aklog: require opt-in to enable single-DES in libkrb5
[openafs.git] / src / aklog / aklog.c
1 /*
2  * $Id$
3  *
4  * Copyright 1990,1991 by the Massachusetts Institute of Technology
5  * For distribution and copying rights, see the file "mit-copyright.h"
6  */
7 /*
8  * Copyright (c) 2005, 2006
9  * The Linux Box Corporation
10  * ALL RIGHTS RESERVED
11  *
12  * Permission is granted to use, copy, create derivative works
13  * and redistribute this software and such derivative works
14  * for any purpose, so long as the name of the Linux Box
15  * Corporation is not used in any advertising or publicity
16  * pertaining to the use or distribution of this software
17  * without specific, written prior authorization.  If the
18  * above copyright notice or any other identification of the
19  * Linux Box Corporation is included in any copy of any
20  * portion of this software, then the disclaimer below must
21  * also be included.
22  *
23  * This software is provided as is, without representation
24  * from the Linux Box Corporation as to its fitness for any
25  * purpose, and without warranty by the Linux Box Corporation
26  * of any kind, either express or implied, including
27  * without limitation the implied warranties of
28  * merchantability and fitness for a particular purpose.  The
29  * regents of the Linux Box Corporation shall not be liable
30  * for any damages, including special, indirect, incidental, or
31  * consequential damages, with respect to any claim arising
32  * out of or in connection with the use of the software, even
33  * if it has been or is hereafter advised of the possibility of
34  * such damages.
35  */
36
37 #include <afsconfig.h>
38 #include <afs/param.h>
39 #include <afs/stds.h>
40
41 #include <roken.h>
42
43 #include <ctype.h>
44
45 #include <afs/ktc.h>
46 #include <afs/token.h>
47
48 #define KERBEROS_APPLE_DEPRECATED(x)
49 #include <krb5.h>
50 #ifdef HAVE_COM_ERR_H
51 # include <com_err.h>
52 #elif HAVE_ET_COM_ERR_H
53 # include <et/com_err.h>
54 #elif HAVE_KRB5_COM_ERR_H
55 # include <krb5/com_err.h>
56 #else
57 # error No com_err.h? We need some kind of com_err.h
58 #endif
59
60 #ifndef HAVE_KERBEROSV_HEIM_ERR_H
61 #include <afs/com_err.h>
62 #endif
63
64 #ifdef AFS_SUN5_ENV
65 #include <sys/ioccom.h>
66 #endif
67
68 #include <afs/auth.h>
69 #include <afs/cellconfig.h>
70 #include <afs/vice.h>
71 #include <afs/venus.h>
72 #include <afs/ptserver.h>
73 #include <afs/ptuser.h>
74 #include <afs/pterror.h>
75 #include <afs/dirpath.h>
76 #include <afs/afsutil.h>
77
78 #include "aklog.h"
79 #include "linked_list.h"
80
81 #ifdef HAVE_KRB5_CREDS_KEYBLOCK
82 #define USING_MIT 1
83 #endif
84 #ifdef HAVE_KRB5_CREDS_SESSION
85 #define USING_HEIMDAL 1
86 #endif
87
88 #define AFSKEY "afs"
89 #define AFSINST ""
90
91 #ifndef AFS_TRY_FULL_PRINC
92 #define AFS_TRY_FULL_PRINC 1
93 #endif /* AFS_TRY_FULL_PRINC */
94
95 #define AKLOG_TRYAGAIN -1
96 #define AKLOG_SUCCESS 0
97 #define AKLOG_USAGE 1
98 #define AKLOG_SOMETHINGSWRONG 2
99 #define AKLOG_AFS 3
100 #define AKLOG_KERBEROS 4
101 #define AKLOG_TOKEN 5
102 #define AKLOG_BADPATH 6
103 #define AKLOG_MISC 7
104
105 #ifndef TRUE
106 #define TRUE 1
107 #endif
108
109 #ifndef FALSE
110 #define FALSE 0
111 #endif
112
113 #ifndef MAXSYMLINKS
114 /* RedHat 4.x doesn't seem to define this */
115 #define MAXSYMLINKS     5
116 #endif
117
118 #define DIR '/'                 /* Character that divides directories */
119 #define DIRSTRING "/"           /* String form of above */
120 #define VOLMARKER ':'           /* Character separating cellname from mntpt */
121 #define VOLMARKERSTRING ":"     /* String form of above */
122
123 typedef struct {
124     char cell[BUFSIZ];
125     char realm[REALM_SZ];
126 } cellinfo_t;
127
128 static krb5_ccache  _krb425_ccache = NULL;
129
130 /*
131  * Why doesn't AFS provide these prototypes?
132  */
133
134 extern int pioctl(char *, afs_int32, struct ViceIoctl *, afs_int32);
135
136 /*
137  * Other prototypes
138  */
139
140 extern char *afs_realm_of_cell(krb5_context, struct afsconf_cell *, int);
141 static int isdir(char *, unsigned char *);
142 static krb5_error_code get_credv5(krb5_context context, char *, char *,
143                                   char *, krb5_creds **);
144 static int get_user_realm(krb5_context, char **);
145
146 #define TRYAGAIN(x) (x == AKLOG_TRYAGAIN || \
147                      x == KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN || \
148                      x == KRB5KRB_ERR_GENERIC)
149
150 #if defined(HAVE_KRB5_PRINC_SIZE) || defined(krb5_princ_size)
151
152 #define get_princ_str(c, p, n) krb5_princ_component(c, p, n)->data
153 #define get_princ_len(c, p, n) krb5_princ_component(c, p, n)->length
154 #define second_comp(c, p) (krb5_princ_size(c, p) > 1)
155 #define realm_data(c, p) krb5_princ_realm(c, p)->data
156 #define realm_len(c, p) krb5_princ_realm(c, p)->length
157
158 #elif defined(HAVE_KRB5_PRINCIPAL_GET_COMP_STRING)
159
160 #define get_princ_str(c, p, n) krb5_principal_get_comp_string(c, p, n)
161 #define get_princ_len(c, p, n) strlen(krb5_principal_get_comp_string(c, p, n))
162 #define second_comp(c, p) (krb5_principal_get_comp_string(c, p, 1) != NULL)
163 #define realm_data(c, p) krb5_realm_data(krb5_principal_get_realm(c, p))
164 #define realm_len(c, p) krb5_realm_length(krb5_principal_get_realm(c, p))
165
166 #else
167 #error "Must have either krb5_princ_size or krb5_principal_get_comp_string"
168 #endif
169
170 #if !defined(HAVE_KRB5_ENCRYPT_TKT_PART) && defined(HAVE_ENCODE_KRB5_ENC_TKT_PART) && defined(HAVE_KRB5_C_ENCRYPT)
171 extern krb5_error_code encode_krb5_enc_tkt_part (const krb5_enc_tkt_part *rep,
172                                                  krb5_data **code);
173
174 krb5_error_code
175 krb5_encrypt_tkt_part(krb5_context context,
176                       const krb5_keyblock *key,
177                       krb5_ticket *ticket)
178 {
179     krb5_data *data = 0;
180     int code;
181     size_t enclen;
182
183     if ((code = encode_krb5_enc_tkt_part(ticket->enc_part2, &data)))
184         goto Done;
185     if ((code = krb5_c_encrypt_length(context, key->enctype,
186                                       data->length, &enclen)))
187         goto Done;
188     ticket->enc_part.ciphertext.length = enclen;
189     if (!(ticket->enc_part.ciphertext.data = malloc(enclen))) {
190         code = ENOMEM;
191         goto Done;
192     }
193     if ((code = krb5_c_encrypt(context, key, KRB5_KEYUSAGE_KDC_REP_TICKET,
194                                0, data, &ticket->enc_part))) {
195         free(ticket->enc_part.ciphertext.data);
196         ticket->enc_part.ciphertext.data = 0;
197     }
198 Done:
199     if (data) {
200         if (data->data)
201             free(data->data);
202         free(data);
203     }
204     return code;
205 }
206 #endif
207
208 #if defined(HAVE_KRB5_CREDS_KEYBLOCK)
209
210 #define get_cred_keydata(c) c->keyblock.contents
211 #define get_cred_keylen(c) c->keyblock.length
212 #define get_creds_enctype(c) c->keyblock.enctype
213
214 #elif defined(HAVE_KRB5_CREDS_SESSION)
215
216 #define get_cred_keydata(c) c->session.keyvalue.data
217 #define get_cred_keylen(c) c->session.keyvalue.length
218 #define get_creds_enctype(c) c->session.keytype
219
220 #else
221 #error "Must have either keyblock or session member of krb5_creds"
222 #endif
223
224 /* MITKerberosShim logs but returns success */
225 #if !defined(HAVE_KRB5_524_CONV_PRINCIPAL) || defined(AFS_DARWIN110_ENV) || (!defined(HAVE_KRB5_524_CONVERT_CREDS) && !defined(HAVE_KRB524_CONVERT_CREDS_KDC))
226 #define HAVE_NO_KRB5_524
227 #elif !defined(HAVE_KRB5_524_CONVERT_CREDS) && defined(HAVE_KRB524_CONVERT_CREDS_KDC)
228 #define krb5_524_convert_creds krb524_convert_creds_kdc
229 #endif
230
231 #if USING_HEIMDAL
232 #define deref_keyblock_enctype(kb)              \
233     ((kb)->keytype)
234
235 #define deref_entry_keyblock(entry)             \
236     entry->keyblock
237
238 #define deref_session_key(creds)                \
239     creds->session
240
241 #define deref_enc_tkt_addrs(tkt)                \
242     tkt->caddr
243
244 #define deref_enc_length(enc)                   \
245     ((enc)->cipher.length)
246
247 #define deref_enc_data(enc)                     \
248     ((enc)->cipher.data)
249
250 #define krb5_free_keytab_entry_contents krb5_kt_free_entry
251
252 #else
253 #define deref_keyblock_enctype(kb)              \
254     ((kb)->enctype)
255
256 #define deref_entry_keyblock(entry)             \
257     entry->key
258
259 #define deref_session_key(creds)                \
260     creds->keyblock
261
262 #define deref_enc_tkt_addrs(tkt)                \
263     tkt->caddrs
264
265 #define deref_enc_length(enc)                   \
266     ((enc)->ciphertext.length)
267
268 #define deref_enc_data(enc)                     \
269     ((enc)->ciphertext.data)
270
271 #endif
272
273 #define deref_entry_enctype(entry)                      \
274     deref_keyblock_enctype(&deref_entry_keyblock(entry))
275
276 /*
277  * Provide a replacement for strerror if we don't have it
278  */
279
280 #ifndef HAVE_STRERROR
281 extern char *sys_errlist[];
282 #define strerror(x) sys_errlist[x]
283 #endif /* HAVE_STRERROR */
284
285 static char *progname = NULL;   /* Name of this program */
286 static int dflag = FALSE;       /* Give debugging information */
287 static int noauth = FALSE;      /* If true, don't try to get tokens */
288 static int zsubs = FALSE;       /* Are we keeping track of zephyr subs? */
289 static int hosts = FALSE;       /* Are we keeping track of hosts? */
290 static int noprdb = FALSE;      /* Skip resolving name to id? */
291 static int linked = FALSE;      /* try for both AFS nodes */
292 static int afssetpag = FALSE;   /* setpag for AFS */
293 static int force = FALSE;       /* Bash identical tokens? */
294 static int do524 = FALSE;       /* Should we do 524 instead of rxkad2b? */
295 static char *keytab = NULL;     /* keytab for akimpersonate */
296 static char *client = NULL;     /* client principal for akimpersonate */
297 static linked_list zsublist;    /* List of zephyr subscriptions */
298 static linked_list hostlist;    /* List of host addresses */
299 static linked_list authedcells; /* List of cells already logged to */
300
301 /* A com_error bodge. The idea here is that this routine lets us lookup
302  * things in the system com_err, if the AFS one just tells us the error
303  * is unknown
304  */
305
306 void
307 redirect_errors(const char *who, afs_int32 code, const char *fmt, va_list ap)
