4a8eb4443ef99abcfc2be6cff856d2061a032834
[openafs.git] / src / afs / afs_osi_pag.c
1 /*
2  * Copyright 2000, International Business Machines Corporation and others.
3  * All Rights Reserved.
4  * 
5  * This software has been released under the terms of the IBM Public
6  * License.  For details, see the LICENSE file in the top-level source
7  * directory or online at http://www.openafs.org/dl/license10.html
8  */
9
10 /*
11  * Implements:
12  * genpag
13  * getpag
14  * afs_setpag
15  * AddPag
16  * afs_InitReq
17  * afs_get_pag_from_groups
18  * afs_get_groups_from_pag
19  * PagInCred
20  */
21
22 #include <afsconfig.h>
23 #include "afs/param.h"
24
25
26 #include "afs/sysincludes.h"    /* Standard vendor system headers */
27 #include "afsincludes.h"        /* Afs-based standard headers */
28 #include "afs/afs_stats.h"      /* statistics */
29 #include "afs/afs_cbqueue.h"
30 #include "afs/nfsclient.h"
31 #include "afs/afs_osidnlc.h"
32
33
34 /* Imported variables */
35 extern int afs_shuttingdown;
36
37 /* Exported variables */
38 afs_uint32 pag_epoch;
39 #if defined(UKERNEL) && defined(AFS_WEB_ENHANCEMENTS)
40 afs_uint32 pagCounter = 1;
41 #else
42 afs_uint32 pagCounter = 0;
43 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
44
45 #ifdef AFS_LINUX26_ONEGROUP_ENV
46 #define NUMPAGGROUPS 1
47 #else
48 #define NUMPAGGROUPS 2
49 #endif
50 /* Local variables */
51
52 /*
53  * Pags are implemented as follows: the set of groups whose long
54  * representation is '41XXXXXX' hex are used to represent the pags.
55  * Being a member of such a group means you are authenticated as pag
56  * XXXXXX (0x41 == 'A', for Andrew).  You are never authenticated as
57  * multiple pags at once.
58  *
59  * The function afs_InitReq takes a credential field and formats the
60  * corresponding venus request structure.  The uid field in the
61  * vrequest structure is set to the *pag* you are authenticated as, or
62  * the uid, if you aren't authenticated with a pag.
63  *
64  * The basic motivation behind pags is this: just because your unix
65  * uid is N doesn't mean that you should have the same privileges as
66  * anyone logged in on the machine as user N, since this would enable
67  * the superuser on the machine to sneak in and make use of anyone's
68  * authentication info, even that which is only accidentally left
69  * behind when someone leaves a public workstation.
70  *
71  * AFS doesn't use the unix uid for anything except
72  * a handle with which to find the actual authentication tokens
73  * anyway, so the pag is an alternative handle which is somewhat more
74  * secure (although of course not absolutely secure).
75 */
76 #if !defined(UKERNEL) || !defined(AFS_WEB_ENHANCEMENTS)
77 afs_uint32
78 genpag(void)
79 {
80     AFS_STATCNT(genpag);
81 #ifdef AFS_LINUX20_ENV
82     /* Ensure unique PAG's (mod 200 days) when reloading the client. */
83     return (('A' << 24) + ((pag_epoch + pagCounter++) & 0xffffff));
84 #else /* AFS_LINUX20_ENV */
85     return (('A' << 24) + (pagCounter++ & 0xffffff));
86 #endif /* AFS_LINUX20_ENV */
87 }
88
89 afs_uint32
90 getpag(void)
91 {
92     AFS_STATCNT(getpag);
93 #ifdef AFS_LINUX20_ENV
94     /* Ensure unique PAG's (mod 200 days) when reloading the client. */
95     return (('A' << 24) + ((pag_epoch + pagCounter) & 0xffffff));
96 #else
97     return (('A' << 24) + (pagCounter & 0xffffff));
98 #endif
99 }
100
101 #else
102
103 /* Web enhancement: we don't need to restrict pags to 41XXXXXX since
104  * we are not sharing the space with anyone.  So we use the full 32 bits. */
105
106 afs_uint32
107 genpag(void)
108 {
109     AFS_STATCNT(genpag);
110 #ifdef AFS_LINUX20_ENV
111     return (pag_epoch + pagCounter++);
112 #else
113     return (pagCounter++);
114 #endif /* AFS_LINUX20_ENV */
115 }
116
117 afs_uint32
118 getpag(void)
119 {
120     AFS_STATCNT(getpag);
121 #ifdef AFS_LINUX20_ENV
122     /* Ensure unique PAG's (mod 200 days) when reloading the client. */
123     return (pag_epoch + pagCounter);
124 #else
125     return (pagCounter);
126 #endif
127 }
128 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
129
130 /* used to require 10 seconds between each setpag to guarantee that
131  * PAGs never wrap - which would be a security hole.  If we presume
132  * that in ordinary operation, the average rate of PAG allocation
133  * will not exceed one per second, the 24 bits provided will be
134  * sufficient for ~200 days.  Unfortunately, if we merely assume that,
135  * there will be an opportunity for attack.  So we must enforce it.
