aklog: Return token when performing 524 conversion
[openafs.git] / src / aklog / aklog.c
1 /*
2  * $Id$
3  *
4  * Copyright 1990,1991 by the Massachusetts Institute of Technology
5  * For distribution and copying rights, see the file "mit-copyright.h"
6  */
7 /*
8  * Copyright (c) 2005, 2006
9  * The Linux Box Corporation
10  * ALL RIGHTS RESERVED
11  *
12  * Permission is granted to use, copy, create derivative works
13  * and redistribute this software and such derivative works
14  * for any purpose, so long as the name of the Linux Box
15  * Corporation is not used in any advertising or publicity
16  * pertaining to the use or distribution of this software
17  * without specific, written prior authorization.  If the
18  * above copyright notice or any other identification of the
19  * Linux Box Corporation is included in any copy of any
20  * portion of this software, then the disclaimer below must
21  * also be included.
22  *
23  * This software is provided as is, without representation
24  * from the Linux Box Corporation as to its fitness for any
25  * purpose, and without warranty by the Linux Box Corporation
26  * of any kind, either express or implied, including
27  * without limitation the implied warranties of
28  * merchantability and fitness for a particular purpose.  The
29  * regents of the Linux Box Corporation shall not be liable
30  * for any damages, including special, indirect, incidental, or
31  * consequential damages, with respect to any claim arising
32  * out of or in connection with the use of the software, even
33  * if it has been or is hereafter advised of the possibility of
34  * such damages.
35  */
36
37 #include <afsconfig.h>
38 #include <afs/param.h>
39 #include <afs/stds.h>
40
41 #include <roken.h>
42
43 #include <ctype.h>
44
45 #include <afs/ktc.h>
46 #include <afs/token.h>
47
48 #include <krb5.h>
49 #if defined(HAVE_ET_COM_ERR_H)
50 #include <et/com_err.h>
51 #else
52 #include <com_err.h>
53 #endif
54
55 #ifndef HAVE_KERBEROSV_HEIM_ERR_H
56 #include <afs/com_err.h>
57 #endif
58
59 #ifdef AFS_SUN5_ENV
60 #include <sys/ioccom.h>
61 #endif
62
63 #include <afs/auth.h>
64 #include <afs/cellconfig.h>
65 #include <afs/vice.h>
66 #include <afs/venus.h>
67 #include <afs/ptserver.h>
68 #include <afs/ptuser.h>
69 #include <afs/pterror.h>
70 #include <afs/dirpath.h>
71 #include <afs/afsutil.h>
72
73 #include "aklog.h"
74 #include "linked_list.h"
75
76 #ifdef HAVE_KRB5_CREDS_KEYBLOCK
77 #define USING_MIT 1
78 #endif
79 #ifdef HAVE_KRB5_CREDS_SESSION
80 #define USING_HEIMDAL 1
81 #endif
82
83 #define AFSKEY "afs"
84 #define AFSINST ""
85
86 #ifndef AFS_TRY_FULL_PRINC
87 #define AFS_TRY_FULL_PRINC 1
88 #endif /* AFS_TRY_FULL_PRINC */
89
90 #define AKLOG_TRYAGAIN -1
91 #define AKLOG_SUCCESS 0
92 #define AKLOG_USAGE 1
93 #define AKLOG_SOMETHINGSWRONG 2
94 #define AKLOG_AFS 3
95 #define AKLOG_KERBEROS 4
96 #define AKLOG_TOKEN 5
97 #define AKLOG_BADPATH 6
98 #define AKLOG_MISC 7
99
100 #ifndef TRUE
101 #define TRUE 1
102 #endif
103
104 #ifndef FALSE
105 #define FALSE 0
106 #endif
107
108 #ifndef MAXSYMLINKS
109 /* RedHat 4.x doesn't seem to define this */
110 #define MAXSYMLINKS     5
111 #endif
112
113 #define DIR '/'                 /* Character that divides directories */
114 #define DIRSTRING "/"           /* String form of above */
115 #define VOLMARKER ':'           /* Character separating cellname from mntpt */
116 #define VOLMARKERSTRING ":"     /* String form of above */
117
118 typedef struct {
119     char cell[BUFSIZ];
120     char realm[REALM_SZ];
121 } cellinfo_t;
122
123 static krb5_ccache  _krb425_ccache = NULL;
124
125 /*
126  * Why doesn't AFS provide these prototypes?
127  */
128
129 extern int pioctl(char *, afs_int32, struct ViceIoctl *, afs_int32);
130
131 /*
132  * Other prototypes
133  */
134
135 extern char *afs_realm_of_cell(krb5_context, struct afsconf_cell *, int);
136 static int isdir(char *, unsigned char *);
137 static krb5_error_code get_credv5(krb5_context context, char *, char *,
138                                   char *, krb5_creds **);
139 static int get_user_realm(krb5_context, char **);
140
141 #define TRYAGAIN(x) (x == AKLOG_TRYAGAIN || \
142                      x == KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN || \
143                      x == KRB5KRB_ERR_GENERIC)
144
145 #if defined(HAVE_KRB5_PRINC_SIZE) || defined(krb5_princ_size)
146
147 #define get_princ_str(c, p, n) krb5_princ_component(c, p, n)->data
148 #define get_princ_len(c, p, n) krb5_princ_component(c, p, n)->length
149 #define second_comp(c, p) (krb5_princ_size(c, p) > 1)
150 #define realm_data(c, p) krb5_princ_realm(c, p)->data
151 #define realm_len(c, p) krb5_princ_realm(c, p)->length
152
153 #elif defined(HAVE_KRB5_PRINCIPAL_GET_COMP_STRING)
154
155 #define get_princ_str(c, p, n) krb5_principal_get_comp_string(c, p, n)
156 #define get_princ_len(c, p, n) strlen(krb5_principal_get_comp_string(c, p, n))
157 #define second_comp(c, p) (krb5_principal_get_comp_string(c, p, 1) != NULL)
158 #define realm_data(c, p) krb5_realm_data(krb5_principal_get_realm(c, p))
159 #define realm_len(c, p) krb5_realm_length(krb5_principal_get_realm(c, p))
160
161 #else
162 #error "Must have either krb5_princ_size or krb5_principal_get_comp_string"
163 #endif
164
165 #if !defined(HAVE_KRB5_ENCRYPT_TKT_PART) && defined(HAVE_ENCODE_KRB5_ENC_TKT_PART) && defined(HAVE_KRB5_C_ENCRYPT)
166 extern krb5_error_code encode_krb5_enc_tkt_part (const krb5_enc_tkt_part *rep,
167                                                  krb5_data **code);
168
169 krb5_error_code
170 krb5_encrypt_tkt_part(krb5_context context,
171                       const krb5_keyblock *key,
172                       krb5_ticket *ticket)
173 {
174     krb5_data *data = 0;
175     int code;
176     size_t enclen;
177
178     if ((code = encode_krb5_enc_tkt_part(ticket->enc_part2, &data)))
179         goto Done;
180     if ((code = krb5_c_encrypt_length(context, key->enctype,
181                                       data->length, &enclen)))
182         goto Done;
183     ticket->enc_part.ciphertext.length = enclen;
184     if (!(ticket->enc_part.ciphertext.data = malloc(enclen))) {
185         code = ENOMEM;
186         goto Done;
187     }
188     if ((code = krb5_c_encrypt(context, key, KRB5_KEYUSAGE_KDC_REP_TICKET,
189                                0, data, &ticket->enc_part))) {
190         free(ticket->enc_part.ciphertext.data);
191         ticket->enc_part.ciphertext.data = 0;
192     }
193 Done:
194     if (data) {
195         if (data->data)
196             free(data->data);
197         free(data);
198     }
199     return code;
200 }
201 #endif
202
203 #if defined(HAVE_KRB5_CREDS_KEYBLOCK)
204
205 #define get_cred_keydata(c) c->keyblock.contents
206 #define get_cred_keylen(c) c->keyblock.length
207 #define get_creds_enctype(c) c->keyblock.enctype
208
209 #elif defined(HAVE_KRB5_CREDS_SESSION)
210
211 #define get_cred_keydata(c) c->session.keyvalue.data
212 #define get_cred_keylen(c) c->session.keyvalue.length
213 #define get_creds_enctype(c) c->session.keytype
214
215 #else
216 #error "Must have either keyblock or session member of krb5_creds"
217 #endif
218
219 #if !defined(HAVE_KRB5_524_CONVERT_CREDS) && defined(HAVE_KRB524_CONVERT_CREDS_KDC)
220 #define krb5_524_convert_creds krb524_convert_creds_kdc
221 #elif !defined(HAVE_KRB5_524_CONVERT_CREDS) && !defined(HAVE_KRB524_CONVERT_CREDS_KDC)
222 #define HAVE_NO_KRB5_524
223 #endif
224
225 #if USING_HEIMDAL
226 #define deref_keyblock_enctype(kb)              \
227     ((kb)->keytype)
228
229 #define deref_entry_keyblock(entry)             \
230     entry->keyblock
231
232 #define deref_session_key(creds)                \
233     creds->session
234
235 #define deref_enc_tkt_addrs(tkt)                \
236     tkt->caddr
237
238 #define deref_enc_length(enc)                   \
239     ((enc)->cipher.length)
240
241 #define deref_enc_data(enc)                     \
242     ((enc)->cipher.data)
243
244 #define krb5_free_keytab_entry_contents krb5_kt_free_entry
245
246 #else
247 #define deref_keyblock_enctype(kb)              \
248     ((kb)->enctype)
249
250 #define deref_entry_keyblock(entry)             \
251     entry->key
252
253 #define deref_session_key(creds)                \
254     creds->keyblock
255
256 #define deref_enc_tkt_addrs(tkt)                \
257     tkt->caddrs
258
259 #define deref_enc_length(enc)                   \
260     ((enc)->ciphertext.length)
261
262 #define deref_enc_data(enc)                     \
263     ((enc)->ciphertext.data)
264
265 #endif
266
267 #define deref_entry_enctype(entry)                      \
268     deref_keyblock_enctype(&deref_entry_keyblock(entry))
269
270 /*
271  * Provide a replacement for strerror if we don't have it
272  */
273
274 #ifndef HAVE_STRERROR
275 extern char *sys_errlist[];
276 #define strerror(x) sys_errlist[x]
277 #endif /* HAVE_STRERROR */
278
279 static char *progname = NULL;   /* Name of this program */
280 static int dflag = FALSE;       /* Give debugging information */
281 static int noauth = FALSE;      /* If true, don't try to get tokens */
282 static int zsubs = FALSE;       /* Are we keeping track of zephyr subs? */
283 static int hosts = FALSE;       /* Are we keeping track of hosts? */
284 static int noprdb = FALSE;      /* Skip resolving name to id? */
285 static int linked = FALSE;      /* try for both AFS nodes */
286 static int afssetpag = FALSE;   /* setpag for AFS */
287 static int force = FALSE;       /* Bash identical tokens? */
288 static int do524 = FALSE;       /* Should we do 524 instead of rxkad2b? */
289 static char *keytab = NULL;     /* keytab for akimpersonate */
290 static char *client = NULL;     /* client principal for akimpersonate */
291 static linked_list zsublist;    /* List of zephyr subscriptions */
292 static linked_list hostlist;    /* List of host addresses */
293 static linked_list authedcells; /* List of cells already logged to */
294
295 /* A com_error bodge. The idea here is that this routine lets us lookup
296  * things in the system com_err, if the AFS one just tells us the error
297  * is unknown
298  */
299
300 void