308 {
309     if (who) {
310         fputs(who, stderr);
311         fputs(": ", stderr);
312     }
313     if (code) {
314         const char *str = afs_error_message(code);
315         if (strncmp(str, "unknown", strlen("unknown")) == 0) {
316 #ifdef HAVE_KRB5_SVC_GET_MSG
317             krb5_svc_get_msg(code,&str);
318 #elif defined(HAVE_KRB5_GET_ERROR_MESSAGE)
319             krb5_context context;
320             if (krb5_init_context(&context) == 0) {
321                 str = krb5_get_error_message(context, code);
322                 krb5_free_context(context);
323             }
324 #else
325             ; /* IRIX apparently has neither: use the string we have */
326 #endif
327         }
328         fputs(str, stderr);
329         fputs(" ", stderr);
330 #ifdef HAVE_KRB5_SVC_GET_MSG
331         krb5_free_string(str);
332 #endif
333     }
334     if (fmt) {
335         vfprintf(stderr, fmt, ap);
336     }
337     putc('\n', stderr);
338     fflush(stderr);
339 }
340
341 static void
342 afs_dprintf(char *fmt, ...) {
343     va_list ap;
344
345     va_start(ap, fmt);
346     if (dflag)
347         vprintf(fmt, ap);
348     va_end(ap);
349 }
350
351 static char *
352 copy_cellinfo(cellinfo_t *cellinfo)
353 {
354     cellinfo_t *new_cellinfo;
355
356     if ((new_cellinfo = malloc(sizeof(cellinfo_t))))
357         memcpy(new_cellinfo, cellinfo, sizeof(cellinfo_t));
358
359     return ((char *)new_cellinfo);
360 }
361
362
363 static int
364 get_cellconfig(const char *config, char *cell,
365                struct afsconf_cell *cellconfig, char **local_cell)
366 {
367     int status = AKLOG_SUCCESS;
368     struct afsconf_dir *configdir;
369
370     memset(cellconfig, 0, sizeof(*cellconfig));
371
372     *local_cell = malloc(MAXCELLCHARS);
373     if (*local_cell == NULL) {
374         fprintf(stderr, "%s: can't allocate memory for local cell name\n",
375                 progname);
376         exit(AKLOG_AFS);
377     }
378
379     if (!(configdir = afsconf_Open(config))) {
380         fprintf(stderr,
381                 "%s: can't get afs configuration (afsconf_Open(%s))\n",
382                 progname, config);
383         exit(AKLOG_AFS);
384     }
385
386     if (cell != NULL && cell[0] == '\0') {
387         /* Use the local cell */
388         cell = NULL;
389     }
390
391     /* XXX - This function modifies 'cell' by passing it through lcstring */
392     if (afsconf_GetCellInfo(configdir, cell, NULL, cellconfig)) {
393         if (cell != NULL) {
394             fprintf(stderr, "%s: Can't get information about cell %s.\n",
395                     progname, cell);
396         } else {
397             fprintf(stderr, "%s: Can't get information about the local cell.\n",
398                     progname);
399         }
400         status = AKLOG_AFS;
401     } else if (afsconf_GetLocalCell(configdir, *local_cell, MAXCELLCHARS)) {
402         fprintf(stderr, "%s: can't determine local cell.\n", progname);
403         exit(AKLOG_AFS);
404     }
405
406     afsconf_Close(configdir);
407
408     return(status);
409 }
410
411 static char *
412 extract_realm(krb5_context context, krb5_principal princ) {
413     int len;
414     char *realm;
415
416     len = realm_len(context, princ);
417     if (len > REALM_SZ-1)
418         len = REALM_SZ-1;
419
420     realm = malloc(sizeof(char) * (len+1));
421     if (realm == NULL)
422         return NULL;
423
424     strncpy(realm, realm_data(context, princ), len);
425     realm[len] = '\0';
426
427     return realm;
428 }
429
430 static int
431 get_realm_from_cred(krb5_context context, krb5_creds *v5cred, char **realm) {
432 #if !defined(HEIMDAL) && defined(HAVE_KRB5_DECODE_TICKET)
433     krb5_error_code code;
434     krb5_ticket *ticket;
435
436     *realm = NULL;
437
438     code = krb5_decode_ticket(&v5cred->ticket, &ticket);
439     if (code)
440         return code;
441
442     *realm = extract_realm(context, ticket->server);
443     if (*realm == NULL)
444         code = ENOMEM;
445
446     krb5_free_ticket(context, ticket);
447
448     return code;
449 #else
450     *realm = NULL;
451     return 0;
452 #endif
453 }
454
455 /*!
456  * Get a Kerberos service ticket to use as the base of an rxkad token for
457  * a given AFS cell.
458  *
459  * @param[in] context
460  *      An initialized Kerberos v5 context
461  * @param[in] realm
462  *      The realm to look in for the service principal. If NULL, then the
463  *      realm is determined from the cell name or the user's credentials
464  *      (see below for the heuristics used)
465  * @param[in] cell
466  *      The cell information for the cell to obtain a ticket for
467  * @param[out] v5cred
468  *      A Kerberos credentials structure containing the ticket acquired
469  *      for the cell. This is a dynamically allocated structure, which
470  *      should be freed by using the appropriate Kerberos API function.
471  * @param[out] realmUsed
472  *      The realm in which the cell's service principal was located. If
473  *      unset, then the principal was located in the same realm as the
474  *      current user. This is a malloc'd string which should be freed
475  *      by the caller.
476  *
477  * @returns
478  *      0 on success, an error value upon failure
479  *
480  * @notes
481  *      This code tries principals in the following, much debated,
482  *      order:
483  *
484  *      If the realm is specified on the command line we do
485  *         - afs/cell@COMMAND-LINE-REALM
486  *         - afs@COMMAND-LINE-REALM
487  *
488  *      Otherwise, we do
489  *         - afs/cell@REALM-FROM-USERS-PRINCIPAL
490  *         - afs/cell@krb5_get_host_realm(db-server)
491  *        Then, if krb5_get_host_realm(db-server) is non-empty
492  *           - afs@ krb5_get_host_realm(db-server)
493  *        Otherwise
494  *           - afs/cell@ upper-case-domain-of-db-server
495  *           - afs@ upper-case-domain-of-db-server
496  *
497  *      In all cases, the 'afs@' variant is only tried where the
498  *      cell and the realm match case-insensitively.
499  */
500
501 static int
502 rxkad_get_ticket(krb5_context context, char *realm,
503                  struct afsconf_cell *cell,
504                  krb5_creds **v5cred, char **realmUsed) {
505     char *realm_of_cell = NULL;
506     char *realm_of_user = NULL;
507     char *realm_from_princ = NULL;
508     int status;
509     int retry;
510
511     *realmUsed = NULL;
512
513     if ((status = get_user_realm(context, &realm_of_user))) {
514         fprintf(stderr, "%s: Couldn't determine realm of user:", progname);
515         afs_com_err(progname, status, " while getting realm");
516         status = AKLOG_KERBEROS;
517         goto out;
518     }
519
520     retry = 1;
521
522     while(retry) {
523         /* Cell on command line - use that one */
524         if (realm && realm[0]) {
525             realm_of_cell = realm;
526             status = AKLOG_TRYAGAIN;
527             afs_dprintf("We were told to authenticate to realm %s.\n", realm);
528         } else {
529             /* Initially, try using afs/cell@USERREALM */
530             afs_dprintf("Trying to authenticate to user's realm %s.\n",
531                     realm_of_user);
532             realm_of_cell = realm_of_user;
533             status = get_credv5(context, AFSKEY, cell->name, realm_of_cell,
534                                 v5cred);
535
536             /* If that failed, try to determine the realm from the name of
537              * one of the DB servers */
538             if (TRYAGAIN(status)) {
539                 realm_of_cell = afs_realm_of_cell(context, cell, FALSE);
540                 if (!realm_of_cell) {
541                     fprintf(stderr, "%s: Couldn't figure out realm for cell "
542                             "%s.\n", progname, cell->name);
543                     exit(AKLOG_MISC);
544                 }
545
546                 if (realm_of_cell[0])
547                     afs_dprintf("We've deduced that we need to authenticate"
548                             " to realm %s.\n", realm_of_cell);
549                     else
550                     afs_dprintf("We've deduced that we need to authenticate "
551                             "using referrals.\n");
552             }
553         }
554
555         if (TRYAGAIN(status)) {
556             /* If we've got the full-princ-first option, or we're in a
557              * different realm from the cell - use the cell name as the
558              * instance */
559             if (AFS_TRY_FULL_PRINC ||
560                 strcasecmp(cell->name, realm_of_cell)!=0) {
561                 status = get_credv5(context, AFSKEY, cell->name,
562                                     realm_of_cell, v5cred);
563
564                 /* If we failed & we've got an empty realm, then try
565                  * calling afs_realm_for_cell again. */
566                 if (TRYAGAIN(status) && !realm_of_cell[0]) {
567                     /* This time, get the realm by taking the domain
568                      * component of the db server and make it upper case */
569                     realm_of_cell = afs_realm_of_cell(context, cell, TRUE);
570                     if (!realm_of_cell) {
571                         fprintf(stderr,
572                                 "%s: Couldn't figure out realm for cell %s.\n",
573                                 progname, cell->name);
574                         exit(AKLOG_MISC);
575                     }
576                     afs_dprintf("We've deduced that we need to authenticate"
577                             " to realm %s.\n", realm_of_cell);
578                     status = get_credv5(context, AFSKEY, cell->name,
579                                         realm_of_cell, v5cred);
580                 }
581             }
582
583             /* If the realm and cell name match, then try without an
584              * instance, but only if realm is non-empty */
585
586             if (TRYAGAIN(status) &&
587                 strcasecmp(cell->name, realm_of_cell) == 0) {
588                 status = get_credv5(context, AFSKEY, NULL, realm_of_cell,
589                                     v5cred);
590                 if (!AFS_TRY_FULL_PRINC && TRYAGAIN(status)) {
591                     status = get_credv5(context, AFSKEY, cell->name,
592                                         realm_of_cell, v5cred);
593                 }
594             }
595         }
596
597         /* Try to find a service principal for this cell.
