1eaa95e89366ca244fbdaf1d87009db7d1e41345
[openafs.git] / src / aklog / aklog.c
1 /*
2  * $Id$
3  *
4  * Copyright 1990,1991 by the Massachusetts Institute of Technology
5  * For distribution and copying rights, see the file "mit-copyright.h"
6  */
7 /*
8  * Copyright (c) 2005, 2006
9  * The Linux Box Corporation
10  * ALL RIGHTS RESERVED
11  *
12  * Permission is granted to use, copy, create derivative works
13  * and redistribute this software and such derivative works
14  * for any purpose, so long as the name of the Linux Box
15  * Corporation is not used in any advertising or publicity
16  * pertaining to the use or distribution of this software
17  * without specific, written prior authorization.  If the
18  * above copyright notice or any other identification of the
19  * Linux Box Corporation is included in any copy of any
20  * portion of this software, then the disclaimer below must
21  * also be included.
22  *
23  * This software is provided as is, without representation
24  * from the Linux Box Corporation as to its fitness for any
25  * purpose, and without warranty by the Linux Box Corporation
26  * of any kind, either express or implied, including
27  * without limitation the implied warranties of
28  * merchantability and fitness for a particular purpose.  The
29  * regents of the Linux Box Corporation shall not be liable
30  * for any damages, including special, indirect, incidental, or
31  * consequential damages, with respect to any claim arising
32  * out of or in connection with the use of the software, even
33  * if it has been or is hereafter advised of the possibility of
34  * such damages.
35  */
36
37 #include <afsconfig.h>
38 #include <afs/param.h>
39 #include <afs/stds.h>
40
41 #include <roken.h>
42
43 #include <ctype.h>
44
45 #include <afs/ktc.h>
46 #include <afs/token.h>
47
48 #define KERBEROS_APPLE_DEPRECATED(x)
49 #include <krb5.h>
50 #ifdef HAVE_COM_ERR_H
51 # include <com_err.h>
52 #elif HAVE_ET_COM_ERR_H
53 # include <et/com_err.h>
54 #elif HAVE_KRB5_COM_ERR_H
55 # include <krb5/com_err.h>
56 #else
57 # error No com_err.h? We need some kind of com_err.h
58 #endif
59
60 #ifndef HAVE_KERBEROSV_HEIM_ERR_H
61 #include <afs/com_err.h>
62 #endif
63
64 #ifdef AFS_SUN5_ENV
65 #include <sys/ioccom.h>
66 #endif
67
68 #include <afs/auth.h>
69 #include <afs/cellconfig.h>
70 #include <afs/vice.h>
71 #include <afs/venus.h>
72 #include <afs/ptserver.h>
73 #include <afs/ptuser.h>
74 #include <afs/pterror.h>
75 #include <afs/dirpath.h>
76 #include <afs/afsutil.h>
77
78 #include "aklog.h"
79 #include "linked_list.h"
80
81 #ifdef HAVE_KRB5_CREDS_KEYBLOCK
82 #define USING_MIT 1
83 #endif
84 #ifdef HAVE_KRB5_CREDS_SESSION
85 #define USING_HEIMDAL 1
86 #endif
87
88 #define AFSKEY "afs"
89 #define AFSINST ""
90
91 #ifndef AFS_TRY_FULL_PRINC
92 #define AFS_TRY_FULL_PRINC 1
93 #endif /* AFS_TRY_FULL_PRINC */
94
95 #define AKLOG_TRYAGAIN -1
96 #define AKLOG_SUCCESS 0
97 #define AKLOG_USAGE 1
98 #define AKLOG_SOMETHINGSWRONG 2
99 #define AKLOG_AFS 3
100 #define AKLOG_KERBEROS 4
101 #define AKLOG_TOKEN 5
102 #define AKLOG_BADPATH 6
103 #define AKLOG_MISC 7
104
105 #ifndef TRUE
106 #define TRUE 1
107 #endif
108
109 #ifndef FALSE
110 #define FALSE 0
111 #endif
112
113 #ifndef MAXSYMLINKS
114 /* RedHat 4.x doesn't seem to define this */
115 #define MAXSYMLINKS     5
116 #endif
117
118 #define DIR '/'                 /* Character that divides directories */
119 #define DIRSTRING "/"           /* String form of above */
120 #define VOLMARKER ':'           /* Character separating cellname from mntpt */
121 #define VOLMARKERSTRING ":"     /* String form of above */
122
123 typedef struct {
124     char cell[BUFSIZ];
125     char realm[REALM_SZ];
126 } cellinfo_t;
127
128 static krb5_ccache  _krb425_ccache = NULL;
129
130 /*
131  * Why doesn't AFS provide these prototypes?
132  */
133
134 extern int pioctl(char *, afs_int32, struct ViceIoctl *, afs_int32);
135
136 /*
137  * Other prototypes
138  */
139
140 extern char *afs_realm_of_cell(krb5_context, struct afsconf_cell *, int);
141 static int isdir(char *, unsigned char *);
142 static krb5_error_code get_credv5(krb5_context context, char *, char *,
143                                   char *, krb5_creds **);
144 static int get_user_realm(krb5_context, char **);
145
146 #define TRYAGAIN(x) (x == AKLOG_TRYAGAIN || \
147                      x == KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN || \
148                      x == KRB5KRB_ERR_GENERIC)
149
150 #if defined(HAVE_KRB5_PRINC_SIZE) || defined(krb5_princ_size)
151
152 #define get_princ_str(c, p, n) krb5_princ_component(c, p, n)->data
153 #define get_princ_len(c, p, n) krb5_princ_component(c, p, n)->length
154 #define second_comp(c, p) (krb5_princ_size(c, p) > 1)
155 #define realm_data(c, p) krb5_princ_realm(c, p)->data
156 #define realm_len(c, p) krb5_princ_realm(c, p)->length
157
158 #elif defined(HAVE_KRB5_PRINCIPAL_GET_COMP_STRING)
159
160 #define get_princ_str(c, p, n) krb5_principal_get_comp_string(c, p, n)
161 #define get_princ_len(c, p, n) strlen(krb5_principal_get_comp_string(c, p, n))
162 #define second_comp(c, p) (krb5_principal_get_comp_string(c, p, 1) != NULL)
163 #define realm_data(c, p) krb5_realm_data(krb5_principal_get_realm(c, p))
164 #define realm_len(c, p) krb5_realm_length(krb5_principal_get_realm(c, p))
165
166 #else
167 #error "Must have either krb5_princ_size or krb5_principal_get_comp_string"
168 #endif
169
170 #if !defined(HAVE_KRB5_ENCRYPT_TKT_PART) && defined(HAVE_ENCODE_KRB5_ENC_TKT_PART) && defined(HAVE_KRB5_C_ENCRYPT)
171 extern krb5_error_code encode_krb5_enc_tkt_part (const krb5_enc_tkt_part *rep,
172                                                  krb5_data **code);
173
174 krb5_error_code
175 krb5_encrypt_tkt_part(krb5_context context,
176                       const krb5_keyblock *key,
177                       krb5_ticket *ticket)
178 {
179     krb5_data *data = 0;
180     int code;
181     size_t enclen;
182
183     if ((code = encode_krb5_enc_tkt_part(ticket->enc_part2, &data)))
184         goto Done;
185     if ((code = krb5_c_encrypt_length(context, key->enctype,
186                                       data->length, &enclen)))
187         goto Done;
188     ticket->enc_part.ciphertext.length = enclen;
189     if (!(ticket->enc_part.ciphertext.data = malloc(enclen))) {
190         code = ENOMEM;
191         goto Done;
192     }
193     if ((code = krb5_c_encrypt(context, key, KRB5_KEYUSAGE_KDC_REP_TICKET,
194                                0, data, &ticket->enc_part))) {
195         free(ticket->enc_part.ciphertext.data);
196         ticket->enc_part.ciphertext.data = 0;
197     }
198 Done:
199     if (data) {
200         if (data->data)
201             free(data->data);
202         free(data);
203     }
204     return code;
205 }
206 #endif
207
208 #if defined(HAVE_KRB5_CREDS_KEYBLOCK)
209
210 #define get_cred_keydata(c) c->keyblock.contents
211 #define get_cred_keylen(c) c->keyblock.length
212 #define get_creds_enctype(c) c->keyblock.enctype
213
214 #elif defined(HAVE_KRB5_CREDS_SESSION)
215
216 #define get_cred_keydata(c) c->session.keyvalue.data
217 #define get_cred_keylen(c) c->session.keyvalue.length
218 #define get_creds_enctype(c) c->session.keytype
219
220 #else
221 #error "Must have either keyblock or session member of krb5_creds"
222 #endif
223
224 /* MITKerberosShim logs but returns success */
225 #if !defined(HAVE_KRB5_524_CONV_PRINCIPAL) || defined(AFS_DARWIN110_ENV) || (!defined(HAVE_KRB5_524_CONVERT_CREDS) && !defined(HAVE_KRB524_CONVERT_CREDS_KDC))
226 #define HAVE_NO_KRB5_524
227 #elif !defined(HAVE_KRB5_524_CONVERT_CREDS) && defined(HAVE_KRB524_CONVERT_CREDS_KDC)
228 #define krb5_524_convert_creds krb524_convert_creds_kdc
229 #endif
230
231 #if USING_HEIMDAL
232 #define deref_keyblock_enctype(kb)              \
233     ((kb)->keytype)
234
235 #define deref_entry_keyblock(entry)             \
236     entry->keyblock
237
238 #define deref_session_key(creds)                \
239     creds->session
240
241 #define deref_enc_tkt_addrs(tkt)                \
242     tkt->caddr
243
244 #define deref_enc_length(enc)                   \
245     ((enc)->cipher.length)
246
247 #define deref_enc_data(enc)                     \
248     ((enc)->cipher.data)
249
250 #define krb5_free_keytab_entry_contents krb5_kt_free_entry
251
252 #else
253 #define deref_keyblock_enctype(kb)              \
254     ((kb)->enctype)
255
256 #define deref_entry_keyblock(entry)             \
257     entry->key
258
259 #define deref_session_key(creds)                \
260     creds->keyblock
261
262 #define deref_enc_tkt_addrs(tkt)                \
263     tkt->caddrs
264
265 #define deref_enc_length(enc)                   \
266     ((enc)->ciphertext.length)
267
268 #define deref_enc_data(enc)                     \
269     ((enc)->ciphertext.data)
270
271 #endif
272
273 #define deref_entry_enctype(entry)                      \
274     deref_keyblock_enctype(&deref_entry_keyblock(entry))
275
276 /*
277  * Provide a replacement for strerror if we don't have it
278  */
279
280 #ifndef HAVE_STRERROR
281 extern char *sys_errlist[];
282 #define strerror(x) sys_errlist[x]
283 #endif /* HAVE_STRERROR */
284
285 static char *progname = NULL;   /* Name of this program */
286 static int dflag = FALSE;       /* Give debugging information */
287 static int noauth = FALSE;      /* If true, don't try to get tokens */
288 static int zsubs = FALSE;       /* Are we keeping track of zephyr subs? */
289 static int hosts = FALSE;       /* Are we keeping track of hosts? */
290 static int noprdb = FALSE;      /* Skip resolving name to id? */
291 static int linked = FALSE;      /* try for both AFS nodes */
292 static int afssetpag = FALSE;   /* setpag for AFS */
293 static int force = FALSE;       /* Bash identical tokens? */
294 static int do524 = FALSE;       /* Should we do 524 instead of rxkad2b? */
295 static char *keytab = NULL;     /* keytab for akimpersonate */
296 static char *client = NULL;     /* client principal for akimpersonate */
297 static linked_list zsublist;    /* List of zephyr subscriptions */
298 static linked_list hostlist;    /* List of host addresses */
299 static linked_list authedcells; /* List of cells already logged to */
300
301 /* A com_error bodge. The idea here is that this routine lets us lookup
302  * things in the system com_err, if the AFS one just tells us the error