301 redirect_errors(const char *who, afs_int32 code, const char *fmt, va_list ap)
302 {
303     if (who) {
304         fputs(who, stderr);
305         fputs(": ", stderr);
306     }
307     if (code) {
308         const char *str = afs_error_message(code);
309         if (strncmp(str, "unknown", strlen("unknown")) == 0) {
310 #ifdef HAVE_KRB5_SVC_GET_MSG
311             krb5_svc_get_msg(code,&str);
312 #elif defined(HAVE_ERROR_MESSAGE)
313             str = error_message(code);
314 #else
315             ; /* IRIX apparently has neither: use the string we have */
316 #endif
317         }
318         fputs(str, stderr);
319         fputs(" ", stderr);
320 #ifdef HAVE_KRB5_SVC_GET_MSG
321         krb5_free_string(str);
322 #endif
323     }
324     if (fmt) {
325         vfprintf(stderr, fmt, ap);
326     }
327     putc('\n', stderr);
328     fflush(stderr);
329 }
330
331 static void
332 afs_dprintf(char *fmt, ...) {
333     va_list ap;
334
335     va_start(ap, fmt);
336     if (dflag)
337         vprintf(fmt, ap);
338     va_end(ap);
339 }
340
341 static char *
342 copy_cellinfo(cellinfo_t *cellinfo)
343 {
344     cellinfo_t *new_cellinfo;
345
346     if ((new_cellinfo = (cellinfo_t *)malloc(sizeof(cellinfo_t))))
347         memcpy(new_cellinfo, cellinfo, sizeof(cellinfo_t));
348
349     return ((char *)new_cellinfo);
350 }
351
352
353 static int
354 get_cellconfig(char *cell, struct afsconf_cell *cellconfig, char **local_cell)
355 {
356     int status = AKLOG_SUCCESS;
357     struct afsconf_dir *configdir;
358
359     memset(cellconfig, 0, sizeof(*cellconfig));
360
361     *local_cell = malloc(MAXCELLCHARS);
362     if (*local_cell == NULL) {
363         fprintf(stderr, "%s: can't allocate memory for local cell name\n",
364                 progname);
365         exit(AKLOG_AFS);
366     }
367
368     if (!(configdir = afsconf_Open(AFSDIR_CLIENT_ETC_DIRPATH))) {
369         fprintf(stderr,
370                 "%s: can't get afs configuration (afsconf_Open(%s))\n",
371                 progname, AFSDIR_CLIENT_ETC_DIRPATH);
372         exit(AKLOG_AFS);
373     }
374
375     if (afsconf_GetLocalCell(configdir, *local_cell, MAXCELLCHARS)) {
376         fprintf(stderr, "%s: can't determine local cell.\n", progname);
377         exit(AKLOG_AFS);
378     }
379
380     if ((cell == NULL) || (cell[0] == 0))
381         cell = *local_cell;
382
383     /* XXX - This function modifies 'cell' by passing it through lcstring */
384     if (afsconf_GetCellInfo(configdir, cell, NULL, cellconfig)) {
385         fprintf(stderr, "%s: Can't get information about cell %s.\n",
386                 progname, cell);
387         status = AKLOG_AFS;
388     }
389
390     afsconf_Close(configdir);
391
392     return(status);
393 }
394
395 static char *
396 extract_realm(krb5_context context, krb5_principal princ) {
397     int len;
398     char *realm;
399
400     len = realm_len(context, princ);
401     if (len > REALM_SZ-1)
402         len = REALM_SZ-1;
403
404     realm = malloc(sizeof(char) * (len+1));
405     if (realm == NULL)
406         return NULL;
407
408     strncpy(realm, realm_data(context, princ), len);
409     realm[len] = '\0';
410
411     return realm;
412 }
413
414 static int
415 get_realm_from_cred(krb5_context context, krb5_creds *v5cred, char **realm) {
416 #if !defined(HEIMDAL) && defined(HAVE_KRB5_DECODE_TICKET)
417     krb5_error_code code;
418     krb5_ticket *ticket;
419
420     *realm = NULL;
421
422     code = krb5_decode_ticket(&v5cred->ticket, &ticket);
423     if (code)
424         return code;
425
426     *realm = extract_realm(context, ticket->server);
427     if (*realm == NULL)
428         code = ENOMEM;
429
430     krb5_free_ticket(context, ticket);
431
432     return code;
433 #else
434     *realm = NULL;
435     return 0;
436 #endif
437 }
438
439 /*!
440  * Get a Kerberos service ticket to use as the base of an rxkad token for
441  * a given AFS cell.
442  *
443  * @param[in] context
444  *      An initialized Kerberos v5 context
445  * @param[in] realm
446  *      The realm to look in for the service principal. If NULL, then the
447  *      realm is determined from the cell name or the user's credentials
448  *      (see below for the heuristics used)
449  * @param[in] cell
450  *      The cell information for the cell to obtain a ticket for
451  * @param[out] v5cred
452  *      A Kerberos credentials structure containing the ticket acquired
453  *      for the cell. This is a dynamically allocated structure, which
454  *      should be freed by using the appropriate Kerberos API function.
455  * @param[out] realmUsed
456  *      The realm in which the cell's service principal was located. If
457  *      unset, then the principal was located in the same realm as the
458  *      current user. This is a malloc'd string which should be freed
459  *      by the caller.
460  *
461  * @returns
462  *      0 on success, an error value upon failure
463  *
464  * @notes
465  *      This code tries principals in the following, much debated,
466  *      order:
467  *
468  *      If the realm is specified on the command line we do
469  *         - afs/cell@COMMAND-LINE-REALM
470  *         - afs@COMMAND-LINE-REALM
471  *
472  *      Otherwise, we do
473  *         - afs/cell@REALM-FROM-USERS-PRINCIPAL
474  *         - afs/cell@krb5_get_host_realm(db-server)
475  *        Then, if krb5_get_host_realm(db-server) is non-empty
476  *           - afs@ krb5_get_host_realm(db-server)
477  *        Otherwise
478  *           - afs/cell@ upper-case-domain-of-db-server
479  *           - afs@ upper-case-domain-of-db-server
480  *
481  *      In all cases, the 'afs@' variant is only tried where the
482  *      cell and the realm match case-insensitively.
483  */
484
485 static int
486 rxkad_get_ticket(krb5_context context, char *realm,
487                  struct afsconf_cell *cell,
488                  krb5_creds **v5cred, char **realmUsed) {
489     char *realm_of_cell = NULL;
490     char *realm_of_user = NULL;
491     char *realm_from_princ = NULL;
492     int status;
493     int retry;
494
495     *realmUsed = NULL;
496
497     if ((status = get_user_realm(context, &realm_of_user))) {
498         fprintf(stderr, "%s: Couldn't determine realm of user:", progname);
499         afs_com_err(progname, status, " while getting realm");
500         status = AKLOG_KERBEROS;
501         goto out;
502     }
503
504     retry = 1;
505
506     while(retry) {
507         /* Cell on command line - use that one */
508         if (realm && realm[0]) {
509             realm_of_cell = realm;
510             status = AKLOG_TRYAGAIN;
511             afs_dprintf("We were told to authenticate to realm %s.\n", realm);
512         } else {
513             /* Initially, try using afs/cell@USERREALM */
514             afs_dprintf("Trying to authenticate to user's realm %s.\n",
515                     realm_of_user);
516             realm_of_cell = realm_of_user;
517             status = get_credv5(context, AFSKEY, cell->name, realm_of_cell,
518                                 v5cred);
519
520             /* If that failed, try to determine the realm from the name of
521              * one of the DB servers */
522             if (TRYAGAIN(status)) {
523                 realm_of_cell = afs_realm_of_cell(context, cell, FALSE);
524                 if (!realm_of_cell) {
525                     fprintf(stderr, "%s: Couldn't figure out realm for cell "
526                             "%s.\n", progname, cell->name);
527                     exit(AKLOG_MISC);
528                 }
529
530                 if (realm_of_cell[0])
531                     afs_dprintf("We've deduced that we need to authenticate"
532                             " to realm %s.\n", realm_of_cell);
533                     else
534                     afs_dprintf("We've deduced that we need to authenticate "
535                             "using referrals.\n");
536             }
537         }
538
539         if (TRYAGAIN(status)) {
540             /* If we've got the full-princ-first option, or we're in a
541              * different realm from the cell - use the cell name as the
542              * instance */
543             if (AFS_TRY_FULL_PRINC ||
544                 strcasecmp(cell->name, realm_of_cell)!=0) {
545                 status = get_credv5(context, AFSKEY, cell->name,
546                                     realm_of_cell, v5cred);
547
548                 /* If we failed & we've got an empty realm, then try
549                  * calling afs_realm_for_cell again. */
550                 if (TRYAGAIN(status) && !realm_of_cell[0]) {
551                     /* This time, get the realm by taking the domain
552                      * component of the db server and make it upper case */
553                     realm_of_cell = afs_realm_of_cell(context, cell, TRUE);
554                     if (!realm_of_cell) {
555                         fprintf(stderr,
556                                 "%s: Couldn't figure out realm for cell %s.\n",
557                                 progname, cell->name);
558                         exit(AKLOG_MISC);
559                     }
560                     afs_dprintf("We've deduced that we need to authenticate"
561                             " to realm %s.\n", realm_of_cell);
562                 }
563                 status = get_credv5(context, AFSKEY, cell->name,
564                                     realm_of_cell, v5cred);
565             }
566
567             /* If the realm and cell name match, then try without an
568              * instance, but only if realm is non-empty */
569
570             if (TRYAGAIN(status) &&
571                 strcasecmp(cell->name, realm_of_cell) == 0) {
572                 status = get_credv5(context, AFSKEY, NULL, realm_of_cell,
573                                     v5cred);
574                 if (!AFS_TRY_FULL_PRINC && TRYAGAIN(status)) {
575                     status = get_credv5(context, AFSKEY, cell->name,
576                                         realm_of_cell, v5cred);
577                 }
578             }
579         }
580
581         /* Try to find a service principal for this cell.
