rxkad-warning-cleanup-20011005
[openafs.git] / src / rxkad / rxkad_client.c
1 /*
2  * Copyright 2000, International Business Machines Corporation and others.
3  * All Rights Reserved.
4  * 
5  * This software has been released under the terms of the IBM Public
6  * License.  For details, see the LICENSE file in the top-level source
7  * directory or online at http://www.openafs.org/dl/license10.html
8  */
9
10 /* The rxkad security object.  Authentication using a DES-encrypted
11  * Kerberos-style ticket.  These are the client-only routines.  They do not
12  * make any use of DES. */
13
14 #include <afsconfig.h>
15 #ifdef KERNEL
16 #include "../afs/param.h"
17 #else
18 #include <afs/param.h>
19 #endif
20
21 RCSID("$Header$");
22
23 #ifdef KERNEL
24 #include "../afs/stds.h"
25 #ifndef UKERNEL
26 #include "../h/types.h"
27 #include "../h/time.h"
28 #ifdef AFS_LINUX20_ENV
29 #include "../h/socket.h"
30 #endif
31 #include "../netinet/in.h"
32 #else /* !UKERNEL */
33 #include "../afs/sysincludes.h"
34 #endif /* !UKERNEL */
35 #ifndef AFS_LINUX22_ENV
36 #include "../rpc/types.h"
37 #include "../rpc/xdr.h"
38 #endif
39 #include "../rx/rx.h"
40 #else /* ! KERNEL */
41 #include <afs/stds.h>
42 #include <sys/types.h>
43 #include <time.h>
44 #ifdef HAVE_STRING_H
45 #include <string.h>
46 #else
47 #ifdef HAVE_STRINGS_H
48 #include <strings.h>
49 #endif
50 #endif
51 #ifdef AFS_NT40_ENV
52 #include <winsock2.h>
53 #else
54 #include <netinet/in.h>
55 #endif
56 #include <rx/rx.h>
57 #include <rx/xdr.h>
58 #ifdef AFS_PTHREAD_ENV
59 #include "../rxkad/rxkad.h"
60 #endif /* AFS_PTHREAD_ENV */
61 #endif /* KERNEL */
62
63 #include "private_data.h"
64 #define XPRT_RXKAD_CLIENT
65
66 char *rxi_Alloc();
67
68 #ifndef max
69 #define max(a,b)    ((a) < (b)? (b) : (a))
70 #endif /* max */
71
72 static struct rx_securityOps rxkad_client_ops = {
73     rxkad_Close,
74     rxkad_NewConnection,                /* every new connection */
75     rxkad_PreparePacket,                /* once per packet creation */
76     0,                                  /* send packet (once per retrans.) */
77     0,
78     0,
79     0,
80     rxkad_GetResponse,                  /* respond to challenge packet */
81     0,
82     rxkad_CheckPacket,                  /* check data packet */
83     rxkad_DestroyConnection,
84     rxkad_GetStats,
85     0,
86     0,
87     0,
88 };
89
90 /* To minimize changes to epoch, we set this Cuid once, and everyone (including
91  * rxnull) uses it after that.  This means that the Ksession of the first
92  * authencticated connection should be a good one. */
93
94 #ifdef AFS_PTHREAD_ENV
95 /*
96  * This mutex protects the following global variables:
97  * Cuid
98  * counter
99  * rxkad_EpochWasSet
100  */
101 #include <assert.h>
102 pthread_mutex_t rxkad_client_uid_mutex;
103 #define LOCK_CUID assert(pthread_mutex_lock(&rxkad_client_uid_mutex)==0);
104 #define UNLOCK_CUID assert(pthread_mutex_unlock(&rxkad_client_uid_mutex)==0);
105 #else
106 #define LOCK_CUID
107 #define UNLOCK_CUID
108 #endif /* AFS_PTHREAD_ENV */
109
110 static afs_int32 Cuid[2];                       /* set once and shared by all */
111 int rxkad_EpochWasSet = 0;              /* TRUE => we called rx_SetEpoch */
112
113 /* allocate a new connetion ID in place */
114 rxkad_AllocCID(aobj, aconn)
115   struct rx_securityClass *aobj;
116   struct rx_connection *aconn;
117 {
118     struct rxkad_cprivate *tcp;
119     struct rxkad_cidgen tgen;
120     static afs_int32 counter = 0;               /* not used anymore */
121
122     LOCK_CUID
123     if (Cuid[0] == 0) {
124         afs_uint32 xor[2];
125         tgen.ipAddr = rxi_getaddr();    /* comes back in net order */
126         clock_GetTime(&tgen.time);      /* changes time1 and time2 */
