Pileus Git - ~andy/fetchmail/blob - gssapi.c

   1 /*
   2  * gssapi.c -- GSSAPI authentication (see RFC 1508)
   3  *
   4  * For license terms, see the file COPYING in this directory.
   5  */
   6
   7 #include  "config.h"
   8 #include  <stdio.h>
   9 #include  <string.h>
  10 #include  <ctype.h>
  11 #if defined(STDC_HEADERS)
  12 #include  <stdlib.h>
  13 #endif
  14 #include  "fetchmail.h"
  15 #include  "socket.h"
  16
  17 #include  "i18n.h"
  18 #include "fm_md5.h"
  19
  20 #include <sys/types.h>
  21 #include <netinet/in.h>  /* for htonl/ntohl */
  22
  23 #ifdef GSSAPI
  24 #  ifdef HAVE_GSS_H
  25 #    include <gss.h>
  26 #  else
  27 #  if defined(HAVE_GSSAPI_H) && !defined(HAVE_GSSAPI_GSSAPI_H)
  28 #    include <gssapi.h>
  29 #  endif
  30 #  ifdef HAVE_GSSAPI_GSSAPI_H
  31 #    include <gssapi/gssapi.h>
  32 #  endif
  33 #  ifdef HAVE_GSSAPI_GSSAPI_GENERIC_H
  34 #    include <gssapi/gssapi_generic.h>
  35 #  endif
  36 #  ifndef HAVE_GSS_C_NT_HOSTBASED_SERVICE
  37 #    define GSS_C_NT_HOSTBASED_SERVICE gss_nt_service_name
  38 #  endif
  39 #  endif
  40
  41 static void decode_subr(const char *m, uint32_t code, int type)
  42 {
  43     uint32_t maj, min, context;
  44     gss_buffer_desc msg = GSS_C_EMPTY_BUFFER;
  45
  46     context = 0;
  47     do {
  48         maj = gss_display_status(&min, code, type, GSS_C_NO_OID,
  49                 &context, &msg);
  50
  51         if (maj != GSS_S_COMPLETE) {
  52             report(stderr, GT_("GSSAPI error in gss_display_status called from <%s>\n"), m);
  53             break;
  54         }
  55         report(stderr, GT_("GSSAPI error %s: %s\n"), m,
  56                 msg.value ? (char *)msg.value : GT_("(null)"));
  57         if (msg.length)
  58             (void)gss_release_buffer(&min, &msg);
  59     } while(context);
  60 }
  61
  62 static void decode_status(const char *m, uint32_t major, uint32_t minor)
  63 {
  64     decode_subr(m, major, GSS_C_GSS_CODE);
  65     decode_subr(m, minor, GSS_C_MECH_CODE);
  66 }
  67
  68 #define GSSAUTH_P_NONE      1
  69 #define GSSAUTH_P_INTEGRITY 2
  70 #define GSSAUTH_P_PRIVACY   4
  71
  72 static int import_name(const char *service, const char *hostname,
  73         gss_name_t *target_name, flag verbose)
  74 {
  75     char *buf1;
  76     size_t buf1siz;
  77     OM_uint32 maj_stat, min_stat;
  78     gss_buffer_desc request_buf;
  79
  80     /* first things first: get an imap ticket for host */
  81     buf1siz = strlen(service) + 1 + strlen(hostname) + 1;
  82     buf1 = (char *)xmalloc(buf1siz);
  83     snprintf(buf1, buf1siz, "%s@%s", service, hostname);
  84     request_buf.value = buf1;
  85     request_buf.length = strlen(buf1) + 1;
  86     maj_stat = gss_import_name(&min_stat, &request_buf,
  87             GSS_C_NT_HOSTBASED_SERVICE, target_name);
  88     if (maj_stat != GSS_S_COMPLETE) {
  89         decode_status("gss_import_name", maj_stat, min_stat);
  90         report(stderr, GT_("Couldn't get service name for [%s]\n"), buf1);
  91         return PS_AUTHFAIL;
  92     }
  93     else if (outlevel >= O_DEBUG && verbose) {
  94         (void)gss_display_name(&min_stat, *target_name, &request_buf, NULL);
  95         report(stderr, GT_("Using service name [%s]\n"),
  96                (char *)request_buf.value);
  97     }
  98     (void)gss_release_buffer(&min_stat, &request_buf);
  99
 100     return PS_SUCCESS;
 101 }
 102
 103 /* If we don't have suitable credentials, don't bother trying GSSAPI, but
 104  * fail right away. This is to avoid that a server - such as Microsoft
 105  * Exchange 2007 - gets wedged and refuses different authentication
 106  * mechanisms afterwards. */
 107 int check_gss_creds(const char *service, const char *hostname)
 108 {
 109     OM_uint32 maj_stat, min_stat;
 110     gss_cred_usage_t cu;
 111     gss_name_t target_name;
 112
 113     (void)import_name(service, hostname, &target_name, FALSE);
