auth-rh-rsa.c

   1 /*
   2  * Author: Tatu Ylonen <ylo@cs.hut.fi>
   3  * Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
   4  *                    All rights reserved
   5  * Rhosts or /etc/hosts.equiv authentication combined with RSA host
   6  * authentication.
   7  *
   8  * As far as I am concerned, the code I have written for this software
   9  * can be used freely for any purpose.  Any derived versions of this
  10  * software must be clearly marked as such, and if the derived work is
  11  * incompatible with the protocol description in the RFC file, it must be
  12  * called by a name other than "ssh" or "Secure Shell".
  13  */
  14
  15 #include "includes.h"
  16 RCSID("$OpenBSD: auth-rh-rsa.c,v 1.31 2002/03/16 17:22:09 markus Exp $");
  17
  18 #include "packet.h"
  19 #include "uidswap.h"
  20 #include "log.h"
  21 #include "servconf.h"
  22 #include "key.h"
  23 #include "hostfile.h"
  24 #include "pathnames.h"
  25 #include "auth.h"
  26 #include "canohost.h"
  27
  28 /* import */
  29 extern ServerOptions options;
  30
  31 /*
  32  * Tries to authenticate the user using the .rhosts file and the host using
  33  * its host key.  Returns true if authentication succeeds.
  34  */
  35
  36 int
  37 auth_rhosts_rsa_key_allowed(struct passwd *pw, char *cuser, char *chost,
  38     Key *client_host_key)
  39 {
  40         HostStatus host_status;
  41
  42         /* Check if we would accept it using rhosts authentication. */
  43         if (!auth_rhosts(pw, cuser))
  44                 return 0;
  45
  46         host_status = check_key_in_hostfiles(pw, client_host_key,
  47             chost, _PATH_SSH_SYSTEM_HOSTFILE,
  48             options.ignore_user_known_hosts ? NULL : _PATH_SSH_USER_HOSTFILE);
  49
  50         return (host_status == HOST_OK);
  51 }
  52
  53 /*
  54  * Tries to authenticate the user using the .rhosts file and the host using
  55  * its host key.  Returns true if authentication succeeds.
  56  */
  57 int
  58 auth_rhosts_rsa(struct passwd *pw, char *cuser, Key *client_host_key)
  59 {
  60         char *chost;
  61
  62         debug("Trying rhosts with RSA host authentication for client user %.100s",
  63             cuser);
  64
  65         if (pw == NULL || client_host_key == NULL ||
  66             client_host_key->rsa == NULL)
  67                 return 0;
  68
  69         chost = (char *)get_canonical_hostname(options.verify_reverse_mapping);
  70         debug("Rhosts RSA authentication: canonical host %.900s", chost);
  71
  72         if (!auth_rhosts_rsa_key_allowed(pw, cuser, chost, client_host_key)) {
  73                 debug("Rhosts with RSA host authentication denied: unknown or invalid host key");
  74                 packet_send_debug("Your host key cannot be verified: unknown or invalid host key.");
  75                 return 0;
  76         }
  77         /* A matching host key was found and is known. */
  78
  79         /* Perform the challenge-response dialog with the client for the host key. */
  80         if (!auth_rsa_challenge_dialog(client_host_key)) {
  81                 log("Client on %.800s failed to respond correctly to host authentication.",
  82                     chost);
  83                 return 0;
  84         }
  85         /*
  86          * We have authenticated the user using .rhosts or /etc/hosts.equiv,
  87          * and the host using RSA. We accept the authentication.
  88          */
  89
  90         verbose("Rhosts with RSA host authentication accepted for %.100s, %.100s on %.700s.",
  91            pw->pw_name, cuser, chost);
  92         packet_send_debug("Rhosts with RSA host authentication accepted.");
  93         return 1;
  94 }