backport from HEAD
[freeradius.git] / src / modules / rlm_pam / rlm_pam.c
1 /*
2  * pam.c        Functions to access the PAM library. This was taken
3  *              from the hacks that miguel a.l. paraz <map@iphil.net>
4  *              did on radiusd-cistron-1.5.3 and migrated to a
5  *              separate file.
6  *
7  *              That, in fact, was again based on the original stuff
8  *              from Jeph Blaize <jblaize@kiva.net> done in May 1997.
9  *
10  * Version:     $Id$
11  *
12  *   This program is free software; you can redistribute it and/or modify
13  *   it under the terms of the GNU General Public License as published by
14  *   the Free Software Foundation; either version 2 of the License, or
15  *   (at your option) any later version.
16  *
17  *   This program is distributed in the hope that it will be useful,
18  *   but WITHOUT ANY WARRANTY; without even the implied warranty of
19  *   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
20  *   GNU General Public License for more details.
21  *
22  *   You should have received a copy of the GNU General Public License
23  *   along with this program; if not, write to the Free Software
24  *   Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
25  *
26  * Copyright 2000  The FreeRADIUS server project
27  * Copyright 1997  Jeph Blaize <jblaize@kiva.net>
28  * Copyright 1999  miguel a.l. paraz <map@iphil.net>
29  */
30
31 #include        "autoconf.h"
32 #include        "libradius.h"
33
34 #include        "config.h"
35
36 #include        <stdio.h>
37 #include        <stdlib.h>
38 #include        <string.h>
39
40 #ifdef HAVE_SECURITY_PAM_APPL_H
41 #include        <security/pam_appl.h>
42 #endif
43
44 #ifdef HAVE_PAM_PAM_APPL_H
45 #include        <pam/pam_appl.h>
46 #endif
47
48
49 #ifdef HAVE_SYSLOG_H
50 #include        <syslog.h>
51 #endif
52
53 #include        "radiusd.h"
54 #include        "modules.h"
55
56 typedef struct rlm_pam_t {
57         const char *pam_auth_name;
58 } rlm_pam_t;
59
60 static CONF_PARSER module_config[] = {
61         { "pam_auth",    PW_TYPE_STRING_PTR, offsetof(rlm_pam_t,pam_auth_name),
62           NULL, "radiusd" },
63         { NULL, -1, 0, NULL, NULL }
64 };
65
66 /*
67  *      (Re-)read radiusd.conf into memory.
68  */
69 static int pam_instantiate(CONF_SECTION *conf, void **instance)
70 {
71         rlm_pam_t *data;
72
73         data = rad_malloc(sizeof(*data));
74         if (!data) {
75                 return -1;
76         }
77         memset(data, 0, sizeof(*data));
78
79         if (cf_section_parse(conf, data, module_config) < 0) {
80                 free(data);
81                 return -1;
82         }
83
84         *instance = data;
85         return 0;
86 }
87
88 /*
89  *      Clean up.
90  */
91 static int pam_detach(void *instance)
92 {
93         rlm_pam_t *data = (rlm_pam_t *) instance;
94
95         free((char *) data->pam_auth_name);
96         free((char *) data);
97         return 0;
98 }
99
100 /*************************************************************************
101  *
102  *      Function: PAM_conv
103  *
104  *      Purpose: Dialogue between RADIUS and PAM modules.
105  *
106  * jab - stolen from pop3d
107  *
108  * Alan DeKok: modified to use PAM's appdata_ptr, so that we're
109  *             multi-threaded safe, and don't have any nasty static
110  *             variables hanging around.
111  *
112  *************************************************************************/
113
114 typedef struct my_PAM {
115   const char *username;
116   const char *password;
117   int         error;
118 } my_PAM;
119
120 static int PAM_conv (int num_msg,
121                      const struct pam_message **msg,
122                      struct pam_response **resp,
123                      void *appdata_ptr) {
124   int count = 0, replies = 0;
125   struct pam_response *reply = NULL;
126   int size = sizeof(struct pam_response);
127   my_PAM *pam_config = (my_PAM *) appdata_ptr;
128
129 #define GET_MEM if (reply) realloc(reply, size); else reply = rad_malloc(size); \
130   size += sizeof(struct pam_response)
131 #define COPY_STRING(s) ((s) ? strdup(s) : NULL)
132
133   for (count = 0; count < num_msg; count++) {
134     switch (msg[count]->msg_style) {
135     case PAM_PROMPT_ECHO_ON:
136       GET_MEM;
137       reply[replies].resp_retcode = PAM_SUCCESS;
138       reply[replies++].resp = COPY_STRING(pam_config->username);
139       /* PAM frees resp */
140       break;
141     case PAM_PROMPT_ECHO_OFF:
142       GET_MEM;
143       reply[replies].resp_retcode = PAM_SUCCESS;
144       reply[replies++].resp = COPY_STRING(pam_config->password);
145       /* PAM frees resp */
146       break;
147     case PAM_TEXT_INFO:
148       /* ignore it... */
149       break;
150     case PAM_ERROR_MSG:
151     default:
152       /* Must be an error of some sort... */
153       free (reply);
154       pam_config->error = 1;
155       return PAM_CONV_ERR;
156     }
157   }
158   if (reply) *resp = reply;
159
160   return PAM_SUCCESS;
161 }
162
163 /*************************************************************************
164  *
165  *      Function: pam_pass
166  *
167  *      Purpose: Check the users password against the standard UNIX
168  *               password table + PAM.
