openssh/gss-serv.c

   1 /*      $OpenBSD: gss-serv.c,v 1.13 2005/10/13 22:24:31 stevesk Exp $   */
   2
   3 /*
   4  * Copyright (c) 2001-2003 Simon Wilkinson. All rights reserved.
   5  *
   6  * Redistribution and use in source and binary forms, with or without
   7  * modification, are permitted provided that the following conditions
   8  * are met:
   9  * 1. Redistributions of source code must retain the above copyright
  10  *    notice, this list of conditions and the following disclaimer.
  11  * 2. Redistributions in binary form must reproduce the above copyright
  12  *    notice, this list of conditions and the following disclaimer in the
  13  *    documentation and/or other materials provided with the distribution.
  14  *
  15  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR `AS IS'' AND ANY EXPRESS OR
  16  * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
  17  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
  18  * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
  19  * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  20  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
  21  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
  22  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
  23  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
  24  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  25  */
  26
  27 #include "includes.h"
  28
  29 #ifdef GSSAPI
  30
  31 #include "bufaux.h"
  32 #include "auth.h"
  33 #include "log.h"
  34 #include "channels.h"
  35 #include "session.h"
  36 #include "servconf.h"
  37 #include "xmalloc.h"
  38 #include "getput.h"
  39 #include "monitor_wrap.h"
  40
  41 #include "ssh-gss.h"
  42
  43 static ssh_gssapi_client gssapi_client =
  44     { GSS_C_EMPTY_BUFFER, GSS_C_EMPTY_BUFFER,
  45     GSS_C_NO_CREDENTIAL, NULL, {NULL, NULL, NULL}};
  46
  47 ssh_gssapi_mech gssapi_null_mech =
  48     { NULL, NULL, {0, NULL}, NULL, NULL, NULL, NULL};
  49
  50 #ifdef KRB5
  51 extern ssh_gssapi_mech gssapi_kerberos_mech;
  52 #endif
  53 #ifdef GSI
  54 extern ssh_gssapi_mech gssapi_gsi_mech;
  55 #endif
  56
  57 ssh_gssapi_mech* supported_mechs[]= {
  58 #ifdef KRB5
  59         &gssapi_kerberos_mech,
  60 #endif
  61 #ifdef GSI
  62         &gssapi_gsi_mech,
  63 #endif
  64         &gssapi_null_mech,
  65 };
  66
  67 #ifdef GSS_C_GLOBUS_LIMITED_PROXY_FLAG
  68 static int limited = 0;
  69 #endif
  70
  71 /* Unprivileged */
  72 char *
  73 ssh_gssapi_server_mechanisms() {
  74         gss_OID_set     supported;
  75
  76         ssh_gssapi_supported_oids(&supported);
  77         return (ssh_gssapi_kex_mechs(supported, &ssh_gssapi_server_check_mech,
  78             NULL));
  79 }
  80
  81 /* Unprivileged */
  82 int
  83 ssh_gssapi_server_check_mech(gss_OID oid, void *data) {
  84         Gssctxt * ctx = NULL;
  85         int res;
  86
  87         res = !GSS_ERROR(PRIVSEP(ssh_gssapi_server_ctx(&ctx, oid)));
  88         ssh_gssapi_delete_ctx(&ctx);
  89
  90         return (res);
  91 }
  92
  93 /* Unprivileged */
  94 void
  95 ssh_gssapi_supported_oids(gss_OID_set *oidset)
  96 {
  97         int i = 0;
  98         OM_uint32 min_status;
  99         int present;
 100         gss_OID_set supported;
 101
 102         gss_create_empty_oid_set(&min_status, oidset);
 103         /* Ask priviledged process what mechanisms it supports. */
 104         PRIVSEP(gss_indicate_mechs(&min_status, &supported));
 105
 106         while (supported_mechs[i]->name != NULL) {
 107                 if (GSS_ERROR(gss_test_oid_set_member(&min_status,
 108                     &supported_mechs[i]->oid, supported, &present)))
 109                         present = 0;
 110                 if (present)
 111                         gss_add_oid_set_member(&min_status,
 112                             &supported_mechs[i]->oid, oidset);
 113                 i++;
 114         }
 115 }
 116
 117
 118 /* Wrapper around accept_sec_context
 119  * Requires that the context contains:
 120  *    oid
 121  *    credentials       (from ssh_gssapi_acquire_cred)
 122  */
 123 /* Privileged */
 124 OM_uint32
 125 ssh_gssapi_accept_ctx(Gssctxt *ctx, gss_buffer_desc *recv_tok,
 126     gss_buffer_desc *send_tok, OM_uint32 *flags)
 127 {
 128         OM_uint32 status;
 129         gss_OID mech;
 130
 131         ctx->major = gss_accept_sec_context(&ctx->minor,
 132             &ctx->context, ctx->creds, recv_tok,