582          * Some broken MIT libraries return KRB5KRB_AP_ERR_MSG_TYPE upon
583          * the first attempt, so we try twice to be sure */
584
585         if (status == KRB5KRB_AP_ERR_MSG_TYPE && retry == 1)
586             retry++;
587         else
588             retry = 0;
589     }
590
591     if (status != 0) {
592         afs_dprintf("Kerberos error code returned by get_cred : %d\n", status);
593         fprintf(stderr, "%s: Couldn't get %s AFS tickets:\n",
594                 progname, cell->name);
595         afs_com_err(progname, status, "while getting AFS tickets");
596 #ifdef KRB5_CC_NOT_KTYPE
597         if (status == KRB5_CC_NOT_KTYPE) {
598             fprintf(stderr, "allow_weak_enctypes may be required in the Kerberos configuration\n");
599         }
600 #endif
601         status = AKLOG_KERBEROS;
602         goto out;
603     }
604
605     /* If we've got a valid ticket, and we still don't know the realm name
606      * try to figure it out from the contents of the ticket
607      */
608     if (strcmp(realm_of_cell, "") == 0) {
609         status = get_realm_from_cred(context, *v5cred, &realm_from_princ);
610         if (status) {
611             fprintf(stderr,
612                     "%s: Couldn't decode ticket to determine realm for "
613                     "cell %s.\n",
614                     progname, cell->name);
615         } else {
616             if (realm_from_princ)
617                 realm_of_cell = realm_from_princ;
618         }
619     }
620
621     /* If the realm of the user and cell differ, then we need to use the
622      * realm when we later construct the user's principal */
623     if (realm_of_cell != NULL && strcmp(realm_of_user, realm_of_cell) != 0)
624         *realmUsed = realm_of_user;
625
626 out:
627     if (realm_from_princ)
628         free(realm_from_princ);
629     if (realm_of_user && *realmUsed == NULL)
630         free(realm_of_user);
631
632     return status;
633 }
634
635 /*!
636  * Build an rxkad token from a Kerberos ticket, using only local tools (that
637  * is, without using a 524 conversion service)
638  *
639  * @param[in] context
640  *      An initialised Kerberos 5 context
641  * @param[in] v5cred
642  *      A Kerberos credentials structure containing a suitable service ticket
643  * @param[out] tokenPtr
644  *      An AFS token structure containing an rxkad token. This is a malloc'd
645  *      structure which should be freed by the caller.
646  * @param[out[ userPtr
647  *      A string containing the principal of the user to whom the token was
648  *      issued. This is a malloc'd block which should be freed by the caller.
649  *
650  * @returns
651  *      0 on success, an error value upon failure
652  */
653 static int
654 rxkad_build_native_token(krb5_context context, krb5_creds *v5cred,
655                          struct ktc_tokenUnion **tokenPtr, char **userPtr) {
656     char username[BUFSIZ];
657     struct ktc_tokenUnion *token;
658     struct token_rxkad *rxkadToken;
659 #ifdef HAVE_NO_KRB5_524
660     char *p;
661     int len;
662 #else
663     int status;
664     char k4name[ANAME_SZ];
665     char k4inst[INST_SZ];
666     char k4realm[REALM_SZ];
667 #endif
668
669     afs_dprintf("Using Kerberos V5 ticket natively\n");
670
671     *tokenPtr = NULL;
672     *userPtr = NULL;
673
674 #ifndef HAVE_NO_KRB5_524
675     status = krb5_524_conv_principal (context, v5cred->client,
676                                       (char *) &k4name,
677                                       (char *) &k4inst,
678                                       (char *) &k4realm);
679     if (status) {
680         afs_com_err(progname, status, "while converting principal "
681                     "to Kerberos V4 format");
682         return AKLOG_KERBEROS;
683     }
684     strcpy (username, k4name);
685     if (k4inst[0]) {
686         strcat (username, ".");
687         strcat (username, k4inst);
688     }
689 #else
690     len = min(get_princ_len(context, v5cred->client, 0),
691               second_comp(context, v5cred->client) ?
692               MAXKTCNAMELEN - 2 : MAXKTCNAMELEN - 1);
693     strncpy(username, get_princ_str(context, v5cred->client, 0), len);
694     username[len] = '\0';
695
696     if (second_comp(context, v5cred->client)) {
697         strcat(username, ".");
698         p = username + strlen(username);
699         len = min(get_princ_len(context, v5cred->client, 1),
700                   MAXKTCNAMELEN - strlen(username) - 1);
701         strncpy(p, get_princ_str(context, v5cred->client, 1), len);
702         p[len] = '\0';
703     }
704 #endif
705
706     token = malloc(sizeof(struct ktc_tokenUnion));
707     if (token == NULL)
708         return ENOMEM;
709
710     memset(token, 0, sizeof(struct ktc_tokenUnion));
711
712     token->at_type = AFSTOKEN_UNION_KAD;
713     rxkadToken = &token->ktc_tokenUnion_u.at_kad;
714
715     rxkadToken->rk_kvno = RXKAD_TKT_TYPE_KERBEROS_V5;
716     rxkadToken->rk_begintime = v5cred->times.starttime;;
717     rxkadToken->rk_endtime = v5cred->times.endtime;
718     memcpy(&rxkadToken->rk_key, get_cred_keydata(v5cred),
719            get_cred_keylen(v5cred));
720     rxkadToken->rk_ticket.rk_ticket_len = v5cred->ticket.length;
721     rxkadToken->rk_ticket.rk_ticket_val = malloc(v5cred->ticket.length);
722     if (rxkadToken->rk_ticket.rk_ticket_val == NULL) {
723         free(token);
724         return ENOMEM;
725     }
726     memcpy(rxkadToken->rk_ticket.rk_ticket_val, v5cred->ticket.data,
727            rxkadToken->rk_ticket.rk_ticket_len);
728
729     *tokenPtr = token;
730     *userPtr = strdup(username);
731
732     return 0;
733 }
734
735 /*!
736  * Convert a Keberos ticket to an rxkad token, using information obtained
737  * from an external Kerberos 5->4 conversion service. If the code is built
738  * with HAVE_NO_KRB5_524 then this is a stub function which will always
739  * return success without a token.
740  *
741  * @param[in] context
742  *      An initialised Kerberos 5 context
743  * @param[in] v5cred
744  *      A Kerberos credentials structure containing a suitable service ticket
745  * @param[out] tokenPtr
746  *      An AFS token structure containing an rxkad token. This is a malloc'd
747  *      structure which should be freed by the caller.
748  * @param[out[ userPtr
749  *      A string containing the principal of the user to whom the token was
750  *      issued. This is a malloc'd block which should be freed by the caller.
751  *
752  * @returns
753  *      0 on success, an error value upon failure
754  */
755
756 #ifdef HAVE_NO_KRB5_524
757 static int
758 rxkad_get_converted_token(krb5_context context, krb5_creds *v5cred,
759                           struct ktc_tokenUnion **tokenPtr, char **userPtr) {
760     *tokenPtr = NULL;
761     *userPtr = NULL;
762
763     return 0;
764 }
765 #else
766 static int
767 rxkad_get_converted_token(krb5_context context, krb5_creds *v5cred,
768                           struct ktc_tokenUnion **tokenPtr, char **userPtr) {
769     CREDENTIALS cred;
770     char username[BUFSIZ];
771     struct ktc_tokenUnion *token;
772     struct token_rxkad *rxkadToken;
773     int status;
774
775     *tokenPtr = NULL;
776     *userPtr = NULL;
777
778     afs_dprintf("Using Kerberos 524 translator service\n");
779
780     status = krb5_524_convert_creds(context, v5cred, &cred);
781
782     if (status) {
783         afs_com_err(progname, status, "while converting tickets "
784                 "to Kerberos V4 format");
785         return AKLOG_KERBEROS;
786     }
787
788     strcpy (username, cred.pname);
789     if (cred.pinst[0]) {
790         strcat (username, ".");
791         strcat (username, cred.pinst);
792     }
793
794     token = malloc(sizeof(struct ktc_tokenUnion));
795     if (token == NULL)
796         return ENOMEM;
797     memset(token, 0, sizeof(struct ktc_tokenUnion));
798
799     token->at_type = AFSTOKEN_UNION_KAD;
800
801     rxkadToken = &token->ktc_tokenUnion_u.at_kad;
802     rxkadToken->rk_kvno = cred.kvno;
803     rxkadToken->rk_begintime = cred.issue_date;
804     /*
805      * It seems silly to go through a bunch of contortions to
806      * extract the expiration time, when the v5 credentials already
807      * has the exact time!  Let's use that instead.