598          * Some broken MIT libraries return KRB5KRB_AP_ERR_MSG_TYPE upon
599          * the first attempt, so we try twice to be sure */
600
601         if (status == KRB5KRB_AP_ERR_MSG_TYPE && retry == 1)
602             retry++;
603         else
604             retry = 0;
605     }
606
607     if (status != 0) {
608         afs_dprintf("Kerberos error code returned by get_cred : %d\n", status);
609         fprintf(stderr, "%s: Couldn't get %s AFS tickets:\n",
610                 progname, cell->name);
611         afs_com_err(progname, status, "while getting AFS tickets");
612 #ifdef KRB5_CC_NOT_KTYPE
613         if (status == KRB5_CC_NOT_KTYPE) {
614             fprintf(stderr, "allow_weak_crypto may be required in the Kerberos configuration\n");
615         }
616 #endif
617         status = AKLOG_KERBEROS;
618         goto out;
619     }
620
621     /* If we've got a valid ticket, and we still don't know the realm name
622      * try to figure it out from the contents of the ticket
623      */
624     if (strcmp(realm_of_cell, "") == 0) {
625         status = get_realm_from_cred(context, *v5cred, &realm_from_princ);
626         if (status) {
627             fprintf(stderr,
628                     "%s: Couldn't decode ticket to determine realm for "
629                     "cell %s.\n",
630                     progname, cell->name);
631         } else {
632             if (realm_from_princ)
633                 realm_of_cell = realm_from_princ;
634         }
635     }
636
637     /* If the realm of the user and cell differ, then we need to use the
638      * realm when we later construct the user's principal */
639     if (realm_of_cell != NULL && strcmp(realm_of_user, realm_of_cell) != 0)
640         *realmUsed = realm_of_user;
641
642 out:
643     if (realm_from_princ)
644         free(realm_from_princ);
645     if (realm_of_user && *realmUsed == NULL)
646         free(realm_of_user);
647
648     return status;
649 }
650
651 /*!
652  * Build an rxkad token from a Kerberos ticket, using only local tools (that
653  * is, without using a 524 conversion service)
654  *
655  * @param[in] context
656  *      An initialised Kerberos 5 context
657  * @param[in] v5cred
658  *      A Kerberos credentials structure containing a suitable service ticket
659  * @param[out] tokenPtr
660  *      An AFS token structure containing an rxkad token. This is a malloc'd
661  *      structure which should be freed by the caller.
662  * @param[out[ userPtr
663  *      A string containing the principal of the user to whom the token was
664  *      issued. This is a malloc'd block which should be freed by the caller,
665  *      if set.
666  *
667  * @returns
668  *      0 on success, an error value upon failure
669  */
670 static int
671 rxkad_build_native_token(krb5_context context, krb5_creds *v5cred,
672                          struct ktc_tokenUnion **tokenPtr, char **userPtr) {
673     char username[BUFSIZ]="";
674     struct ktc_token token;
675     int status;
676 #ifdef HAVE_NO_KRB5_524
677     char *p;
678     int len;
679 #else
680     char k4name[ANAME_SZ];
681     char k4inst[INST_SZ];
682     char k4realm[REALM_SZ];
683 #endif
684     void *inkey = get_cred_keydata(v5cred);
685     size_t inkey_sz = get_cred_keylen(v5cred);
686
687     afs_dprintf("Using Kerberos V5 ticket natively\n");
688
689     *tokenPtr = NULL;
690     *userPtr = NULL;
691
692 #ifndef HAVE_NO_KRB5_524
693     status = krb5_524_conv_principal (context, v5cred->client,
694                                       (char *) &k4name,
695                                       (char *) &k4inst,
696                                       (char *) &k4realm);
697     if (status) {
698         if (!noprdb)
699             afs_com_err(progname, status,
700                         "while converting principal to Kerberos V4 format");
701     } else {
702         strcpy (username, k4name);
703         if (k4inst[0]) {
704             strcat (username, ".");
705             strcat (username, k4inst);
706         }
707     }
708 #else
709     len = min(get_princ_len(context, v5cred->client, 0),
710               second_comp(context, v5cred->client) ?
711               MAXKTCNAMELEN - 2 : MAXKTCNAMELEN - 1);
712     strncpy(username, get_princ_str(context, v5cred->client, 0), len);
713     username[len] = '\0';
714
715     if (second_comp(context, v5cred->client)) {
716         strcat(username, ".");
717         p = username + strlen(username);
718         len = min(get_princ_len(context, v5cred->client, 1),
719                   MAXKTCNAMELEN - strlen(username) - 1);
720         strncpy(p, get_princ_str(context, v5cred->client, 1), len);
721         p[len] = '\0';
722     }
723 #endif
724
725     memset(&token, 0, sizeof(struct ktc_token));
726
727     token.kvno = RXKAD_TKT_TYPE_KERBEROS_V5;
728     token.startTime = v5cred->times.starttime;;
729     token.endTime = v5cred->times.endtime;
730     if (tkt_DeriveDesKey(get_creds_enctype(v5cred), inkey, inkey_sz,
731                          &token.sessionKey) != 0) {
732         return RXKADBADKEY;
733     }
734     token.ticketLen = v5cred->ticket.length;
735     memcpy(token.ticket, v5cred->ticket.data, token.ticketLen);
736
737     status = token_importRxkadViceId(tokenPtr, &token, 0);
738     if (status) {
739         return status;
740     }
741
742     if (username[0] != '\0')
743         *userPtr = strdup(username);
744
745     return 0;
746 }
747
748 /*!
749  * Convert a Keberos ticket to an rxkad token, using information obtained
750  * from an external Kerberos 5->4 conversion service. If the code is built
751  * with HAVE_NO_KRB5_524 then this is a stub function which will always
752  * return success without a token.
753  *
754  * @param[in] context
755  *      An initialised Kerberos 5 context
756  * @param[in] v5cred
757  *      A Kerberos credentials structure containing a suitable service ticket
758  * @param[out] tokenPtr
759  *      An AFS token structure containing an rxkad token. This is a malloc'd
760  *      structure which should be freed by the caller.
761  * @param[out[ userPtr
762  *      A string containing the principal of the user to whom the token was
763  *      issued. This is a malloc'd block which should be freed by the caller,
764  *      if set.
765  *
766  * @returns
767  *      0 on success, an error value upon failure
768  */
769
770 #ifdef HAVE_NO_KRB5_524
771 static int
772 rxkad_get_converted_token(krb5_context context, krb5_creds *v5cred,
773                           struct ktc_tokenUnion **tokenPtr, char **userPtr) {
774     *tokenPtr = NULL;
775     *userPtr = NULL;
776
777     return 0;
778 }
779 #else
780 static int
781 rxkad_get_converted_token(krb5_context context, krb5_creds *v5cred,
782                           struct ktc_tokenUnion **tokenPtr, char **userPtr) {
783     CREDENTIALS cred;
784     char username[BUFSIZ];
785     struct ktc_token token;
786     int status;
787
788     *tokenPtr = NULL;
789     *userPtr = NULL;
790
791     afs_dprintf("Using Kerberos 524 translator service\n");
792
793     status = krb5_524_convert_creds(context, v5cred, &cred);
794
795     if (status) {
796         afs_com_err(progname, status, "while converting tickets "
797                 "to Kerberos V4 format");
798         return AKLOG_KERBEROS;
799     }
800
801     strcpy (username, cred.pname);
802     if (cred.pinst[0]) {
803         strcat (username, ".");
804         strcat (username, cred.pinst);
805     }
806
807     memset(&token, 0, sizeof(struct ktc_token));
808
809     token.kvno = cred.kvno;
810     token.startTime = cred.issue_date;
811     /*
812      * It seems silly to go through a bunch of contortions to
813      * extract the expiration time, when the v5 credentials already
814      * has the exact time!  Let's use that instead.
815      *
816      * Note that this isn't a security hole, as the expiration time
817      * is also contained in the encrypted token
818      */
819     token.endTime = v5cred->times.endtime;
820     memcpy(&token.sessionKey, cred.session, 8);
821     token.ticketLen = cred.ticket_st.length;
822     memcpy(token.ticket, cred.ticket_st.dat, token.ticketLen);
823
824     status = token_importRxkadViceId(tokenPtr, &token, 0);
825     if (status) {
826         return status;
827     }
828
829     *userPtr = strdup(username);
830
831     return 0;
832 }
833 #endif
834
835 /*!
836  * This function gets an rxkad token for a given cell.
837  *
838  * @param[in] context
839  *      An initialized Kerberos v5 context
840  * @param[in] cell
841  *      The cell information for the cell which we're obtaining a token for
842  * @param[in] realm
843  *      The realm to look in for the service principal. If NULL, then the
844  *      realm is determined from the cell name or the user's credentials
845  *      (see the documentation for rxkad_get_ticket)
846  * @param[out] token
847  *      The rxkad token produced. This is a malloc'd structure which should
848  *      be freed by the caller.
849  * @parma[out] authuser
850  *      A string containing the principal of the user to whom the token was
851  *      issued. This is a malloc'd block which should be freed by the caller,
852  *      if set.
853  * @param[out] foreign
854  *      Whether the user is considered as 'foreign' to the realm of the cell.