 133             GSS_C_NO_CHANNEL_BINDINGS, &ctx->client, &mech,
 134             send_tok, flags, NULL, &ctx->client_creds);
 135
 136         if (GSS_ERROR(ctx->major))
 137                 ssh_gssapi_error(ctx);
 138
 139         if (ctx->client_creds)
 140                 debug("Received some client credentials");
 141         else
 142                 debug("Got no client credentials");
 143
 144         status = ctx->major;
 145
 146         /* Now, if we're complete and we have the right flags, then
 147          * we flag the user as also having been authenticated
 148          */
 149
 150         if (((flags == NULL) || ((*flags & GSS_C_MUTUAL_FLAG) &&
 151             (*flags & GSS_C_INTEG_FLAG))) && (ctx->major == GSS_S_COMPLETE)) {
 152                 if (ssh_gssapi_getclient(ctx, &gssapi_client))
 153                         fatal("Couldn't convert client name");
 154 #ifdef GSS_C_GLOBUS_LIMITED_PROXY_FLAG
 155                 if (flags && (*flags & GSS_C_GLOBUS_LIMITED_PROXY_FLAG))
 156                         limited=1;
 157 #endif
 158         }
 159
 160         return (status);
 161 }
 162
 163 /*
 164  * This parses an exported name, extracting the mechanism specific portion
 165  * to use for ACL checking. It verifies that the name belongs the mechanism
 166  * originally selected.
 167  */
 168 static OM_uint32
 169 ssh_gssapi_parse_ename(Gssctxt *ctx, gss_buffer_t ename, gss_buffer_t name)
 170 {
 171         u_char *tok;
 172         OM_uint32 offset;
 173         OM_uint32 oidl;
 174
 175         tok = ename->value;
 176
 177 #ifdef GSI /* GSI gss_export_name() is broken. */
 178         if ((ctx->oid->length == gssapi_gsi_mech.oid.length) &&
 179             (memcmp(ctx->oid->elements, gssapi_gsi_mech.oid.elements,
 180                     gssapi_gsi_mech.oid.length) == 0)) {
 181             name->length = ename->length;
 182             name->value = xmalloc(ename->length+1);
 183             memcpy(name->value, ename->value, ename->length);
 184             return GSS_S_COMPLETE;
 185         }
 186 #endif
 187
 188         /*
 189          * Check that ename is long enough for all of the fixed length
 190          * header, and that the initial ID bytes are correct
 191          */
 192
 193         if (ename->length < 6 || memcmp(tok, "\x04\x01", 2) != 0)
 194                 return GSS_S_FAILURE;
 195
 196         /*
 197          * Extract the OID, and check it. Here GSSAPI breaks with tradition
 198          * and does use the OID type and length bytes. To confuse things
 199          * there are two lengths - the first including these, and the
 200          * second without.
 201          */
 202
 203         oidl = GET_16BIT(tok+2); /* length including next two bytes */
 204         oidl = oidl-2; /* turn it into the _real_ length of the variable OID */
 205
 206         /*
 207          * Check the BER encoding for correct type and length, that the
 208          * string is long enough and that the OID matches that in our context
 209          */
 210         if (tok[4] != 0x06 || tok[5] != oidl ||
 211             ename->length < oidl+6 ||
 212             !ssh_gssapi_check_oid(ctx, tok+6, oidl))
 213                 return GSS_S_FAILURE;
 214
 215         offset = oidl+6;
 216
 217         if (ename->length < offset+4)
 218                 return GSS_S_FAILURE;
 219
 220         name->length = GET_32BIT(tok+offset);
 221         offset += 4;
 222
 223         if (ename->length < offset+name->length)
 224                 return GSS_S_FAILURE;
 225
 226         name->value = xmalloc(name->length+1);
 227         memcpy(name->value, tok+offset,name->length);
 228         ((char *)name->value)[name->length] = 0;
 229
 230         return GSS_S_COMPLETE;
 231 }
 232
 233 /* Extract the client details from a given context. This can only reliably
 234  * be called once for a context */
 235
 236 /* Privileged (called from accept_secure_ctx) */
 237 OM_uint32
 238 ssh_gssapi_getclient(Gssctxt *ctx, ssh_gssapi_client *client)
 239 {
 240         int i = 0;
 241
 242         gss_buffer_desc ename;
 243
 244         client->mech = NULL;
 245
 246         while (supported_mechs[i]->name != NULL) {
 247                 if (supported_mechs[i]->oid.length == ctx->oid->length &&
 248                     (memcmp(supported_mechs[i]->oid.elements,
 249                     ctx->oid->elements, ctx->oid->length) == 0))