136  * If we need to increase the average rate of PAG allocation, we
137  * should increase the number of bits in a PAG, and/or reduce our
138  * window in which we guarantee that the PAG counter won't wrap.
139  * By permitting an average of one new PAG per second, new PAGs can
140  * be allocated VERY frequently over a short period relative to total uptime.
141  * Of course, there's only an issue here if one user stays logged (and re-
142  * activates tokens repeatedly) for that entire period.
143  */
144
145 static int afs_pag_sleepcnt = 0;
146 static int afs_pag_timewarn = 0;
147
148 static int
149 afs_pag_sleep(afs_ucred_t **acred)
150 {
151     int rv = 0;
152
153     if (!afs_suser(acred)) {
154         if(osi_Time() - pag_epoch < pagCounter) {
155             rv = 1;
156         }
157         if (rv && (osi_Time() < pag_epoch)) {
158             if (!afs_pag_timewarn) {
159                 afs_pag_timewarn = 1;
160                 printf("clock went backwards, not PAG throttling");
161             }
162             rv = 0;
163         }
164     }
165
166     return rv;
167 }
168
169 static int
170 afs_pag_wait(afs_ucred_t **acred)
171 {
172     if (afs_pag_sleep(acred)) {
173         if (!afs_pag_sleepcnt) {
174             printf("%s() PAG throttling triggered, pid %d... sleeping.  sleepcnt %d\n",
175                    "afs_pag_wait", osi_getpid(), afs_pag_sleepcnt);
176         }
177
178         afs_pag_sleepcnt++;
179
180         do {
181             /* XXX spins on EINTR */
182             afs_osi_Wait(1000, (struct afs_osi_WaitHandle *)0, 0);
183         } while (afs_pag_sleep(acred));
184
185         afs_pag_sleepcnt--;
186     }
187
188     return 0;
189 }
190
191 int
192 #if     defined(AFS_SUN5_ENV)
193 afs_setpag(afs_ucred_t **credpp)
194 #elif  defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
195 afs_setpag(afs_proc_t *p, void *args, int *retval)
196 #else
197 afs_setpag(void)
198 #endif
199 {
200
201 #if     defined(AFS_SUN5_ENV)
202     afs_ucred_t **acred = *credpp;
203 #elif  defined(AFS_OBSD_ENV)
204     afs_ucred_t **acred = &p->p_ucred;
205 #else
206     afs_ucred_t **acred = NULL;
207 #endif
208
209     int code = 0;
210
211 #if defined(AFS_SGI53_ENV) && defined(MP)
212     /* This is our first chance to get the global lock. */
213     AFS_GLOCK();
214 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
215
216     AFS_STATCNT(afs_setpag);
217
218     afs_pag_wait(acred);
219
220
221 #if     defined(AFS_SUN5_ENV)
222     code = AddPag(genpag(), credpp);
223 #elif   defined(AFS_XBSD_ENV)
224     code = AddPag(p, genpag(), &p->p_rcred);
225 #elif   defined(AFS_AIX41_ENV)
226     {
227         struct ucred *credp;
228         struct ucred *credp0;
229
230         credp = crref();
231         credp0 = credp;
232         code = AddPag(genpag(), &credp);
233         /* If AddPag() didn't make a new cred, then free our cred ref */
234         if (credp == credp0) {
235             crfree(credp);
236         }
237     }
238 #elif   defined(AFS_HPUX110_ENV)
239     {
240         struct ucred *credp = p_cred(u.u_procp);
241         code = AddPag(genpag(), &credp);
242     }
243 #elif   defined(AFS_SGI_ENV)
244     {
245         cred_t *credp;
246         credp = OSI_GET_CURRENT_CRED();
247         code = AddPag(genpag(), &credp);
248     }
249 #elif   defined(AFS_LINUX20_ENV)
250     {
251         afs_ucred_t *credp = crref();
252         code = AddPag(genpag(), &credp);
253         crfree(credp);
254     }
255 #elif defined(AFS_DARWIN80_ENV)
256     {
257         afs_ucred_t *credp = kauth_cred_proc_ref(p);
258         code = AddPag(p, genpag(), &credp);
259         crfree(credp);
260     }
261 #elif defined(AFS_DARWIN_ENV)
262     {
263         afs_ucred_t *credp = crdup(p->p_cred->pc_ucred);
264         code = AddPag(p, genpag(), &credp);
265         crfree(credp);
266     }
267 #else
268     code = AddPag(genpag(), &u.u_cred);
269 #endif
270
271     afs_Trace1(afs_iclSetp, CM_TRACE_SETPAG, ICL_TYPE_INT32, code);
272
273 #if defined(KERNEL_HAVE_UERROR)
274     if (!getuerror())
275         setuerror(code);
276 #endif
277
278 #if defined(AFS_SGI53_ENV) && defined(MP)
279     AFS_GUNLOCK();
280 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
281
282     return (code);
283 }
284
285 #if defined(UKERNEL) && defined(AFS_WEB_ENHANCEMENTS)
286 /*
287  * afs_setpag_val
288  * This function is like setpag but sets the current thread's pag id to a
289  * caller-provided value instead of calling genpag().  This implements a
290  * form of token caching since the caller can recall a particular pag value
291  * for the thread to restore tokens, rather than reauthenticating.