855  *
856  * @returns
857  *      0 on success, an error value upon failuer
858  */
859 static int
860 rxkad_get_token(krb5_context context, struct afsconf_cell *cell, char *realm,
861                 struct ktc_tokenUnion **token, char **authuser, int *foreign) {
862     krb5_creds *v5cred;
863     char *realmUsed = NULL;
864     char *username = NULL;
865     int status;
866
867     *token = NULL;
868     *authuser = NULL;
869     *foreign = 0;
870
871     status = rxkad_get_ticket(context, realm, cell, &v5cred, &realmUsed);
872     if (status)
873         return status;
874
875     if (do524)
876         status = rxkad_get_converted_token(context, v5cred, token, &username);
877     else
878         status = rxkad_build_native_token(context, v5cred, token, &username);
879
880     if (status)
881         goto out;
882
883     /* We now have the username, plus the realm name, so stitch them together
884      * to give us the name that the ptserver will know the user by */
885     if (realmUsed == NULL || username == NULL) {
886         *authuser = username;
887         username = NULL;
888         *foreign = 0;
889     } else {
890         if (asprintf(authuser, "%s@%s", username, realmUsed) < 0) {
891             fprintf(stderr, "%s: Out of memory building PTS name\n", progname);
892             *authuser = NULL;
893             status = AKLOG_MISC;
894             goto out;
895         }
896         *foreign = 1;
897     }
898
899 out:
900     if (realmUsed)
901         free(realmUsed);
902     if (username)
903         free(username);
904
905     return status;
906 }
907
908 /* 
909  * Log to a cell.  If the cell has already been logged to, return without
910  * doing anything.  Otherwise, log to it and mark that it has been logged
911  * to.
912  */
913 static int
914 auth_to_cell(krb5_context context, const char *config, 
915              char *cell, char *realm, char **linkedcell)
916 {
917     int status = AKLOG_SUCCESS;
918     int isForeign = 0;
919     char *username = NULL;      /* To hold client username structure */
920     afs_int32 viceId;           /* AFS uid of user */
921
922     char *local_cell = NULL;
923     struct ktc_tokenUnion *rxkadToken = NULL;
924     struct ktc_setTokenData *token;
925     struct ktc_setTokenData *btoken = NULL;
926     struct afsconf_cell cellconf;
927
928     /* NULL or empty cell returns information on local cell */
929     if ((status = get_cellconfig(config, cell, &cellconf, &local_cell)))
930         return(status);
931
932     if (linkedcell != NULL) {
933         if (cellconf.linkedCell != NULL) {
934             *linkedcell = strdup(cellconf.linkedCell);
935             if (*linkedcell == NULL) {
936                 status = ENOMEM;
937                 goto out;
938             }
939         } else {
940             *linkedcell = NULL;
941         }
942     }
943
944     if (ll_string(&authedcells, ll_s_check, cellconf.name)) {
945         afs_dprintf("Already authenticated to %s (or tried to)\n", cellconf.name);
946         status = AKLOG_SUCCESS;
947         goto out;
948     }
949
950     /*
951      * Record that we have attempted to log to this cell.  We do this
952      * before we try rather than after so that we will not try
953      * and fail repeatedly for one cell.
954      */
955     ll_string(&authedcells, ll_s_add, cellconf.name);
956
957     /*
958      * Record this cell in the list of zephyr subscriptions.  We may
959      * want zephyr subscriptions even if authentication fails.
960      * If this is done after we attempt to get tokens, aklog -zsubs
961      * can return something different depending on whether or not we
962      * are in -noauth mode.
963      */
964     if (ll_string(&zsublist, ll_s_add, cellconf.name) == LL_FAILURE) {
965         fprintf(stderr,
966                 "%s: failure adding cell %s to zephyr subscriptions list.\n",
967                 progname, cellconf.name);
968         exit(AKLOG_MISC);
969     }
970     if (ll_string(&zsublist, ll_s_add, local_cell) == LL_FAILURE) {
971         fprintf(stderr,
972                 "%s: failure adding cell %s to zephyr subscriptions list.\n",
973                 progname, local_cell);
974         exit(AKLOG_MISC);
975     }
976
977     if (!noauth) {
978         afs_dprintf("Authenticating to cell %s (server %s).\n", cellconf.name,
979                 cellconf.hostName[0]);
980
981         token = token_buildTokenJar(cellconf.name);
982         if (token == NULL) {
983             status = ENOMEM;
984             goto out;
985         }
986
987         status = rxkad_get_token(context, &cellconf, realm, &rxkadToken,
988                                  &username, &isForeign);
989         if (status)
990             goto out;
991
992         /* We need to keep the token structure around so that we can stick
993          * the viceId into it (once we know it) */
994         status = token_addToken(token, rxkadToken);
995         if (status) {
996             afs_dprintf("Add Token failed with %d", status);
997             goto out;
998         }
999
1000         if (!force &&
1001             ktc_GetTokenEx(cellconf.name, &btoken) == 0 &&
1002             token_SetsEquivalent(token, btoken)) {
1003
1004             token_FreeSet(&btoken);
1005             afs_dprintf("Identical tokens already exist; skipping.\n");
1006             status = AKLOG_SUCCESS;
1007             goto out;
1008         }
1009
1010         if (btoken)
1011             token_FreeSet(&btoken);
1012
1013 #ifdef FORCE_NOPRDB
1014         noprdb = 1;
1015 #endif
1016
1017         if (username == NULL) {
1018             afs_dprintf("Not resolving name to id\n");
1019         }
1020         else if (noprdb) {
1021             afs_dprintf("Not resolving name %s to id (-noprdb set)\n", username);
1022         }
1023         else {
1024             afs_dprintf("About to resolve name %s to id in cell %s.\n", username,
1025                     cellconf.name);
1026
1027             if (!pr_Initialize (0,  AFSDIR_CLIENT_ETC_DIRPATH, cellconf.name))
1028                 status = pr_SNameToId (username, &viceId);
1029
1030             if (status)
1031                 afs_dprintf("Error %d\n", status);
1032             else
1033                 afs_dprintf("Id %d\n", (int) viceId);
1034
1035
1036             /*
1037              * This code is taken from cklog -- it lets people
1038              * automatically register with the ptserver in foreign cells
1039              */
1040
1041 #ifdef ALLOW_REGISTER
1042             if ((status == 0) && (viceId == ANONYMOUSID) && isForeign) {
1043                 afs_dprintf("doing first-time registration of %s at %s\n",
1044                         username, cellconf.name);
1045                 viceId = 0;
1046
1047                 status = ktc_SetTokenEx(token);
1048                 if (status) {
1049                     afs_com_err(progname, status,
1050                                 "while obtaining tokens for cell %s",
1051                                 cellconf.name);
1052                     status = AKLOG_TOKEN;
1053                 }
1054
1055                 /*
1056                  * In case you're wondering, we don't need to change the
1057                  * filename here because we're still connecting to the
1058                  * same cell -- we're just using a different authenticat ion
1059                  * level
1060                  */
1061
1062                 if ((status = pr_Initialize(1L,  AFSDIR_CLIENT_ETC_DIRPATH,
1063                                             cellconf.name))) {
1064                     printf("Error %d\n", status);
1065                 }
1066
1067                 if ((status = pr_CreateUser(username, &viceId))) {
1068                     fprintf(stderr, "%s: %s so unable to create remote PTS "
1069                             "user %s in cell %s (status: %d).\n", progname,
1070                             afs_error_message(status), username, cellconf.name,
1071                             status);
1072                     viceId = ANONYMOUSID;
1073                 } else {
1074                     printf("created cross-cell entry for %s (Id %d) at %s\n",
1075                            username, viceId, cellconf.name);
1076                 }
1077             }
1078 #endif /* ALLOW_REGISTER */
1079
1080             if ((status == 0) && (viceId != ANONYMOUSID)) {
1081                 status = token_setRxkadViceId(rxkadToken, viceId);
1082                 if (status) {
1083                     fprintf(stderr, "Error %d setting rxkad ViceId\n", status);
1084                     status = AKLOG_SUCCESS;
1085                 } else {
1086                     token_replaceToken(token, rxkadToken);
1087                 }
1088             }
1089         }
1090
1091         if (username) {
1092             afs_dprintf("Setting tokens. %s @ %s\n",
1093                         username, cellconf.name);
1094         } else {
1095             afs_dprintf("Setting tokens for cell %s\n", cellconf.name);
1096         }
1097
1098 #ifndef AFS_AIX51_ENV
1099         /* on AIX 4.1.4 with AFS 3.4a+ if a write is not done before
1100          * this routine, it will not add the token. It is not clear what
1101          * is going on here! So we will do the following operation.
1102          * On AIX 5, it causes the parent program to die, so we won't.
1103          * We don't care about the return value, but need to collect it
1104          * to avoid compiler warnings.
1105          */
1106         if (write(2,"",0) < 0) {
1107             /* dummy write, don't care */
1108         }
1109 #endif
1110         token_setPag(token, afssetpag);
1111         status = ktc_SetTokenEx(token);
1112         if (status) {
1113             afs_com_err(progname, status, "while setting tokens for cell %s",
1114                         cellconf.name);
1115             status = AKLOG_TOKEN;
1116         }
1117     }
1118     else
1119         afs_dprintf("Noauth mode; not authenticating.\n");
1120
1121 out:
1122     if (rxkadToken) {
1123         token_freeToken(&rxkadToken);
1124     }
1125
1126     if (local_cell)
1127         free(local_cell);
1128     if (username)
1129         free(username);
1130
1131     return(status);
1132 }
1133
1134 static int
1135 get_afs_mountpoint(char *file, char *mountpoint, int size)
1136 {
1137 #ifdef AFS_SUN_ENV
1138     char V ='V'; /* AFS has problem on Sun with pioctl */
1139 #endif
1140     char our_file[MAXPATHLEN + 1];
1141     char *parent_dir;
1142     char *last_component;
1143     struct ViceIoctl vio;
1144     char cellname[BUFSIZ];
1145
1146     strlcpy(our_file, file, sizeof(our_file));
1147
1148     if ((last_component = strrchr(our_file, DIR))) {
1149         *last_component++ = 0;
1150         parent_dir = our_file;
1151     }
1152     else {
1153         last_component = our_file;
1154         parent_dir = ".";
1155     }
1156
1157     memset(cellname, 0, sizeof(cellname));
1158
1159     vio.in = last_component;
1160     vio.in_size = strlen(last_component)+1;
1161     vio.out_size = size;
1162     vio.out = mountpoint;
1163
1164     if (!pioctl(parent_dir, VIOC_AFS_STAT_MT_PT, &vio, 0)) {
1165         if (strchr(mountpoint, VOLMARKER) == NULL) {
1166             vio.in = file;
1167             vio.in_size = strlen(file) + 1;
1168             vio.out_size = sizeof(cellname);
1169             vio.out = cellname;
1170
1171             if (!pioctl(file, VIOC_FILE_CELL_NAME, &vio, 1)) {
1172                 strlcat(cellname, VOLMARKERSTRING, sizeof(cellname));
1173                 strlcat(cellname, mountpoint + 1, sizeof(cellname));
1174                 memset(mountpoint + 1, 0, size - 1);
1175                 strcpy(mountpoint + 1, cellname);
1176             }
1177         }
1178         return(TRUE);
1179     }
1180     else
1181         return(FALSE);
1182 }
1183
1184 /*
1185  * This routine each time it is called returns the next directory
1186  * down a pathname.  It resolves all symbolic links.  The first time
1187  * it is called, it should be called with the name of the path
1188  * to be descended.  After that, it should be called with the arguemnt
1189  * NULL.