303  * is unknown
304  */
305
306 void
307 redirect_errors(const char *who, afs_int32 code, const char *fmt, va_list ap)
308 {
309     if (who) {
310         fputs(who, stderr);
311         fputs(": ", stderr);
312     }
313     if (code) {
314         const char *str = afs_error_message(code);
315         if (strncmp(str, "unknown", strlen("unknown")) == 0) {
316 #ifdef HAVE_KRB5_SVC_GET_MSG
317             krb5_svc_get_msg(code,&str);
318 #elif defined(HAVE_KRB5_GET_ERROR_MESSAGE)
319             krb5_context context;
320             krb5_init_context(&context);
321             str = krb5_get_error_message(context, code);
322             krb5_free_context(context);
323 #else
324             ; /* IRIX apparently has neither: use the string we have */
325 #endif
326         }
327         fputs(str, stderr);
328         fputs(" ", stderr);
329 #ifdef HAVE_KRB5_SVC_GET_MSG
330         krb5_free_string(str);
331 #endif
332     }
333     if (fmt) {
334         vfprintf(stderr, fmt, ap);
335     }
336     putc('\n', stderr);
337     fflush(stderr);
338 }
339
340 static void
341 afs_dprintf(char *fmt, ...) {
342     va_list ap;
343
344     va_start(ap, fmt);
345     if (dflag)
346         vprintf(fmt, ap);
347     va_end(ap);
348 }
349
350 static char *
351 copy_cellinfo(cellinfo_t *cellinfo)
352 {
353     cellinfo_t *new_cellinfo;
354
355     if ((new_cellinfo = malloc(sizeof(cellinfo_t))))
356         memcpy(new_cellinfo, cellinfo, sizeof(cellinfo_t));
357
358     return ((char *)new_cellinfo);
359 }
360
361
362 static int
363 get_cellconfig(const char *config, char *cell,
364                struct afsconf_cell *cellconfig, char **local_cell)
365 {
366     int status = AKLOG_SUCCESS;
367     struct afsconf_dir *configdir;
368
369     memset(cellconfig, 0, sizeof(*cellconfig));
370
371     *local_cell = malloc(MAXCELLCHARS);
372     if (*local_cell == NULL) {
373         fprintf(stderr, "%s: can't allocate memory for local cell name\n",
374                 progname);
375         exit(AKLOG_AFS);
376     }
377
378     if (!(configdir = afsconf_Open(config))) {
379         fprintf(stderr,
380                 "%s: can't get afs configuration (afsconf_Open(%s))\n",
381                 progname, config);
382         exit(AKLOG_AFS);
383     }
384
385     if (afsconf_GetLocalCell(configdir, *local_cell, MAXCELLCHARS)) {
386         fprintf(stderr, "%s: can't determine local cell.\n", progname);
387         exit(AKLOG_AFS);
388     }
389
390     if ((cell == NULL) || (cell[0] == 0))
391         cell = *local_cell;
392
393     /* XXX - This function modifies 'cell' by passing it through lcstring */
394     if (afsconf_GetCellInfo(configdir, cell, NULL, cellconfig)) {
395         fprintf(stderr, "%s: Can't get information about cell %s.\n",
396                 progname, cell);
397         status = AKLOG_AFS;
398     }
399
400     afsconf_Close(configdir);
401
402     return(status);
403 }
404
405 static char *
406 extract_realm(krb5_context context, krb5_principal princ) {
407     int len;
408     char *realm;
409
410     len = realm_len(context, princ);
411     if (len > REALM_SZ-1)
412         len = REALM_SZ-1;
413
414     realm = malloc(sizeof(char) * (len+1));
415     if (realm == NULL)
416         return NULL;
417
418     strncpy(realm, realm_data(context, princ), len);
419     realm[len] = '\0';
420
421     return realm;
422 }
423
424 static int
425 get_realm_from_cred(krb5_context context, krb5_creds *v5cred, char **realm) {
426 #if !defined(HEIMDAL) && defined(HAVE_KRB5_DECODE_TICKET)
427     krb5_error_code code;
428     krb5_ticket *ticket;
429
430     *realm = NULL;
431
432     code = krb5_decode_ticket(&v5cred->ticket, &ticket);
433     if (code)
434         return code;
435
436     *realm = extract_realm(context, ticket->server);
437     if (*realm == NULL)
438         code = ENOMEM;
439
440     krb5_free_ticket(context, ticket);
441
442     return code;
443 #else
444     *realm = NULL;
445     return 0;
446 #endif
447 }
448
449 /*!
450  * Get a Kerberos service ticket to use as the base of an rxkad token for
451  * a given AFS cell.
452  *
453  * @param[in] context
454  *      An initialized Kerberos v5 context
455  * @param[in] realm
456  *      The realm to look in for the service principal. If NULL, then the
457  *      realm is determined from the cell name or the user's credentials
458  *      (see below for the heuristics used)
459  * @param[in] cell
460  *      The cell information for the cell to obtain a ticket for
461  * @param[out] v5cred
462  *      A Kerberos credentials structure containing the ticket acquired
463  *      for the cell. This is a dynamically allocated structure, which
464  *      should be freed by using the appropriate Kerberos API function.
465  * @param[out] realmUsed
466  *      The realm in which the cell's service principal was located. If
467  *      unset, then the principal was located in the same realm as the
468  *      current user. This is a malloc'd string which should be freed
469  *      by the caller.
470  *
471  * @returns
472  *      0 on success, an error value upon failure
473  *
474  * @notes
475  *      This code tries principals in the following, much debated,
476  *      order:
477  *
478  *      If the realm is specified on the command line we do
479  *         - afs/cell@COMMAND-LINE-REALM
480  *         - afs@COMMAND-LINE-REALM
481  *
482  *      Otherwise, we do
483  *         - afs/cell@REALM-FROM-USERS-PRINCIPAL
484  *         - afs/cell@krb5_get_host_realm(db-server)
485  *        Then, if krb5_get_host_realm(db-server) is non-empty
486  *           - afs@ krb5_get_host_realm(db-server)
487  *        Otherwise
488  *           - afs/cell@ upper-case-domain-of-db-server
489  *           - afs@ upper-case-domain-of-db-server
490  *
491  *      In all cases, the 'afs@' variant is only tried where the
492  *      cell and the realm match case-insensitively.
493  */
494
495 static int
496 rxkad_get_ticket(krb5_context context, char *realm,
497                  struct afsconf_cell *cell,
498                  krb5_creds **v5cred, char **realmUsed) {
499     char *realm_of_cell = NULL;
500     char *realm_of_user = NULL;
501     char *realm_from_princ = NULL;
502     int status;
503     int retry;
504
505     *realmUsed = NULL;
506
507     if ((status = get_user_realm(context, &realm_of_user))) {
508         fprintf(stderr, "%s: Couldn't determine realm of user:", progname);
509         afs_com_err(progname, status, " while getting realm");
510         status = AKLOG_KERBEROS;
511         goto out;
512     }
513
514     retry = 1;
515
516     while(retry) {
517         /* Cell on command line - use that one */
518         if (realm && realm[0]) {
519             realm_of_cell = realm;
520             status = AKLOG_TRYAGAIN;
521             afs_dprintf("We were told to authenticate to realm %s.\n", realm);
522         } else {
523             /* Initially, try using afs/cell@USERREALM */
524             afs_dprintf("Trying to authenticate to user's realm %s.\n",
525                     realm_of_user);
526             realm_of_cell = realm_of_user;
527             status = get_credv5(context, AFSKEY, cell->name, realm_of_cell,
528                                 v5cred);
529
530             /* If that failed, try to determine the realm from the name of
531              * one of the DB servers */
532             if (TRYAGAIN(status)) {
533                 realm_of_cell = afs_realm_of_cell(context, cell, FALSE);
534                 if (!realm_of_cell) {
535                     fprintf(stderr, "%s: Couldn't figure out realm for cell "
536                             "%s.\n", progname, cell->name);
537                     exit(AKLOG_MISC);
538                 }
539
540                 if (realm_of_cell[0])
541                     afs_dprintf("We've deduced that we need to authenticate"
542                             " to realm %s.\n", realm_of_cell);
543                     else
544                     afs_dprintf("We've deduced that we need to authenticate "
545                             "using referrals.\n");
546             }
547         }
548
549         if (TRYAGAIN(status)) {
550             /* If we've got the full-princ-first option, or we're in a
551              * different realm from the cell - use the cell name as the
552              * instance */
553             if (AFS_TRY_FULL_PRINC ||
554                 strcasecmp(cell->name, realm_of_cell)!=0) {
555                 status = get_credv5(context, AFSKEY, cell->name,
556                                     realm_of_cell, v5cred);
557
558                 /* If we failed & we've got an empty realm, then try
559                  * calling afs_realm_for_cell again. */
560                 if (TRYAGAIN(status) && !realm_of_cell[0]) {
561                     /* This time, get the realm by taking the domain
562                      * component of the db server and make it upper case */
563                     realm_of_cell = afs_realm_of_cell(context, cell, TRUE);
564                     if (!realm_of_cell) {
565                         fprintf(stderr,
566                                 "%s: Couldn't figure out realm for cell %s.\n",
567                                 progname, cell->name);
568                         exit(AKLOG_MISC);
569                     }
570                     afs_dprintf("We've deduced that we need to authenticate"
571                             " to realm %s.\n", realm_of_cell);
572                     status = get_credv5(context, AFSKEY, cell->name,
573                                         realm_of_cell, v5cred);
574                 }
575             }
576
577             /* If the realm and cell name match, then try without an
578              * instance, but only if realm is non-empty */
579
580             if (TRYAGAIN(status) &&
581                 strcasecmp(cell->name, realm_of_cell) == 0) {
582                 status = get_credv5(context, AFSKEY, NULL, realm_of_cell,
583                                     v5cred);
584                 if (!AFS_TRY_FULL_PRINC && TRYAGAIN(status)) {
585                     status = get_credv5(context, AFSKEY, cell->name,
586                                         realm_of_cell, v5cred);
587                 }
588             }
589         }
590
591         /* Try to find a service principal for this cell.