808      *
809      * Note that this isn't a security hole, as the expiration time
810      * is also contained in the encrypted token
811      */
812     rxkadToken->rk_endtime = v5cred->times.endtime;
813     memcpy(&rxkadToken->rk_key, cred.session, 8);
814     rxkadToken->rk_ticket.rk_ticket_len = cred.ticket_st.length;
815     rxkadToken->rk_ticket.rk_ticket_val = malloc(cred.ticket_st.length);
816     if (rxkadToken->rk_ticket.rk_ticket_val == NULL) {
817         free(token);
818         return ENOMEM;
819     }
820     memcpy(rxkadToken->rk_ticket.rk_ticket_val, cred.ticket_st.dat,
821            rxkadToken->rk_ticket.rk_ticket_len);
822
823     *tokenPtr = token;
824     *userPtr = strdup(username);
825
826     *tokenPtr = token;
827     *userPtr = strdup(username);
828
829     return 0;
830 }
831 #endif
832
833 /*!
834  * This function gets an rxkad token for a given cell.
835  *
836  * @param[in] context
837  *      An initialized Kerberos v5 context
838  * @param[in] cell
839  *      The cell information for the cell which we're obtaining a token for
840  * @param[in] realm
841  *      The realm to look in for the service principal. If NULL, then the
842  *      realm is determined from the cell name or the user's credentials
843  *      (see the documentation for rxkad_get_ticket)
844  * @param[out] token
845  *      The rxkad token produced. This is a malloc'd structure which should
846  *      be freed by the caller.
847  * @parma[out] authuser
848  *      A string containing the principal of the user to whom the token was
849  *      issued. This is a malloc'd block which should be freed by the caller.
850  * @param[out] foreign
851  *      Whether the user is considered as 'foreign' to the realm of the cell.
852  *
853  * @returns
854  *      0 on success, an error value upon failuer
855  */
856 static int
857 rxkad_get_token(krb5_context context, struct afsconf_cell *cell, char *realm,
858                 struct ktc_tokenUnion **token, char **authuser, int *foreign) {
859     krb5_creds *v5cred;
860     char *realmUsed = NULL;
861     char *username = NULL;
862     int status;
863     size_t len;
864
865     *token = NULL;
866     *authuser = NULL;
867     *foreign = 0;
868
869     status = rxkad_get_ticket(context, realm, cell, &v5cred, &realmUsed);
870     if (status)
871         return status;
872
873     if (do524)
874         status = rxkad_get_converted_token(context, v5cred, token, &username);
875     else
876         status = rxkad_build_native_token(context, v5cred, token, &username);
877
878     if (status)
879         goto out;
880
881     /* We now have the username, plus the realm name, so stitch them together
882      * to give us the name that the ptserver will know the user by */
883     if (realmUsed == NULL) {
884         *authuser = username;
885         username = NULL;
886         *foreign = 0;
887     } else {
888         len = strlen(username)+strlen(realmUsed)+2;
889         *authuser = malloc(len);
890         snprintf(*authuser, len, "%s@%s", username, realmUsed);
891         *foreign = 1;
892     }
893
894 out:
895     if (realmUsed)
896         free(realmUsed);
897     if (username)
898         free(username);
899
900     return status;
901 }
902
903 /* 
904  * Log to a cell.  If the cell has already been logged to, return without
905  * doing anything.  Otherwise, log to it and mark that it has been logged
906  * to.
907  */
908 static int
909 auth_to_cell(krb5_context context, char *cell, char *realm, char **linkedcell)
910 {
911     int status = AKLOG_SUCCESS;
912     int isForeign = 0;
913     char *username = NULL;      /* To hold client username structure */
914     afs_int32 viceId;           /* AFS uid of user */
915
916     char *local_cell = NULL;
917     struct ktc_tokenUnion *rxkadToken = NULL;
918     struct ktc_setTokenData *token;
919     struct ktc_setTokenData *btoken = NULL;
920     struct afsconf_cell cellconf;
921
922     /* NULL or empty cell returns information on local cell */
923     if ((status = get_cellconfig(cell, &cellconf, &local_cell)))
924         return(status);
925
926     if (linkedcell != NULL) {
927         if (cellconf.linkedCell != NULL) {
928             *linkedcell = strdup(cellconf.linkedCell);
929             if (*linkedcell == NULL) {
930                 status = ENOMEM;
931                 goto out;
932             }
933         } else {
934             *linkedcell = NULL;
935         }
936     }
937
938     if (ll_string(&authedcells, ll_s_check, cellconf.name)) {
939         afs_dprintf("Already authenticated to %s (or tried to)\n", cellconf.name);
940         status = AKLOG_SUCCESS;
941         goto out;
942     }
943
944     /*
945      * Record that we have attempted to log to this cell.  We do this
946      * before we try rather than after so that we will not try
947      * and fail repeatedly for one cell.
948      */
949     ll_string(&authedcells, ll_s_add, cellconf.name);
950
951     /*
952      * Record this cell in the list of zephyr subscriptions.  We may
953      * want zephyr subscriptions even if authentication fails.
954      * If this is done after we attempt to get tokens, aklog -zsubs
955      * can return something different depending on whether or not we
956      * are in -noauth mode.
957      */
958     if (ll_string(&zsublist, ll_s_add, cellconf.name) == LL_FAILURE) {
959         fprintf(stderr,
960                 "%s: failure adding cell %s to zephyr subscriptions list.\n",
961                 progname, cellconf.name);
962         exit(AKLOG_MISC);
963     }
964     if (ll_string(&zsublist, ll_s_add, local_cell) == LL_FAILURE) {
965         fprintf(stderr,
966                 "%s: failure adding cell %s to zephyr subscriptions list.\n",
967                 progname, local_cell);
968         exit(AKLOG_MISC);
969     }
970
971     if (!noauth) {
972         afs_dprintf("Authenticating to cell %s (server %s).\n", cellconf.name,
973                 cellconf.hostName[0]);
974
975         token = token_buildTokenJar(cellconf.name);
976         if (token == NULL) {
977             status = ENOMEM;
978             goto out;
979         }
980
981         status = rxkad_get_token(context, &cellconf, realm, &rxkadToken,
982                                  &username, &isForeign);
983         if (status)
984             goto out;
985
986         /* We need to keep the token structure around so that we can stick
987          * the viceId into it (once we know it) */
988         status = token_addToken(token, rxkadToken);
989         if (status) {
990             afs_dprintf("Add Token failed with %d", status);
991             goto out;
992         }
993
994         if (!force &&
995             ktc_GetTokenEx(cellconf.name, &btoken) == 0 &&
996             token_SetsEquivalent(token, btoken)) {
997
998             token_FreeSet(&btoken);
999             afs_dprintf("Identical tokens already exist; skipping.\n");
1000             status = AKLOG_SUCCESS;
1001             goto out;
1002         }
1003
1004         if (btoken)
1005             token_FreeSet(&btoken);
1006
1007 #ifdef FORCE_NOPRDB
1008         noprdb = 1;
1009 #endif
1010
1011         if (noprdb) {
1012             afs_dprintf("Not resolving name %s to id (-noprdb set)\n", username);
1013         }
1014         else {
1015             afs_dprintf("About to resolve name %s to id in cell %s.\n", username,
1016                     cellconf.name);
1017
1018             if (!pr_Initialize (0,  AFSDIR_CLIENT_ETC_DIRPATH, cellconf.name))
1019                 status = pr_SNameToId (username, &viceId);
1020
1021             if (status)
1022                 afs_dprintf("Error %d\n", status);
1023             else
1024                 afs_dprintf("Id %d\n", (int) viceId);
1025
1026
1027             /*
1028              * This code is taken from cklog -- it lets people
1029              * automatically register with the ptserver in foreign cells
1030              */
1031
1032 #ifdef ALLOW_REGISTER
1033             if ((status == 0) && (viceId == ANONYMOUSID) && isForeign) {
1034                 afs_dprintf("doing first-time registration of %s at %s\n",
1035                         username, cellconf.name);
1036                 viceId = 0;
1037
1038                 status = ktc_SetTokenEx(token);
1039                 if (status) {
1040                     afs_com_err(progname, status,
1041                                 "while obtaining tokens for cell %s",
1042                                 cellconf.name);
1043                     status = AKLOG_TOKEN;
1044                 }
1045
1046                 /*
1047                  * In case you're wondering, we don't need to change the
1048                  * filename here because we're still connecting to the
1049                  * same cell -- we're just using a different authenticat ion
1050                  * level
1051                  */
1052
1053                 if ((status = pr_Initialize(1L,  AFSDIR_CLIENT_ETC_DIRPATH,
1054                                             cellconf.name))) {
1055                     printf("Error %d\n", status);
1056                 }
1057
1058                 if ((status = pr_CreateUser(username, &viceId))) {
1059                     fprintf(stderr, "%s: %s so unable to create remote PTS "
1060                             "user %s in cell %s (status: %d).\n", progname,
1061                             afs_error_message(status), username, cellconf.name,
1062                             status);
1063                     viceId = ANONYMOUSID;
1064                 } else {
1065                     printf("created cross-cell entry for %s (Id %d) at %s\n",
1066                            username, viceId, cellconf.name);
1067                 }
1068             }
1069 #endif /* ALLOW_REGISTER */
1070
1071             if ((status == 0) && (viceId != ANONYMOUSID)) {
1072                 rxkadToken->ktc_tokenUnion_u.at_kad.rk_viceid = viceId;
1073                 token_replaceToken(token, rxkadToken);
1074             }
1075         }
1076
1077         afs_dprintf("Setting tokens. %s @ %s \n", username, cellconf.name);
1078
1079 #ifndef AFS_AIX51_ENV
1080         /* on AIX 4.1.4 with AFS 3.4a+ if a write is not done before
1081          * this routine, it will not add the token. It is not clear what
1082          * is going on here! So we will do the following operation.
1083          * On AIX 5, it causes the parent program to die, so we won't.