1190  */
1191 static char *
1192 next_path(char *origpath)
1193 {
1194     static char path[MAXPATHLEN + 1];
1195     static char pathtocheck[MAXPATHLEN + 1];
1196
1197     ssize_t link;               /* Return value from readlink */
1198     char linkbuf[MAXPATHLEN + 1];
1199     char tmpbuf[MAXPATHLEN + 1];
1200
1201     static char *last_comp;     /* last component of directory name */
1202     static char *elast_comp;    /* End of last component */
1203     char *t;
1204     int len;
1205
1206     static int symlinkcount = 0; /* We can't exceed MAXSYMLINKS */
1207
1208     /* If we are given something for origpath, we are initializing only. */
1209     if (origpath) {
1210         memset(path, 0, sizeof(path));
1211         memset(pathtocheck, 0, sizeof(pathtocheck));
1212         strlcpy(path, origpath, sizeof(path));
1213         last_comp = path;
1214         symlinkcount = 0;
1215         return(NULL);
1216     }
1217
1218     /* We were not given origpath; find then next path to check */
1219
1220     /* If we've gotten all the way through already, return NULL */
1221     if (last_comp == NULL)
1222         return(NULL);
1223
1224     do {
1225         while (*last_comp == DIR)
1226             strncat(pathtocheck, last_comp++, 1);
1227         len = (elast_comp = strchr(last_comp, DIR))
1228             ? elast_comp - last_comp : strlen(last_comp);
1229         strncat(pathtocheck, last_comp, len);
1230         memset(linkbuf, 0, sizeof(linkbuf));
1231         link = readlink(pathtocheck, linkbuf, sizeof(linkbuf)-1);
1232
1233         if (link > 0) {
1234             linkbuf[link] = '\0'; /* NUL terminate string */
1235
1236             if (++symlinkcount > MAXSYMLINKS) {
1237                 fprintf(stderr, "%s: %s\n", progname, strerror(ELOOP));
1238                 exit(AKLOG_BADPATH);
1239             }
1240
1241             memset(tmpbuf, 0, sizeof(tmpbuf));
1242             if (elast_comp)
1243                 strlcpy(tmpbuf, elast_comp, sizeof(tmpbuf));
1244             if (linkbuf[0] == DIR) {
1245                 /*
1246                  * If this is a symbolic link to an absolute path,
1247                  * replace what we have by the absolute path.
1248                  */
1249                 memset(path, 0, strlen(path));
1250                 memcpy(path, linkbuf, sizeof(linkbuf));
1251                 strcat(path, tmpbuf);
1252                 last_comp = path;
1253                 elast_comp = NULL;
1254                 memset(pathtocheck, 0, sizeof(pathtocheck));
1255             }
1256             else {
1257                 /*
1258                  * If this is a symbolic link to a relative path,
1259                  * replace only the last component with the link name.
1260                  */
1261                 strncpy(last_comp, linkbuf, strlen(linkbuf) + 1);
1262                 strcat(path, tmpbuf);
1263                 elast_comp = NULL;
1264                 if ((t = strrchr(pathtocheck, DIR))) {
1265                     t++;
1266                     memset(t, 0, strlen(t));
1267                 }
1268                 else
1269                     memset(pathtocheck, 0, sizeof(pathtocheck));
1270             }
1271         }
1272         else
1273             last_comp = elast_comp;
1274     }
1275     while(link > 0);
1276
1277     return(pathtocheck);
1278 }
1279
1280 static void
1281 add_hosts(char *file)
1282 {
1283 #ifdef AFS_SUN_ENV
1284     char V = 'V'; /* AFS has problem on SunOS */
1285 #endif
1286     struct ViceIoctl vio;
1287     char outbuf[BUFSIZ];
1288     long *phosts;
1289     int i;
1290     struct hostent *hp;
1291     struct in_addr in;
1292
1293     memset(outbuf, 0, sizeof(outbuf));
1294
1295     vio.out_size = sizeof(outbuf);
1296     vio.in_size = 0;
1297     vio.out = outbuf;
1298
1299     afs_dprintf("Getting list of hosts for %s\n", file);
1300
1301     /* Don't worry about errors. */
1302     if (!pioctl(file, VIOCWHEREIS, &vio, 1)) {
1303         phosts = (long *) outbuf;
1304
1305         /*
1306          * Lists hosts that we care about.  If ALLHOSTS is defined,
1307          * then all hosts that you ever may possible go through are
1308          * included in this list.  If not, then only hosts that are
1309          * the only ones appear.  That is, if a volume you must use
1310          * is replaced on only one server, that server is included.
1311          * If it is replicated on many servers, then none are included.
1312          * This is not perfect, but the result is that people don't
1313          * get subscribed to a lot of instances of FILSRV that they
1314          * probably won't need which reduces the instances of
1315          * people getting messages that don't apply to them.
1316          */
1317 #ifndef ALLHOSTS
1318         if (phosts[1] != '\0')
1319             return;
1320 #endif
1321         for (i = 0; phosts[i]; i++) {
1322             if (hosts) {
1323                 in.s_addr = phosts[i];
1324                 afs_dprintf("Got host %s\n", inet_ntoa(in));
1325                 ll_string(&hostlist, ll_s_add, (char *)inet_ntoa(in));
1326             }
1327             if (zsubs && (hp=gethostbyaddr((char *) &phosts[i],sizeof(long),AF_INET))) {
1328                 afs_dprintf("Got host %s\n", hp->h_name);
1329                 ll_string(&zsublist, ll_s_add, hp->h_name);
1330             }
1331         }
1332     }
1333 }
1334
1335 /*
1336  * This routine descends through a path to a directory, logging to
1337  * every cell it encounters along the way.
1338  */
1339 static int
1340 auth_to_path(krb5_context context, const char *config, char *path)
1341 {
1342     int status = AKLOG_SUCCESS;
1343     int auth_status = AKLOG_SUCCESS;
1344
1345     char *nextpath;
1346     char pathtocheck[MAXPATHLEN + 1];
1347     char mountpoint[MAXPATHLEN + 1];
1348
1349     char *cell;
1350     char *endofcell;
1351
1352     u_char isdirectory;
1353
1354     /* Initialize */
1355     if (path[0] == DIR)
1356         strlcpy(pathtocheck, path, sizeof(pathtocheck));
1357     else {
1358         if (getcwd(pathtocheck, sizeof(pathtocheck)) == NULL) {
1359             fprintf(stderr, "Unable to find current working directory:\n");
1360             fprintf(stderr, "%s\n", pathtocheck);
1361             fprintf(stderr, "Try an absolute pathname.\n");
1362             exit(AKLOG_BADPATH);
1363         }
1364         else {
1365             strlcat(pathtocheck, DIRSTRING, sizeof(pathtocheck));
1366             strlcat(pathtocheck, path, sizeof(pathtocheck));
1367         }
1368     }
1369     next_path(pathtocheck);
1370
1371     /* Go on to the next level down the path */
1372     while ((nextpath = next_path(NULL))) {
1373         strlcpy(pathtocheck, nextpath, sizeof(pathtocheck));
1374         afs_dprintf("Checking directory %s\n", pathtocheck);
1375         /*
1376          * If this is an afs mountpoint, determine what cell from
1377          * the mountpoint name which is of the form
1378          * #cellname:volumename or %cellname:volumename.
1379          */
1380         if (get_afs_mountpoint(pathtocheck, mountpoint, sizeof(mountpoint))) {
1381             /* skip over the '#' or '%' */
1382             cell = mountpoint + 1;
1383             /* Add this (cell:volumename) to the list of zsubs */
1384             if (zsubs)
1385                 ll_string(&zsublist, ll_s_add, cell);
1386             if (zsubs || hosts)
1387                 add_hosts(pathtocheck);
1388             if ((endofcell = strchr(mountpoint, VOLMARKER))) {
1389                 *endofcell = '\0';
1390                 auth_status = auth_to_cell(context, config, cell, NULL, NULL);
1391                 if (auth_status) {
1392                     if (status == AKLOG_SUCCESS)
1393                         status = auth_status;
1394                     else if (status != auth_status)
1395                         status = AKLOG_SOMETHINGSWRONG;
1396                 }
1397             }
1398         }
1399         else {
1400             if (isdir(pathtocheck, &isdirectory) < 0) {
1401                 /*
1402                  * If we've logged and still can't stat, there's
1403                  * a problem...