592          * Some broken MIT libraries return KRB5KRB_AP_ERR_MSG_TYPE upon
593          * the first attempt, so we try twice to be sure */
594
595         if (status == KRB5KRB_AP_ERR_MSG_TYPE && retry == 1)
596             retry++;
597         else
598             retry = 0;
599     }
600
601     if (status != 0) {
602         afs_dprintf("Kerberos error code returned by get_cred : %d\n", status);
603         fprintf(stderr, "%s: Couldn't get %s AFS tickets:\n",
604                 progname, cell->name);
605         afs_com_err(progname, status, "while getting AFS tickets");
606 #ifdef KRB5_CC_NOT_KTYPE
607         if (status == KRB5_CC_NOT_KTYPE) {
608             fprintf(stderr, "allow_weak_crypto may be required in the Kerberos configuration\n");
609         }
610 #endif
611         status = AKLOG_KERBEROS;
612         goto out;
613     }
614
615     /* If we've got a valid ticket, and we still don't know the realm name
616      * try to figure it out from the contents of the ticket
617      */
618     if (strcmp(realm_of_cell, "") == 0) {
619         status = get_realm_from_cred(context, *v5cred, &realm_from_princ);
620         if (status) {
621             fprintf(stderr,
622                     "%s: Couldn't decode ticket to determine realm for "
623                     "cell %s.\n",
624                     progname, cell->name);
625         } else {
626             if (realm_from_princ)
627                 realm_of_cell = realm_from_princ;
628         }
629     }
630
631     /* If the realm of the user and cell differ, then we need to use the
632      * realm when we later construct the user's principal */
633     if (realm_of_cell != NULL && strcmp(realm_of_user, realm_of_cell) != 0)
634         *realmUsed = realm_of_user;
635
636 out:
637     if (realm_from_princ)
638         free(realm_from_princ);
639     if (realm_of_user && *realmUsed == NULL)
640         free(realm_of_user);
641
642     return status;
643 }
644
645 /*!
646  * Build an rxkad token from a Kerberos ticket, using only local tools (that
647  * is, without using a 524 conversion service)
648  *
649  * @param[in] context
650  *      An initialised Kerberos 5 context
651  * @param[in] v5cred
652  *      A Kerberos credentials structure containing a suitable service ticket
653  * @param[out] tokenPtr
654  *      An AFS token structure containing an rxkad token. This is a malloc'd
655  *      structure which should be freed by the caller.
656  * @param[out[ userPtr
657  *      A string containing the principal of the user to whom the token was
658  *      issued. This is a malloc'd block which should be freed by the caller,
659  *      if set.
660  *
661  * @returns
662  *      0 on success, an error value upon failure
663  */
664 static int
665 rxkad_build_native_token(krb5_context context, krb5_creds *v5cred,
666                          struct ktc_tokenUnion **tokenPtr, char **userPtr) {
667     char username[BUFSIZ]="";
668     struct ktc_token token;
669     int status;
670 #ifdef HAVE_NO_KRB5_524
671     char *p;
672     int len;
673 #else
674     char k4name[ANAME_SZ];
675     char k4inst[INST_SZ];
676     char k4realm[REALM_SZ];
677 #endif
678     void *inkey = get_cred_keydata(v5cred);
679     size_t inkey_sz = get_cred_keylen(v5cred);
680
681     afs_dprintf("Using Kerberos V5 ticket natively\n");
682
683     *tokenPtr = NULL;
684     *userPtr = NULL;
685
686 #ifndef HAVE_NO_KRB5_524
687     status = krb5_524_conv_principal (context, v5cred->client,
688                                       (char *) &k4name,
689                                       (char *) &k4inst,
690                                       (char *) &k4realm);
691     if (status) {
692         if (!noprdb)
693             afs_com_err(progname, status,
694                         "while converting principal to Kerberos V4 format");
695     } else {
696         strcpy (username, k4name);
697         if (k4inst[0]) {
698             strcat (username, ".");
699             strcat (username, k4inst);
700         }
701     }
702 #else
703     len = min(get_princ_len(context, v5cred->client, 0),
704               second_comp(context, v5cred->client) ?
705               MAXKTCNAMELEN - 2 : MAXKTCNAMELEN - 1);
706     strncpy(username, get_princ_str(context, v5cred->client, 0), len);
707     username[len] = '\0';
708
709     if (second_comp(context, v5cred->client)) {
710         strcat(username, ".");
711         p = username + strlen(username);
712         len = min(get_princ_len(context, v5cred->client, 1),
713                   MAXKTCNAMELEN - strlen(username) - 1);
714         strncpy(p, get_princ_str(context, v5cred->client, 1), len);
715         p[len] = '\0';
716     }
717 #endif
718
719     memset(&token, 0, sizeof(struct ktc_token));
720
721     token.kvno = RXKAD_TKT_TYPE_KERBEROS_V5;
722     token.startTime = v5cred->times.starttime;;
723     token.endTime = v5cred->times.endtime;
724     if (tkt_DeriveDesKey(get_creds_enctype(v5cred), inkey, inkey_sz,
725                          &token.sessionKey) != 0) {
726         return RXKADBADKEY;
727     }
728     token.ticketLen = v5cred->ticket.length;
729     memcpy(token.ticket, v5cred->ticket.data, token.ticketLen);
730
731     status = token_importRxkadViceId(tokenPtr, &token, 0);
732     if (status) {
733         return status;
734     }
735
736     if (username[0] != '\0')
737         *userPtr = strdup(username);
738
739     return 0;
740 }
741
742 /*!
743  * Convert a Keberos ticket to an rxkad token, using information obtained
744  * from an external Kerberos 5->4 conversion service. If the code is built
745  * with HAVE_NO_KRB5_524 then this is a stub function which will always
746  * return success without a token.
747  *
748  * @param[in] context
749  *      An initialised Kerberos 5 context
750  * @param[in] v5cred
751  *      A Kerberos credentials structure containing a suitable service ticket
752  * @param[out] tokenPtr
753  *      An AFS token structure containing an rxkad token. This is a malloc'd
754  *      structure which should be freed by the caller.
755  * @param[out[ userPtr
756  *      A string containing the principal of the user to whom the token was
757  *      issued. This is a malloc'd block which should be freed by the caller,
758  *      if set.
759  *
760  * @returns
761  *      0 on success, an error value upon failure
762  */
763
764 #ifdef HAVE_NO_KRB5_524
765 static int
766 rxkad_get_converted_token(krb5_context context, krb5_creds *v5cred,
767                           struct ktc_tokenUnion **tokenPtr, char **userPtr) {
768     *tokenPtr = NULL;
769     *userPtr = NULL;
770
771     return 0;
772 }
773 #else
774 static int
775 rxkad_get_converted_token(krb5_context context, krb5_creds *v5cred,
776                           struct ktc_tokenUnion **tokenPtr, char **userPtr) {
777     CREDENTIALS cred;
778     char username[BUFSIZ];
779     struct ktc_token token;
780     int status;
781
782     *tokenPtr = NULL;
783     *userPtr = NULL;
784
785     afs_dprintf("Using Kerberos 524 translator service\n");
786
787     status = krb5_524_convert_creds(context, v5cred, &cred);
788
789     if (status) {
790         afs_com_err(progname, status, "while converting tickets "
791                 "to Kerberos V4 format");
792         return AKLOG_KERBEROS;
793     }
794
795     strcpy (username, cred.pname);
796     if (cred.pinst[0]) {
797         strcat (username, ".");
798         strcat (username, cred.pinst);
799     }
800
801     memset(&token, 0, sizeof(struct ktc_token));
802
803     token.kvno = cred.kvno;
804     token.startTime = cred.issue_date;
805     /*
806      * It seems silly to go through a bunch of contortions to
807      * extract the expiration time, when the v5 credentials already
808      * has the exact time!  Let's use that instead.
809      *
810      * Note that this isn't a security hole, as the expiration time
811      * is also contained in the encrypted token
812      */
813     token.endTime = v5cred->times.endtime;
814     memcpy(&token.sessionKey, cred.session, 8);
815     token.ticketLen = cred.ticket_st.length;
816     memcpy(token.ticket, cred.ticket_st.dat, token.ticketLen);
817
818     status = token_importRxkadViceId(tokenPtr, &token, 0);
819     if (status) {
820         return status;
821     }
822
823     *userPtr = strdup(username);
824
825     return 0;
826 }
827 #endif
828
829 /*!
830  * This function gets an rxkad token for a given cell.
831  *
832  * @param[in] context
833  *      An initialized Kerberos v5 context
834  * @param[in] cell
835  *      The cell information for the cell which we're obtaining a token for
836  * @param[in] realm
837  *      The realm to look in for the service principal. If NULL, then the
838  *      realm is determined from the cell name or the user's credentials
839  *      (see the documentation for rxkad_get_ticket)
840  * @param[out] token
841  *      The rxkad token produced. This is a malloc'd structure which should
842  *      be freed by the caller.
843  * @parma[out] authuser
844  *      A string containing the principal of the user to whom the token was
845  *      issued. This is a malloc'd block which should be freed by the caller,
846  *      if set.
847  * @param[out] foreign
848  *      Whether the user is considered as 'foreign' to the realm of the cell.