127         tgen.time.sec = htonl(tgen.time.sec);
128         tgen.time.usec = htonl(tgen.time.usec);
129         tgen.counter = htonl(counter);
130         counter++;
131 #ifdef KERNEL
132         tgen.random1 = afs_random() & 0x7fffffff;       /* was "80000" */
133         tgen.random2 = afs_random() & 0x7fffffff;       /* was "htonl(100)" */
134 #else
135         tgen.random1 = htonl(getpid());
136         tgen.random2 = htonl(100);
137 #endif
138         if (aobj) {
139             /* block is ready for encryption with session key, let's go for it. */
140             tcp = (struct rxkad_cprivate *) aobj->privateData;
141             memcpy((void *)xor, (void *)tcp->ivec, 2*sizeof(afs_int32));
142             fc_cbc_encrypt((char *) &tgen, (char *) &tgen, sizeof(tgen),
143                            tcp->keysched, xor, ENCRYPT);
144         } else {
145             /* Create a session key so that we can encrypt it */
146
147         }
148         memcpy((void *)Cuid, ((char *)&tgen) + sizeof(tgen) - ENCRYPTIONBLOCKSIZE, ENCRYPTIONBLOCKSIZE);
149         Cuid[0] = (Cuid[0] & ~0x40000000) | 0x80000000;
150         Cuid[1] &= RX_CIDMASK;
151         rx_SetEpoch (Cuid[0]);          /* for future rxnull connections */
152         rxkad_EpochWasSet++;
153     }
154
155     if (!aconn) {
156         UNLOCK_CUID
157         return 0;
158     }
159     aconn->epoch = Cuid[0];
160     aconn->cid = Cuid[1];
161     Cuid[1] += 1<<RX_CIDSHIFT;
162     UNLOCK_CUID
163     return 0;
164 }
165
166 /* Allocate a new client security object.  Called with the encryption level,
167  * the session key and the ticket for the other side obtained from the
168  * AuthServer.  Refers to export control to determine level. */
169
170 struct rx_securityClass *
171 rxkad_NewClientSecurityObject(level, sessionkey, kvno, ticketLen, ticket)
172   rxkad_level      level;
173   struct ktc_encryptionKey *sessionkey;
174   afs_int32                kvno;
175   int              ticketLen;
176   char            *ticket;
177 {   struct rx_securityClass *tsc;
178     struct rxkad_cprivate   *tcp;
179     int                      code;
180     int                      size;
181
182     size = sizeof(struct rx_securityClass);
183     tsc = (struct rx_securityClass *) rxi_Alloc (size);
184     memset((void *)tsc, 0, size);
185     tsc->refCount = 1;                  /* caller gets one for free */
186     tsc->ops = &rxkad_client_ops;
187
188     size = sizeof(struct rxkad_cprivate);
189     tcp = (struct rxkad_cprivate *) rxi_Alloc (size);
190     memset((void *)tcp, 0, size);
191     tsc->privateData = (char *) tcp;
192     tcp->type |= rxkad_client;
193     tcp->level = level;
194     code = fc_keysched (sessionkey, tcp->keysched);
195     if (code) return 0;                 /* bad key */
196     memcpy((void *)tcp->ivec, (void *)sessionkey, sizeof(tcp->ivec));
197     tcp->kvno = kvno;                   /* key version number */
198     tcp->ticketLen = ticketLen;         /* length of ticket */
199     memcpy(tcp->ticket, ticket, ticketLen);
200
201     LOCK_RXKAD_STATS
202     rxkad_stats_clientObjects++;
203     UNLOCK_RXKAD_STATS
204     return tsc;
205 }
206
207 /* client: respond to a challenge packet */
208
209 rxs_return_t rxkad_GetResponse (aobj, aconn, apacket)
210   IN struct rx_securityClass *aobj;
211   IN struct rx_packet *apacket;
212   IN struct rx_connection *aconn;
213 {   struct rxkad_cprivate *tcp;
214     char *tp;
215     int   v2;                           /* whether server is old style or v2 */
216     afs_int32  challengeID;
217     rxkad_level level;
218     char *response;
219     int   responseSize, missing;
220     struct rxkad_v2ChallengeResponse  r_v2;
221     struct rxkad_oldChallengeResponse r_old;
222
