projects / mod_auth_kerb.cvs / .git / blob
? search:


d533594b20ab962d0deb9fc235bd3634004055fe
[mod_auth_kerb.cvs/.git] / mod_auth_gssapi.c
1 /*
2  * Copyright (c) 2010 CESNET
3  * All rights reserved.
4  *
5  * Redistribution and use in source and binary forms, with or without
6  * modification, are permitted provided that the following conditions are met:
7  *
8  * 1. Redistributions of source code must retain the above copyright notice,
9  *    this list of conditions and the following disclaimer.
10  *
11  * 2. Redistributions in binary form must reproduce the above copyright
12  *    notice, this list of conditions and the following disclaimer in the
13  *    documentation and/or other materials provided with the distribution.
14  *
15  * 3. Neither the name of CESNET nor the names of its contributors may
16  *    be used to endorse or promote products derived from this software
17  *    without specific prior written permission.
18  *
19  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
20  * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
21  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
22  * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE
23  * LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
24  * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
25  * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
26  * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
27  * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
28  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
29  * POSSIBILITY OF SUCH DAMAGE.
30  */
31
32 #include "mod_auth_gssapi.h"
33
34 module AP_MODULE_DECLARE_DATA auth_gssapi_module;
35
36 #define command(name, func, var, type, usage)           \
37   AP_INIT_ ## type (name, (void*) func,                 \
38         (void*)APR_OFFSETOF(gss_auth_config, var),      \
39         OR_AUTHCFG | RSRC_CONF, usage)
40
41 static const command_rec gss_config_cmds[] = {
42     command("GSSServiceName", ap_set_string_slot, service_name,
43             TAKE1, "Service name used for Apache authentication."),
44
45     command("GSSKrb5Keytab", ap_set_string_slot, krb5_keytab,
46             TAKE1, "Location of Kerberos V5 keytab file."),
47
48     AP_INIT_RAW_ARGS("GssapiNameAttributes", mag_name_attrs, NULL, OR_AUTHCFG | RSRC_CONF,
49                      "Name Attributes to be exported as environ variables"),
50     { NULL }
51 };
52
53 static void
54 set_http_headers(request_rec *r, const gss_auth_config *conf,
55                  char *negotiate_ret_value)
56 {
57     char *negoauth_param;
58     const char *header_name = (r->proxyreq == PROXYREQ_PROXY) ?
59         "Proxy-Authenticate" : "WWW-Authenticate";
60
61     if (negotiate_ret_value == NULL)
62         return;
63
64     negoauth_param = (*negotiate_ret_value == '\0') ? "Negotiate" :
65         apr_pstrcat(r->pool, "Negotiate ", negotiate_ret_value, NULL);
66     apr_table_add(r->err_headers_out, header_name, negoauth_param);
67 }
68
69 static int
70 gss_authenticate(request_rec *r, gss_auth_config *conf, gss_conn_ctx ctx,
71                  const char *auth_line, char **negotiate_ret_value)
72 {
73   OM_uint32 major_status, minor_status, minor_status2;
74   gss_buffer_desc input_token = GSS_C_EMPTY_BUFFER;
75   gss_buffer_desc output_token = GSS_C_EMPTY_BUFFER;
76   const char *auth_param = NULL;
77   int ret;
78   gss_name_t client_name = GSS_C_NO_NAME;
79   gss_cred_id_t delegated_cred = GSS_C_NO_CREDENTIAL;
80   gss_cred_id_t server_creds = GSS_C_NO_CREDENTIAL;
81   OM_uint32 ret_flags = 0;
82   gss_OID_desc spnego_oid;
83   OM_uint32 (*accept_sec_context)
84                 (OM_uint32 *, gss_ctx_id_t *, const gss_cred_id_t,
85                  const gss_buffer_t, const gss_channel_bindings_t,
86                  gss_name_t *, gss_OID *, gss_buffer_t, OM_uint32 *,
87                  OM_uint32 *, gss_cred_id_t *);
88
89   *negotiate_ret_value = "\0";
90
91   spnego_oid.length = 6;
92   spnego_oid.elements = (void *)"\x2b\x06\x01\x05\x05\x02";
93
94   if (conf->krb5_keytab) {
95      char *ktname;
96      /* we don't use the ap_* calls here, since the string passed to putenv()
97       * will become part of the enviroment and shouldn't be free()ed by apache
98       */
99      ktname = malloc(strlen("KRB5_KTNAME=") + strlen(conf->krb5_keytab) + 1);
100      if (ktname == NULL) {
101         gss_log(APLOG_MARK, APLOG_ERR, 0, r, "malloc() failed: not enough memory");
102         ret = HTTP_INTERNAL_SERVER_ERROR;
103         goto end;
104      }
105      sprintf(ktname, "KRB5_KTNAME=%s", conf->krb5_keytab);
106      putenv(ktname);
107 #ifdef HEIMDAL
108      /* Seems to be also supported by latest MIT */
109      gsskrb5_register_acceptor_identity(conf->krb_5_keytab);
110 #endif
111   }
112
113   /* ap_getword() shifts parameter */
114   auth_param = ap_getword_white(r->pool, &auth_line);
115   if (auth_param == NULL) {
116      gss_log(APLOG_MARK, APLOG_ERR, 0, r,
117              "No Authorization parameter in request from client");
118      ret = HTTP_UNAUTHORIZED;
119      goto end;
120   }
121
122   if (ctx->state == GSS_CTX_ESTABLISHED) {
123       gss_delete_sec_context(&minor_status, &ctx->context, GSS_C_NO_BUFFER);
124       ctx->context = GSS_C_NO_CONTEXT;
125       ctx->state = GSS_CTX_EMPTY;
126   }
127
128   input_token.length = apr_base64_decode_len(auth_param) + 1;
129   input_token.value = apr_pcalloc(r->connection->pool, input_token.length);
130   if (input_token.value == NULL) {
131      gss_log(APLOG_MARK, APLOG_ERR, 0, r,
132              "ap_pcalloc() failed (not enough memory)");
133      ret = HTTP_INTERNAL_SERVER_ERROR;
134      goto end;
135   }
136   input_token.length = apr_base64_decode(input_token.value, auth_param);
137
138   /* LOG length, type */
139
140 #ifdef GSSAPI_SUPPORTS_SPNEGO
141   accept_sec_context = gss_accept_sec_context;
142 #else
143   accept_sec_context = (cmp_gss_type(&input_token, &spnego_oid) == 0) ?