849  *
850  * @returns
851  *      0 on success, an error value upon failuer
852  */
853 static int
854 rxkad_get_token(krb5_context context, struct afsconf_cell *cell, char *realm,
855                 struct ktc_tokenUnion **token, char **authuser, int *foreign) {
856     krb5_creds *v5cred;
857     char *realmUsed = NULL;
858     char *username = NULL;
859     int status;
860
861     *token = NULL;
862     *authuser = NULL;
863     *foreign = 0;
864
865     status = rxkad_get_ticket(context, realm, cell, &v5cred, &realmUsed);
866     if (status)
867         return status;
868
869     if (do524)
870         status = rxkad_get_converted_token(context, v5cred, token, &username);
871     else
872         status = rxkad_build_native_token(context, v5cred, token, &username);
873
874     if (status)
875         goto out;
876
877     /* We now have the username, plus the realm name, so stitch them together
878      * to give us the name that the ptserver will know the user by */
879     if (realmUsed == NULL || username == NULL) {
880         *authuser = username;
881         username = NULL;
882         *foreign = 0;
883     } else {
884         if (asprintf(authuser, "%s@%s", username, realmUsed) < 0) {
885             fprintf(stderr, "%s: Out of memory building PTS name\n", progname);
886             *authuser = NULL;
887             status = AKLOG_MISC;
888             goto out;
889         }
890         *foreign = 1;
891     }
892
893 out:
894     if (realmUsed)
895         free(realmUsed);
896     if (username)
897         free(username);
898
899     return status;
900 }
901
902 /* 
903  * Log to a cell.  If the cell has already been logged to, return without
904  * doing anything.  Otherwise, log to it and mark that it has been logged
905  * to.
906  */
907 static int
908 auth_to_cell(krb5_context context, const char *config, 
909              char *cell, char *realm, char **linkedcell)
910 {
911     int status = AKLOG_SUCCESS;
912     int isForeign = 0;
913     char *username = NULL;      /* To hold client username structure */
914     afs_int32 viceId;           /* AFS uid of user */
915
916     char *local_cell = NULL;
917     struct ktc_tokenUnion *rxkadToken = NULL;
918     struct ktc_setTokenData *token;
919     struct ktc_setTokenData *btoken = NULL;
920     struct afsconf_cell cellconf;
921
922     /* NULL or empty cell returns information on local cell */
923     if ((status = get_cellconfig(config, cell, &cellconf, &local_cell)))
924         return(status);
925
926     if (linkedcell != NULL) {
927         if (cellconf.linkedCell != NULL) {
928             *linkedcell = strdup(cellconf.linkedCell);
929             if (*linkedcell == NULL) {
930                 status = ENOMEM;
931                 goto out;
932             }
933         } else {
934             *linkedcell = NULL;
935         }
936     }
937
938     if (ll_string(&authedcells, ll_s_check, cellconf.name)) {
939         afs_dprintf("Already authenticated to %s (or tried to)\n", cellconf.name);
940         status = AKLOG_SUCCESS;
941         goto out;
942     }
943
944     /*
945      * Record that we have attempted to log to this cell.  We do this
946      * before we try rather than after so that we will not try
947      * and fail repeatedly for one cell.
948      */
949     ll_string(&authedcells, ll_s_add, cellconf.name);
950
951     /*
952      * Record this cell in the list of zephyr subscriptions.  We may
953      * want zephyr subscriptions even if authentication fails.
954      * If this is done after we attempt to get tokens, aklog -zsubs
955      * can return something different depending on whether or not we
956      * are in -noauth mode.
957      */
958     if (ll_string(&zsublist, ll_s_add, cellconf.name) == LL_FAILURE) {
959         fprintf(stderr,
960                 "%s: failure adding cell %s to zephyr subscriptions list.\n",
961                 progname, cellconf.name);
962         exit(AKLOG_MISC);
963     }
964     if (ll_string(&zsublist, ll_s_add, local_cell) == LL_FAILURE) {
965         fprintf(stderr,
966                 "%s: failure adding cell %s to zephyr subscriptions list.\n",
967                 progname, local_cell);
968         exit(AKLOG_MISC);
969     }
970
971     if (!noauth) {
972         afs_dprintf("Authenticating to cell %s (server %s).\n", cellconf.name,
973                 cellconf.hostName[0]);
974
975         token = token_buildTokenJar(cellconf.name);
976         if (token == NULL) {
977             status = ENOMEM;
978             goto out;
979         }
980
981         status = rxkad_get_token(context, &cellconf, realm, &rxkadToken,
982                                  &username, &isForeign);
983         if (status)
984             goto out;
985
986         /* We need to keep the token structure around so that we can stick
987          * the viceId into it (once we know it) */
988         status = token_addToken(token, rxkadToken);
989         if (status) {
990             afs_dprintf("Add Token failed with %d", status);
991             goto out;
992         }
993
994         if (!force &&
995             ktc_GetTokenEx(cellconf.name, &btoken) == 0 &&
996             token_SetsEquivalent(token, btoken)) {
997
998             token_FreeSet(&btoken);
999             afs_dprintf("Identical tokens already exist; skipping.\n");
1000             status = AKLOG_SUCCESS;
1001             goto out;
1002         }
1003
1004         if (btoken)
1005             token_FreeSet(&btoken);
1006
1007 #ifdef FORCE_NOPRDB
1008         noprdb = 1;
1009 #endif
1010
1011         if (username == NULL) {
1012             afs_dprintf("Not resolving name to id\n");
1013         }
1014         else if (noprdb) {
1015             afs_dprintf("Not resolving name %s to id (-noprdb set)\n", username);
1016         }
1017         else {
1018             afs_dprintf("About to resolve name %s to id in cell %s.\n", username,
1019                     cellconf.name);
1020
1021             if (!pr_Initialize (0,  AFSDIR_CLIENT_ETC_DIRPATH, cellconf.name))
1022                 status = pr_SNameToId (username, &viceId);
1023
1024             if (status)
1025                 afs_dprintf("Error %d\n", status);
1026             else
1027                 afs_dprintf("Id %d\n", (int) viceId);
1028
1029
1030             /*
1031              * This code is taken from cklog -- it lets people
1032              * automatically register with the ptserver in foreign cells
1033              */
1034
1035 #ifdef ALLOW_REGISTER
1036             if ((status == 0) && (viceId == ANONYMOUSID) && isForeign) {
1037                 afs_dprintf("doing first-time registration of %s at %s\n",
1038                         username, cellconf.name);
1039                 viceId = 0;
1040
1041                 status = ktc_SetTokenEx(token);
1042                 if (status) {
1043                     afs_com_err(progname, status,
1044                                 "while obtaining tokens for cell %s",
1045                                 cellconf.name);
1046                     status = AKLOG_TOKEN;
1047                 }
1048
1049                 /*
1050                  * In case you're wondering, we don't need to change the
1051                  * filename here because we're still connecting to the
1052                  * same cell -- we're just using a different authenticat ion
1053                  * level
1054                  */
1055
1056                 if ((status = pr_Initialize(1L,  AFSDIR_CLIENT_ETC_DIRPATH,
1057                                             cellconf.name))) {
1058                     printf("Error %d\n", status);
1059                 }
1060
1061                 if ((status = pr_CreateUser(username, &viceId))) {
1062                     fprintf(stderr, "%s: %s so unable to create remote PTS "
1063                             "user %s in cell %s (status: %d).\n", progname,
1064                             afs_error_message(status), username, cellconf.name,
1065                             status);
1066                     viceId = ANONYMOUSID;
1067                 } else {
1068                     printf("created cross-cell entry for %s (Id %d) at %s\n",
1069                            username, viceId, cellconf.name);
1070                 }
1071             }
1072 #endif /* ALLOW_REGISTER */
1073
1074             if ((status == 0) && (viceId != ANONYMOUSID)) {
1075                 status = token_setRxkadViceId(rxkadToken, viceId);
1076                 if (status) {
1077                     fprintf(stderr, "Error %d setting rxkad ViceId\n", status);
1078                     status = AKLOG_SUCCESS;
1079                 } else {
1080                     token_replaceToken(token, rxkadToken);
1081                 }
1082             }
1083         }
1084
1085         if (username) {
1086             afs_dprintf("Setting tokens. %s @ %s\n",
1087                         username, cellconf.name);
1088         } else {
1089             afs_dprintf("Setting tokens for cell %s\n", cellconf.name);
1090         }
1091
1092 #ifndef AFS_AIX51_ENV
1093         /* on AIX 4.1.4 with AFS 3.4a+ if a write is not done before
1094          * this routine, it will not add the token. It is not clear what
1095          * is going on here! So we will do the following operation.
1096          * On AIX 5, it causes the parent program to die, so we won't.
1097          * We don't care about the return value, but need to collect it
1098          * to avoid compiler warnings.
1099          */
1100         if (write(2,"",0) < 0) /* dummy write */
1101             ; /* don't care */
1102 #endif
1103         token_setPag(token, afssetpag);
1104         status = ktc_SetTokenEx(token);
1105         if (status) {
1106             afs_com_err(progname, status, "while setting tokens for cell %s",
1107                         cellconf.name);
1108             status = AKLOG_TOKEN;
1109         }
1110     }
1111     else
1112         afs_dprintf("Noauth mode; not authenticating.\n");
1113
1114 out:
1115     if (rxkadToken) {
1116         token_freeToken(&rxkadToken);
1117     }
1118
1119     if (local_cell)
1120         free(local_cell);
1121     if (username)
1122         free(username);
1123
1124     return(status);
1125 }
1126
1127 static int
1128 get_afs_mountpoint(char *file, char *mountpoint, int size)
1129 {
1130 #ifdef AFS_SUN_ENV
1131     char V ='V'; /* AFS has problem on Sun with pioctl */
1132 #endif
1133     char our_file[MAXPATHLEN + 1];
1134     char *parent_dir;
1135     char *last_component;
1136     struct ViceIoctl vio;
1137     char cellname[BUFSIZ];
1138
1139     strlcpy(our_file, file, sizeof(our_file));
1140
1141     if ((last_component = strrchr(our_file, DIR))) {
1142         *last_component++ = 0;
1143         parent_dir = our_file;
1144     }
1145     else {
1146         last_component = our_file;
1147         parent_dir = ".";
1148     }
1149
1150     memset(cellname, 0, sizeof(cellname));
1151
1152     vio.in = last_component;
1153     vio.in_size = strlen(last_component)+1;
1154     vio.out_size = size;
1155     vio.out = mountpoint;
1156
1157     if (!pioctl(parent_dir, VIOC_AFS_STAT_MT_PT, &vio, 0)) {
1158         if (strchr(mountpoint, VOLMARKER) == NULL) {
1159             vio.in = file;
1160             vio.in_size = strlen(file) + 1;
1161             vio.out_size = sizeof(cellname);
1162             vio.out = cellname;
1163
1164             if (!pioctl(file, VIOC_FILE_CELL_NAME, &vio, 1)) {
1165                 strlcat(cellname, VOLMARKERSTRING, sizeof(cellname));
1166                 strlcat(cellname, mountpoint + 1, sizeof(cellname));
1167                 memset(mountpoint + 1, 0, size - 1);
1168                 strcpy(mountpoint + 1, cellname);
1169             }
1170         }
1171         return(TRUE);
1172     }
1173     else
1174         return(FALSE);
1175 }
1176
1177 /*
1178  * This routine each time it is called returns the next directory
1179  * down a pathname.  It resolves all symbolic links.  The first time
1180  * it is called, it should be called with the name of the path
1181  * to be descended.  After that, it should be called with the arguemnt
1182  * NULL.