1084          */
1085         write(2,"",0); /* dummy write */
1086 #endif
1087         token_setPag(token, afssetpag);
1088         status = ktc_SetTokenEx(token);
1089         if (status) {
1090             afs_com_err(progname, status, "while setting tokens for cell %s",
1091                         cellconf.name);
1092             status = AKLOG_TOKEN;
1093         }
1094     }
1095     else
1096         afs_dprintf("Noauth mode; not authenticating.\n");
1097
1098 out:
1099     if (rxkadToken) {
1100         free(rxkadToken->ktc_tokenUnion_u.at_kad.rk_ticket.rk_ticket_val);
1101         free(rxkadToken);
1102     }
1103
1104     if (local_cell)
1105         free(local_cell);
1106     if (username)
1107         free(username);
1108
1109     return(status);
1110 }
1111
1112 static int
1113 get_afs_mountpoint(char *file, char *mountpoint, int size)
1114 {
1115 #ifdef AFS_SUN_ENV
1116     char V ='V'; /* AFS has problem on Sun with pioctl */
1117 #endif
1118     char our_file[MAXPATHLEN + 1];
1119     char *parent_dir;
1120     char *last_component;
1121     struct ViceIoctl vio;
1122     char cellname[BUFSIZ];
1123
1124     memset(our_file, 0, sizeof(our_file));
1125     strcpy(our_file, file);
1126
1127     if ((last_component = strrchr(our_file, DIR))) {
1128         *last_component++ = 0;
1129         parent_dir = our_file;
1130     }
1131     else {
1132         last_component = our_file;
1133         parent_dir = ".";
1134     }
1135
1136     memset(cellname, 0, sizeof(cellname));
1137
1138     vio.in = last_component;
1139     vio.in_size = strlen(last_component)+1;
1140     vio.out_size = size;
1141     vio.out = mountpoint;
1142
1143     if (!pioctl(parent_dir, VIOC_AFS_STAT_MT_PT, &vio, 0)) {
1144         if (strchr(mountpoint, VOLMARKER) == NULL) {
1145             vio.in = file;
1146             vio.in_size = strlen(file) + 1;
1147             vio.out_size = sizeof(cellname);
1148             vio.out = cellname;
1149
1150             if (!pioctl(file, VIOC_FILE_CELL_NAME, &vio, 1)) {
1151                 strcat(cellname, VOLMARKERSTRING);
1152                 strcat(cellname, mountpoint + 1);
1153                 memset(mountpoint + 1, 0, size - 1);
1154                 strcpy(mountpoint + 1, cellname);
1155             }
1156         }
1157         return(TRUE);
1158     }
1159     else
1160         return(FALSE);
1161 }
1162
1163 /*
1164  * This routine each time it is called returns the next directory
1165  * down a pathname.  It resolves all symbolic links.  The first time
1166  * it is called, it should be called with the name of the path
1167  * to be descended.  After that, it should be called with the arguemnt
1168  * NULL.
1169  */
1170 static char *
1171 next_path(char *origpath)
1172 {
1173     static char path[MAXPATHLEN + 1];
1174     static char pathtocheck[MAXPATHLEN + 1];
1175
1176     int link = FALSE;           /* Is this a symbolic link? */
1177     char linkbuf[MAXPATHLEN + 1];
1178     char tmpbuf[MAXPATHLEN + 1];
1179
1180     static char *last_comp;     /* last component of directory name */
1181     static char *elast_comp;    /* End of last component */
1182     char *t;
1183     int len;
1184
1185     static int symlinkcount = 0; /* We can't exceed MAXSYMLINKS */
1186
1187     /* If we are given something for origpath, we are initializing only. */
1188     if (origpath) {
1189         memset(path, 0, sizeof(path));
1190         memset(pathtocheck, 0, sizeof(pathtocheck));
1191         strcpy(path, origpath);
1192         last_comp = path;
1193         symlinkcount = 0;
1194         return(NULL);
1195     }
1196
1197     /* We were not given origpath; find then next path to check */
1198
1199     /* If we've gotten all the way through already, return NULL */
1200     if (last_comp == NULL)
1201         return(NULL);
1202
1203     do {
1204         while (*last_comp == DIR)
1205             strncat(pathtocheck, last_comp++, 1);
1206         len = (elast_comp = strchr(last_comp, DIR))
1207             ? elast_comp - last_comp : strlen(last_comp);
1208         strncat(pathtocheck, last_comp, len);
1209         memset(linkbuf, 0, sizeof(linkbuf));
1210         if ((link = (readlink(pathtocheck, linkbuf,
1211                                     sizeof(linkbuf)) > 0))) {
1212             if (++symlinkcount > MAXSYMLINKS) {
1213                 fprintf(stderr, "%s: %s\n", progname, strerror(ELOOP));
1214                 exit(AKLOG_BADPATH);
1215             }
1216             memset(tmpbuf, 0, sizeof(tmpbuf));
1217             if (elast_comp)
1218                 strcpy(tmpbuf, elast_comp);
1219             if (linkbuf[0] == DIR) {
1220                 /*
1221                  * If this is a symbolic link to an absolute path,
1222                  * replace what we have by the absolute path.
1223                  */
1224                 memset(path, 0, strlen(path));
1225                 memcpy(path, linkbuf, sizeof(linkbuf));
1226                 strcat(path, tmpbuf);
1227                 last_comp = path;
1228                 elast_comp = NULL;
1229                 memset(pathtocheck, 0, sizeof(pathtocheck));
1230             }
1231             else {
1232                 /*
1233                  * If this is a symbolic link to a relative path,
1234                  * replace only the last component with the link name.
1235                  */
1236                 strncpy(last_comp, linkbuf, strlen(linkbuf) + 1);
1237                 strcat(path, tmpbuf);
1238                 elast_comp = NULL;
1239                 if ((t = strrchr(pathtocheck, DIR))) {
1240                     t++;
1241                     memset(t, 0, strlen(t));
1242                 }
1243                 else
1244                     memset(pathtocheck, 0, sizeof(pathtocheck));
1245             }
1246         }
1247         else
1248             last_comp = elast_comp;
1249     }
1250     while(link);
1251
1252     return(pathtocheck);
1253 }
1254
1255 static void
1256 add_hosts(char *file)
1257 {
1258 #ifdef AFS_SUN_ENV
1259     char V = 'V'; /* AFS has problem on SunOS */
1260 #endif
1261     struct ViceIoctl vio;
1262     char outbuf[BUFSIZ];
1263     long *phosts;
1264     int i;
1265     struct hostent *hp;
1266     struct in_addr in;
1267
1268     memset(outbuf, 0, sizeof(outbuf));
1269
1270     vio.out_size = sizeof(outbuf);
1271     vio.in_size = 0;
1272     vio.out = outbuf;
1273
1274     afs_dprintf("Getting list of hosts for %s\n", file);
1275
1276     /* Don't worry about errors. */
1277     if (!pioctl(file, VIOCWHEREIS, &vio, 1)) {
1278         phosts = (long *) outbuf;
1279
1280         /*
1281          * Lists hosts that we care about.  If ALLHOSTS is defined,
1282          * then all hosts that you ever may possible go through are
1283          * included in this list.  If not, then only hosts that are
1284          * the only ones appear.  That is, if a volume you must use
1285          * is replaced on only one server, that server is included.
1286          * If it is replicated on many servers, then none are included.
1287          * This is not perfect, but the result is that people don't
1288          * get subscribed to a lot of instances of FILSRV that they
1289          * probably won't need which reduces the instances of
1290          * people getting messages that don't apply to them.
1291          */
1292 #ifndef ALLHOSTS
1293         if (phosts[1] != '\0')
1294             return;
1295 #endif
1296         for (i = 0; phosts[i]; i++) {
1297             if (hosts) {
1298                 in.s_addr = phosts[i];
1299                 afs_dprintf("Got host %s\n", inet_ntoa(in));
1300                 ll_string(&hostlist, ll_s_add, (char *)inet_ntoa(in));
1301             }
1302             if (zsubs && (hp=gethostbyaddr((char *) &phosts[i],sizeof(long),AF_INET))) {
1303                 afs_dprintf("Got host %s\n", hp->h_name);
1304                 ll_string(&zsublist, ll_s_add, hp->h_name);
1305             }
1306         }
1307     }
1308 }
1309
1310 /*
1311  * This routine descends through a path to a directory, logging to
1312  * every cell it encounters along the way.
1313  */
1314 static int
1315 auth_to_path(krb5_context context, char *path)
1316 {
1317     int status = AKLOG_SUCCESS;
1318     int auth_status = AKLOG_SUCCESS;
1319
1320     char *nextpath;
1321     char pathtocheck[MAXPATHLEN + 1];
1322     char mountpoint[MAXPATHLEN + 1];
1323
1324     char *cell;
1325     char *endofcell;
1326
1327     u_char isdirectory;
1328
1329     /* Initialize */
1330     if (path[0] == DIR)
1331         strcpy(pathtocheck, path);
1332     else {
1333         if (getcwd(pathtocheck, sizeof(pathtocheck)) == NULL) {
1334             fprintf(stderr, "Unable to find current working directory:\n");
1335             fprintf(stderr, "%s\n", pathtocheck);
1336             fprintf(stderr, "Try an absolute pathname.\n");
1337             exit(AKLOG_BADPATH);
1338         }
1339         else {
1340             strcat(pathtocheck, DIRSTRING);
1341             strcat(pathtocheck, path);
1342         }
1343     }
1344     next_path(pathtocheck);
1345
1346     /* Go on to the next level down the path */
1347     while ((nextpath = next_path(NULL))) {
1348         strcpy(pathtocheck, nextpath);
1349         afs_dprintf("Checking directory %s\n", pathtocheck);
1350         /*
1351          * If this is an afs mountpoint, determine what cell from
1352          * the mountpoint name which is of the form
1353          * #cellname:volumename or %cellname:volumename.
1354          */
1355         if (get_afs_mountpoint(pathtocheck, mountpoint, sizeof(mountpoint))) {
1356             /* skip over the '#' or '%' */
1357             cell = mountpoint + 1;
1358             /* Add this (cell:volumename) to the list of zsubs */
1359             if (zsubs)
1360                 ll_string(&zsublist, ll_s_add, cell);
1361             if (zsubs || hosts)
1362                 add_hosts(pathtocheck);
1363             if ((endofcell = strchr(mountpoint, VOLMARKER))) {
1364                 *endofcell = '\0';
1365                 if ((auth_status = auth_to_cell(context, cell, NULL, NULL))) {
1366                     if (status == AKLOG_SUCCESS)
1367                         status = auth_status;
1368                     else if (status != auth_status)
1369                         status = AKLOG_SOMETHINGSWRONG;
1370                 }
1371             }
1372         }
1373         else {
1374             if (isdir(pathtocheck, &isdirectory) < 0) {
1375                 /*
1376                  * If we've logged and still can't stat, there's
1377                  * a problem...