 250                         client->mech = supported_mechs[i];
 251                 i++;
 252         }
 253
 254         if (client->mech == NULL)
 255                 return GSS_S_FAILURE;
 256
 257         if ((ctx->major = gss_display_name(&ctx->minor, ctx->client,
 258             &client->displayname, NULL))) {
 259                 ssh_gssapi_error(ctx);
 260                 return (ctx->major);
 261         }
 262
 263         if ((ctx->major = gss_export_name(&ctx->minor, ctx->client,
 264             &ename))) {
 265                 ssh_gssapi_error(ctx);
 266                 return (ctx->major);
 267         }
 268
 269         if ((ctx->major = ssh_gssapi_parse_ename(ctx,&ename,
 270             &client->exportedname))) {
 271                 return (ctx->major);
 272         }
 273
 274         /* We can't copy this structure, so we just move the pointer to it */
 275         client->creds = ctx->client_creds;
 276         ctx->client_creds = GSS_C_NO_CREDENTIAL;
 277         return (ctx->major);
 278 }
 279
 280 /* As user - called on fatal/exit */
 281 void
 282 ssh_gssapi_cleanup_creds(void)
 283 {
 284         if (gssapi_client.store.filename != NULL) {
 285                 /* Unlink probably isn't sufficient */
 286                 debug("removing gssapi cred file\"%s\"", gssapi_client.store.filename);
 287                 unlink(gssapi_client.store.filename);
 288         }
 289 }
 290
 291 /* As user */
 292 void
 293 ssh_gssapi_storecreds(void)
 294 {
 295         if (gssapi_client.mech && gssapi_client.mech->storecreds) {
 296                 (*gssapi_client.mech->storecreds)(&gssapi_client);
 297         } else
 298                 debug("ssh_gssapi_storecreds: Not a GSSAPI mechanism");
 299 }
 300
 301 /* This allows GSSAPI methods to do things to the childs environment based
 302  * on the passed authentication process and credentials.
 303  */
 304 /* As user */
 305 void
 306 ssh_gssapi_do_child(char ***envp, u_int *envsizep)
 307 {
 308
 309         if (gssapi_client.store.envvar != NULL &&
 310             gssapi_client.store.envval != NULL) {
 311                 debug("Setting %s to %s", gssapi_client.store.envvar,
 312                     gssapi_client.store.envval);
 313                 child_set_env(envp, envsizep, gssapi_client.store.envvar,
 314                     gssapi_client.store.envval);
 315         }
 316 }
 317
 318 /* Privileged */
 319 int
 320 ssh_gssapi_userok(char *user)
 321 {
 322         OM_uint32 lmin;
 323
 324         if (gssapi_client.exportedname.length == 0 ||
 325             gssapi_client.exportedname.value == NULL) {
 326                 debug("No suitable client data");
 327                 return 0;
 328         }
 329 #ifdef GSS_C_GLOBUS_LIMITED_PROXY_FLAG
 330         if (limited && options.gsi_allow_limited_proxy != 1) {
 331                 debug("limited proxy not acceptable for remote login");
 332                 return 0;
 333         }
 334 #endif
 335         if (gssapi_client.mech && gssapi_client.mech->userok)
 336                 if ((*gssapi_client.mech->userok)(&gssapi_client, user))
 337                         return 1;
 338                 else {
 339                         /* Destroy delegated credentials if userok fails */
 340                         gss_release_buffer(&lmin, &gssapi_client.displayname);
 341                         gss_release_buffer(&lmin, &gssapi_client.exportedname);
 342                         gss_release_cred(&lmin, &gssapi_client.creds);
 343                         memset(&gssapi_client, 0, sizeof(ssh_gssapi_client));
 344                         return 0;
 345                 }
 346         else
 347                 debug("ssh_gssapi_userok: Unknown GSSAPI mechanism");
 348         return (0);
 349 }
 350
 351 /* Priviledged */
 352 int
 353 ssh_gssapi_localname(char **user)
 354 {
 355         *user = NULL;
 356         if (gssapi_client.displayname.length==0 ||
 357             gssapi_client.displayname.value==NULL) {
 358                 debug("No suitable client data");
 359                 return(0);;
 360         }
 361         if (gssapi_client.mech && gssapi_client.mech->localname) {
 362                 return((*gssapi_client.mech->localname)(&gssapi_client,user));
 363         } else {
 364                 debug("Unknown client authentication type");
 365         }
 366         return(0);
 367 }
 368
 369 #endif