The KRB5RCACHETYPE variable is set in initialization calls. Its parameter is allocate...

[mod_auth_kerb.git] / src / mod_auth_kerb.c
diff --git a/src/mod_auth_kerb.c b/src/mod_auth_kerb.c

index 7193a24..7fcb4fb 100644 (file)
--- a/src/mod_auth_kerb.c
+++ b/src/mod_auth_kerb.c
@@ -50,7 +50,7 @@
  #include <stdio.h>
  #include <stdarg.h>
  
-#define MODAUTHKERB_VERSION "5.0-rc6"
+#define MODAUTHKERB_VERSION "5.0-rc7"
  
  #define MECH_NEGOTIATE "Negotiate"
  #define SERVICE_NAME "HTTP"
@@ -154,7 +154,7 @@ typedef struct {
         const char *krb_service_name;
         int krb_authoritative;
         int krb_delegate_basic;
-#ifdef 0
+#if 0
         int krb_ssl_preauthentication;
  #endif
  #ifdef KRB5
@@ -209,7 +209,7 @@ static const command_rec kerb_auth_cmds[] = {
     command("KrbDelegateBasic", ap_set_flag_slot, krb_delegate_basic,
       FLAG, "Always offer Basic authentication regardless of KrbMethodK5Pass and pass on authentication to lower modules if Basic headers arrive."),
  
-#ifdef 0
+#if 0
     command("KrbEnableSSLPreauthentication", ap_set_flag_slot, krb_ssl_preauthentication,
       FLAG, "Don't do Kerberos authentication if the user is already authenticated using SSL and her client certificate."),
  #endif
@@ -1139,6 +1139,7 @@ get_gss_creds(request_rec *r,
     char buf[1024];
     int have_server_princ;
  
+
     have_server_princ = conf->krb_service_name && strchr(conf->krb_service_name, '/') != NULL;
     if (have_server_princ)
        strncpy(buf, conf->krb_service_name, sizeof(buf));
@@ -1199,11 +1200,15 @@ get_gss_creds(request_rec *r,
     {
        krb5_gss_cred_id_t gss_creds = (krb5_gss_cred_id_t) *server_creds;
  
-      if (gss_creds && gss_creds->rcache && gss_creds->rcache->ops &&
-         gss_creds->rcache->ops->type &&  
-         memcmp(gss_creds->rcache->ops->type, "dfl", 3) == 0)
+      /* First we try to verify we are linked with 1.3.x to prevent from
+         crashing when linked with 1.4.x */
+      if (gss_creds && (gss_creds->usage == GSS_C_ACCEPT)) {
+        if (gss_creds->rcache && gss_creds->rcache->ops &&
+            gss_creds->rcache->ops->type &&  
+            memcmp(gss_creds->rcache->ops->type, "dfl", 3) == 0)
            /* Override the rcache operations */
          gss_creds->rcache->ops = &mod_auth_kerb_rc_ops;
+      }
     }
  #endif
     
@@ -1560,9 +1565,20 @@ kerb_authenticate_user(request_rec *r)
   Module Setup/Configuration
   ***************************************************************************/
  #ifndef STANDARD20_MODULE_STUFF
+static void
+kerb_module_init(server_rec *dummy, pool *p)
+{
+#ifndef HEIMDAL
+   /* Suppress the MIT replay cache.  Requires MIT Kerberos 1.4.0 or later.
+      1.3.x are covered by the hack overiding the replay calls */
+   if (getenv("KRB5RCACHETYPE") == NULL)
+      putenv(strdup("KRB5RCACHETYPE=none"));
+#endif
+}
+
  module MODULE_VAR_EXPORT auth_kerb_module = {
         STANDARD_MODULE_STUFF,
-       NULL,                           /*      module initializer            */
+       kerb_module_init,               /*      module initializer            */
         kerb_dir_create_config,         /*      per-directory config creator  */
         NULL,                           /*      per-directory config merger   */
         NULL,                           /*      per-server    config creator  */
@@ -1593,6 +1609,13 @@ kerb_init_handler(apr_pool_t *p, apr_pool_t *plog,
                   apr_pool_t *ptemp, server_rec *s)
  {
     ap_add_version_component(p, "mod_auth_kerb/" MODAUTHKERB_VERSION);
+#ifndef HEIMDAL
+   /* Suppress the MIT replay cache.  Requires MIT Kerberos 1.4.0 or later.
+      1.3.x are covered by the hack overiding the replay calls */
+   if (getenv("KRB5RCACHETYPE") == NULL)
+      putenv(strdup("KRB5RCACHETYPE=none"));
+#endif
+   
     return OK;
  }