1404                  */
1405                 fprintf(stderr, "%s: stat(%s): %s\n", progname,
1406                         pathtocheck, strerror(errno));
1407                 return(AKLOG_BADPATH);
1408             }
1409             else if (! isdirectory) {
1410                 /* Allow only directories */
1411                 fprintf(stderr, "%s: %s: %s\n", progname, pathtocheck,
1412                         strerror(ENOTDIR));
1413                 return(AKLOG_BADPATH);
1414             }
1415         }
1416     }
1417
1418
1419     return(status);
1420 }
1421
1422
1423 /* Print usage message and exit */
1424 static void
1425 usage(void)
1426 {
1427     fprintf(stderr, "\nUsage: %s %s%s%s\n", progname,
1428             "[-d] [[-cell | -c] cell [-k krb_realm]] ",
1429             "[[-p | -path] pathname]\n",
1430             "    [-zsubs] [-hosts] [-noauth] [-noprdb] [-force] [-setpag] \n"
1431                 "    [-linked] [-insecure_des]"
1432 #ifndef HAVE_NO_KRB5_524
1433                 " [-524]"
1434 #endif
1435                 "\n");
1436     fprintf(stderr, "    -d gives debugging information.\n");
1437     fprintf(stderr, "    krb_realm is the kerberos realm of a cell.\n");
1438     fprintf(stderr, "    pathname is the name of a directory to which ");
1439     fprintf(stderr, "you wish to authenticate.\n");
1440     fprintf(stderr, "    -zsubs gives zephyr subscription information.\n");
1441     fprintf(stderr, "    -hosts gives host address information.\n");
1442     fprintf(stderr, "    -noauth does not attempt to get tokens.\n");
1443     fprintf(stderr, "    -noprdb means don't try to determine AFS ID.\n");
1444     fprintf(stderr, "    -force means replace identical tickets. \n");
1445     fprintf(stderr, "    -linked means if AFS node is linked, try both. \n");
1446     fprintf(stderr, "    -setpag set the AFS process authentication group.\n");
1447 #ifndef HAVE_NO_KRB5_524
1448     fprintf(stderr, "    -524 means use the 524 converter instead of V5 directly\n");
1449 #endif
1450     fprintf(stderr, "    -insecure_des enables insecure single-DES for krb5.\n");
1451     fprintf(stderr, "    No commandline arguments means ");
1452     fprintf(stderr, "authenticate to the local cell.\n");
1453     fprintf(stderr, "\n");
1454     exit(AKLOG_USAGE);
1455 }
1456
1457 int
1458 main(int argc, char *argv[])
1459 {
1460     krb5_context context;
1461     int status = AKLOG_SUCCESS;
1462     int i;
1463     int somethingswrong = FALSE;
1464     int insecure_des = 0;
1465
1466     cellinfo_t cellinfo;
1467
1468     extern char *progname;      /* Name of this program */
1469
1470     int cmode = FALSE;          /* Cellname mode */
1471     int pmode = FALSE;          /* Path name mode */
1472
1473     char realm[REALM_SZ];       /* Kerberos realm of afs server */
1474     char cell[BUFSIZ];          /* Cell to which we are authenticating */
1475     char path[MAXPATHLEN + 1];          /* Path length for path mode */
1476
1477     linked_list cells;          /* List of cells to log to */
1478     linked_list paths;          /* List of paths to log to */
1479     ll_node *cur_node;
1480     char *linkedcell;
1481     const char *config = AFSDIR_CLIENT_ETC_DIRPATH;
1482
1483     memset(&cellinfo, 0, sizeof(cellinfo));
1484
1485     memset(realm, 0, sizeof(realm));
1486     memset(cell, 0, sizeof(cell));
1487     memset(path, 0, sizeof(path));
1488
1489     ll_init(&cells);
1490     ll_init(&paths);
1491
1492     ll_init(&zsublist);
1493     ll_init(&hostlist);
1494
1495     /* Store the program name here for error messages */
1496     if ((progname = strrchr(argv[0], DIR)))
1497         progname++;
1498     else
1499         progname = argv[0];
1500
1501 #if defined(KRB5_PROG_ETYPE_NOSUPP) && !(defined(HAVE_KRB5_ENCTYPE_ENABLE) || defined(HAVE_KRB5_ALLOW_WEAK_CRYPTO))
1502     {
1503         char *filepath = NULL, *newpath = NULL;
1504 #ifndef AFS_DARWIN_ENV
1505         char *defaultpath = "/etc/krb5.conf:/etc/krb5/krb5.conf";
1506 #else
1507         char *defaultpath = "~/Library/Preferences/edu.mit.Kerberos:/Library/Preferences/edu.mit.Kerberos";
1508 #endif
1509         filepath = getenv("KRB5_CONFIG");
1510
1511         /* only fiddle with KRB5_CONFIG if krb5-weak.conf actually exists */
1512         if (asprintf(&newpath, "%s/krb5-weak.conf",
1513                      AFSDIR_CLIENT_ETC_DIRPATH) < 0)
1514             newpath = NULL;
1515         if (newpath != NULL && access(newpath, R_OK) == 0) {
1516             free(newpath);
1517             newpath = NULL;
1518             if (asprintf(&newpath, "%s:%s/krb5-weak.conf",
1519                          filepath ? filepath : defaultpath,
1520                          AFSDIR_CLIENT_ETC_DIRPATH) < 0)
1521                 newpath = NULL;
1522             else
1523                 setenv("KRB5_CONFIG", newpath, 1);
1524         }
1525 #endif
1526         krb5_init_context(&context);
1527
1528 #if defined(KRB5_PROG_ETYPE_NOSUPP) && !(defined(HAVE_KRB5_ENCTYPE_ENABLE) || defined(HAVE_KRB5_ALLOW_WEAK_CRYPTO))
1529         if (newpath)
1530             free(newpath);
1531         if (filepath)
1532             setenv("KRB5_CONFIG", filepath, 1);
1533         else
1534             unsetenv("KRB5_CONFIG");
1535     }
1536 #endif
1537     initialize_KTC_error_table ();
1538     initialize_U_error_table();
1539     initialize_RXK_error_table();
1540     initialize_ACFG_error_table();
1541     initialize_PT_error_table();
1542     afs_set_com_err_hook(redirect_errors);
1543
1544     /* Initialize list of cells to which we have authenticated */
1545     ll_init(&authedcells);
1546
1547     /* Parse commandline arguments and make list of what to do. */
1548     for (i = 1; i < argc; i++) {
1549         if (strcmp(argv[i], "-d") == 0)
1550             dflag++;
1551         else if (strcmp(argv[i], "-noauth") == 0)
1552             noauth++;
1553         else if (strcmp(argv[i], "-zsubs") == 0)
1554             zsubs++;
1555         else if (strcmp(argv[i], "-hosts") == 0)
1556             hosts++;
1557         else if (strcmp(argv[i], "-noprdb") == 0)
1558             noprdb++;
1559         else if (strcmp(argv[i], "-linked") == 0)
1560                 linked++;
1561         else if (strcmp(argv[i], "-force") == 0)
1562             force++;
1563 #ifndef HAVE_NO_KRB5_524
1564         else if (strcmp(argv[i], "-524") == 0)
1565             do524++;
1566 #endif
1567     else if (strcmp(argv[i], "-setpag") == 0)
1568             afssetpag++;
1569         else if (((strcmp(argv[i], "-cell") == 0) ||
1570                   (strcmp(argv[i], "-c") == 0)) && !pmode)
1571             if (++i < argc) {
1572                 cmode++;
1573                 strlcpy(cell, argv[i], sizeof(cell));
1574             }
1575             else
1576                 usage();
1577         else if ((strcmp(argv[i], "-keytab") == 0))
1578             if (++i < argc) {
1579                 keytab = argv[i];
1580             }
1581             else
1582                 usage();
1583         else if ((strcmp(argv[i], "-principal") == 0))
1584             if (++i < argc) {
1585                 client = argv[i];
1586             }
1587             else
1588                 usage();
1589         else if (((strcmp(argv[i], "-path") == 0) ||
1590                   (strcmp(argv[i], "-p") == 0)) && !cmode)
1591             if (++i < argc) {
1592                 pmode++;
1593                 strlcpy(path, argv[i], sizeof(path));
1594             }
1595             else
1596                 usage();
1597         else if (strcmp(argv[i], "-config") == 0)
1598             if (++i < argc) {
1599                 config = argv[i];
1600             }
1601             else
1602                 usage();
1603         else if (strcmp(argv[i], "-insecure_des") == 0)
1604             insecure_des = 1;
1605         else if (argv[i][0] == '-')
1606             usage();
1607         else if (!pmode && !cmode) {
1608             if (strchr(argv[i], DIR) || (strcmp(argv[i], ".") == 0) ||
1609                 (strcmp(argv[i], "..") == 0)) {
1610                 pmode++;
1611                 strlcpy(path, argv[i], sizeof(path));
1612             }
1613             else {
1614                 cmode++;
1615                 strlcpy(cell, argv[i], sizeof(cell));
1616             }
1617         }
1618         else
1619             usage();
1620
1621     /*
1622      * Enable DES enctypes if requested.  This is not required when rxkad-k5
1623      * is used, but some sites may not have updated.
1624      * krb5_allow_weak_crypto is MIT Kerberos 1.8.  krb5_enctype_enable is
1625      * Heimdal.
1626      */
1627     if (insecure_des) {
1628 #if defined(HAVE_KRB5_ENCTYPE_ENABLE)
1629         i = krb5_enctype_valid(context, ETYPE_DES_CBC_CRC);
1630         if (i)
1631             krb5_enctype_enable(context, ETYPE_DES_CBC_CRC);
1632 #elif defined(HAVE_KRB5_ALLOW_WEAK_CRYPTO)
1633         krb5_allow_weak_crypto(context, 1);
1634 #else
1635         fprintf(stderr,
1636             "%s: -insecure_des is not supported by this libkrb5\n", progname);
1637         exit(AKLOG_MISC);
1638 #endif
1639     }
1640
1641         if (cmode) {
1642             if (((i + 1) < argc) && (strcmp(argv[i + 1], "-k") == 0)) {
1643                 i+=2;
1644                 if (i < argc)
1645                     strlcpy(realm, argv[i], sizeof(realm));
1646                 else
1647                     usage();
1648             }
1649             /* Add this cell to list of cells */
1650             strcpy(cellinfo.cell, cell);
1651             strcpy(cellinfo.realm, realm);
1652             if ((cur_node = ll_add_node(&cells, ll_tail))) {
1653                 char *new_cellinfo;
1654                 if ((new_cellinfo = copy_cellinfo(&cellinfo)))
1655                     ll_add_data(cur_node, new_cellinfo);
1656                 else {
1657                     fprintf(stderr,
1658                             "%s: failure copying cellinfo.\n", progname);
1659                     exit(AKLOG_MISC);
1660                 }
1661             }
1662             else {
1663                 fprintf(stderr, "%s: failure adding cell to cells list.\n",
1664                         progname);
1665                 exit(AKLOG_MISC);
1666             }
1667             memset(&cellinfo, 0, sizeof(cellinfo));
1668             cmode = FALSE;
1669             memset(cell, 0, sizeof(cell));
1670             memset(realm, 0, sizeof(realm));
1671         }
1672         else if (pmode) {
1673             /* Add this path to list of paths */
1674             if ((cur_node = ll_add_node(&paths, ll_tail))) {
1675                 char *new_path;
1676                 if ((new_path = strdup(path)))
1677                     ll_add_data(cur_node, new_path);
1678                 else {
1679                     fprintf(stderr, "%s: failure copying path name.\n",
1680                             progname);
1681                     exit(AKLOG_MISC);
1682                 }
1683             }
1684             else {
1685                 fprintf(stderr, "%s: failure adding path to paths list.\n",
1686                         progname);
1687                 exit(AKLOG_MISC);
1688             }
1689             pmode = FALSE;
1690             memset(path, 0, sizeof(path));
1691         }
1692     }
1693
1694     /* If nothing was given, log to the local cell. */
1695     if ((cells.nelements + paths.nelements) == 0) {
1696         struct passwd *pwd;
1697
1698         status = auth_to_cell(context, config, NULL, NULL, &linkedcell);
1699
1700         /* If this cell is linked to a DCE cell, and user requested -linked,
1701          * get tokens for both. This is very useful when the AFS cell is
1702          * linked to a DFS cell and this system does not also have DFS.
