mech_eap/util_context.c

   1 /*
   2  * Copyright (c) 2010, JANET(UK)
   3  * All rights reserved.
   4  *
   5  * Redistribution and use in source and binary forms, with or without
   6  * modification, are permitted provided that the following conditions
   7  * are met:
   8  *
   9  * 1. Redistributions of source code must retain the above copyright
  10  *    notice, this list of conditions and the following disclaimer.
  11  *
  12  * 2. Redistributions in binary form must reproduce the above copyright
  13  *    notice, this list of conditions and the following disclaimer in the
  14  *    documentation and/or other materials provided with the distribution.
  15  *
  16  * 3. Neither the name of JANET(UK) nor the names of its contributors
  17  *    may be used to endorse or promote products derived from this software
  18  *    without specific prior written permission.
  19  *
  20  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
  21  * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23  * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
  24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30  * SUCH DAMAGE.
  31  */
  32
  33 #include "gssapiP_eap.h"
  34
  35 OM_uint32
  36 gssEapAllocContext(OM_uint32 *minor,
  37                    gss_ctx_id_t *pCtx)
  38 {
  39     OM_uint32 tmpMinor;
  40     gss_ctx_id_t ctx;
  41
  42     assert(*pCtx == GSS_C_NO_CONTEXT);
  43
  44     ctx = (gss_ctx_id_t)GSSEAP_CALLOC(1, sizeof(*ctx));
  45     if (ctx == NULL) {
  46         *minor = ENOMEM;
  47         return GSS_S_FAILURE;
  48     }
  49
  50     if (GSSEAP_MUTEX_INIT(&ctx->mutex) != 0) {
  51         *minor = errno;
  52         gssEapReleaseContext(&tmpMinor, &ctx);
  53         return GSS_S_FAILURE;
  54     }
  55
  56     ctx->state = EAP_STATE_IDENTITY;
  57
  58     /*
  59      * Integrity, confidentiality, sequencing and replay detection are
  60      * always available.  Regardless of what flags are requested in
  61      * GSS_Init_sec_context, implementations MUST set the flag corresponding
  62      * to these services in the output of GSS_Init_sec_context and
  63      * GSS_Accept_sec_context.
  64     */
  65     ctx->gssFlags = GSS_C_TRANS_FLAG    |   /* exporting contexts */
  66                     GSS_C_INTEG_FLAG    |   /* integrity */
  67                     GSS_C_CONF_FLAG     |   /* confidentiality */
  68                     GSS_C_SEQUENCE_FLAG |   /* sequencing */
  69                     GSS_C_REPLAY_FLAG;      /* replay detection */
  70
  71     *pCtx = ctx;
  72
  73     return GSS_S_COMPLETE;
  74 }
  75
  76 static void
  77 releaseInitiatorContext(struct gss_eap_initiator_ctx *ctx)
  78 {
  79     OM_uint32 minor;
  80
  81     gssEapReleaseCred(&minor, &ctx->defaultCred);
  82     eap_peer_sm_deinit(ctx->eap);
  83 }
  84
  85 static void
  86 releaseAcceptorContext(struct gss_eap_acceptor_ctx *ctx)
  87 {
  88     OM_uint32 tmpMinor;
  89
  90     if (ctx->avps != NULL)
  91         rc_avpair_free(ctx->avps);
  92     if (ctx->radHandle != NULL)
  93         rc_config_free(ctx->radHandle);
  94
  95     gss_release_buffer(&tmpMinor, &ctx->state);
  96 }
  97
  98 OM_uint32
  99 gssEapReleaseContext(OM_uint32 *minor,
 100                      gss_ctx_id_t *pCtx)
 101 {
 102     OM_uint32 tmpMinor;
 103     gss_ctx_id_t ctx = *pCtx;
 104     krb5_context krbContext = NULL;
 105
 106     if (ctx == GSS_C_NO_CONTEXT) {
 107         return GSS_S_COMPLETE;
 108     }
 109
 110     gssEapKerberosInit(&tmpMinor, &krbContext);
 111
 112 #ifdef GSSEAP_ENABLE_REAUTH
 113     if (ctx->flags & CTX_FLAG_KRB_REAUTH_GSS) {
 114         gssDeleteSecContext(&tmpMinor, &ctx->kerberosCtx, GSS_C_NO_BUFFER);
 115     } else
 116 #endif
