projects / mech_eap.orig / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Merge branch 'master' of ssh://moonshot.suchdamage.org:822/srv/git/moonshot
[mech_eap.orig] / util_context.c
1 /*
2  * Copyright (c) 2010, JANET(UK)
3  * All rights reserved.
4  *
5  * Redistribution and use in source and binary forms, with or without
6  * modification, are permitted provided that the following conditions
7  * are met:
8  *
9  * 1. Redistributions of source code must retain the above copyright
10  *    notice, this list of conditions and the following disclaimer.
11  *
12  * 2. Redistributions in binary form must reproduce the above copyright
13  *    notice, this list of conditions and the following disclaimer in the
14  *    documentation and/or other materials provided with the distribution.
15  *
16  * 3. Neither the name of JANET(UK) nor the names of its contributors
17  *    may be used to endorse or promote products derived from this software
18  *    without specific prior written permission.
19  *
20  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
21  * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
23  * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
30  * SUCH DAMAGE.
31  */
32
33 /*
34  * Utility routines for context handles.
35  */
36
37 #include "gssapiP_eap.h"
38
39 OM_uint32
40 gssEapAllocContext(OM_uint32 *minor,
41                    gss_ctx_id_t *pCtx)
42 {
43     OM_uint32 tmpMinor;
44     gss_ctx_id_t ctx;
45
46     assert(*pCtx == GSS_C_NO_CONTEXT);
47
48     ctx = (gss_ctx_id_t)GSSEAP_CALLOC(1, sizeof(*ctx));
49     if (ctx == NULL) {
50         *minor = ENOMEM;
51         return GSS_S_FAILURE;
52     }
53
54     if (GSSEAP_MUTEX_INIT(&ctx->mutex) != 0) {
55         *minor = errno;
56         gssEapReleaseContext(&tmpMinor, &ctx);
57         return GSS_S_FAILURE;
58     }
59
60     ctx->state = GSSEAP_STATE_IDENTITY;
61
62     /*
63      * Integrity, confidentiality, sequencing and replay detection are
64      * always available.  Regardless of what flags are requested in
65      * GSS_Init_sec_context, implementations MUST set the flag corresponding
66      * to these services in the output of GSS_Init_sec_context and
67      * GSS_Accept_sec_context.
68     */
69     ctx->gssFlags = GSS_C_TRANS_FLAG    |   /* exporting contexts */
70                     GSS_C_INTEG_FLAG    |   /* integrity */
71                     GSS_C_CONF_FLAG     |   /* confidentiality */
72                     GSS_C_SEQUENCE_FLAG |   /* sequencing */
73                     GSS_C_REPLAY_FLAG;      /* replay detection */
74
75     *pCtx = ctx;
76
77     return GSS_S_COMPLETE;
78 }
79
80 static void
81 releaseInitiatorContext(struct gss_eap_initiator_ctx *ctx)
82 {
83     eap_peer_sm_deinit(ctx->eap);
84 }
85
86 static void
87 releaseAcceptorContext(struct gss_eap_acceptor_ctx *ctx)
88 {
89     OM_uint32 tmpMinor;
90
91     if (ctx->radConn != NULL)
92         rs_conn_destroy(ctx->radConn);
93     if (ctx->radContext != NULL)
94         rs_context_destroy(ctx->radContext);
95     if (ctx->radServer != NULL)
96         GSSEAP_FREE(ctx->radServer);
97     gss_release_buffer(&tmpMinor, &ctx->state);
98     if (ctx->vps != NULL)
99         gssEapRadiusFreeAvps(&tmpMinor, &ctx->vps);
100 }
101
102 OM_uint32
103 gssEapReleaseContext(OM_uint32 *minor,
104                      gss_ctx_id_t *pCtx)
105 {
106     OM_uint32 tmpMinor;
107     gss_ctx_id_t ctx = *pCtx;
108     krb5_context krbContext = NULL;
109
110     if (ctx == GSS_C_NO_CONTEXT) {
111         return GSS_S_COMPLETE;
112     }
113
114     gssEapKerberosInit(&tmpMinor, &krbContext);
115
116 #ifdef GSSEAP_ENABLE_REAUTH
117     if (ctx->flags & CTX_FLAG_KRB_REAUTH) {