292  */
293 int
294 #if     defined(AFS_SUN5_ENV)
295 afs_setpag_val(afs_ucred_t **credpp, int pagval)
296 #elif  defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
297 afs_setpag_val(afs_proc_t *p, void *args, int *retval, int pagval)
298 #else
299 afs_setpag_val(int pagval)
300 #endif
301 {
302
303 #if     defined(AFS_SUN5_ENV)
304     afs_ucred_t **acred = *credp;
305 #elif  defined(AFS_OBSD_ENV)
306     afs_ucred_t **acred = &p->p_ucred;
307 #else
308     afs_ucred_t **acred = NULL;
309 #endif
310
311     int code = 0;
312
313 #if defined(AFS_SGI53_ENV) && defined(MP)
314     /* This is our first chance to get the global lock. */
315     AFS_GLOCK();
316 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
317
318     AFS_STATCNT(afs_setpag);
319
320     afs_pag_wait(acred);
321
322 #if     defined(AFS_SUN5_ENV)
323     code = AddPag(pagval, credpp);
324 #elif   defined(AFS_XBSD_ENV)
325     code = AddPag(p, pagval, &p->p_rcred);
326 #elif   defined(AFS_AIX41_ENV)
327     {
328         struct ucred *credp;
329         struct ucred *credp0;
330
331         credp = crref();
332         credp0 = credp;
333         code = AddPag(pagval, &credp);
334         /* If AddPag() didn't make a new cred, then free our cred ref */
335         if (credp == credp0) {
336             crfree(credp);
337         }
338     }
339 #elif   defined(AFS_HPUX110_ENV)
340     {
341         struct ucred *credp = p_cred(u.u_procp);
342         code = AddPag(pagval, &credp);
343     }
344 #elif   defined(AFS_SGI_ENV)
345     {
346         cred_t *credp;
347         credp = OSI_GET_CURRENT_CRED();
348         code = AddPag(pagval, &credp);
349     }
350 #elif   defined(AFS_LINUX20_ENV)
351     {
352         afs_ucred_t *credp = crref();
353         code = AddPag(pagval, &credp);
354         crfree(credp);
355     }
356 #elif defined(AFS_DARWIN_ENV)
357     {
358         struct ucred *credp = crdup(p->p_cred->pc_ucred);
359         code = AddPag(p, pagval, &credp);
360         crfree(credp);
361     }
362 #else
363     code = AddPag(pagval, &u.u_cred);
364 #endif
365
366     afs_Trace1(afs_iclSetp, CM_TRACE_SETPAG, ICL_TYPE_INT32, code);
367 #if defined(KERNEL_HAVE_UERROR)
368     if (!getuerror())
369         setuerror(code);
370 #endif
371 #if defined(AFS_SGI53_ENV) && defined(MP)
372     AFS_GUNLOCK();
373 #endif /* defined(AFS_SGI53_ENV) && defined(MP) */
374     return (code);
375 }
376
377 #ifndef AFS_LINUX26_ONEGROUP_ENV
378 int
379 afs_getpag_val(void)
380 {
381     int pagvalue;
382     afs_ucred_t *credp = u.u_cred;
383     gid_t gidset0, gidset1;
384 #ifdef AFS_SUN510_ENV
385     const gid_t *gids;
386
387     gids = crgetgroups(*credp);
388     gidset0 = gids[0];
389     gidset1 = gids[1];
390 #else
391     gidset0 = credp->cr_groups[0];
392     gidset1 = credp->cr_groups[1];
393 #endif
394     pagvalue = afs_get_pag_from_groups(gidset0, gidset1);
395     return pagvalue;
396 }
397 #endif
398 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
399
400
401 /* Note - needs to be available on AIX, others can be static - rework this */
402 #if defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
403 int
404 AddPag(afs_proc_t *p, afs_int32 aval, afs_ucred_t **credpp)
405 #else
406 int