1703          */
1704
1705         if (!status && linked && linkedcell != NULL) {
1706             afs_dprintf("Linked cell: %s\n", linkedcell);
1707             status = auth_to_cell(context, config, linkedcell, NULL, NULL);
1708         }
1709         if (linkedcell) {
1710             free(linkedcell);
1711             linkedcell = NULL;
1712         }
1713
1714         /*
1715          * Local hack - if the person has a file in their home
1716          * directory called ".xlog", read that for a list of
1717          * extra cells to authenticate to
1718          */
1719
1720         if ((pwd = getpwuid(getuid())) != NULL) {
1721             struct stat sbuf;
1722             FILE *f;
1723             char fcell[100], xlog_path[512];
1724
1725             strlcpy(xlog_path, pwd->pw_dir, sizeof(xlog_path));
1726             strlcat(xlog_path, "/.xlog", sizeof(xlog_path));
1727
1728             if ((stat(xlog_path, &sbuf) == 0) &&
1729                 ((f = fopen(xlog_path, "r")) != NULL)) {
1730
1731                 afs_dprintf("Reading %s for cells to authenticate to.\n",
1732                         xlog_path);
1733
1734                 while (fgets(fcell, 100, f) != NULL) {
1735                     int auth_status;
1736
1737                     fcell[strlen(fcell) - 1] = '\0';
1738
1739                     afs_dprintf("Found cell %s in %s.\n", fcell, xlog_path);
1740
1741                     auth_status = auth_to_cell(context, config, fcell, NULL, NULL);
1742                     if (status == AKLOG_SUCCESS)
1743                         status = auth_status;
1744                     else
1745                         status = AKLOG_SOMETHINGSWRONG;
1746                 }
1747             }
1748         }
1749     }
1750     else {
1751         /* Log to all cells in the cells list first */
1752         for (cur_node = cells.first; cur_node; cur_node = cur_node->next) {
1753             memcpy((char *)&cellinfo, cur_node->data, sizeof(cellinfo));
1754             status = auth_to_cell(context, config, cellinfo.cell,
1755                                   cellinfo.realm, &linkedcell);
1756             if (status) {
1757                 somethingswrong++;
1758             } else {
1759                 if (linked && linkedcell != NULL) {
1760                     afs_dprintf("Linked cell: %s\n", linkedcell);
1761                     status = auth_to_cell(context, config, linkedcell,
1762                                           cellinfo.realm, NULL);
1763                     if (status)
1764                         somethingswrong++;
1765                 }
1766                 if (linkedcell != NULL) {
1767                     free(linkedcell);
1768                     linkedcell = NULL;
1769                 }
1770             }
1771         }
1772
1773         /* Then, log to all paths in the paths list */
1774         for (cur_node = paths.first; cur_node; cur_node = cur_node->next) {
1775             status = auth_to_path(context, config, cur_node->data);
1776             if (status)
1777                 somethingswrong++;
1778         }
1779
1780         /*
1781          * If only one thing was logged to, we'll return the status
1782          * of the single call.  Otherwise, we'll return a generic
1783          * something failed status.
1784          */
1785         if (somethingswrong && ((cells.nelements + paths.nelements) > 1))
1786             status = AKLOG_SOMETHINGSWRONG;
1787     }
1788
1789     /* If we are keeping track of zephyr subscriptions, print them. */
1790     if (zsubs)
1791         for (cur_node = zsublist.first; cur_node; cur_node = cur_node->next) {
1792             printf("zsub: %s\n", cur_node->data);
1793         }
1794
1795     /* If we are keeping track of host information, print it. */
1796     if (hosts)
1797         for (cur_node = hostlist.first; cur_node; cur_node = cur_node->next) {
1798             printf("host: %s\n", cur_node->data);
1799         }
1800
1801     exit(status);
1802 }
1803
1804 static int
1805 isdir(char *path, unsigned char *val)
1806 {
1807     struct stat statbuf;
1808
1809     if (lstat(path, &statbuf) < 0)
1810         return (-1);
1811     else {
1812         if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1813             *val = TRUE;
1814         else
1815             *val = FALSE;
1816         return (0);
1817     }
1818 }
1819
1820 static krb5_error_code
1821 get_credv5_akimpersonate(krb5_context context,
1822                          char* keytab,
1823                          krb5_principal service_principal,
1824                          krb5_principal client_principal,
1825                          time_t starttime,
1826                          time_t endtime,
1827                          int *allowed_enctypes,
1828                          int *paddress,
1829                          krb5_creds** out_creds /* out */ )
1830 {
1831 #if defined(USING_HEIMDAL) || (defined(HAVE_ENCODE_KRB5_ENC_TKT) && defined(HAVE_ENCODE_KRB5_TICKET) && defined(HAVE_KRB5_C_ENCRYPT))
1832     krb5_error_code code;
1833     krb5_keytab kt = 0;
1834     krb5_kt_cursor cursor[1];
1835     krb5_keytab_entry entry[1];
1836     krb5_ccache cc = 0;
1837     krb5_creds *creds = 0;
1838     krb5_enctype enctype;
1839     krb5_kvno kvno;
1840     krb5_keyblock session_key[1];
1841 #if USING_HEIMDAL
1842     Ticket ticket_reply[1];
1843     EncTicketPart enc_tkt_reply[1];
1844     krb5_address address[30];
1845     krb5_addresses faddr[1];
1846     unsigned int temp_vno[1];
1847     time_t temp_time[2];
1848 #else
1849     krb5_ticket ticket_reply[1];
1850     krb5_enc_tkt_part enc_tkt_reply[1];
1851     krb5_address address[30], *faddr[30];
1852     krb5_data * temp;
1853 #endif
1854     int i;
1855     static int any_enctype[] = {0};
1856     *out_creds = 0;
1857     if (!(creds = malloc(sizeof *creds))) {
1858         code = ENOMEM;
1859         goto cleanup;
1860     }
1861     if (!allowed_enctypes)
1862         allowed_enctypes = any_enctype;
1863
1864     cc = 0;
1865     enctype = 0; /* AKIMPERSONATE_IGNORE_ENCTYPE */
1866     kvno = 0; /* AKIMPERSONATE_IGNORE_VNO */
1867     memset((char*)creds, 0, sizeof *creds);
1868     memset((char*)entry, 0, sizeof *entry);
1869     memset((char*)session_key, 0, sizeof *session_key);
1870     memset((char*)ticket_reply, 0, sizeof *ticket_reply);
1871     memset((char*)enc_tkt_reply, 0, sizeof *enc_tkt_reply);
1872     code = krb5_kt_resolve(context, keytab, &kt);
1873     if (code) {
1874         if (keytab)
1875             afs_com_err(progname, code, "while resolving keytab %s", keytab);
1876         else
1877             afs_com_err(progname, code, "while resolving default keytab");
1878         goto cleanup;
1879     }
1880
1881     if (service_principal) {
1882         for (i = 0; (enctype = allowed_enctypes[i]) || !i; ++i) {
1883             code = krb5_kt_get_entry(context,
1884                                      kt,
1885                                      service_principal,
1886                                      kvno,
1887                                      enctype,
1888                                      entry);
1889             if (!code) {
1890                 if (allowed_enctypes[i])
1891                     deref_keyblock_enctype(session_key) = allowed_enctypes[i];
1892                 break;
1893             }
1894         }
1895         if (code) {
1896             afs_com_err(progname, code,"while scanning keytab entries");
1897             goto cleanup;
1898         }
1899     } else {
1900         krb5_keytab_entry new[1];
1901         int best = -1;
1902         memset(new, 0, sizeof *new);
1903         if ((code = krb5_kt_start_seq_get(context, kt, cursor))) {
1904             afs_com_err(progname, code, "while starting keytab scan");
1905             goto cleanup;
1906         }
1907         while (!(code = krb5_kt_next_entry(context, kt, new, cursor))) {
1908             for (i = 0;
1909                     allowed_enctypes[i] && allowed_enctypes[i]
1910                      != deref_entry_enctype(new); ++i)
1911                 ;
1912             if ((!i || allowed_enctypes[i]) &&
1913                 (best < 0 || best > i)) {
1914                 krb5_free_keytab_entry_contents(context, entry);
1915                 *entry = *new;
1916                 memset(new, 0, sizeof *new);
1917             } else krb5_free_keytab_entry_contents(context, new);
1918         }
1919         if ((i = krb5_kt_end_seq_get(context, kt, cursor))) {
1920             afs_com_err(progname, i, "while ending keytab scan");
1921             code = i;
1922             goto cleanup;
1923         }
1924         if (best < 0) {
1925             afs_com_err(progname, code, "while scanning keytab");
1926             goto cleanup;
1927         }
1928         deref_keyblock_enctype(session_key) = deref_entry_enctype(entry);
1929     }
1930
1931     /* Make Ticket */
1932
1933 #if USING_HEIMDAL
1934     if ((code = krb5_generate_random_keyblock(context,
1935                                               deref_keyblock_enctype(session_key), session_key))) {
1936         afs_com_err(progname, code, "while making session key");
1937         goto cleanup;
1938     }
1939     enc_tkt_reply->flags.initial = 1;
1940     enc_tkt_reply->transited.tr_type = DOMAIN_X500_COMPRESS;
1941     enc_tkt_reply->cname = client_principal->name;
1942     enc_tkt_reply->crealm = client_principal->realm;
1943     enc_tkt_reply->key = *session_key;
1944     {
1945         static krb5_data empty_string;
1946         enc_tkt_reply->transited.contents = empty_string;
1947     }
1948     enc_tkt_reply->authtime = starttime;
1949     enc_tkt_reply->starttime = temp_time;
1950     *enc_tkt_reply->starttime = starttime;
1951 #if 0
1952     enc_tkt_reply->renew_till = temp_time + 1;
1953     *enc_tkt_reply->renew_till = endtime;
1954 #endif
1955     enc_tkt_reply->endtime = endtime;
1956 #else
1957     if ((code = krb5_c_make_random_key(context,
1958                                        deref_keyblock_enctype(session_key), session_key))) {
1959         afs_com_err(progname, code, "while making session key");