1183  */
1184 static char *
1185 next_path(char *origpath)
1186 {
1187     static char path[MAXPATHLEN + 1];
1188     static char pathtocheck[MAXPATHLEN + 1];
1189
1190     ssize_t link;               /* Return value from readlink */
1191     char linkbuf[MAXPATHLEN + 1];
1192     char tmpbuf[MAXPATHLEN + 1];
1193
1194     static char *last_comp;     /* last component of directory name */
1195     static char *elast_comp;    /* End of last component */
1196     char *t;
1197     int len;
1198
1199     static int symlinkcount = 0; /* We can't exceed MAXSYMLINKS */
1200
1201     /* If we are given something for origpath, we are initializing only. */
1202     if (origpath) {
1203         memset(path, 0, sizeof(path));
1204         memset(pathtocheck, 0, sizeof(pathtocheck));
1205         strlcpy(path, origpath, sizeof(path));
1206         last_comp = path;
1207         symlinkcount = 0;
1208         return(NULL);
1209     }
1210
1211     /* We were not given origpath; find then next path to check */
1212
1213     /* If we've gotten all the way through already, return NULL */
1214     if (last_comp == NULL)
1215         return(NULL);
1216
1217     do {
1218         while (*last_comp == DIR)
1219             strncat(pathtocheck, last_comp++, 1);
1220         len = (elast_comp = strchr(last_comp, DIR))
1221             ? elast_comp - last_comp : strlen(last_comp);
1222         strncat(pathtocheck, last_comp, len);
1223         memset(linkbuf, 0, sizeof(linkbuf));
1224         link = readlink(pathtocheck, linkbuf, sizeof(linkbuf)-1);
1225
1226         if (link > 0) {
1227             linkbuf[link] = '\0'; /* NUL terminate string */
1228
1229             if (++symlinkcount > MAXSYMLINKS) {
1230                 fprintf(stderr, "%s: %s\n", progname, strerror(ELOOP));
1231                 exit(AKLOG_BADPATH);
1232             }
1233
1234             memset(tmpbuf, 0, sizeof(tmpbuf));
1235             if (elast_comp)
1236                 strlcpy(tmpbuf, elast_comp, sizeof(tmpbuf));
1237             if (linkbuf[0] == DIR) {
1238                 /*
1239                  * If this is a symbolic link to an absolute path,
1240                  * replace what we have by the absolute path.
1241                  */
1242                 memset(path, 0, strlen(path));
1243                 memcpy(path, linkbuf, sizeof(linkbuf));
1244                 strcat(path, tmpbuf);
1245                 last_comp = path;
1246                 elast_comp = NULL;
1247                 memset(pathtocheck, 0, sizeof(pathtocheck));
1248             }
1249             else {
1250                 /*
1251                  * If this is a symbolic link to a relative path,
1252                  * replace only the last component with the link name.
1253                  */
1254                 strncpy(last_comp, linkbuf, strlen(linkbuf) + 1);
1255                 strcat(path, tmpbuf);
1256                 elast_comp = NULL;
1257                 if ((t = strrchr(pathtocheck, DIR))) {
1258                     t++;
1259                     memset(t, 0, strlen(t));
1260                 }
1261                 else
1262                     memset(pathtocheck, 0, sizeof(pathtocheck));
1263             }
1264         }
1265         else
1266             last_comp = elast_comp;
1267     }
1268     while(link > 0);
1269
1270     return(pathtocheck);
1271 }
1272
1273 static void
1274 add_hosts(char *file)
1275 {
1276 #ifdef AFS_SUN_ENV
1277     char V = 'V'; /* AFS has problem on SunOS */
1278 #endif
1279     struct ViceIoctl vio;
1280     char outbuf[BUFSIZ];
1281     long *phosts;
1282     int i;
1283     struct hostent *hp;
1284     struct in_addr in;
1285
1286     memset(outbuf, 0, sizeof(outbuf));
1287
1288     vio.out_size = sizeof(outbuf);
1289     vio.in_size = 0;
1290     vio.out = outbuf;
1291
1292     afs_dprintf("Getting list of hosts for %s\n", file);
1293
1294     /* Don't worry about errors. */
1295     if (!pioctl(file, VIOCWHEREIS, &vio, 1)) {
1296         phosts = (long *) outbuf;
1297
1298         /*
1299          * Lists hosts that we care about.  If ALLHOSTS is defined,
1300          * then all hosts that you ever may possible go through are
1301          * included in this list.  If not, then only hosts that are
1302          * the only ones appear.  That is, if a volume you must use
1303          * is replaced on only one server, that server is included.
1304          * If it is replicated on many servers, then none are included.
1305          * This is not perfect, but the result is that people don't
1306          * get subscribed to a lot of instances of FILSRV that they
1307          * probably won't need which reduces the instances of
1308          * people getting messages that don't apply to them.
1309          */
1310 #ifndef ALLHOSTS
1311         if (phosts[1] != '\0')
1312             return;
1313 #endif
1314         for (i = 0; phosts[i]; i++) {
1315             if (hosts) {
1316                 in.s_addr = phosts[i];
1317                 afs_dprintf("Got host %s\n", inet_ntoa(in));
1318                 ll_string(&hostlist, ll_s_add, (char *)inet_ntoa(in));
1319             }
1320             if (zsubs && (hp=gethostbyaddr((char *) &phosts[i],sizeof(long),AF_INET))) {
1321                 afs_dprintf("Got host %s\n", hp->h_name);
1322                 ll_string(&zsublist, ll_s_add, hp->h_name);
1323             }
1324         }
1325     }
1326 }
1327
1328 /*
1329  * This routine descends through a path to a directory, logging to
1330  * every cell it encounters along the way.
1331  */
1332 static int
1333 auth_to_path(krb5_context context, const char *config, char *path)
1334 {
1335     int status = AKLOG_SUCCESS;
1336     int auth_status = AKLOG_SUCCESS;
1337
1338     char *nextpath;
1339     char pathtocheck[MAXPATHLEN + 1];
1340     char mountpoint[MAXPATHLEN + 1];
1341
1342     char *cell;
1343     char *endofcell;
1344
1345     u_char isdirectory;
1346
1347     /* Initialize */
1348     if (path[0] == DIR)
1349         strlcpy(pathtocheck, path, sizeof(pathtocheck));
1350     else {
1351         if (getcwd(pathtocheck, sizeof(pathtocheck)) == NULL) {
1352             fprintf(stderr, "Unable to find current working directory:\n");
1353             fprintf(stderr, "%s\n", pathtocheck);
1354             fprintf(stderr, "Try an absolute pathname.\n");
1355             exit(AKLOG_BADPATH);
1356         }
1357         else {
1358             strlcat(pathtocheck, DIRSTRING, sizeof(pathtocheck));
1359             strlcat(pathtocheck, path, sizeof(pathtocheck));
1360         }
1361     }
1362     next_path(pathtocheck);
1363
1364     /* Go on to the next level down the path */
1365     while ((nextpath = next_path(NULL))) {
1366         strlcpy(pathtocheck, nextpath, sizeof(pathtocheck));
1367         afs_dprintf("Checking directory %s\n", pathtocheck);
1368         /*
1369          * If this is an afs mountpoint, determine what cell from
1370          * the mountpoint name which is of the form
1371          * #cellname:volumename or %cellname:volumename.
1372          */
1373         if (get_afs_mountpoint(pathtocheck, mountpoint, sizeof(mountpoint))) {
1374             /* skip over the '#' or '%' */
1375             cell = mountpoint + 1;
1376             /* Add this (cell:volumename) to the list of zsubs */
1377             if (zsubs)
1378                 ll_string(&zsublist, ll_s_add, cell);
1379             if (zsubs || hosts)
1380                 add_hosts(pathtocheck);
1381             if ((endofcell = strchr(mountpoint, VOLMARKER))) {
1382                 *endofcell = '\0';
1383                 auth_status = auth_to_cell(context, config, cell, NULL, NULL);
1384                 if (auth_status) {
1385                     if (status == AKLOG_SUCCESS)
1386                         status = auth_status;
1387                     else if (status != auth_status)
1388                         status = AKLOG_SOMETHINGSWRONG;
1389                 }
1390             }
1391         }
1392         else {
1393             if (isdir(pathtocheck, &isdirectory) < 0) {
1394                 /*
1395                  * If we've logged and still can't stat, there's
1396                  * a problem...