407 AddPag(afs_int32 aval, afs_ucred_t **credpp)
408 #endif
409 {
410     afs_int32 code;
411     afs_uint32 newpag;
412
413     AFS_STATCNT(AddPag);
414 #if defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
415     if ((code = setpag(p, credpp, aval, &newpag, 0)))
416 #else
417     if ((code = setpag(credpp, aval, &newpag, 0)))
418 #endif
419 #if defined(KERNEL_HAVE_UERROR)
420         return (setuerror(code), code);
421 #else
422         return (code);
423 #endif
424     return 0;
425 }
426
427
428 int
429 afs_InitReq(register struct vrequest *av, afs_ucred_t *acred)
430 {
431 #if defined(AFS_LINUX26_ENV) && !defined(AFS_NONFSTRANS)
432     int code;
433 #endif
434
435     AFS_STATCNT(afs_InitReq);
436     memset(av, 0, sizeof(*av));
437     if (afs_shuttingdown)
438         return EIO;
439
440 #ifdef AFS_LINUX26_ENV
441 #if !defined(AFS_NONFSTRANS)
442     if (osi_linux_nfs_initreq(av, acred, &code))
443         return code;
444 #endif
445 #endif
446
447     av->uid = PagInCred(acred);
448     if (av->uid == NOPAG) {
449         /* Afs doesn't use the unix uid for anuthing except a handle
450          * with which to find the actual authentication tokens so I
451          * think it's ok to use the real uid to make setuid
452          * programs (without setpag) to work properly.
453          */
454 #if defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
455         if (acred == NOCRED)
456             av->uid = -2;       /* XXX nobody... ? */
457         else
458             av->uid = afs_cr_uid(acred);        /* bsd creds don't have ruid */
459 #elif defined(AFS_SUN510_ENV)
460         av->uid = crgetruid(acred);
461 #else
462         av->uid = afs_cr_uid(acred);    /* default when no pag is set */
463 #endif
464     }
465     return 0;
466 }
467
468
469 #ifdef AFS_LINUX26_ONEGROUP_ENV
470 afs_uint32
471 afs_get_pag_from_groups(struct group_info *group_info)
472 {
473     afs_uint32 g0 = 0;
474     afs_uint32 i;
475
476     AFS_STATCNT(afs_get_pag_from_groups);
477     for (i = 0; (i < group_info->ngroups && 
478                  (g0 = GROUP_AT(group_info, i)) != (gid_t) NOGROUP); i++) {
479         if (((g0 >> 24) & 0xff) == 'A')
480             return g0;
481     }
482     return NOPAG;
483 }
484 #else
485 afs_uint32
486 afs_get_pag_from_groups(gid_t g0a, gid_t g1a)
487 {
488     afs_uint32 g0 = g0a;
489     afs_uint32 g1 = g1a;
490     afs_uint32 h, l, ret;
491
492     AFS_STATCNT(afs_get_pag_from_groups);
493
494     g0 -= 0x3f00;
495     g1 -= 0x3f00;
496     if (g0 < 0xc000 && g1 < 0xc000) {
497         l = ((g0 & 0x3fff) << 14) | (g1 & 0x3fff);
498         h = (g0 >> 14);
499         h = (g1 >> 14) + h + h + h;
500         ret = ((h << 28) | l);
501 #if defined(UKERNEL) && defined(AFS_WEB_ENHANCEMENTS)
502         return ret;
503 #else
504         /* Additional testing */
505         if (((ret >> 24) & 0xff) == 'A')
506             return ret;
507 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
508     }
509     return NOPAG;
510 }
511 #endif
512
513 void
514 afs_get_groups_from_pag(afs_uint32 pag, gid_t * g0p, gid_t * g1p)
515 {
516 #ifndef AFS_LINUX26_ONEGROUP_ENV
517     unsigned short g0, g1;
518 #endif
519
520
521     AFS_STATCNT(afs_get_groups_from_pag);
522 #ifdef AFS_LINUX26_ONEGROUP_ENV
