lib/libpam/modules/pam_kerberosIV/pam_kerberosIV.c

   1 /*-
   2  * Copyright 1998 Juniper Networks, Inc.
   3  * All rights reserved.
   4  *
   5  * Redistribution and use in source and binary forms, with or without
   6  * modification, are permitted provided that the following conditions
   7  * are met:
   8  * 1. Redistributions of source code must retain the above copyright
   9  *    notice, this list of conditions and the following disclaimer.
  10  * 2. Redistributions in binary form must reproduce the above copyright
  11  *    notice, this list of conditions and the following disclaimer in the
  12  *    documentation and/or other materials provided with the distribution.
  13  *
  14  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
  15  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  16  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  17  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  18  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  19  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  20  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  21  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  22  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  23  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  24  * SUCH DAMAGE.
  25  */
  26
  27 #include <sys/cdefs.h>
  28 __FBSDID("$FreeBSD$");
  29
  30 #include <sys/param.h>
  31 #include <pwd.h>
  32 #include <stdlib.h>
  33 #include <string.h>
  34 #include <unistd.h>
  35
  36 #define PAM_SM_AUTH
  37 #include <security/pam_appl.h>
  38 #include <security/pam_modules.h>
  39 #include <security/pam_mod_misc.h>
  40
  41 #define PASSWORD_PROMPT "Password:"
  42
  43 extern int klogin(struct passwd *, char *, char *, char *);
  44
  45 /* Globals used by klogin.c */
  46 int     notickets = 1;
  47 int     noticketsdontcomplain = 1;
  48 char    *krbtkfile_env;
  49
  50 PAM_EXTERN int
  51 pam_sm_authenticate(pam_handle_t *pamh, int flags, int argc, const char **argv)
  52 {
  53         struct options options;
  54         int retval;
  55         const char *user;
  56         char *principal;
  57         char *instance;
  58         const char *password;
  59         char localhost[MAXHOSTNAMELEN + 1];
  60         struct passwd *pwd;
  61
  62         pam_std_option(&options, NULL, argc, argv);
  63
  64         PAM_LOG("Options processed");
  65
  66         retval = pam_get_user(pamh, &user, NULL);
  67         if (retval != PAM_SUCCESS)
  68                 PAM_RETURN(retval);
  69
  70         PAM_LOG("Got user: %s", user);
  71
  72         retval = pam_get_pass(pamh, &password, PASSWORD_PROMPT, &options);
  73         if (retval != PAM_SUCCESS)
  74                 PAM_RETURN(retval);
  75
  76         PAM_LOG("Got password");
  77
  78         if (gethostname(localhost, sizeof localhost - 1) == -1)
  79                 PAM_RETURN(PAM_SYSTEM_ERR);
  80
  81         PAM_LOG("Got localhost: %s", localhost);
  82
  83         principal = strdup(user);
  84         if (principal == NULL)
  85                 PAM_RETURN(PAM_BUF_ERR);
  86
  87         instance = strchr(principal, '.');
  88         if (instance != NULL)
  89                 *instance++ = '\0';
  90         else
  91                 instance = "";
  92
  93         PAM_LOG("Got principal.instance: %s.%s", principal, instance);
  94
  95         retval = PAM_AUTH_ERR;
  96         pwd = getpwnam(user);
  97         if (pwd != NULL) {
  98                 if (klogin(pwd, instance, localhost, (char *)password) == 0) {
  99                         if (!(flags & PAM_SILENT) && notickets && !noticketsdontcomplain)
 100                                 pam_prompt(pamh, PAM_ERROR_MSG,
 101                                     "Warning: no Kerberos tickets issued",
 102                                     NULL);
 103                         /*
 104                          * XXX - I think the ticket file isn't supposed to
 105                          * be created until pam_sm_setcred() is called.
 106                          */
 107                         if (krbtkfile_env != NULL)
 108                                 setenv("KRBTKFILE", krbtkfile_env, 1);
 109                         retval = PAM_SUCCESS;
 110                 }
 111
 112                 PAM_LOG("Done klogin()");
 113
 114         }
 115         /*
 116          * The PAM infrastructure will obliterate the cleartext
 117          * password before returning to the application.
 118          */
 119         free(principal);
 120
 121         if (retval != PAM_SUCCESS)
 122                 PAM_VERBOSE_ERROR("Kerberos IV refuses you");
 123
 124         PAM_RETURN(retval);
 125 }
 126
 127 PAM_EXTERN int
 128 pam_sm_setcred(pam_handle_t *pamh, int flags, int argc, const char **argv)
 129 {
 130         struct options options;
 131
 132         pam_std_option(&options, NULL, argc, argv);
 133
 134         PAM_LOG("Options processed");
 135
 136         PAM_RETURN(PAM_SUCCESS);
 137 }
 138
 139 PAM_MODULE_ENTRY("pam_kerberosIV");