 117     if (CTX_IS_INITIATOR(ctx)) {
 118         releaseInitiatorContext(&ctx->initiatorCtx);
 119     } else {
 120         releaseAcceptorContext(&ctx->acceptorCtx);
 121     }
 122
 123     krb5_free_keyblock_contents(krbContext, &ctx->rfc3961Key);
 124     gssEapReleaseName(&tmpMinor, &ctx->initiatorName);
 125     gssEapReleaseName(&tmpMinor, &ctx->acceptorName);
 126     gss_release_oid(&tmpMinor, &ctx->mechanismUsed);
 127     sequenceFree(&tmpMinor, &ctx->seqState);
 128
 129     GSSEAP_MUTEX_DESTROY(&ctx->mutex);
 130
 131     memset(ctx, 0, sizeof(*ctx));
 132     GSSEAP_FREE(ctx);
 133     *pCtx = GSS_C_NO_CONTEXT;
 134
 135     *minor = 0;
 136     return GSS_S_COMPLETE;
 137 }
 138
 139 OM_uint32
 140 gssEapMakeToken(OM_uint32 *minor,
 141                 gss_ctx_id_t ctx,
 142                 const gss_buffer_t innerToken,
 143                 enum gss_eap_token_type tokenType,
 144                 gss_buffer_t outputToken)
 145 {
 146     unsigned char *p;
 147
 148     outputToken->length = tokenSize(ctx->mechanismUsed, innerToken->length);
 149     outputToken->value = GSSEAP_MALLOC(outputToken->length);
 150     if (outputToken->value == NULL) {
 151         *minor = ENOMEM;
 152         return GSS_S_FAILURE;
 153     }
 154
 155     p = (unsigned char *)outputToken->value;
 156     makeTokenHeader(ctx->mechanismUsed, innerToken->length, &p, tokenType);
 157     memcpy(p, innerToken->value, innerToken->length);
 158
 159     *minor = 0;
 160     return GSS_S_COMPLETE;
 161 }
 162
 163 OM_uint32
 164 gssEapVerifyToken(OM_uint32 *minor,
 165                   gss_ctx_id_t ctx,
 166                   const gss_buffer_t inputToken,
 167                   enum gss_eap_token_type *actualToken,
 168                   gss_buffer_t innerInputToken)
 169 {
 170     OM_uint32 major;
 171     size_t bodySize;
 172     unsigned char *p = (unsigned char *)inputToken->value;
 173     gss_OID_desc oidBuf;
 174     gss_OID oid;
 175
 176     if (ctx->mechanismUsed != GSS_C_NO_OID) {
 177         oid = ctx->mechanismUsed;
 178     } else {
 179         oidBuf.elements = NULL;
 180         oidBuf.length = 0;
 181         oid = &oidBuf;
 182     }
 183
 184     major = verifyTokenHeader(minor, oid, &bodySize, &p,
 185                               inputToken->length, actualToken);
 186     if (GSS_ERROR(major))
 187         return major;
 188
 189     if (ctx->mechanismUsed == GSS_C_NO_OID) {
 190         if (!gssEapIsConcreteMechanismOid(oid))
 191             return GSS_S_BAD_MECH;
 192
 193         if (!gssEapInternalizeOid(oid, &ctx->mechanismUsed)) {
 194             major = duplicateOid(minor, oid, &ctx->mechanismUsed);
 195             if (GSS_ERROR(major))
 196                 return major;
 197         }
 198     }
 199
 200     innerInputToken->length = bodySize;
 201     innerInputToken->value = p;
 202
 203     *minor = 0;
 204     return GSS_S_COMPLETE;
 205 }
 206
 207 OM_uint32
 208 gssEapContextTime(OM_uint32 *minor,
 209                   gss_ctx_id_t context_handle,
 210                   OM_uint32 *time_rec)
 211 {
 212     if (context_handle == GSS_C_NO_CONTEXT) {
 213         return GSS_S_NO_CONTEXT;
 214     }
 215
 216     if (!CTX_IS_ESTABLISHED(context_handle)) {
 217         return GSS_S_NO_CONTEXT;
 218     }
 219
 220     *minor = 0;
 221
 222     if (context_handle->expiryTime == 0) {
 223         *time_rec = GSS_C_INDEFINITE;
 224     } else {
 225         time_t now, lifetime;
 226
 227         time(&now);
 228         lifetime = context_handle->expiryTime - now;
 229         if (lifetime <= 0) {
 230             *time_rec = 0;
 231             return GSS_S_CONTEXT_EXPIRED;
 232         }
 233         *time_rec = lifetime;
 234     }
 235
 236     return GSS_S_COMPLETE;
 237 }