144                       gss_accept_sec_context_spnego : gss_accept_sec_context;
145 #endif
146
147   major_status = accept_sec_context(&minor_status,
148                                   &ctx->context,
149                                   server_creds,
150                                   &input_token,
151                                   GSS_C_NO_CHANNEL_BINDINGS,
152                                   NULL,
153                                   NULL,
154                                   &output_token,
155                                   &ret_flags,
156                                   NULL,
157                                   &delegated_cred);
158   gss_log(APLOG_MARK, APLOG_DEBUG, 0, r,
159           "Client %s us their credential",
160           (ret_flags & GSS_C_DELEG_FLAG) ? "delegated" : "didn't delegate");
161   if (output_token.length) {
162      char *token = NULL;
163      size_t len;
164
165      len = apr_base64_encode_len(output_token.length) + 1;
166      token = apr_pcalloc(r->connection->pool, len + 1);
167      if (token == NULL) {
168         gss_log(APLOG_MARK, APLOG_ERR, 0, r,
169                 "ap_pcalloc() failed (not enough memory)");
170         ret = HTTP_INTERNAL_SERVER_ERROR;
171         gss_release_buffer(&minor_status2, &output_token);
172         goto end;
173      }
174      apr_base64_encode(token, output_token.value, output_token.length);
175      token[len] = '\0';
176      *negotiate_ret_value = token;
177      gss_log(APLOG_MARK, APLOG_DEBUG, 0, r,
178              "GSS-API token of length %d bytes will be sent back",
179              output_token.length);
180      gss_release_buffer(&minor_status2, &output_token);
181   }
182
183   if (GSS_ERROR(major_status)) {
184      gss_log(APLOG_MARK, APLOG_ERR, 0, r,
185              "%s", get_gss_error(r, major_status, minor_status,
186                                  "Failed to establish authentication"));
187 #if 0
188      /* Don't offer the Negotiate method again if call to GSS layer failed */
189      /* XXX ... which means we don't return the "error" output */
190      *negotiate_ret_value = NULL;
191 #endif
192      gss_delete_sec_context(&minor_status, &ctx->context, GSS_C_NO_BUFFER);
193      ctx->context = GSS_C_NO_CONTEXT;
194      ctx->state = GSS_CTX_EMPTY;
195      ret = HTTP_UNAUTHORIZED;
196      goto end;
197   }
198
199   if (major_status & GSS_S_CONTINUE_NEEDED) {
200      ctx->state = GSS_CTX_IN_PROGRESS;
201      ret = HTTP_UNAUTHORIZED;
202      goto end;
203   }
204
205   major_status = gss_inquire_context(&minor_status, ctx->context, &client_name,
206                                      NULL, NULL, NULL, NULL, NULL, NULL);
207   if (GSS_ERROR(major_status)) {
208       gss_log(APLOG_MARK, APLOG_ERR, 0, r,
209               "%s", get_gss_error(r, major_status, minor_status, "gss_inquire_context() failed"));
210       ret = HTTP_INTERNAL_SERVER_ERROR;
211       goto end;
212   }
213
214   major_status = gss_display_name(&minor_status, client_name, &output_token, NULL);
215   ctx->user = apr_pstrndup(r->pool, output_token.value, output_token.length);
216
217   if (conf->name_attributes) {
218     mag_get_name_attributes(r, conf, client_name, ctx);
219     mag_set_req_data(r, conf, ctx);
220   }
221
222
223   gss_release_name(&minor_status, &client_name);
224   if (GSS_ERROR(major_status)) {
225     gss_log(APLOG_MARK, APLOG_ERR, 0, r,
226             "%s", get_gss_error(r, major_status, minor_status,
227                                 "gss_display_name() failed"));
228     ret = HTTP_INTERNAL_SERVER_ERROR;
229     goto end;
230   }
231
232   ctx->state = GSS_CTX_ESTABLISHED;
233   gss_release_buffer(&minor_status, &output_token);
234
235   ret = OK;
236
237 end:
238   if (delegated_cred)
239      gss_release_cred(&minor_status, &delegated_cred);
240
241   if (output_token.length)
242      gss_release_buffer(&minor_status, &output_token);
243
244   if (client_name != GSS_C_NO_NAME)
245      gss_release_name(&minor_status, &client_name);
246