1378                  */
1379                 fprintf(stderr, "%s: stat(%s): %s\n", progname,
1380                         pathtocheck, strerror(errno));
1381                 return(AKLOG_BADPATH);
1382             }
1383             else if (! isdirectory) {
1384                 /* Allow only directories */
1385                 fprintf(stderr, "%s: %s: %s\n", progname, pathtocheck,
1386                         strerror(ENOTDIR));
1387                 return(AKLOG_BADPATH);
1388             }
1389         }
1390     }
1391
1392
1393     return(status);
1394 }
1395
1396
1397 /* Print usage message and exit */
1398 static void
1399 usage(void)
1400 {
1401     fprintf(stderr, "\nUsage: %s %s%s%s\n", progname,
1402             "[-d] [[-cell | -c] cell [-k krb_realm]] ",
1403             "[[-p | -path] pathname]\n",
1404             "    [-zsubs] [-hosts] [-noauth] [-noprdb] [-force] [-setpag] \n"
1405                 "    [-linked]"
1406 #ifndef HAVE_NO_KRB5_524
1407                 " [-524]"
1408 #endif
1409                 "\n");
1410     fprintf(stderr, "    -d gives debugging information.\n");
1411     fprintf(stderr, "    krb_realm is the kerberos realm of a cell.\n");
1412     fprintf(stderr, "    pathname is the name of a directory to which ");
1413     fprintf(stderr, "you wish to authenticate.\n");
1414     fprintf(stderr, "    -zsubs gives zephyr subscription information.\n");
1415     fprintf(stderr, "    -hosts gives host address information.\n");
1416     fprintf(stderr, "    -noauth does not attempt to get tokens.\n");
1417     fprintf(stderr, "    -noprdb means don't try to determine AFS ID.\n");
1418     fprintf(stderr, "    -force means replace identical tickets. \n");
1419     fprintf(stderr, "    -linked means if AFS node is linked, try both. \n");
1420     fprintf(stderr, "    -setpag set the AFS process authentication group.\n");
1421 #ifndef HAVE_NO_KRB5_524
1422     fprintf(stderr, "    -524 means use the 524 converter instead of V5 directly\n");
1423 #endif
1424     fprintf(stderr, "    No commandline arguments means ");
1425     fprintf(stderr, "authenticate to the local cell.\n");
1426     fprintf(stderr, "\n");
1427     exit(AKLOG_USAGE);
1428 }
1429
1430 int
1431 main(int argc, char *argv[])
1432 {
1433     krb5_context context;
1434     int status = AKLOG_SUCCESS;
1435     int i;
1436     int somethingswrong = FALSE;
1437
1438     cellinfo_t cellinfo;
1439
1440     extern char *progname;      /* Name of this program */
1441
1442     int cmode = FALSE;          /* Cellname mode */
1443     int pmode = FALSE;          /* Path name mode */
1444
1445     char realm[REALM_SZ];       /* Kerberos realm of afs server */
1446     char cell[BUFSIZ];          /* Cell to which we are authenticating */
1447     char path[MAXPATHLEN + 1];          /* Path length for path mode */
1448
1449     linked_list cells;          /* List of cells to log to */
1450     linked_list paths;          /* List of paths to log to */
1451     ll_node *cur_node;
1452     char *linkedcell;
1453
1454     memset(&cellinfo, 0, sizeof(cellinfo));
1455
1456     memset(realm, 0, sizeof(realm));
1457     memset(cell, 0, sizeof(cell));
1458     memset(path, 0, sizeof(path));
1459
1460     ll_init(&cells);
1461     ll_init(&paths);
1462
1463     ll_init(&zsublist);
1464     ll_init(&hostlist);
1465
1466     /* Store the program name here for error messages */
1467     if ((progname = strrchr(argv[0], DIR)))
1468         progname++;
1469     else
1470         progname = argv[0];
1471
1472     krb5_init_context(&context);
1473     initialize_KTC_error_table ();
1474     initialize_U_error_table();
1475     initialize_RXK_error_table();
1476     initialize_ACFG_error_table();
1477     initialize_PT_error_table();
1478     afs_set_com_err_hook(redirect_errors);
1479
1480     /*
1481      * Enable DES enctypes, which are currently still required for AFS.
1482      * krb5_allow_weak_crypto is MIT Kerberos 1.8.  krb5_enctype_enable is
1483      * Heimdal.
1484      */
1485 #if defined(HAVE_KRB5_ENCTYPE_ENABLE)
1486     i = krb5_enctype_valid(context, ETYPE_DES_CBC_CRC);
1487     if (i)
1488         krb5_enctype_enable(context, ETYPE_DES_CBC_CRC);
1489 #elif defined(HAVE_KRB5_ALLOW_WEAK_CRYPTO)
1490     krb5_allow_weak_crypto(context, 1);
1491 #endif
1492
1493     /* Initialize list of cells to which we have authenticated */
1494     ll_init(&authedcells);
1495
1496     /* Parse commandline arguments and make list of what to do. */
1497     for (i = 1; i < argc; i++) {
1498         if (strcmp(argv[i], "-d") == 0)
1499             dflag++;
1500         else if (strcmp(argv[i], "-noauth") == 0)
1501             noauth++;
1502         else if (strcmp(argv[i], "-zsubs") == 0)
1503             zsubs++;
1504         else if (strcmp(argv[i], "-hosts") == 0)
1505             hosts++;
1506         else if (strcmp(argv[i], "-noprdb") == 0)
1507             noprdb++;
1508         else if (strcmp(argv[i], "-linked") == 0)
1509                 linked++;
1510         else if (strcmp(argv[i], "-force") == 0)
1511             force++;
1512 #ifndef HAVE_NO_KRB5_524
1513         else if (strcmp(argv[i], "-524") == 0)
1514             do524++;
1515 #endif
1516     else if (strcmp(argv[i], "-setpag") == 0)
1517             afssetpag++;
1518         else if (((strcmp(argv[i], "-cell") == 0) ||
1519                   (strcmp(argv[i], "-c") == 0)) && !pmode)
1520             if (++i < argc) {
1521                 cmode++;
1522                 strcpy(cell, argv[i]);
1523             }
1524             else
1525                 usage();
1526         else if ((strcmp(argv[i], "-keytab") == 0))
1527             if (++i < argc) {
1528                 keytab = argv[i];
1529             }
1530             else
1531                 usage();
1532         else if ((strcmp(argv[i], "-principal") == 0))
1533             if (++i < argc) {
1534                 client = argv[i];
1535             }
1536             else
1537                 usage();
1538         else if (((strcmp(argv[i], "-path") == 0) ||
1539                   (strcmp(argv[i], "-p") == 0)) && !cmode)
1540             if (++i < argc) {
1541                 pmode++;
1542                 strcpy(path, argv[i]);
1543             }
1544             else
1545                 usage();
1546
1547         else if (argv[i][0] == '-')
1548             usage();
1549         else if (!pmode && !cmode) {
1550             if (strchr(argv[i], DIR) || (strcmp(argv[i], ".") == 0) ||
1551                 (strcmp(argv[i], "..") == 0)) {
1552                 pmode++;
1553                 strcpy(path, argv[i]);
1554             }
1555             else {
1556                 cmode++;
1557                 strcpy(cell, argv[i]);
1558             }
1559         }
1560         else
1561             usage();
1562
1563         if (cmode) {
1564             if (((i + 1) < argc) && (strcmp(argv[i + 1], "-k") == 0)) {
1565                 i+=2;
1566                 if (i < argc)
1567                     strcpy(realm, argv[i]);
1568                 else
1569                     usage();
1570             }
1571             /* Add this cell to list of cells */
1572             strcpy(cellinfo.cell, cell);
1573             strcpy(cellinfo.realm, realm);
1574             if ((cur_node = ll_add_node(&cells, ll_tail))) {
1575                 char *new_cellinfo;
1576                 if ((new_cellinfo = copy_cellinfo(&cellinfo)))
1577                     ll_add_data(cur_node, new_cellinfo);
1578                 else {
1579                     fprintf(stderr,
1580                             "%s: failure copying cellinfo.\n", progname);
1581                     exit(AKLOG_MISC);
1582                 }
1583             }
1584             else {
1585                 fprintf(stderr, "%s: failure adding cell to cells list.\n",
1586                         progname);
1587                 exit(AKLOG_MISC);
1588             }
1589             memset(&cellinfo, 0, sizeof(cellinfo));
1590             cmode = FALSE;
1591             memset(cell, 0, sizeof(cell));
1592             memset(realm, 0, sizeof(realm));
1593         }
1594         else if (pmode) {
1595             /* Add this path to list of paths */
1596             if ((cur_node = ll_add_node(&paths, ll_tail))) {
1597                 char *new_path;
1598                 if ((new_path = strdup(path)))
1599                     ll_add_data(cur_node, new_path);
1600                 else {
1601                     fprintf(stderr, "%s: failure copying path name.\n",
1602                             progname);
1603                     exit(AKLOG_MISC);
1604                 }
1605             }
1606             else {
1607                 fprintf(stderr, "%s: failure adding path to paths list.\n",
1608                         progname);
1609                 exit(AKLOG_MISC);
1610             }
1611             pmode = FALSE;
1612             memset(path, 0, sizeof(path));
1613         }
1614     }
1615
1616     /* If nothing was given, log to the local cell. */
1617     if ((cells.nelements + paths.nelements) == 0) {
1618         struct passwd *pwd;
1619
1620         status = auth_to_cell(context, NULL, NULL, &linkedcell);
1621
1622         /* If this cell is linked to a DCE cell, and user requested -linked,
1623          * get tokens for both. This is very useful when the AFS cell is
1624          * linked to a DFS cell and this system does not also have DFS.
