_debug, logtype_default, "ldap_getuuidfromname: got %d entries from ldap search", ldap_count_entries(ld, msg));
 168     if (ldap_count_entries(ld, msg) != 1) {
 169         ret = -1;
 170         goto cleanup;
 171     }
 172     entry = ldap_first_entry(ld, msg);
 173     if (entry == NULL) {
 174         LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: error in ldap_first_entry");
 175         ret = -1;
 176         goto cleanup;
 177     }
 178     attribute_values = ldap_get_values(ld, entry, attributes[0]);
 179     if (attribute_values == NULL) {
 180         LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: error in ldap_get_values");
 181         ret = -1;
 182         goto cleanup;
 183     }
 184
 185 //    LOG(log_debug, logtype_afpd,"LDAP Search result: %s: %s", attributes[0], attribute_values[0]);
 186
 187     /* allocate place for uuid as string */
 188     *result = calloc( 1, strlen(attribute_values[0]) + 1);
 189     if (*result == NULL) {
 190         LOG(log_error, logtype_default, "ldap_getattr_fromfilter_withbase_scope: %s: error calloc'ing",strerror(errno));
 191         ret = -1;
 192         goto cleanup;
 193     }
 194     /* get value */
 195     strcpy( *result, attribute_values[0]);
 196     ldap_value_free(attribute_values);
 197
 198     /* FIXME: is there another way to free entry ? */
 199     while (entry != NULL)
 200         entry = ldap_next_entry(ld, entry);
 201
 202 cleanup:
 203     if(msg)
 204         ldap_msgfree(msg);
 205     if(ld) {
 206         if ((ldapconnected && !(conflags & KEEPALIVE)) || (*result != NULL)) {
 207             ldapconnected = 0;  /* regardless of unbind errors */
 208 //      LOG(log_debug, logtype_default,"LDAP unbind!");
 209             if (ldap_unbind_s(ld) != 0) {
 210                 LOG(log_error, logtype_default, "ldap_unbind_s: %s\n", ldap_err2string(ldaperr));
 211                 return -1;
 212             }
 213         }
 214     }
 215     return ret;
 216 }
 217
 218 /********************************************************
 219  * Interface
 220  ********************************************************/
 221
 222 int ldap_getuuidfromname( const char *name, uuidtype_t type, char **uuid_string) {
 223     int ret;
 224     int len;
 225     char filter[256];           /* this should really be enough. we dont want to malloc everything! */
 226     char *attributes[]  = { ldap_uuid_attr, NULL};
 227     char *ldap_attr;
 228
 229     /* make filter */
 230     if (type == UUID_GROUP)
 231         ldap_attr = ldap_group_attr;
 232     else /* type hopefully == UUID_USER */
 233         ldap_attr = ldap_name_attr;
 234     len = snprintf( filter, 256, "%s=%s", ldap_attr, name);
 235     if (len >= 256 || len == -1) {
 236         LOG(log_error, logtype_default, "ldap_getnamefromuuid: filter error:%d, \"%s\"", len, filter);
 237         return -1;
 238     }
 239
 240     if (type == UUID_GROUP) {
 241         ret = ldap_getattr_fromfilter_withbase_scope( ldap_groupbase, filter, attributes, ldap_userscope, KEEPALIVE, uuid_string);
 242     } else  { /* type hopefully == UUID_USER */
 243         ret = ldap_getattr_fromfilter_withbase_scope( ldap_userbase, filter, attributes, ldap_groupscope, 0, uuid_string);
 244     }
 245     return ret;
 246 }
 247
 248 int ldap_getnamefromuuid( char *uuidstr, char **name, uuidtype_t *type) {
 249     int ret;
 250     int len;
 251     char filter[256];       /* this should really be enough. we dont want to malloc everything! */
 252     char *attributes[]  = { NULL, NULL};
 253
 254     /* make filter */
 255     len = snprintf( filter, 256, "%s=%s", ldap_uuid_attr, uuidstr);
 256     if (len >= 256 || len == -1) {
 257         LOG(log_error, logtype_default, "ldap_getnamefromuuid: filter overflow:%d, \"%s\"", len, filter);
 258         return -1;
 259     }
 260     /* search groups first. group acls are probably used more often */
 261     attributes[0] = ldap_group_attr;
 262     ret = ldap_getattr_fromfilter_withbase_scope( ldap_groupbase, filter, attributes, ldap_groupscope, KEEPALIVE, name);
 263     if (ret == 0) {
 264         *type = UUID_GROUP;
 265         return 0;
 266     }
 267     attributes[0] = ldap_name_attr;
 268     ret = ldap_getattr_fromfilter_withbase_scope( ldap_userbase, filter, attributes, ldap_userscope, 0, name);
 269     if (ret == 0) {
 270         *type = UUID_USER;
 271         return 0;
 272     }
 273
 274     return ret;
 275 }
 276