 114     (void)gss_release_name(&min_stat, &target_name);
 115
 116     maj_stat = gss_inquire_cred(&min_stat, GSS_C_NO_CREDENTIAL,
 117             NULL, NULL, &cu, NULL);
 118     if (maj_stat != GSS_S_COMPLETE
 119             || (cu != GSS_C_INITIATE && cu != GSS_C_BOTH)) {
 120         if (outlevel >= O_DEBUG) {
 121             decode_status("gss_inquire_cred", maj_stat, min_stat);
 122             report(stderr, GT_("No suitable GSSAPI credentials found. Skipping GSSAPI authentication.\n"));
 123             report(stderr, GT_("If you want to use GSSAPI, you need credentials first, possibly from kinit.\n"));
 124         }
 125         return PS_AUTHFAIL;
 126     }
 127
 128     return PS_SUCCESS;
 129 }
 130
 131 int do_gssauth(int sock, const char *command, const char *service,
 132                 const char *hostname, const char *username)
 133 {
 134     gss_buffer_desc request_buf, send_token;
 135     gss_buffer_t sec_token;
 136     gss_name_t target_name;
 137     gss_ctx_id_t context;
 138     gss_qop_t quality;
 139     int cflags;
 140     OM_uint32 maj_stat, min_stat;
 141     char buf1[8192], buf2[8192], server_conf_flags;
 142     unsigned long buf_size;
 143     int result;
 144
 145     result = import_name(service, hostname, &target_name, TRUE);
 146     if (result)
 147         return result;
 148
 149     gen_send(sock, "%s GSSAPI", command);
 150
 151     /* upon receipt of the GSSAPI authentication request, server returns
 152      * null data ready response. */
 153     result = gen_recv(sock, buf1, sizeof buf1);
 154     if (result)
 155         return result;
 156
 157     /* now start the security context initialisation loop... */
 158     sec_token = GSS_C_NO_BUFFER;
 159     context = GSS_C_NO_CONTEXT;
 160     if (outlevel >= O_VERBOSE)
 161         report(stdout, GT_("Sending credentials\n"));
 162     do {
 163         send_token.length = 0;
 164         send_token.value = NULL;
 165         maj_stat = gss_init_sec_context(&min_stat,
 166                                         GSS_C_NO_CREDENTIAL,
 167                                         &context,
 168                                         target_name,
 169                                         GSS_C_NO_OID,
 170                                         GSS_C_MUTUAL_FLAG | GSS_C_SEQUENCE_FLAG,
 171                                         0,
 172                                         GSS_C_NO_CHANNEL_BINDINGS,
 173                                         sec_token,
 174                                         NULL,
 175                                         &send_token,
 176                                         NULL,
 177                                         NULL);
 178         if (maj_stat!=GSS_S_COMPLETE && maj_stat!=GSS_S_CONTINUE_NEEDED) {
 179             decode_status("gss_init_sec_context", maj_stat, min_stat);
 180             (void)gss_release_name(&min_stat, &target_name);
 181             report(stderr, GT_("Error exchanging credentials\n"));
 182
 183             /* wake up server and await NO response */
 184             SockWrite(sock, "\r\n", 2);
 185             result = gen_recv(sock, buf1, sizeof buf1);
 186             if (result)
 187                 return result;
 188             return PS_AUTHFAIL;
 189         }
 190         to64frombits(buf1, send_token.value, send_token.length);
 191         gss_release_buffer(&min_stat, &send_token);
 192
 193         suppress_tags = TRUE;
 194         gen_send(sock, "%s", buf1);
 195         suppress_tags = FALSE;
 196
 197         if (maj_stat == GSS_S_CONTINUE_NEEDED) {
 198             result = gen_recv(sock, buf1, sizeof buf1);
 199             if (result) {
 200                 gss_release_name(&min_stat, &target_name);
 201                 return result;
 202             }
 203             request_buf.length = from64tobits(buf2, buf1 + 2, sizeof(buf2));
 204             if ((int)request_buf.length == -1)  /* in case of bad data */