1625          */
1626
1627         if (!status && linked && linkedcell != NULL) {
1628             afs_dprintf("Linked cell: %s\n", linkedcell);
1629             status = auth_to_cell(context, linkedcell, NULL, NULL);
1630         }
1631         if (linkedcell) {
1632             free(linkedcell);
1633             linkedcell = NULL;
1634         }
1635
1636         /*
1637          * Local hack - if the person has a file in their home
1638          * directory called ".xlog", read that for a list of
1639          * extra cells to authenticate to
1640          */
1641
1642         if ((pwd = getpwuid(getuid())) != NULL) {
1643             struct stat sbuf;
1644             FILE *f;
1645             char fcell[100], xlog_path[512];
1646
1647             strcpy(xlog_path, pwd->pw_dir);
1648             strcat(xlog_path, "/.xlog");
1649
1650             if ((stat(xlog_path, &sbuf) == 0) &&
1651                 ((f = fopen(xlog_path, "r")) != NULL)) {
1652
1653                 afs_dprintf("Reading %s for cells to authenticate to.\n",
1654                         xlog_path);
1655
1656                 while (fgets(fcell, 100, f) != NULL) {
1657                     int auth_status;
1658
1659                     fcell[strlen(fcell) - 1] = '\0';
1660
1661                     afs_dprintf("Found cell %s in %s.\n", fcell, xlog_path);
1662
1663                     auth_status = auth_to_cell(context, fcell, NULL, NULL);
1664                     if (status == AKLOG_SUCCESS)
1665                         status = auth_status;
1666                     else
1667                         status = AKLOG_SOMETHINGSWRONG;
1668                 }
1669             }
1670         }
1671     }
1672     else {
1673         /* Log to all cells in the cells list first */
1674         for (cur_node = cells.first; cur_node; cur_node = cur_node->next) {
1675             memcpy((char *)&cellinfo, cur_node->data, sizeof(cellinfo));
1676             if ((status = auth_to_cell(context, cellinfo.cell, cellinfo.realm,
1677                                        &linkedcell)))
1678                 somethingswrong++;
1679             else {
1680                 if (linked && linkedcell != NULL) {
1681                     afs_dprintf("Linked cell: %s\n", linkedcell);
1682                     if ((status = auth_to_cell(context, linkedcell,
1683                                                cellinfo.realm, NULL)))
1684                         somethingswrong++;
1685                 }
1686                 if (linkedcell != NULL) {
1687                     free(linkedcell);
1688                     linkedcell = NULL;
1689                 }
1690             }
1691         }
1692
1693         /* Then, log to all paths in the paths list */
1694         for (cur_node = paths.first; cur_node; cur_node = cur_node->next) {
1695             if ((status = auth_to_path(context, cur_node->data)))
1696                 somethingswrong++;
1697         }
1698
1699         /*
1700          * If only one thing was logged to, we'll return the status
1701          * of the single call.  Otherwise, we'll return a generic
1702          * something failed status.
1703          */
1704         if (somethingswrong && ((cells.nelements + paths.nelements) > 1))
1705             status = AKLOG_SOMETHINGSWRONG;
1706     }
1707
1708     /* If we are keeping track of zephyr subscriptions, print them. */
1709     if (zsubs)
1710         for (cur_node = zsublist.first; cur_node; cur_node = cur_node->next) {
1711             printf("zsub: %s\n", cur_node->data);
1712         }
1713
1714     /* If we are keeping track of host information, print it. */
1715     if (hosts)
1716         for (cur_node = hostlist.first; cur_node; cur_node = cur_node->next) {
1717             printf("host: %s\n", cur_node->data);
1718         }
1719
1720     exit(status);
1721 }
1722
1723 static int
1724 isdir(char *path, unsigned char *val)
1725 {
1726     struct stat statbuf;
1727
1728     if (lstat(path, &statbuf) < 0)
1729         return (-1);
1730     else {
1731         if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1732             *val = TRUE;
1733         else
1734             *val = FALSE;
1735         return (0);
1736     }
1737 }
1738
1739 static krb5_error_code
1740 get_credv5_akimpersonate(krb5_context context,
1741                          char* keytab,
1742                          krb5_principal service_principal,
1743                          krb5_principal client_principal,
1744                          time_t starttime,
1745                          time_t endtime,
1746                          int *allowed_enctypes,
1747                          int *paddress,
1748                          krb5_creds** out_creds /* out */ )
1749 {
1750 #if defined(USING_HEIMDAL) || (defined(HAVE_ENCODE_KRB5_ENC_TKT) && defined(HAVE_ENCODE_KRB5_TICKET) && defined(HAVE_KRB5_C_ENCRYPT))
1751     krb5_error_code code;
1752     krb5_keytab kt = 0;
1753     krb5_kt_cursor cursor[1];
1754     krb5_keytab_entry entry[1];
1755     krb5_ccache cc = 0;
1756     krb5_creds *creds = 0;
1757     krb5_enctype enctype;
1758     krb5_kvno kvno;
1759     krb5_keyblock session_key[1];
1760 #if USING_HEIMDAL
1761     Ticket ticket_reply[1];
1762     EncTicketPart enc_tkt_reply[1];
1763     krb5_address address[30];
1764     krb5_addresses faddr[1];
1765     int temp_vno[1];
1766     time_t temp_time[2];
1767 #else
1768     krb5_ticket ticket_reply[1];
1769     krb5_enc_tkt_part enc_tkt_reply[1];
1770     krb5_address address[30], *faddr[30];
1771     krb5_data * temp;
1772 #endif
1773     int i;
1774     static int any_enctype[] = {0};
1775     *out_creds = 0;
1776     if (!(creds = malloc(sizeof *creds))) {
1777         code = ENOMEM;
1778         goto cleanup;
1779     }
1780     if (!allowed_enctypes)
1781         allowed_enctypes = any_enctype;
1782
1783     cc = 0;
1784     enctype = 0; /* AKIMPERSONATE_IGNORE_ENCTYPE */
1785     kvno = 0; /* AKIMPERSONATE_IGNORE_VNO */
1786     memset((char*)creds, 0, sizeof *creds);
1787     memset((char*)entry, 0, sizeof *entry);
1788     memset((char*)session_key, 0, sizeof *session_key);
1789     memset((char*)ticket_reply, 0, sizeof *ticket_reply);
1790     memset((char*)enc_tkt_reply, 0, sizeof *enc_tkt_reply);
1791     code = krb5_kt_resolve(context, keytab, &kt);
1792     if (code) {
1793         if (keytab)
1794             afs_com_err(progname, code, "while resolving keytab %s", keytab);
1795         else
1796             afs_com_err(progname, code, "while resolving default keytab");
1797         goto cleanup;
1798     }
1799
1800     if (service_principal) {
1801         for (i = 0; (enctype = allowed_enctypes[i]) || !i; ++i) {
1802             code = krb5_kt_get_entry(context,
1803                                      kt,
1804                                      service_principal,
1805                                      kvno,
1806                                      enctype,
1807                                      entry);
1808             if (!code) {
1809                 if (allowed_enctypes[i])
1810                     deref_keyblock_enctype(session_key) = allowed_enctypes[i];
1811                 break;
1812             }
1813         }
1814         if (code) {
1815             afs_com_err(progname, code,"while scanning keytab entries");
1816             goto cleanup;
1817         }
1818     } else {
1819         krb5_keytab_entry new[1];
1820         int best = -1;
1821         memset(new, 0, sizeof *new);
1822         if ((code == krb5_kt_start_seq_get(context, kt, cursor))) {
1823             afs_com_err(progname, code, "while starting keytab scan");
1824             goto cleanup;
1825         }
1826         while (!(code = krb5_kt_next_entry(context, kt, new, cursor))) {
1827             for (i = 0;
1828                     allowed_enctypes[i] && allowed_enctypes[i]
1829                      != deref_entry_enctype(new); ++i)
1830                 ;
1831             if ((!i || allowed_enctypes[i]) &&
1832                 (best < 0 || best > i)) {
1833                 krb5_free_keytab_entry_contents(context, entry);
1834                 *entry = *new;
1835                 memset(new, 0, sizeof *new);
1836             } else krb5_free_keytab_entry_contents(context, new);
1837         }
1838         if ((i = krb5_kt_end_seq_get(context, kt, cursor))) {
1839             afs_com_err(progname, i, "while ending keytab scan");
1840             code = i;
1841             goto cleanup;
1842         }
1843         if (best < 0) {
1844             afs_com_err(progname, code, "while scanning keytab");
1845             goto cleanup;
1846         }
1847         deref_keyblock_enctype(session_key) = deref_entry_enctype(entry);
1848     }
1849
1850     /* Make Ticket */
1851
1852 #if USING_HEIMDAL
1853     if ((code = krb5_generate_random_keyblock(context,
1854                                               deref_keyblock_enctype(session_key), session_key))) {
1855         afs_com_err(progname, code, "while making session key");
1856         goto cleanup;
1857     }
1858     enc_tkt_reply->flags.initial = 1;
1859     enc_tkt_reply->transited.tr_type = DOMAIN_X500_COMPRESS;
1860     enc_tkt_reply->cname = client_principal->name;
1861     enc_tkt_reply->crealm = client_principal->realm;
1862     enc_tkt_reply->key = *session_key;
1863     {
1864         static krb5_data empty_string;
1865         enc_tkt_reply->transited.contents = empty_string;
1866     }
1867     enc_tkt_reply->authtime = starttime;
1868     enc_tkt_reply->starttime = temp_time;
1869     *enc_tkt_reply->starttime = starttime;
1870 #if 0
1871     enc_tkt_reply->renew_till = temp_time + 1;
1872     *enc_tkt_reply->renew_till = endtime;
1873 #endif
1874     enc_tkt_reply->endtime = endtime;
1875 #else
1876     if ((code = krb5_c_make_random_key(context,
1877                                        deref_keyblock_enctype(session_key), session_key))) {
1878         afs_com_err(progname, code, "while making session key");
1879         goto cleanup;
