mech_eap/util_mech.c

   1 /*
   2  * Copyright (c) 2010, JANET(UK)
   3  * All rights reserved.
   4  *
   5  * Redistribution and use in source and binary forms, with or without
   6  * modification, are permitted provided that the following conditions
   7  * are met:
   8  *
   9  * 1. Redistributions of source code must retain the above copyright
  10  *    notice, this list of conditions and the following disclaimer.
  11  *
  12  * 2. Redistributions in binary form must reproduce the above copyright
  13  *    notice, this list of conditions and the following disclaimer in the
  14  *    documentation and/or other materials provided with the distribution.
  15  *
  16  * 3. Neither the name of JANET(UK) nor the names of its contributors
  17  *    may be used to endorse or promote products derived from this software
  18  *    without specific prior written permission.
  19  *
  20  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
  21  * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23  * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
  24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30  * SUCH DAMAGE.
  31  */
  32
  33 #include "gssapiP_eap.h"
  34
  35 /*
  36  * 1.3.6.1.4.1.5322(padl)
  37  *      gssEap(21)
  38  *       mechanisms(1)
  39  *        eap-aes128-cts-hmac-sha1-96(17)
  40  *        eap-aes256-cts-hmac-sha1-96(18)
  41  *       nameTypes(2)
  42  *       apiExtensions(3)
  43  *        inquireSecContextByOid(1)
  44  *        inquireCredByOid(2)
  45  *        setSecContextOption(3)
  46  *        setCredOption(4)
  47  *        mechInvoke(5)
  48  */
  49
  50 static const gss_OID_desc gssEapMechPrefix = {
  51     /* Note that alone this is not a valid DER encoded OID */
  52     11, "\x06\x0A\x2B\x06\x01\x04\x01\xA9\x4A\x15\x01\x00"
  53 };
  54
  55 static const gss_OID_desc gssEapConcreteMechs[] = {
  56     /* 1.3.6.1.4.1.5322.21.1  */
  57     { 11, "\x06\x0A\x2B\x06\x01\x04\x01\xA9\x4A\x15\x01" },
  58     /* 1.3.6.1.4.1.5322.21.1.17 */
  59     { 12, "\x06\x0A\x2B\x06\x01\x04\x01\xA9\x4A\x15\x01\x11" },
  60     /* 1.3.6.1.4.1.5322.21.1.18 */
  61     { 12, "\x06\x0A\x2B\x06\x01\x04\x01\xA9\x4A\x15\x01\x12" }
  62 };
  63
  64 gss_OID GSS_EAP_MECHANISM                            = &gssEapConcreteMechs[0];
  65 gss_OID GSS_EAP_AES128_CTS_HMAC_SHA1_96_MECHANISM    = &gssEapConcreteMechs[1];
  66 gss_OID GSS_EAP_AES256_CTS_HMAC_SHA1_96_MECHANISM    = &gssEapConcreteMechs[2];
  67
  68 int
  69 gssEapIsMechanismOid(const gss_OID oid)
  70 {
  71     if (oid == GSS_C_NO_OID) {
  72         return TRUE;
  73     } else if (oidEqual(oid, GSS_EAP_MECHANISM)) {
  74         return TRUE;
  75     } else if (oid->length > gssEapMechPrefix.length &&
  76                memcmp(oid->elements, gssEapMechPrefix.elements,
  77                       gssEapMechPrefix.length) == 0) {
  78         return TRUE;
  79     }
  80
  81     return FALSE;
  82 }
  83
  84 OM_uint32
  85 gssEapOidToEnctype(OM_uint32 *minor,
  86                    const gss_OID oid,
  87                    krb5_enctype *enctype)
  88 {
  89     OM_uint32 major;
  90     int suffix;
  91
  92     major = decomposeOid(minor,
  93                          gssEapMechPrefix.elements,
  94                          gssEapMechPrefix.length,
  95                          oid,
  96                          &suffix);
  97     if (major == GSS_S_COMPLETE)
  98         *enctype = suffix;
  99
 100     return major;
 101 }
 102
 103 OM_uint32
 104 gssEapEnctypeToOid(OM_uint32 *minor,
 105                    krb5_enctype enctype,
 106                    gss_OID *pOid)
 107 {
 108     OM_uint32 major;
 109     gss_OID oid;
 110
 111     *pOid = NULL;
 112