 205                 request_buf.length = 0;
 206             request_buf.value = buf2;
 207             sec_token = &request_buf;
 208         }
 209     } while
 210         (maj_stat == GSS_S_CONTINUE_NEEDED);
 211     gss_release_name(&min_stat, &target_name);
 212
 213     /* get security flags and buffer size */
 214     result = gen_recv(sock, buf1, sizeof buf1);
 215     if (result)
 216         return result;
 217
 218     request_buf.length = from64tobits(buf2, buf1 + 2, sizeof(buf2));
 219     if ((int)request_buf.length == -1)  /* in case of bad data */
 220         request_buf.length = 0;
 221     request_buf.value = buf2;
 222
 223     maj_stat = gss_unwrap(&min_stat, context,
 224                           &request_buf, &send_token, &cflags, &quality);
 225     if (maj_stat != GSS_S_COMPLETE) {
 226         decode_status("gss_unwrap", maj_stat, min_stat);
 227         report(stderr, GT_("Couldn't unwrap security level data\n"));
 228         gss_release_buffer(&min_stat, &send_token);
 229         return PS_AUTHFAIL;
 230     }
 231     if (outlevel >= O_DEBUG)
 232         report(stdout, GT_("Credential exchange complete\n"));
 233     /* first octet is security levels supported. We want none, for now */
 234     server_conf_flags = ((char *)send_token.value)[0];
 235     if ( !(((char *)send_token.value)[0] & GSSAUTH_P_NONE) ) {
 236         report(stderr, GT_("Server requires integrity and/or privacy\n"));
 237         gss_release_buffer(&min_stat, &send_token);
 238         return PS_AUTHFAIL;
 239     }
 240     ((char *)send_token.value)[0] = 0;
 241     buf_size = ntohl(*((long *)send_token.value));
 242     /* we don't care about buffer size if we don't wrap data */
 243     gss_release_buffer(&min_stat, &send_token);
 244     if (outlevel >= O_DEBUG) {
 245         report(stdout, GT_("Unwrapped security level flags: %s%s%s\n"),
 246             server_conf_flags & GSSAUTH_P_NONE ? "N" : "-",
 247             server_conf_flags & GSSAUTH_P_INTEGRITY ? "I" : "-",
 248             server_conf_flags & GSSAUTH_P_PRIVACY ? "C" : "-");
 249         report(stdout, GT_("Maximum GSS token size is %ld\n"),buf_size);
 250     }
 251
 252     /* now respond in kind (hack!!!) */
 253     buf_size = htonl(buf_size); /* do as they do... only matters if we do enc */
 254     memcpy(buf1, &buf_size, 4);
 255     buf1[0] = GSSAUTH_P_NONE;
 256     strlcpy(buf1+4, username, sizeof(buf1) - 4); /* server decides if princ is user */
 257     request_buf.length = 4 + strlen(username) + 1;
 258     request_buf.value = buf1;
 259     maj_stat = gss_wrap(&min_stat, context, 0, GSS_C_QOP_DEFAULT, &request_buf,
 260         &cflags, &send_token);
 261     if (maj_stat != GSS_S_COMPLETE) {
 262         report(stderr, GT_("Error creating security level request\n"));
 263         return PS_AUTHFAIL;
 264     }
 265     to64frombits(buf1, send_token.value, send_token.length);
 266
 267     suppress_tags = TRUE;
 268     result = gen_transact(sock, "%s", buf1);
 269     suppress_tags = FALSE;
 270
 271     /* flush security context */
 272     if (outlevel >= O_DEBUG)
 273         report(stdout, GT_("Releasing GSS credentials\n"));
 274     maj_stat = gss_delete_sec_context(&min_stat, &context, &send_token);
 275     if (maj_stat != GSS_S_COMPLETE) {
 276         decode_status("gss_delete_sec_context", maj_stat, min_stat);
 277         report(stderr, GT_("Error releasing credentials\n"));
 278         return PS_AUTHFAIL;
 279     }
 280     /* send_token may contain a notification to the server to flush
 281      * credentials. RFC 1731 doesn't specify what to do, and since this
 282      * support is only for authentication, we'll assume the server
 283      * knows enough to flush its own credentials */
 284     gss_release_buffer(&min_stat, &send_token);
 285
 286     if (result)
 287         return(result);
 288     else
 289         return(PS_SUCCESS);
 290 }
 291 #endif /* GSSAPI */
 292
 293 /* gssapi.c ends here */