247   if (server_creds != GSS_C_NO_CREDENTIAL)
248      gss_release_cred(&minor_status, &server_creds);
249
250   return ret;
251 }
252
253 static int mag_post_config(apr_pool_t *cfgpool, apr_pool_t *log,
254                            apr_pool_t *temp, server_rec *s)
255 {
256     ap_add_version_component(cfgpool, "Moonshot mod_auth_gssapi");
257     return OK;
258 }
259
260 static int
261 gss_authenticate_user(request_rec *r)
262 {
263     gss_auth_config *conf =
264         (gss_auth_config *) ap_get_module_config(r->per_dir_config,
265                                                 &auth_gssapi_module);
266     const char *auth_line = NULL;
267     const char *type = NULL;
268     char *auth_type = NULL;
269     char *negotiate_ret_value = NULL;
270     gss_conn_ctx conn_ctx = NULL;
271     int ret;
272
273     gss_log(APLOG_MARK, APLOG_DEBUG, 0, r, "Entering GSSAPI authentication");
274
275     /* get the type specified in Apache configuration */
276     type = ap_auth_type(r);
277     if (type == NULL || strcmp(type, "Negotiate") != 0) {
278         gss_log(APLOG_MARK, APLOG_DEBUG, 0, r,
279                 "AuthType '%s' is not for us, bailing out",
280                 (type) ? type : "(NULL)");
281
282         return DECLINED;
283     }
284
285     /* get what the user sent us in the HTTP header */
286     auth_line = apr_table_get(r->headers_in, (r->proxyreq == PROXYREQ_PROXY)
287                                             ? "Proxy-Authorization"
288                                             : "Authorization");
289     if (auth_line == NULL) {
290         gss_log(APLOG_MARK, APLOG_DEBUG, 0, r,
291                 "Client hasn't sent any authentication data, giving up");
292         set_http_headers(r, conf, "\0");
293         return HTTP_UNAUTHORIZED;
294     }
295
296     auth_type = ap_getword_white(r->pool, &auth_line);
297     if (strcasecmp(auth_type, "Negotiate") != 0) {
298         gss_log(APLOG_MARK, APLOG_DEBUG, 0, r,
299                 "Unsupported authentication type (%s) requested by client",
300                 (auth_type) ? auth_type : "(NULL)");
301         set_http_headers(r, conf, "\0");
302         return HTTP_UNAUTHORIZED;
303     }
304
305     if ((NULL == (conn_ctx = gss_retrieve_conn_ctx(r))) &&
306         (NULL == (conn_ctx = gss_create_conn_ctx(r, conf)))) {
307         gss_log(APLOG_MARK, APLOG_ERR, 0, r,
308                 "Failed to create internal context: probably not enough memory");
309         return HTTP_INTERNAL_SERVER_ERROR;
310     }
311
312     /* optimizing hack */
313     if (conn_ctx->state == GSS_CTX_ESTABLISHED && auth_line == NULL) {
314         r->user = apr_pstrdup(r->pool, conn_ctx->user);
315         r->ap_auth_type = "Negotiate";
316         return OK;
317     }
318
319     /* XXXX subrequests ignored, only successful accesses taken into account! */
320     if (!ap_is_initial_req(r) && conn_ctx->state == GSS_CTX_ESTABLISHED) {
321         r->user = apr_pstrdup(r->pool, conn_ctx->user);
322         r->ap_auth_type = "Negotiate";
323         return OK;
324     }
325
326     ret = gss_authenticate(r, conf, conn_ctx,
327                            auth_line, &negotiate_ret_value);
328     if (ret == HTTP_UNAUTHORIZED || ret == OK) {
329         /* LOG?? */
330         set_http_headers(r, conf, negotiate_ret_value);
331     }
332
333     if (ret == OK) {
334         r->user = apr_pstrdup(r->pool, conn_ctx->user);
335         r->ap_auth_type = "Negotiate";
336     }
337
338     /* debug LOG ??? */
339
340     return ret;
341 }
342
343 static void
344 gss_register_hooks(apr_pool_t *p)
345 {
346     ap_hook_check_user_id(gss_authenticate_user, NULL, NULL, APR_HOOK_MIDDLE);
347     ap_hook_post_config(mag_post_config, NULL, NULL, APR_HOOK_MIDDLE);
348 }
349
350 module AP_MODULE_DECLARE_DATA auth_gssapi_module = {
351     STANDARD20_MODULE_STUFF,
352     gss_config_dir_create,
353     NULL,
354     NULL,
355     NULL,
356     gss_config_cmds,
357     gss_register_hooks
358 };
Firefox and Apache Integration