1397                  */
1398                 fprintf(stderr, "%s: stat(%s): %s\n", progname,
1399                         pathtocheck, strerror(errno));
1400                 return(AKLOG_BADPATH);
1401             }
1402             else if (! isdirectory) {
1403                 /* Allow only directories */
1404                 fprintf(stderr, "%s: %s: %s\n", progname, pathtocheck,
1405                         strerror(ENOTDIR));
1406                 return(AKLOG_BADPATH);
1407             }
1408         }
1409     }
1410
1411
1412     return(status);
1413 }
1414
1415
1416 /* Print usage message and exit */
1417 static void
1418 usage(void)
1419 {
1420     fprintf(stderr, "\nUsage: %s %s%s%s\n", progname,
1421             "[-d] [[-cell | -c] cell [-k krb_realm]] ",
1422             "[[-p | -path] pathname]\n",
1423             "    [-zsubs] [-hosts] [-noauth] [-noprdb] [-force] [-setpag] \n"
1424                 "    [-linked]"
1425 #ifndef HAVE_NO_KRB5_524
1426                 " [-524]"
1427 #endif
1428                 "\n");
1429     fprintf(stderr, "    -d gives debugging information.\n");
1430     fprintf(stderr, "    krb_realm is the kerberos realm of a cell.\n");
1431     fprintf(stderr, "    pathname is the name of a directory to which ");
1432     fprintf(stderr, "you wish to authenticate.\n");
1433     fprintf(stderr, "    -zsubs gives zephyr subscription information.\n");
1434     fprintf(stderr, "    -hosts gives host address information.\n");
1435     fprintf(stderr, "    -noauth does not attempt to get tokens.\n");
1436     fprintf(stderr, "    -noprdb means don't try to determine AFS ID.\n");
1437     fprintf(stderr, "    -force means replace identical tickets. \n");
1438     fprintf(stderr, "    -linked means if AFS node is linked, try both. \n");
1439     fprintf(stderr, "    -setpag set the AFS process authentication group.\n");
1440 #ifndef HAVE_NO_KRB5_524
1441     fprintf(stderr, "    -524 means use the 524 converter instead of V5 directly\n");
1442 #endif
1443     fprintf(stderr, "    No commandline arguments means ");
1444     fprintf(stderr, "authenticate to the local cell.\n");
1445     fprintf(stderr, "\n");
1446     exit(AKLOG_USAGE);
1447 }
1448
1449 int
1450 main(int argc, char *argv[])
1451 {
1452     krb5_context context;
1453     int status = AKLOG_SUCCESS;
1454     int i;
1455     int somethingswrong = FALSE;
1456
1457     cellinfo_t cellinfo;
1458
1459     extern char *progname;      /* Name of this program */
1460
1461     int cmode = FALSE;          /* Cellname mode */
1462     int pmode = FALSE;          /* Path name mode */
1463
1464     char realm[REALM_SZ];       /* Kerberos realm of afs server */
1465     char cell[BUFSIZ];          /* Cell to which we are authenticating */
1466     char path[MAXPATHLEN + 1];          /* Path length for path mode */
1467
1468     linked_list cells;          /* List of cells to log to */
1469     linked_list paths;          /* List of paths to log to */
1470     ll_node *cur_node;
1471     char *linkedcell;
1472     const char *config = AFSDIR_CLIENT_ETC_DIRPATH;
1473
1474     memset(&cellinfo, 0, sizeof(cellinfo));
1475
1476     memset(realm, 0, sizeof(realm));
1477     memset(cell, 0, sizeof(cell));
1478     memset(path, 0, sizeof(path));
1479
1480     ll_init(&cells);
1481     ll_init(&paths);
1482
1483     ll_init(&zsublist);
1484     ll_init(&hostlist);
1485
1486     /* Store the program name here for error messages */
1487     if ((progname = strrchr(argv[0], DIR)))
1488         progname++;
1489     else
1490         progname = argv[0];
1491
1492 #if defined(KRB5_PROG_ETYPE_NOSUPP) && !(defined(HAVE_KRB5_ENCTYPE_ENABLE) || defined(HAVE_KRB5_ALLOW_WEAK_CRYPTO))
1493     {
1494         char *filepath = NULL, *newpath = NULL;
1495 #ifndef AFS_DARWIN_ENV
1496         char *defaultpath = "/etc/krb5.conf:/etc/krb5/krb5.conf";
1497 #else
1498         char *defaultpath = "~/Library/Preferences/edu.mit.Kerberos:/Library/Preferences/edu.mit.Kerberos";
1499 #endif
1500         filepath = getenv("KRB5_CONFIG");
1501
1502         /* only fiddle with KRB5_CONFIG if krb5-weak.conf actually exists */
1503         if (asprintf(&newpath, "%s/krb5-weak.conf",
1504                      AFSDIR_CLIENT_ETC_DIRPATH) < 0)
1505             newpath = NULL;
1506         if (newpath != NULL && access(newpath, R_OK) == 0) {
1507             free(newpath);
1508             newpath = NULL;
1509             if (asprintf(&newpath, "%s:%s/krb5-weak.conf",
1510                          filepath ? filepath : defaultpath,
1511                          AFSDIR_CLIENT_ETC_DIRPATH) < 0)
1512                 newpath = NULL;
1513             else
1514                 setenv("KRB5_CONFIG", newpath, 1);
1515         }
1516 #endif
1517         krb5_init_context(&context);
1518
1519 #if defined(KRB5_PROG_ETYPE_NOSUPP) && !(defined(HAVE_KRB5_ENCTYPE_ENABLE) || defined(HAVE_KRB5_ALLOW_WEAK_CRYPTO))
1520         if (newpath)
1521             free(newpath);
1522         if (filepath)
1523             setenv("KRB5_CONFIG", filepath, 1);
1524         else
1525             unsetenv("KRB5_CONFIG");
1526     }
1527 #endif
1528     initialize_KTC_error_table ();
1529     initialize_U_error_table();
1530     initialize_RXK_error_table();
1531     initialize_ACFG_error_table();
1532     initialize_PT_error_table();
1533     afs_set_com_err_hook(redirect_errors);
1534
1535     /*
1536      * Enable DES enctypes, which are currently still required for AFS.
1537      * krb5_allow_weak_crypto is MIT Kerberos 1.8.  krb5_enctype_enable is
1538      * Heimdal.
1539      */
1540 #if defined(HAVE_KRB5_ENCTYPE_ENABLE)
1541     i = krb5_enctype_valid(context, ETYPE_DES_CBC_CRC);
1542     if (i)
1543         krb5_enctype_enable(context, ETYPE_DES_CBC_CRC);
1544 #elif defined(HAVE_KRB5_ALLOW_WEAK_CRYPTO)
1545     krb5_allow_weak_crypto(context, 1);
1546 #endif
1547
1548     /* Initialize list of cells to which we have authenticated */
1549     ll_init(&authedcells);
1550
1551     /* Parse commandline arguments and make list of what to do. */
1552     for (i = 1; i < argc; i++) {
1553         if (strcmp(argv[i], "-d") == 0)
1554             dflag++;
1555         else if (strcmp(argv[i], "-noauth") == 0)
1556             noauth++;
1557         else if (strcmp(argv[i], "-zsubs") == 0)
1558             zsubs++;
1559         else if (strcmp(argv[i], "-hosts") == 0)
1560             hosts++;
1561         else if (strcmp(argv[i], "-noprdb") == 0)
1562             noprdb++;
1563         else if (strcmp(argv[i], "-linked") == 0)
1564                 linked++;
1565         else if (strcmp(argv[i], "-force") == 0)
1566             force++;
1567 #ifndef HAVE_NO_KRB5_524
1568         else if (strcmp(argv[i], "-524") == 0)
1569             do524++;
1570 #endif
1571     else if (strcmp(argv[i], "-setpag") == 0)
1572             afssetpag++;
1573         else if (((strcmp(argv[i], "-cell") == 0) ||
1574                   (strcmp(argv[i], "-c") == 0)) && !pmode)
1575             if (++i < argc) {
1576                 cmode++;
1577                 strlcpy(cell, argv[i], sizeof(cell));
1578             }
1579             else
1580                 usage();
1581         else if ((strcmp(argv[i], "-keytab") == 0))
1582             if (++i < argc) {
1583                 keytab = argv[i];
1584             }
1585             else
1586                 usage();
1587         else if ((strcmp(argv[i], "-principal") == 0))
1588             if (++i < argc) {
1589                 client = argv[i];
1590             }
1591             else
1592                 usage();
1593         else if (((strcmp(argv[i], "-path") == 0) ||
1594                   (strcmp(argv[i], "-p") == 0)) && !cmode)
1595             if (++i < argc) {
1596                 pmode++;
1597                 strlcpy(path, argv[i], sizeof(path));
1598             }
1599             else
1600                 usage();
1601         else if (strcmp(argv[i], "-config") == 0)
1602             if (++i < argc) {
1603                 config = argv[i];
1604             }
1605             else
1606                 usage();
1607         else if (argv[i][0] == '-')
1608             usage();
1609         else if (!pmode && !cmode) {
1610             if (strchr(argv[i], DIR) || (strcmp(argv[i], ".") == 0) ||
1611                 (strcmp(argv[i], "..") == 0)) {
1612                 pmode++;
1613                 strlcpy(path, argv[i], sizeof(path));
1614             }
1615             else {
1616                 cmode++;
1617                 strlcpy(cell, argv[i], sizeof(cell));
1618             }
1619         }
1620         else
1621             usage();
1622
1623         if (cmode) {
1624             if (((i + 1) < argc) && (strcmp(argv[i + 1], "-k") == 0)) {
1625                 i+=2;
1626                 if (i < argc)
1627                     strlcpy(realm, argv[i], sizeof(realm));
1628                 else
1629                     usage();
1630             }
1631             /* Add this cell to list of cells */
1632             strcpy(cellinfo.cell, cell);
1633             strcpy(cellinfo.realm, realm);
1634             if ((cur_node = ll_add_node(&cells, ll_tail))) {
1635                 char *new_cellinfo;
1636                 if ((new_cellinfo = copy_cellinfo(&cellinfo)))
1637                     ll_add_data(cur_node, new_cellinfo);
1638                 else {
1639                     fprintf(stderr,
1640                             "%s: failure copying cellinfo.\n", progname);
1641                     exit(AKLOG_MISC);
1642                 }
1643             }
1644             else {
1645                 fprintf(stderr, "%s: failure adding cell to cells list.\n",
1646                         progname);
1647                 exit(AKLOG_MISC);
1648             }
1649             memset(&cellinfo, 0, sizeof(cellinfo));
1650             cmode = FALSE;
1651             memset(cell, 0, sizeof(cell));
1652             memset(realm, 0, sizeof(realm));
1653         }
1654         else if (pmode) {
1655             /* Add this path to list of paths */
1656             if ((cur_node = ll_add_node(&paths, ll_tail))) {
1657                 char *new_path;
1658                 if ((new_path = strdup(path)))
1659                     ll_add_data(cur_node, new_path);
1660                 else {
1661                     fprintf(stderr, "%s: failure copying path name.\n",
1662                             progname);
1663                     exit(AKLOG_MISC);
1664                 }
1665             }
1666             else {
1667                 fprintf(stderr, "%s: failure adding path to paths list.\n",
1668                         progname);
1669                 exit(AKLOG_MISC);
1670             }
1671             pmode = FALSE;
1672             memset(path, 0, sizeof(path));
1673         }
1674     }
1675
1676     /* If nothing was given, log to the local cell. */
1677     if ((cells.nelements + paths.nelements) == 0) {
1678         struct passwd *pwd;
1679
1680         status = auth_to_cell(context, config, NULL, NULL, &linkedcell);
1681
1682         /* If this cell is linked to a DCE cell, and user requested -linked,
1683          * get tokens for both. This is very useful when the AFS cell is
1684          * linked to a DFS cell and this system does not also have DFS.