169  *
170  * jab start 19970529
171  *************************************************************************/
172
173 /* cjd 19980706
174  *
175  * for most flexibility, passing a pamauth type to this function
176  * allows you to have multiple authentication types (i.e. multiple
177  * files associated with radius in /etc/pam.d)
178  */
179 static int pam_pass(const char *name, const char *passwd, const char *pamauth)
180 {
181     pam_handle_t *pamh=NULL;
182     int retval;
183     my_PAM pam_config;
184     struct pam_conv conv;
185
186     /*
187      *  Initialize the structures.
188      */
189     conv.conv = PAM_conv;
190     conv.appdata_ptr = &pam_config;
191     pam_config.username = name;
192     pam_config.password = passwd;
193     pam_config.error = 0;
194
195     DEBUG("pam_pass: using pamauth string <%s> for pam.conf lookup", pamauth);
196     retval = pam_start(pamauth, name, &conv, &pamh);
197     if (retval != PAM_SUCCESS) {
198       DEBUG("pam_pass: function pam_start FAILED for <%s>. Reason: %s",
199             name, pam_strerror(pamh, retval));
200       return -1;
201     }
202
203     retval = pam_authenticate(pamh, 0);
204     if (retval != PAM_SUCCESS) {
205       DEBUG("pam_pass: function pam_authenticate FAILED for <%s>. Reason: %s",
206             name, pam_strerror(pamh, retval));
207       pam_end(pamh, retval);
208       return -1;
209     }
210
211     /*
212      * FreeBSD 3.x doesn't have account and session management
213      * functions in PAM, while 4.0 does.
214      */
215 #if !defined(__FreeBSD_version) || (__FreeBSD_version >= 400000)
216     retval = pam_acct_mgmt(pamh, 0);
217     if (retval != PAM_SUCCESS) {
218       DEBUG("pam_pass: function pam_acct_mgmt FAILED for <%s>. Reason: %s",
219             name, pam_strerror(pamh, retval));
220       pam_end(pamh, retval);
221       return -1;
222     }
223 #endif
224
225     DEBUG("pam_pass: authentication succeeded for <%s>", name);
226     pam_end(pamh, retval);
227     return 0;
228 }
229
230 /* translate between function declarations */
231 static int pam_auth(void *instance, REQUEST *request)
232 {
233         int     r;
234         VALUE_PAIR *pair;
235         rlm_pam_t *data = (rlm_pam_t *) instance;
236
237         const char *pam_auth_string = data->pam_auth_name;
238
239         /*
240          *      We can only authenticate user requests which HAVE
241          *      a User-Name attribute.
242          */
243         if (!request->username) {
244                 radlog(L_AUTH, "rlm_pam: Attribute \"User-Name\" is required for authentication.");
245                 return RLM_MODULE_INVALID;
246         }
247
248         /*
249          *      We can only authenticate user requests which HAVE
250          *      a User-Password attribute.
251          */
252         if (!request->password) {
253                 radlog(L_AUTH, "rlm_pam: Attribute \"User-Password\" is required for authentication.");
254                 return RLM_MODULE_INVALID;
255         }
256
257         /*
258          *  Ensure that we're being passed a plain-text password,
259          *  and not anything else.
260          */
261         if (request->password->attribute != PW_PASSWORD) {
262                 radlog(L_AUTH, "rlm_pam: Attribute \"User-Password\" is required for authentication.  Cannot use \"%s\".", request->password->name);
263                 return RLM_MODULE_INVALID;
264         }
265
266         /*
267          *      Let the 'users' file over-ride the PAM auth name string,
268          *      for backwards compatibility.
269          */
270         pair = pairfind(request->config_items, PAM_AUTH_ATTR);
271         if (pair) pam_auth_string = (char *)pair->strvalue;
272
273         r = pam_pass((char *)request->username->strvalue,
274                      (char *)request->password->strvalue,
275                      pam_auth_string);
276
277 #ifdef HAVE_SYSLOG_H
278         if (!strcmp(radlog_dir, "syslog")) {
279                 openlog(progname, LOG_PID, syslog_facility);
280         }
281 #endif
282
283         if (r == 0) {
284                 return RLM_MODULE_OK;
285         }
286         return RLM_MODULE_REJECT;
287 }
288
289 module_t rlm_pam = {
290   "Pam",
291   RLM_TYPE_THREAD_UNSAFE,       /* The PAM libraries are not thread-safe */
292   NULL,                         /* initialize */
293   pam_instantiate,              /* instantiation */
294   {
295           pam_auth,             /* authenticate */
296           NULL,                 /* authorize */
297           NULL,                 /* pre-accounting */
298           NULL,                 /* accounting */
299           NULL,                 /* checksimul */
300           NULL,                 /* pre-proxy */
301           NULL,                 /* post-proxy */
302           NULL                  /* post-auth */
303   },
304   pam_detach,                   /* detach */
305   NULL,                         /* destroy */
306 };
307