1880     }
1881     enc_tkt_reply->magic = KV5M_ENC_TKT_PART;
1882 #define DATACAST        (unsigned char *)
1883     enc_tkt_reply->flags |= TKT_FLG_INITIAL;
1884     enc_tkt_reply->transited.tr_type = KRB5_DOMAIN_X500_COMPRESS;
1885     enc_tkt_reply->session = session_key;
1886     enc_tkt_reply->client = client_principal;
1887     {
1888         static krb5_data empty_string;
1889         enc_tkt_reply->transited.tr_contents = empty_string;
1890     }
1891     enc_tkt_reply->times.authtime = starttime;
1892     enc_tkt_reply->times.starttime = starttime; /* krb524init needs this */
1893     enc_tkt_reply->times.endtime = endtime;
1894 #endif  /* USING_HEIMDAL */
1895     /* NB:  We will discard address for now--ignoring caddr field
1896        in any case.  MIT branch does what it always did. */
1897
1898     if (paddress && *paddress) {
1899         deref_enc_tkt_addrs(enc_tkt_reply) = faddr;
1900 #if USING_HEIMDAL
1901         faddr->len = 0;
1902         faddr->val = address;
1903 #endif
1904         for (i = 0; paddress[i]; ++i) {
1905 #if USING_HEIMDAL
1906             address[i].addr_type = KRB5_ADDRESS_INET;
1907             address[i].address.data = (void*)(paddress+i);
1908             address[i].address.length = sizeof(paddress[i]);
1909 #else
1910 #if !USING_SSL
1911             address[i].magic = KV5M_ADDRESS;
1912             address[i].addrtype = ADDRTYPE_INET;
1913 #else
1914             address[i].addrtype = AF_INET;
1915 #endif
1916             address[i].contents = (void*)(paddress+i);
1917             address[i].length = sizeof(int);
1918             faddr[i] = address+i;
1919 #endif
1920         }
1921 #if USING_HEIMDAL
1922         faddr->len = i;
1923 #else
1924         faddr[i] = 0;
1925 #endif
1926     }
1927
1928 #if USING_HEIMDAL
1929     ticket_reply->sname = service_principal->name;
1930     ticket_reply->realm = service_principal->realm;
1931
1932     { /* crypto block */
1933         krb5_crypto crypto = 0;
1934         unsigned char *buf = 0;
1935         size_t buf_size, buf_len;
1936         char *what;
1937
1938         ASN1_MALLOC_ENCODE(EncTicketPart, buf, buf_size,
1939                            enc_tkt_reply, &buf_len, code);
1940         if(code) {
1941             afs_com_err(progname, code, "while encoding ticket");
1942             goto cleanup;
1943         }
1944
1945         if(buf_len != buf_size) {
1946             afs_com_err(progname, code,
1947                     "%u != %u while encoding ticket (internal ASN.1 encoder error",
1948                     (unsigned int)buf_len, (unsigned int)buf_size);
1949             goto cleanup;
1950         }
1951         what = "krb5_crypto_init";
1952         code = krb5_crypto_init(context,
1953                                 &deref_entry_keyblock(entry),
1954                                 deref_entry_enctype(entry),
1955                                 &crypto);
1956         if(!code) {
1957             what = "krb5_encrypt";
1958             code = krb5_encrypt_EncryptedData(context, crypto, KRB5_KU_TICKET,
1959                                               buf, buf_len, entry->vno, &(ticket_reply->enc_part));
1960         }
1961         if (buf) free(buf);
1962         if (crypto) krb5_crypto_destroy(context, crypto);
1963         if(code) {
1964             afs_com_err(progname, code, "while %s", what);
1965             goto cleanup;
1966         }
1967     } /* crypto block */
1968     ticket_reply->enc_part.etype = deref_entry_enctype(entry);
1969     ticket_reply->enc_part.kvno = temp_vno;
1970     *ticket_reply->enc_part.kvno = entry->vno;
1971     ticket_reply->tkt_vno = 5;
1972 #else
1973     ticket_reply->server = service_principal;
1974     ticket_reply->enc_part2 = enc_tkt_reply;
1975     if ((code = krb5_encrypt_tkt_part(context, &deref_entry_keyblock(entry), ticket_reply))) {
1976         afs_com_err(progname, code, "while making ticket");
1977         goto cleanup;
1978     }
1979     ticket_reply->enc_part.kvno = entry->vno;
1980 #endif
1981
1982     /* Construct Creds */
1983
1984     if ((code = krb5_copy_principal(context, service_principal,
1985                                     &creds->server))) {
1986         afs_com_err(progname, code, "while copying service principal");
1987         goto cleanup;
1988     }
1989     if ((code = krb5_copy_principal(context, client_principal,
1990                                     &creds->client))) {
1991         afs_com_err(progname, code, "while copying client principal");
1992         goto cleanup;
1993     }
1994     if ((code = krb5_copy_keyblock_contents(context, session_key,
1995                                             &deref_session_key(creds)))) {
1996         afs_com_err(progname, code, "while copying session key");
1997         goto cleanup;
1998     }
1999
2000 #if USING_HEIMDAL
2001     creds->times.authtime = enc_tkt_reply->authtime;
2002     creds->times.starttime = *(enc_tkt_reply->starttime);
2003     creds->times.endtime = enc_tkt_reply->endtime;
2004     creds->times.renew_till = 0; /* *(enc_tkt_reply->renew_till) */
2005     creds->flags.b = enc_tkt_reply->flags;
2006 #else
2007     creds->times = enc_tkt_reply->times;
2008     creds->ticket_flags = enc_tkt_reply->flags;
2009 #endif
2010     if (!deref_enc_tkt_addrs(enc_tkt_reply))
2011         ;
2012     else if ((code = krb5_copy_addresses(context,
2013                                          deref_enc_tkt_addrs(enc_tkt_reply), &creds->addresses))) {
2014         afs_com_err(progname, code, "while copying addresses");
2015         goto cleanup;
2016     }
2017
2018 #if USING_HEIMDAL
2019     {
2020         size_t creds_tkt_len;
2021         ASN1_MALLOC_ENCODE(Ticket, creds->ticket.data, creds->ticket.length,
2022                            ticket_reply, &creds_tkt_len, code);
2023         if(code) {
2024             afs_com_err(progname, code, "while encoding ticket");
2025             goto cleanup;
2026         }
2027     }
2028 #else
2029     if ((code = encode_krb5_ticket(ticket_reply, &temp))) {
2030         afs_com_err(progname, code, "while encoding ticket");
2031         goto cleanup;
2032     }
2033     creds->ticket = *temp;
2034     free(temp);
2035 #endif
2036     /* return creds */
2037     *out_creds = creds;
2038     creds = 0;
2039 cleanup:
2040     if (deref_enc_data(&ticket_reply->enc_part))
2041         free(deref_enc_data(&ticket_reply->enc_part));
2042     krb5_free_keytab_entry_contents(context, entry);
2043     if (client_principal)
2044         krb5_free_principal(context, client_principal);
2045     if (service_principal)
2046         krb5_free_principal(context, service_principal);
2047     if (cc)
2048         krb5_cc_close(context, cc);
2049     if (kt)
2050         krb5_kt_close(context, kt);
2051     if (creds) krb5_free_creds(context, creds);
2052     krb5_free_keyblock_contents(context, session_key);
2053     return code;
2054 #else
2055     return -1;
2056 #endif
2057 }
2058
2059
2060 static krb5_error_code
2061 get_credv5(krb5_context context, char *name, char *inst, char *realm,
2062            krb5_creds **creds)
2063 {
2064     krb5_creds increds;
2065     krb5_error_code r;
2066     static krb5_principal client_principal = 0;
2067
2068     afs_dprintf("Getting tickets: %s%s%s@%s\n", name,
2069             (inst && inst[0]) ? "/" : "", inst ? inst : "", realm);
2070
2071     memset(&increds, 0, sizeof(increds));
2072 /* ANL - instance may be ptr to a null string. Pass null then */
2073     if ((r = krb5_build_principal(context, &increds.server,
2074                                   strlen(realm), realm,
2075                                   name,
2076                                   (inst && strlen(inst)) ? inst : (void *) NULL,
2077                                   (void *) NULL))) {
2078         return r;
2079     }
2080
2081
2082     if (!_krb425_ccache) {
2083         r = krb5_cc_default(context, &_krb425_ccache);
2084         if (r)
2085             return r;
2086     }
2087     if (!client_principal) {
2088         if (client) {
2089             r = krb5_parse_name(context, client,  &client_principal);
2090         } else {
2091             r = krb5_cc_get_principal(context, _krb425_ccache, &client_principal);
2092         }
2093         if (r)
2094             return r;
2095     }
2096
2097     increds.client = client_principal;
2098     increds.times.endtime = 0;
2099     /* Ask for DES since that is what V4 understands */
2100     get_creds_enctype((&increds)) = ENCTYPE_DES_CBC_CRC;
2101
2102     if (keytab) {
2103         int allowed_enctypes[] = {
2104             ENCTYPE_DES_CBC_CRC, 0
2105         };
2106
2107         r = get_credv5_akimpersonate(context,
2108                                      keytab,
2109                                      increds.server,
2110                                      increds.client,
2111                                      300, ((~0U)>>1),
2112                                      allowed_enctypes,
2113                                      0 /* paddress */,
2114                                      creds /* out */);
2115     } else {
2116         r = krb5_get_credentials(context, 0, _krb425_ccache, &increds, creds);
2117     }
2118     return r;
2119 }
2120
2121
2122 static int
2123 get_user_realm(krb5_context context, char **realm)
2124 {
2125     static krb5_principal client_principal = 0;
2126     krb5_error_code r = 0;
2127
2128     *realm = NULL;
2129
2130     if (!_krb425_ccache)
2131         krb5_cc_default(context, &_krb425_ccache);
2132     if (!client_principal) {
2133         if (client) {
2134             r = krb5_parse_name(context, client,  &client_principal);
2135         } else {
2136             r = krb5_cc_get_principal(context, _krb425_ccache, &client_principal);
2137         }
2138         if (r)
2139             return r;
2140     }
2141
2142     *realm = extract_realm(context, client_principal);
2143     if (*realm == NULL)
2144         return ENOMEM;
2145
2146     return(r);
2147 }