1685          */
1686
1687         if (!status && linked && linkedcell != NULL) {
1688             afs_dprintf("Linked cell: %s\n", linkedcell);
1689             status = auth_to_cell(context, config, linkedcell, NULL, NULL);
1690         }
1691         if (linkedcell) {
1692             free(linkedcell);
1693             linkedcell = NULL;
1694         }
1695
1696         /*
1697          * Local hack - if the person has a file in their home
1698          * directory called ".xlog", read that for a list of
1699          * extra cells to authenticate to
1700          */
1701
1702         if ((pwd = getpwuid(getuid())) != NULL) {
1703             struct stat sbuf;
1704             FILE *f;
1705             char fcell[100], xlog_path[512];
1706
1707             strlcpy(xlog_path, pwd->pw_dir, sizeof(xlog_path));
1708             strlcat(xlog_path, "/.xlog", sizeof(xlog_path));
1709
1710             if ((stat(xlog_path, &sbuf) == 0) &&
1711                 ((f = fopen(xlog_path, "r")) != NULL)) {
1712
1713                 afs_dprintf("Reading %s for cells to authenticate to.\n",
1714                         xlog_path);
1715
1716                 while (fgets(fcell, 100, f) != NULL) {
1717                     int auth_status;
1718
1719                     fcell[strlen(fcell) - 1] = '\0';
1720
1721                     afs_dprintf("Found cell %s in %s.\n", fcell, xlog_path);
1722
1723                     auth_status = auth_to_cell(context, config, fcell, NULL, NULL);
1724                     if (status == AKLOG_SUCCESS)
1725                         status = auth_status;
1726                     else
1727                         status = AKLOG_SOMETHINGSWRONG;
1728                 }
1729             }
1730         }
1731     }
1732     else {
1733         /* Log to all cells in the cells list first */
1734         for (cur_node = cells.first; cur_node; cur_node = cur_node->next) {
1735             memcpy((char *)&cellinfo, cur_node->data, sizeof(cellinfo));
1736             status = auth_to_cell(context, config, cellinfo.cell,
1737                                   cellinfo.realm, &linkedcell);
1738             if (status) {
1739                 somethingswrong++;
1740             } else {
1741                 if (linked && linkedcell != NULL) {
1742                     afs_dprintf("Linked cell: %s\n", linkedcell);
1743                     status = auth_to_cell(context, config, linkedcell,
1744                                           cellinfo.realm, NULL);
1745                     if (status)
1746                         somethingswrong++;
1747                 }
1748                 if (linkedcell != NULL) {
1749                     free(linkedcell);
1750                     linkedcell = NULL;
1751                 }
1752             }
1753         }
1754
1755         /* Then, log to all paths in the paths list */
1756         for (cur_node = paths.first; cur_node; cur_node = cur_node->next) {
1757             status = auth_to_path(context, config, cur_node->data);
1758             if (status)
1759                 somethingswrong++;
1760         }
1761
1762         /*
1763          * If only one thing was logged to, we'll return the status
1764          * of the single call.  Otherwise, we'll return a generic
1765          * something failed status.
1766          */
1767         if (somethingswrong && ((cells.nelements + paths.nelements) > 1))
1768             status = AKLOG_SOMETHINGSWRONG;
1769     }
1770
1771     /* If we are keeping track of zephyr subscriptions, print them. */
1772     if (zsubs)
1773         for (cur_node = zsublist.first; cur_node; cur_node = cur_node->next) {
1774             printf("zsub: %s\n", cur_node->data);
1775         }
1776
1777     /* If we are keeping track of host information, print it. */
1778     if (hosts)
1779         for (cur_node = hostlist.first; cur_node; cur_node = cur_node->next) {
1780             printf("host: %s\n", cur_node->data);
1781         }
1782
1783     exit(status);
1784 }
1785
1786 static int
1787 isdir(char *path, unsigned char *val)
1788 {
1789     struct stat statbuf;
1790
1791     if (lstat(path, &statbuf) < 0)
1792         return (-1);
1793     else {
1794         if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1795             *val = TRUE;
1796         else
1797             *val = FALSE;
1798         return (0);
1799     }
1800 }
1801
1802 static krb5_error_code
1803 get_credv5_akimpersonate(krb5_context context,
1804                          char* keytab,
1805                          krb5_principal service_principal,
1806                          krb5_principal client_principal,
1807                          time_t starttime,
1808                          time_t endtime,
1809                          int *allowed_enctypes,
1810                          int *paddress,
1811                          krb5_creds** out_creds /* out */ )
1812 {
1813 #if defined(USING_HEIMDAL) || (defined(HAVE_ENCODE_KRB5_ENC_TKT) && defined(HAVE_ENCODE_KRB5_TICKET) && defined(HAVE_KRB5_C_ENCRYPT))
1814     krb5_error_code code;
1815     krb5_keytab kt = 0;
1816     krb5_kt_cursor cursor[1];
1817     krb5_keytab_entry entry[1];
1818     krb5_ccache cc = 0;
1819     krb5_creds *creds = 0;
1820     krb5_enctype enctype;
1821     krb5_kvno kvno;
1822     krb5_keyblock session_key[1];
1823 #if USING_HEIMDAL
1824     Ticket ticket_reply[1];
1825     EncTicketPart enc_tkt_reply[1];
1826     krb5_address address[30];
1827     krb5_addresses faddr[1];
1828     unsigned int temp_vno[1];
1829     time_t temp_time[2];
1830 #else
1831     krb5_ticket ticket_reply[1];
1832     krb5_enc_tkt_part enc_tkt_reply[1];
1833     krb5_address address[30], *faddr[30];
1834     krb5_data * temp;
1835 #endif
1836     int i;
1837     static int any_enctype[] = {0};
1838     *out_creds = 0;
1839     if (!(creds = malloc(sizeof *creds))) {
1840         code = ENOMEM;
1841         goto cleanup;
1842     }
1843     if (!allowed_enctypes)
1844         allowed_enctypes = any_enctype;
1845
1846     cc = 0;
1847     enctype = 0; /* AKIMPERSONATE_IGNORE_ENCTYPE */
1848     kvno = 0; /* AKIMPERSONATE_IGNORE_VNO */
1849     memset((char*)creds, 0, sizeof *creds);
1850     memset((char*)entry, 0, sizeof *entry);
1851     memset((char*)session_key, 0, sizeof *session_key);
1852     memset((char*)ticket_reply, 0, sizeof *ticket_reply);
1853     memset((char*)enc_tkt_reply, 0, sizeof *enc_tkt_reply);
1854     code = krb5_kt_resolve(context, keytab, &kt);
1855     if (code) {
1856         if (keytab)
1857             afs_com_err(progname, code, "while resolving keytab %s", keytab);
1858         else
1859             afs_com_err(progname, code, "while resolving default keytab");
1860         goto cleanup;
1861     }
1862
1863     if (service_principal) {
1864         for (i = 0; (enctype = allowed_enctypes[i]) || !i; ++i) {
1865             code = krb5_kt_get_entry(context,
1866                                      kt,
1867                                      service_principal,
1868                                      kvno,
1869                                      enctype,
1870                                      entry);
1871             if (!code) {
1872                 if (allowed_enctypes[i])
1873                     deref_keyblock_enctype(session_key) = allowed_enctypes[i];
1874                 break;
1875             }
1876         }
1877         if (code) {
1878             afs_com_err(progname, code,"while scanning keytab entries");
1879             goto cleanup;
1880         }
1881     } else {
1882         krb5_keytab_entry new[1];
1883         int best = -1;
1884         memset(new, 0, sizeof *new);
1885         if ((code = krb5_kt_start_seq_get(context, kt, cursor))) {
1886             afs_com_err(progname, code, "while starting keytab scan");
1887             goto cleanup;
1888         }
1889         while (!(code = krb5_kt_next_entry(context, kt, new, cursor))) {
1890             for (i = 0;
1891                     allowed_enctypes[i] && allowed_enctypes[i]
1892                      != deref_entry_enctype(new); ++i)
1893                 ;
1894             if ((!i || allowed_enctypes[i]) &&
1895                 (best < 0 || best > i)) {
1896                 krb5_free_keytab_entry_contents(context, entry);
1897                 *entry = *new;
1898                 memset(new, 0, sizeof *new);
1899             } else krb5_free_keytab_entry_contents(context, new);
1900         }
1901         if ((i = krb5_kt_end_seq_get(context, kt, cursor))) {
1902             afs_com_err(progname, i, "while ending keytab scan");
1903             code = i;
1904             goto cleanup;
1905         }
1906         if (best < 0) {
1907             afs_com_err(progname, code, "while scanning keytab");
1908             goto cleanup;
1909         }
1910         deref_keyblock_enctype(session_key) = deref_entry_enctype(entry);
1911     }
1912
1913     /* Make Ticket */
1914
1915 #if USING_HEIMDAL
1916     if ((code = krb5_generate_random_keyblock(context,
1917                                               deref_keyblock_enctype(session_key), session_key))) {
1918         afs_com_err(progname, code, "while making session key");
1919         goto cleanup;
1920     }
1921     enc_tkt_reply->flags.initial = 1;
1922     enc_tkt_reply->transited.tr_type = DOMAIN_X500_COMPRESS;
1923     enc_tkt_reply->cname = client_principal->name;
1924     enc_tkt_reply->crealm = client_principal->realm;
1925     enc_tkt_reply->key = *session_key;
1926     {
1927         static krb5_data empty_string;
1928         enc_tkt_reply->transited.contents = empty_string;
1929     }
1930     enc_tkt_reply->authtime = starttime;
1931     enc_tkt_reply->starttime = temp_time;
1932     *enc_tkt_reply->starttime = starttime;
1933 #if 0
1934     enc_tkt_reply->renew_till = temp_time + 1;
1935     *enc_tkt_reply->renew_till = endtime;
1936 #endif
1937     enc_tkt_reply->endtime = endtime;
1938 #else
1939     if ((code = krb5_c_make_random_key(context,
1940                                        deref_keyblock_enctype(session_key), session_key))) {
1941         afs_com_err(progname, code, "while making session key");