 113     oid = (gss_OID)GSSEAP_MALLOC(sizeof(*oid));
 114     if (oid == NULL) {
 115         *minor = ENOMEM;
 116         return GSS_S_FAILURE;
 117     }
 118
 119     oid->elements = GSSEAP_MALLOC(gssEapMechPrefix.length + 1);
 120     if (oid->elements == NULL) {
 121         *minor = ENOMEM;
 122         free(oid);
 123         return GSS_S_FAILURE;
 124     }
 125
 126     major = composeOid(minor,
 127                        gssEapMechPrefix.elements,
 128                        gssEapMechPrefix.length,
 129                        enctype,
 130                        oid);
 131     if (major == GSS_S_COMPLETE) {
 132         gssEapInternalizeOid(oid, pOid);
 133         *pOid = oid;
 134     } else {
 135         free(oid->elements);
 136         free(oid);
 137     }
 138
 139     return major;
 140 }
 141
 142 OM_uint32
 143 gssEapIndicateMechs(OM_uint32 *minor,
 144                     gss_OID_set *mechs)
 145 {
 146     krb5_context krbContext;
 147     OM_uint32 major, tmpMinor;
 148     krb5_enctype *etypes;
 149     int i;
 150
 151     GSSEAP_KRB_INIT(&krbContext);
 152
 153     *minor = krb5_get_permitted_enctypes(krbContext, &etypes);
 154     if (*minor != 0) {
 155         return GSS_S_FAILURE;
 156     }
 157
 158     major = gss_create_empty_oid_set(minor, mechs);
 159     if (GSS_ERROR(major)) {
 160         GSSEAP_FREE(etypes); /* XXX */
 161         return major;
 162     }
 163
 164     for (i = 0; etypes[i] != ENCTYPE_NULL; i++) {
 165         gss_OID mechOid;
 166
 167         /* XXX currently we aren't equipped to encode these enctypes */
 168         if (etypes[i] < 0 || etypes[i] > 127)
 169             continue;
 170
 171         major = gssEapEnctypeToOid(minor, etypes[i], &mechOid);
 172         if (GSS_ERROR(major))
 173             break;
 174
 175         major = gss_add_oid_set_member(minor, mechOid, mechs);
 176         if (GSS_ERROR(major))
 177             break;
 178
 179         gss_release_oid(&tmpMinor, &mechOid);
 180     }
 181
 182     GSSEAP_FREE(etypes); /* XXX */
 183
 184     return major;
 185 }
 186
 187 OM_uint32
 188 gssEapDefaultMech(OM_uint32 *minor,
 189                   gss_OID *oid)
 190 {
 191     gss_OID_set mechs;
 192     OM_uint32 major, tmpMinor;
 193
 194     major = gssEapIndicateMechs(minor, &mechs);
 195     if (GSS_ERROR(major)) {
 196         return major;
 197     }
 198
 199     if (mechs->count == 0) {
 200         gss_release_oid_set(&tmpMinor, &mechs);
 201         return GSS_S_BAD_MECH;
 202     }
 203
 204     gssEapInternalizeOid(&mechs->elements[0], oid);
 205     if (*oid == &mechs->elements[0]) {
 206         /* don't double-free if we didn't internalize it */
 207         mechs->elements[0].length = 0;
 208         mechs->elements[0].elements = NULL;
 209     }
 210
 211     gss_release_oid_set(&tmpMinor, &mechs);
 212
 213     *minor = 0;
 214     return GSS_S_COMPLETE;
 215 }
 216
 217 void
 218 gssEapInternalizeOid(const gss_OID oid,
 219                      gss_OID *const pInternalizedOid)
 220 {
 221     int i;
 222
 223     *pInternalizedOid = GSS_C_NO_OID;
 224
 225     for (i = 0;
 226          i < sizeof(gssEapConcreteMechs) / sizeof(gssEapConcreteMechs[0]);
 227          i++) {
 228         if (oidEqual(oid, &gssEapConcreteMechs[i])) {
 229             *pInternalizedOid = (const gss_OID)&gssEapConcreteMechs[i];
 230             break;
 231         }
 232     }
 233
 234     if (*pInternalizedOid == GSS_C_NO_OID) {
 235         if (oidEqual(oid, GSS_EAP_NT_PRINCIPAL_NAME))
 236             *pInternalizedOid = (const gss_OID)GSS_EAP_NT_PRINCIPAL_NAME;
 237     }
 238
 239     if (*pInternalizedOid == GSS_C_NO_OID) {
 240         *pInternalizedOid = oid;
 241     }
 242 }