223     tcp = (struct rxkad_cprivate *) aobj->privateData;
224
225     if (!(tcp->type & rxkad_client)) return RXKADINCONSISTENCY;
226
227     v2 = (rx_Contiguous(apacket) > sizeof(struct rxkad_oldChallenge));
228     tp = rx_DataOf(apacket);
229
230     if (v2) {                                  /* v2 challenge */
231         struct rxkad_v2Challenge *c_v2;
232         if (rx_GetDataSize(apacket) < sizeof(struct rxkad_v2Challenge))
233            return RXKADPACKETSHORT;
234         c_v2 = (struct rxkad_v2Challenge *)tp;
235         challengeID = ntohl(c_v2->challengeID);
236         level       = ntohl(c_v2->level);
237     } else {                                   /* old format challenge */
238         struct rxkad_oldChallenge *c_old;
239         if (rx_GetDataSize(apacket) < sizeof(struct rxkad_oldChallenge))
240            return RXKADPACKETSHORT;
241         c_old = (struct rxkad_oldChallenge *)tp;
242         challengeID = ntohl(c_old->challengeID);
243         level       = ntohl(c_old->level);
244     }
245
246     if (level > tcp->level) return RXKADLEVELFAIL;
247     LOCK_RXKAD_STATS
248     rxkad_stats.challenges[rxkad_LevelIndex(tcp->level)]++;
249     UNLOCK_RXKAD_STATS
250
251     if (v2) {
252         int i;
253         afs_uint32 xor[2];
254         memset((void *)&r_v2, 0, sizeof(r_v2));
255         r_v2.version = htonl(RXKAD_CHALLENGE_PROTOCOL_VERSION);
256         r_v2.spare   = 0;
257         (void) rxkad_SetupEndpoint (aconn, &r_v2.encrypted.endpoint);
258         (void) rxi_GetCallNumberVector (aconn, r_v2.encrypted.callNumbers);
259         for (i=0; i<RX_MAXCALLS; i++) {
260             if (r_v2.encrypted.callNumbers[i] < 0) return RXKADINCONSISTENCY;
261             r_v2.encrypted.callNumbers[i] = htonl(r_v2.encrypted.callNumbers[i]);
262         }
263         r_v2.encrypted.incChallengeID = htonl(challengeID + 1);
264         r_v2.encrypted.level          = htonl((afs_int32)tcp->level);
265         r_v2.kvno                     = htonl(tcp->kvno);
266         r_v2.ticketLen                = htonl(tcp->ticketLen);
267         r_v2.encrypted.endpoint.cksum = rxkad_CksumChallengeResponse (&r_v2);
268         memcpy((void *)xor, (void *)tcp->ivec, 2*sizeof(afs_int32));
269         fc_cbc_encrypt (&r_v2.encrypted, &r_v2.encrypted, 
270                         sizeof(r_v2.encrypted), tcp->keysched, xor, ENCRYPT);
271         response     = (char *)&r_v2;
272         responseSize = sizeof(r_v2);
273     } else {
274         memset((void *)&r_old, 0, sizeof(r_old));
275         r_old.encrypted.incChallengeID = htonl(challengeID + 1);
276         r_old.encrypted.level          = htonl((afs_int32)tcp->level);
277         r_old.kvno                     = htonl(tcp->kvno);
278         r_old.ticketLen                = htonl(tcp->ticketLen);
279         fc_ecb_encrypt (&r_old.encrypted, &r_old.encrypted, tcp->keysched, ENCRYPT);
280         response     = (char *)&r_old;
281         responseSize = sizeof(r_old);
282     }
283
284     if (RX_MAX_PACKET_DATA_SIZE < responseSize + tcp->ticketLen)
285         return RXKADPACKETSHORT;        /* not enough space */
286
287     rx_computelen(apacket, missing);
288     missing = responseSize + tcp->ticketLen - missing;
289     if (missing > 0) 
290        if (rxi_AllocDataBuf(apacket, missing) > 0)
291           return RXKADPACKETSHORT;      /* not enough space */
292
293     /* copy response and ticket into packet */
294     rx_packetwrite(apacket, 0, responseSize, response);
295     rx_packetwrite(apacket, responseSize, tcp->ticketLen, tcp->ticket);
296
297     rx_SetDataSize (apacket, responseSize + tcp->ticketLen);
298     return 0;
299 }
300
301
302 rxkad_ResetState()
303 {
304     LOCK_CUID
305     Cuid[0] = 0;
306     rxkad_EpochWasSet=0;
307     UNLOCK_CUID
308 }