1942         goto cleanup;
1943     }
1944     enc_tkt_reply->magic = KV5M_ENC_TKT_PART;
1945 #define DATACAST        (unsigned char *)
1946     enc_tkt_reply->flags |= TKT_FLG_INITIAL;
1947     enc_tkt_reply->transited.tr_type = KRB5_DOMAIN_X500_COMPRESS;
1948     enc_tkt_reply->session = session_key;
1949     enc_tkt_reply->client = client_principal;
1950     {
1951         static krb5_data empty_string;
1952         enc_tkt_reply->transited.tr_contents = empty_string;
1953     }
1954     enc_tkt_reply->times.authtime = starttime;
1955     enc_tkt_reply->times.starttime = starttime; /* krb524init needs this */
1956     enc_tkt_reply->times.endtime = endtime;
1957 #endif  /* USING_HEIMDAL */
1958     /* NB:  We will discard address for now--ignoring caddr field
1959        in any case.  MIT branch does what it always did. */
1960
1961     if (paddress && *paddress) {
1962         deref_enc_tkt_addrs(enc_tkt_reply) = faddr;
1963 #if USING_HEIMDAL
1964         faddr->len = 0;
1965         faddr->val = address;
1966 #endif
1967         for (i = 0; paddress[i]; ++i) {
1968 #if USING_HEIMDAL
1969             address[i].addr_type = KRB5_ADDRESS_INET;
1970             address[i].address.data = (void*)(paddress+i);
1971             address[i].address.length = sizeof(paddress[i]);
1972 #else
1973 #if !USING_SSL
1974             address[i].magic = KV5M_ADDRESS;
1975             address[i].addrtype = ADDRTYPE_INET;
1976 #else
1977             address[i].addrtype = AF_INET;
1978 #endif
1979             address[i].contents = (void*)(paddress+i);
1980             address[i].length = sizeof(int);
1981             faddr[i] = address+i;
1982 #endif
1983         }
1984 #if USING_HEIMDAL
1985         faddr->len = i;
1986 #else
1987         faddr[i] = 0;
1988 #endif
1989     }
1990
1991 #if USING_HEIMDAL
1992     ticket_reply->sname = service_principal->name;
1993     ticket_reply->realm = service_principal->realm;
1994
1995     { /* crypto block */
1996         krb5_crypto crypto = 0;
1997         unsigned char *buf = 0;
1998         size_t buf_size, buf_len;
1999         char *what;
2000
2001         ASN1_MALLOC_ENCODE(EncTicketPart, buf, buf_size,
2002                            enc_tkt_reply, &buf_len, code);
2003         if(code) {
2004             afs_com_err(progname, code, "while encoding ticket");
2005             goto cleanup;
2006         }
2007
2008         if(buf_len != buf_size) {
2009             afs_com_err(progname, code,
2010                     "%u != %u while encoding ticket (internal ASN.1 encoder error",
2011                     (unsigned int)buf_len, (unsigned int)buf_size);
2012             goto cleanup;
2013         }
2014         what = "krb5_crypto_init";
2015         code = krb5_crypto_init(context,
2016                                 &deref_entry_keyblock(entry),
2017                                 deref_entry_enctype(entry),
2018                                 &crypto);
2019         if(!code) {
2020             what = "krb5_encrypt";
2021             code = krb5_encrypt_EncryptedData(context, crypto, KRB5_KU_TICKET,
2022                                               buf, buf_len, entry->vno, &(ticket_reply->enc_part));
2023         }
2024         if (buf) free(buf);
2025         if (crypto) krb5_crypto_destroy(context, crypto);
2026         if(code) {
2027             afs_com_err(progname, code, "while %s", what);
2028             goto cleanup;
2029         }
2030     } /* crypto block */
2031     ticket_reply->enc_part.etype = deref_entry_enctype(entry);
2032     ticket_reply->enc_part.kvno = (void *)temp_vno;
2033     *ticket_reply->enc_part.kvno = entry->vno;
2034     ticket_reply->tkt_vno = 5;
2035 #else
2036     ticket_reply->server = service_principal;
2037     ticket_reply->enc_part2 = enc_tkt_reply;
2038     if ((code = krb5_encrypt_tkt_part(context, &deref_entry_keyblock(entry), ticket_reply))) {
2039         afs_com_err(progname, code, "while making ticket");
2040         goto cleanup;
2041     }
2042     ticket_reply->enc_part.kvno = entry->vno;
2043 #endif
2044
2045     /* Construct Creds */
2046
2047     if ((code = krb5_copy_principal(context, service_principal,
2048                                     &creds->server))) {
2049         afs_com_err(progname, code, "while copying service principal");
2050         goto cleanup;
2051     }
2052     if ((code = krb5_copy_principal(context, client_principal,
2053                                     &creds->client))) {
2054         afs_com_err(progname, code, "while copying client principal");
2055         goto cleanup;
2056     }
2057     if ((code = krb5_copy_keyblock_contents(context, session_key,
2058                                             &deref_session_key(creds)))) {
2059         afs_com_err(progname, code, "while copying session key");
2060         goto cleanup;
2061     }
2062
2063 #if USING_HEIMDAL
2064     creds->times.authtime = enc_tkt_reply->authtime;
2065     creds->times.starttime = *(enc_tkt_reply->starttime);
2066     creds->times.endtime = enc_tkt_reply->endtime;
2067     creds->times.renew_till = 0; /* *(enc_tkt_reply->renew_till) */
2068     creds->flags.b = enc_tkt_reply->flags;
2069 #else
2070     creds->times = enc_tkt_reply->times;
2071     creds->ticket_flags = enc_tkt_reply->flags;
2072 #endif
2073     if (!deref_enc_tkt_addrs(enc_tkt_reply))
2074         ;
2075     else if ((code = krb5_copy_addresses(context,
2076                                          deref_enc_tkt_addrs(enc_tkt_reply), &creds->addresses))) {
2077         afs_com_err(progname, code, "while copying addresses");
2078         goto cleanup;
2079     }
2080
2081 #if USING_HEIMDAL
2082     {
2083         size_t creds_tkt_len;
2084         ASN1_MALLOC_ENCODE(Ticket, creds->ticket.data, creds->ticket.length,
2085                            ticket_reply, &creds_tkt_len, code);
2086         if(code) {
2087             afs_com_err(progname, code, "while encoding ticket");
2088             goto cleanup;
2089         }
2090     }
2091 #else
2092     if ((code = encode_krb5_ticket(ticket_reply, &temp))) {
2093         afs_com_err(progname, code, "while encoding ticket");
2094         goto cleanup;
2095     }
2096     creds->ticket = *temp;
2097     free(temp);
2098 #endif
2099     /* return creds */
2100     *out_creds = creds;
2101     creds = 0;
2102 cleanup:
2103     if (deref_enc_data(&ticket_reply->enc_part))
2104         free(deref_enc_data(&ticket_reply->enc_part));
2105     krb5_free_keytab_entry_contents(context, entry);
2106     if (client_principal)
2107         krb5_free_principal(context, client_principal);
2108     if (service_principal)
2109         krb5_free_principal(context, service_principal);
2110     if (cc)
2111         krb5_cc_close(context, cc);
2112     if (kt)
2113         krb5_kt_close(context, kt);
2114     if (creds) krb5_free_creds(context, creds);
2115     krb5_free_keyblock_contents(context, session_key);
2116     return code;
2117 #else
2118     return -1;
2119 #endif
2120 }
2121
2122
2123 static krb5_error_code
2124 get_credv5(krb5_context context, char *name, char *inst, char *realm,
2125            krb5_creds **creds)
2126 {
2127     krb5_creds increds;
2128     krb5_error_code r;
2129     static krb5_principal client_principal = 0;
2130
2131     afs_dprintf("Getting tickets: %s%s%s@%s\n", name,
2132             (inst && inst[0]) ? "/" : "", inst ? inst : "", realm);
2133
2134     memset(&increds, 0, sizeof(increds));
2135 /* ANL - instance may be ptr to a null string. Pass null then */
2136     if ((r = krb5_build_principal(context, &increds.server,
2137                                   strlen(realm), realm,
2138                                   name,
2139                                   (inst && strlen(inst)) ? inst : NULL,
2140                                   NULL))) {
2141         return r;
2142     }
2143
2144
2145     if (!_krb425_ccache) {
2146         r = krb5_cc_default(context, &_krb425_ccache);
2147         if (r)
2148             return r;
2149     }
2150     if (!client_principal) {
2151         if (client) {
2152             r = krb5_parse_name(context, client,  &client_principal);
2153         } else {
2154             r = krb5_cc_get_principal(context, _krb425_ccache, &client_principal);
2155         }
2156         if (r)
2157             return r;
2158     }
2159
2160     increds.client = client_principal;
2161     increds.times.endtime = 0;
2162     if (do524)
2163         /* Ask for DES since that is what V4 understands */
2164         get_creds_enctype((&increds)) = ENCTYPE_DES_CBC_CRC;
2165
2166     if (keytab) {
2167         int allowed_enctypes[] = {
2168             ENCTYPE_DES_CBC_CRC, 0
2169         };
2170
2171         r = get_credv5_akimpersonate(context,
2172                                      keytab,
2173                                      increds.server,
2174                                      increds.client,
2175                                      300, ((~0U)>>1),
2176                                      allowed_enctypes,
2177                                      0 /* paddress */,
2178                                      creds /* out */);
2179     } else {
2180         r = krb5_get_credentials(context, 0, _krb425_ccache, &increds, creds);
2181     }
2182     return r;
2183 }
2184
2185
2186 static int
2187 get_user_realm(krb5_context context, char **realm)
2188 {
2189     static krb5_principal client_principal = 0;
2190     krb5_error_code r = 0;
2191
2192     *realm = NULL;
2193
2194     if (!_krb425_ccache) {
2195         r = krb5_cc_default(context, &_krb425_ccache);
2196         if (r)
2197             return r;
2198     }
2199     if (!client_principal) {
2200         if (client) {
2201             r = krb5_parse_name(context, client,  &client_principal);
2202         } else {
2203             r = krb5_cc_get_principal(context, _krb425_ccache, &client_principal);
2204         }
2205         if (r)
2206             return r;
2207     }
2208
2209     *realm = extract_realm(context, client_principal);
2210     if (*realm == NULL)
2211         return ENOMEM;
2212
2213     return(r);
2214 }