118         gssDeleteSecContext(&tmpMinor, &ctx->kerberosCtx, GSS_C_NO_BUFFER);
119     } else
120 #endif
121     if (CTX_IS_INITIATOR(ctx)) {
122         releaseInitiatorContext(&ctx->initiatorCtx);
123     } else {
124         releaseAcceptorContext(&ctx->acceptorCtx);
125     }
126
127     krb5_free_keyblock_contents(krbContext, &ctx->rfc3961Key);
128     gssEapReleaseName(&tmpMinor, &ctx->initiatorName);
129     gssEapReleaseName(&tmpMinor, &ctx->acceptorName);
130     gssEapReleaseOid(&tmpMinor, &ctx->mechanismUsed);
131     sequenceFree(&tmpMinor, &ctx->seqState);
132     gssEapReleaseCred(&tmpMinor, &ctx->defaultCred);
133
134     GSSEAP_MUTEX_DESTROY(&ctx->mutex);
135
136     memset(ctx, 0, sizeof(*ctx));
137     GSSEAP_FREE(ctx);
138     *pCtx = GSS_C_NO_CONTEXT;
139
140     *minor = 0;
141     return GSS_S_COMPLETE;
142 }
143
144 OM_uint32
145 gssEapMakeToken(OM_uint32 *minor,
146                 gss_ctx_id_t ctx,
147                 const gss_buffer_t innerToken,
148                 enum gss_eap_token_type tokenType,
149                 gss_buffer_t outputToken)
150 {
151     unsigned char *p;
152
153     outputToken->length = tokenSize(ctx->mechanismUsed, innerToken->length);
154     outputToken->value = GSSEAP_MALLOC(outputToken->length);
155     if (outputToken->value == NULL) {
156         *minor = ENOMEM;
157         return GSS_S_FAILURE;
158     }
159
160     p = (unsigned char *)outputToken->value;
161     makeTokenHeader(ctx->mechanismUsed, innerToken->length, &p, tokenType);
162     memcpy(p, innerToken->value, innerToken->length);
163
164     *minor = 0;
165     return GSS_S_COMPLETE;
166 }
167
168 OM_uint32
169 gssEapVerifyToken(OM_uint32 *minor,
170                   gss_ctx_id_t ctx,
171                   const gss_buffer_t inputToken,
172                   enum gss_eap_token_type *actualToken,
173                   gss_buffer_t innerInputToken)
174 {
175     OM_uint32 major;
176     size_t bodySize;
177     unsigned char *p = (unsigned char *)inputToken->value;
178     gss_OID_desc oidBuf;
179     gss_OID oid;
180
181     if (ctx->mechanismUsed != GSS_C_NO_OID) {
182         oid = ctx->mechanismUsed;
183     } else {
184         oidBuf.elements = NULL;
185         oidBuf.length = 0;
186         oid = &oidBuf;
187     }
188
189     major = verifyTokenHeader(minor, oid, &bodySize, &p,
190                               inputToken->length, actualToken);
191     if (GSS_ERROR(major))
192         return major;
193
194     if (ctx->mechanismUsed == GSS_C_NO_OID) {
195         if (!gssEapIsConcreteMechanismOid(oid)) {
196             *minor = GSSEAP_WRONG_MECH;
197             return GSS_S_BAD_MECH;
198         }
199
200         if (!gssEapInternalizeOid(oid, &ctx->mechanismUsed)) {
201             major = duplicateOid(minor, oid, &ctx->mechanismUsed);
202             if (GSS_ERROR(major))
203                 return major;
204         }
205     }
206
207     innerInputToken->length = bodySize;
208     innerInputToken->value = p;
209
210     *minor = 0;
211     return GSS_S_COMPLETE;
212 }
213
214 OM_uint32
215 gssEapContextTime(OM_uint32 *minor,
216                   gss_ctx_id_t context_handle,
217                   OM_uint32 *time_rec)
218 {
219     if (context_handle->expiryTime == 0) {
220         *time_rec = GSS_C_INDEFINITE;
221     } else {
222         time_t now, lifetime;
223
224         time(&now);
225         lifetime = context_handle->expiryTime - now;
226         if (lifetime <= 0) {
227             *time_rec = 0;
228             return GSS_S_CONTEXT_EXPIRED;
229         }
230         *time_rec = lifetime;
231     }
232
233     return GSS_S_COMPLETE;
234 }
Moonshot GSS-API mechanism