523     *g0p = pag;
524     *g1p = 0;
525 #else
526 #if !defined(UKERNEL) || !defined(AFS_WEB_ENHANCEMENTS)
527     pag &= 0x7fffffff;
528 #endif /* UKERNEL && AFS_WEB_ENHANCEMENTS */
529     g0 = 0x3fff & (pag >> 14);
530     g1 = 0x3fff & pag;
531     g0 |= ((pag >> 28) / 3) << 14;
532     g1 |= ((pag >> 28) % 3) << 14;
533     *g0p = g0 + 0x3f00;
534     *g1p = g1 + 0x3f00;
535 #endif
536 }
537
538
539 afs_int32
540 afs_get_group_pag(afs_ucred_t *cred)
541 {
542     afs_int32 pag = NOPAG;
543 #if !defined(AFS_LINUX26_ONEGROUP_ENV)
544     gid_t g0, g1;
545 #endif
546 #if defined(AFS_SUN510_ENV)
547     const gid_t *gids;
548     int ngroups;
549 #endif
550
551 #if defined(AFS_SUN510_ENV)
552     gids = crgetgroups(cred);
553     ngroups = crgetngroups(cred);
554 #endif
555 #if defined(AFS_DARWIN_ENV) || defined(AFS_XBSD_ENV)
556     if (cred == NOCRED || cred == FSCRED)
557         return NOPAG;
558     if (cred->cr_ngroups < 3)
559         return NOPAG;
560     /* gid is stored in cr_groups[0] */
561     g0 = cred->cr_groups[1];
562     g1 = cred->cr_groups[2];
563 #else
564 #if defined(AFS_AIX_ENV)
565     if (cred->cr_ngrps < 2)
566         return NOPAG;
567 #elif defined(AFS_LINUX26_ENV)
568     if (afs_cr_group_info(cred)->ngroups < NUMPAGGROUPS)
569         return NOPAG;
570 #elif defined(AFS_SGI_ENV) || defined(AFS_SUN5_ENV) || defined(AFS_LINUX20_ENV) || defined(AFS_XBSD_ENV)
571 #if defined(AFS_SUN510_ENV)
572     if (ngroups < 2) {
573 #else
574     if (cred->cr_ngroups < 2) {
575 #endif
576         return NOPAG;
577     }
578 #endif
579 #if defined(AFS_AIX51_ENV)
580     g0 = cred->cr_groupset.gs_union.un_groups[0];
581     g1 = cred->cr_groupset.gs_union.un_groups[1];
582 #elif defined(AFS_LINUX26_ONEGROUP_ENV)
583 #elif defined(AFS_LINUX26_ENV)
584     g0 = GROUP_AT(afs_cr_group_info(cred), 0);
585     g1 = GROUP_AT(afs_cr_group_info(cred), 1);
586 #elif defined(AFS_SUN510_ENV)
587     g0 = gids[0];
588     g1 = gids[1];
589 #else
590     g0 = cred->cr_groups[0];
591     g1 = cred->cr_groups[1];
592 #endif
593 #endif
594 #if defined(AFS_LINUX26_ONEGROUP_ENV)
595     pag = (afs_int32) afs_get_pag_from_groups(afs_cr_group_info(cred));
596 #else
597     pag = (afs_int32) afs_get_pag_from_groups(g0, g1);
598 #endif
599     return pag;
600 }
601
602
603 afs_int32
604 PagInCred(afs_ucred_t *cred)
605 {
606     afs_int32 pag = NOPAG;
607
608     AFS_STATCNT(PagInCred);
609     if (cred == NULL || cred == afs_osi_credp) {
610         return NOPAG;
611     }
612     /*
613      * If linux keyrings are in use and we carry the session keyring in our credentials
614      * structure, they should be the only criteria for determining
615      * if we're in a PAG.  Groups are updated for legacy reasons only for now,
616      * and should not be used to infer PAG membership
617      * With keyrings but no kernel credentials, look at groups first and fall back
618      * to looking at the keyrings.
619      */
620 #if defined(AFS_LINUX26_ENV) && !defined(STRUCT_TASK_HAS_CRED)
621     pag = afs_get_group_pag(cred);
622 #endif
623 #if defined(AFS_LINUX26_ENV) && defined(LINUX_KEYRING_SUPPORT)
624     if (pag == NOPAG)
625         pag = osi_get_keyring_pag(cred);
626 #endif
627     return pag;
628 }