1960         goto cleanup;
1961     }
1962     enc_tkt_reply->magic = KV5M_ENC_TKT_PART;
1963 #define DATACAST        (unsigned char *)
1964     enc_tkt_reply->flags |= TKT_FLG_INITIAL;
1965     enc_tkt_reply->transited.tr_type = KRB5_DOMAIN_X500_COMPRESS;
1966     enc_tkt_reply->session = session_key;
1967     enc_tkt_reply->client = client_principal;
1968     {
1969         static krb5_data empty_string;
1970         enc_tkt_reply->transited.tr_contents = empty_string;
1971     }
1972     enc_tkt_reply->times.authtime = starttime;
1973     enc_tkt_reply->times.starttime = starttime; /* krb524init needs this */
1974     enc_tkt_reply->times.endtime = endtime;
1975 #endif  /* USING_HEIMDAL */
1976     /* NB:  We will discard address for now--ignoring caddr field
1977        in any case.  MIT branch does what it always did. */
1978
1979     if (paddress && *paddress) {
1980         deref_enc_tkt_addrs(enc_tkt_reply) = faddr;
1981 #if USING_HEIMDAL
1982         faddr->len = 0;
1983         faddr->val = address;
1984 #endif
1985         for (i = 0; paddress[i]; ++i) {
1986 #if USING_HEIMDAL
1987             address[i].addr_type = KRB5_ADDRESS_INET;
1988             address[i].address.data = (void*)(paddress+i);
1989             address[i].address.length = sizeof(paddress[i]);
1990 #else
1991 #if !USING_SSL
1992             address[i].magic = KV5M_ADDRESS;
1993             address[i].addrtype = ADDRTYPE_INET;
1994 #else
1995             address[i].addrtype = AF_INET;
1996 #endif
1997             address[i].contents = (void*)(paddress+i);
1998             address[i].length = sizeof(int);
1999             faddr[i] = address+i;
2000 #endif
2001         }
2002 #if USING_HEIMDAL
2003         faddr->len = i;
2004 #else
2005         faddr[i] = 0;
2006 #endif
2007     }
2008
2009 #if USING_HEIMDAL
2010     ticket_reply->sname = service_principal->name;
2011     ticket_reply->realm = service_principal->realm;
2012
2013     { /* crypto block */
2014         krb5_crypto crypto = 0;
2015         unsigned char *buf = 0;
2016         size_t buf_size, buf_len;
2017         char *what;
2018
2019         ASN1_MALLOC_ENCODE(EncTicketPart, buf, buf_size,
2020                            enc_tkt_reply, &buf_len, code);
2021         if(code) {
2022             afs_com_err(progname, code, "while encoding ticket");
2023             goto cleanup;
2024         }
2025
2026         if(buf_len != buf_size) {
2027             afs_com_err(progname, code,
2028                     "%u != %u while encoding ticket (internal ASN.1 encoder error",
2029                     (unsigned int)buf_len, (unsigned int)buf_size);
2030             goto cleanup;
2031         }
2032         what = "krb5_crypto_init";
2033         code = krb5_crypto_init(context,
2034                                 &deref_entry_keyblock(entry),
2035                                 deref_entry_enctype(entry),
2036                                 &crypto);
2037         if(!code) {
2038             what = "krb5_encrypt";
2039             code = krb5_encrypt_EncryptedData(context, crypto, KRB5_KU_TICKET,
2040                                               buf, buf_len, entry->vno, &(ticket_reply->enc_part));
2041         }
2042         if (buf) free(buf);
2043         if (crypto) krb5_crypto_destroy(context, crypto);
2044         if(code) {
2045             afs_com_err(progname, code, "while %s", what);
2046             goto cleanup;
2047         }
2048     } /* crypto block */
2049     ticket_reply->enc_part.etype = deref_entry_enctype(entry);
2050     ticket_reply->enc_part.kvno = (void *)temp_vno;
2051     *ticket_reply->enc_part.kvno = entry->vno;
2052     ticket_reply->tkt_vno = 5;
2053 #else
2054     ticket_reply->server = service_principal;
2055     ticket_reply->enc_part2 = enc_tkt_reply;
2056     if ((code = krb5_encrypt_tkt_part(context, &deref_entry_keyblock(entry), ticket_reply))) {
2057         afs_com_err(progname, code, "while making ticket");
2058         goto cleanup;
2059     }
2060     ticket_reply->enc_part.kvno = entry->vno;
2061 #endif
2062
2063     /* Construct Creds */
2064
2065     if ((code = krb5_copy_principal(context, service_principal,
2066                                     &creds->server))) {
2067         afs_com_err(progname, code, "while copying service principal");
2068         goto cleanup;
2069     }
2070     if ((code = krb5_copy_principal(context, client_principal,
2071                                     &creds->client))) {
2072         afs_com_err(progname, code, "while copying client principal");
2073         goto cleanup;
2074     }
2075     if ((code = krb5_copy_keyblock_contents(context, session_key,
2076                                             &deref_session_key(creds)))) {
2077         afs_com_err(progname, code, "while copying session key");
2078         goto cleanup;
2079     }
2080
2081 #if USING_HEIMDAL
2082     creds->times.authtime = enc_tkt_reply->authtime;
2083     creds->times.starttime = *(enc_tkt_reply->starttime);
2084     creds->times.endtime = enc_tkt_reply->endtime;
2085     creds->times.renew_till = 0; /* *(enc_tkt_reply->renew_till) */
2086     creds->flags.b = enc_tkt_reply->flags;
2087 #else
2088     creds->times = enc_tkt_reply->times;
2089     creds->ticket_flags = enc_tkt_reply->flags;
2090 #endif
2091     if (!deref_enc_tkt_addrs(enc_tkt_reply))
2092         ;
2093     else if ((code = krb5_copy_addresses(context,
2094                                          deref_enc_tkt_addrs(enc_tkt_reply), &creds->addresses))) {
2095         afs_com_err(progname, code, "while copying addresses");
2096         goto cleanup;
2097     }
2098
2099 #if USING_HEIMDAL
2100     {
2101         size_t creds_tkt_len;
2102         ASN1_MALLOC_ENCODE(Ticket, creds->ticket.data, creds->ticket.length,
2103                            ticket_reply, &creds_tkt_len, code);
2104         if(code) {
2105             afs_com_err(progname, code, "while encoding ticket");
2106             goto cleanup;
2107         }
2108     }
2109 #else
2110     if ((code = encode_krb5_ticket(ticket_reply, &temp))) {
2111         afs_com_err(progname, code, "while encoding ticket");
2112         goto cleanup;
2113     }
2114     creds->ticket = *temp;
2115     free(temp);
2116 #endif
2117     /* return creds */
2118     *out_creds = creds;
2119     creds = 0;
2120 cleanup:
2121     if (deref_enc_data(&ticket_reply->enc_part))
2122         free(deref_enc_data(&ticket_reply->enc_part));
2123     krb5_free_keytab_entry_contents(context, entry);
2124     if (client_principal)
2125         krb5_free_principal(context, client_principal);
2126     if (service_principal)
2127         krb5_free_principal(context, service_principal);
2128     if (cc)
2129         krb5_cc_close(context, cc);
2130     if (kt)
2131         krb5_kt_close(context, kt);
2132     if (creds) krb5_free_creds(context, creds);
2133     krb5_free_keyblock_contents(context, session_key);
2134     return code;
2135 #else
2136     return -1;
2137 #endif
2138 }
2139
2140
2141 static krb5_error_code
2142 get_credv5(krb5_context context, char *name, char *inst, char *realm,
2143            krb5_creds **creds)
2144 {
2145     krb5_creds increds;
2146     krb5_error_code r;
2147     static krb5_principal client_principal = 0;
2148
2149     afs_dprintf("Getting tickets: %s%s%s@%s\n", name,
2150             (inst && inst[0]) ? "/" : "", inst ? inst : "", realm);
2151
2152     memset(&increds, 0, sizeof(increds));
2153 /* ANL - instance may be ptr to a null string. Pass null then */
2154     if ((r = krb5_build_principal(context, &increds.server,
2155                                   strlen(realm), realm,
2156                                   name,
2157                                   (inst && strlen(inst)) ? inst : NULL,
2158                                   NULL))) {
2159         return r;
2160     }
2161
2162
2163     if (!_krb425_ccache) {
2164         r = krb5_cc_default(context, &_krb425_ccache);
2165         if (r)
2166             return r;
2167     }
2168     if (!client_principal) {
2169         if (client) {
2170             r = krb5_parse_name(context, client,  &client_principal);
2171         } else {
2172             r = krb5_cc_get_principal(context, _krb425_ccache, &client_principal);
2173         }
2174         if (r)
2175             return r;
2176     }
2177
2178     increds.client = client_principal;
2179     increds.times.endtime = 0;
2180     if (do524)
2181         /* Ask for DES since that is what V4 understands */
2182         get_creds_enctype((&increds)) = ENCTYPE_DES_CBC_CRC;
2183
2184     if (keytab) {
2185         int allowed_enctypes[] = {
2186             ENCTYPE_DES_CBC_CRC, 0
2187         };
2188
2189         r = get_credv5_akimpersonate(context,
2190                                      keytab,
2191                                      increds.server,
2192                                      increds.client,
2193                                      300, ((~0U)>>1),
2194                                      allowed_enctypes,
2195                                      0 /* paddress */,
2196                                      creds /* out */);
2197     } else {
2198         r = krb5_get_credentials(context, 0, _krb425_ccache, &increds, creds);
2199     }
2200     return r;
2201 }
2202
2203
2204 static int
2205 get_user_realm(krb5_context context, char **realm)
2206 {
2207     static krb5_principal client_principal = 0;
2208     krb5_error_code r = 0;
2209
2210     *realm = NULL;
2211
2212     if (!_krb425_ccache) {
2213         r = krb5_cc_default(context, &_krb425_ccache);
2214         if (r)
2215             return r;
2216     }
2217     if (!client_principal) {
2218         if (client) {
2219             r = krb5_parse_name(context, client,  &client_principal);
2220         } else {
2221             r = krb5_cc_get_principal(context, _krb425_ccache, &client_principal);
2222         }
2223         if (r)
2224             return r;
2225     }
2226
2227     *realm = extract_realm(context, client_principal);
2228     if (*realm == NULL)
2229         return ENOMEM;
2230
2231     return(r);
2232 }