lib/WikiUser/HttpAuthUpper.php

   1 <?php
   2
   3 /*
   4  * Copyright (C) 2004,2007 ReiniUrban
   5  *
   6  * This file is part of PhpWiki.
   7  *
   8  * PhpWiki is free software; you can redistribute it and/or modify
   9  * it under the terms of the GNU General Public License as published by
  10  * the Free Software Foundation; either version 2 of the License, or
  11  * (at your option) any later version.
  12  *
  13  * PhpWiki is distributed in the hope that it will be useful,
  14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  16  * GNU General Public License for more details.
  17  *
  18  * You should have received a copy of the GNU General Public License along
  19  * with PhpWiki; if not, write to the Free Software Foundation, Inc.,
  20  * 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
  21  */
  22
  23 /**
  24  * We have two possibilities here:
  25  * 1) The webserver location is already HTTP protected.
  26  *    Usually Basic by some auth module (ldap, mysql, ...), but also NTLM or Digest.
  27  *    Then just use this username and do nothing.
  28  * 2) The webserver location is not protected, so we enforce basic HTTP Protection
  29  *    by sending a 401 error and let the client display the login dialog.
  30  *    This makes only sense if HttpAuth is the last method in USER_AUTH_ORDER,
  31  *    since the other methods cannot be transparently called after this enforced
  32  *    external dialog.
  33  *    Try the available auth methods (most likely Bogo) and sent this header back.
  34  *    header('Authorization: Basic '.base64_encode("$userid:$passwd")."\r\n";
  35  */
  36 class _HttpAuthUpperPassUser
  37     extends _PassUser
  38 {
  39     function _HttpAuthUpperPassUser($UserName = '', $prefs = false)
  40     {
  41         if ($prefs) $this->_prefs = $prefs;
  42         if (!isset($this->_prefs->_method))
  43             _PassUser::_PassUser($UserName);
  44         if ($UserName)
  45             $this->_userid = $UserName;
  46         $this->_authmethod = 'HttpAuthUpper';
  47
  48         // Is this double check really needed?
  49         // It is not expensive so we keep it for now.
  50         if ($this->userExists()) {
  51             return $this;
  52         } else {
  53             return $GLOBALS['ForbiddenUser'];
  54         }
  55     }
  56
  57     // FIXME! This doesn't work yet!
  58     // Allow httpauth by other method: Admin for now only
  59     function _fake_auth($userid, $passwd)
  60     {
  61         return false;
  62
  63         header('WWW-Authenticate: Basic realm="' . WIKI_NAME . '"');
  64         header("Authorization: Basic " . base64_encode($userid . ":" . $passwd));
  65         if (!isset($_SERVER))
  66             $_SERVER =& $GLOBALS['HTTP_SERVER_VARS'];
  67         $GLOBALS['REMOTE_USER'] = $userid;
  68         $_SERVER['PHP_AUTH_USER'] = $userid;
  69         $_SERVER['PHP_AUTH_PW'] = $passwd;
  70         //$GLOBALS['request']->setStatus(200);
  71     }
  72
  73     function logout()
  74     {
  75         if (!isset($_SERVER))
  76             $_SERVER =& $GLOBALS['HTTP_SERVER_VARS'];
  77         // Maybe we should random the realm to really force a logout.
  78         // But the next login will fail.
  79         // better_srand(); $realm = microtime().rand();
  80         // TODO: On AUTH_TYPE=NTLM this will fail. Only Basic supported so far.
  81         header('WWW-Authenticate: Basic realm="' . WIKI_NAME . '"');
  82         if (strstr(php_sapi_name(), 'apache'))
  83             header('HTTP/1.0 401 Unauthorized');
  84         else
  85             header("Status: 401 Access Denied"); //IIS and CGI need that
  86         unset($GLOBALS['REMOTE_USER']);
  87         unset($_SERVER['PHP_AUTH_USER']);
  88         unset($_SERVER['PHP_AUTH_PW']);
  89     }
  90
  91     function _http_username()
  92     {
  93         if (!isset($_SERVER))
  94             $_SERVER =& $GLOBALS['HTTP_SERVER_VARS'];
  95         if (!empty($_SERVER['PHP_AUTH_USER']))
  96             return $_SERVER['PHP_AUTH_USER'];
  97         if (!empty($_SERVER['REMOTE_USER']))
  98             return $_SERVER['REMOTE_USER'];
  99         if (!empty($GLOBALS['HTTP_ENV_VARS']['REMOTE_USER']))
 100             return $GLOBALS['HTTP_ENV_VARS']['REMOTE_USER'];
 101         if (!empty($GLOBALS['REMOTE_USER']))
 102             return $GLOBALS['REMOTE_USER'];
 103         // IIS + Basic
 104         if (!empty($_SERVER['HTTP_AUTHORIZATION'])) {
 105             list($userid, $passwd) = explode(':',
 106                 base64_decode(substr($_SERVER['HTTP_AUTHORIZATION'], 6)));
 107             return $userid;
 108         }
 109         return '';
 110     }
 111
 112     // special: force upcase username
 113     function UserName()
 114     {
 115         if (!empty($this->_userid)) {
 116             $this->_userid = strtoupper($this->_userid);
 117             return strtoupper($this->_userid);
 118         }
 119     }
 120
 121     // force http auth authorization
 122     function userExists()
 123     {
 124         if (!isset($_SERVER))
 125             $_SERVER =& $GLOBALS['HTTP_SERVER_VARS'];
 126         $username = strtoupper($this->_http_username());
 127         if (strstr($username, "\\")
 128             and isset($_SERVER['AUTH_TYPE'])
 129                 and $_SERVER['AUTH_TYPE'] == 'NTLM'
 130         ) {
 131             // allow domain\user, change userid to domain/user
 132             $username = str_ireplace("\\\\", "\\", $username); // php bug with _SERVER
 133             $username = str_ireplace("\\", SUBPAGE_SEPARATOR, $username);
 134             $this->_userid = str_ireplace("\\", SUBPAGE_SEPARATOR, $this->_userid);
 135         }
 136         // FIXME: if AUTH_TYPE = NTLM there's a domain\\name <> domain\name mismatch
 137         if (empty($username)
 138             or strtolower($username) != strtolower($this->_userid)
 139         ) {
 140             $this->logout();
 141             $user = $GLOBALS['ForbiddenUser'];
 142             $user->_userid = $this->_userid = "";
 143             $this->_level = WIKIAUTH_FORBIDDEN;
 144             return $user;
 145             //exit;
 146         }
 147         $this->_userid = strtoupper($username);
 148         // we should check if he is a member of admin,
 149         // because HttpAuth has its own logic.
 150         $this->_level = WIKIAUTH_USER;
 151         if ($this->isAdmin())
 152             $this->_level = WIKIAUTH_ADMIN;
 153         return $this;
 154     }
 155
 156     // ignore password, this is checked by the webservers http auth.
 157     function checkPass($submitted_password)
 158     {
 159         return $this->userExists()
 160             ? ($this->isAdmin() ? WIKIAUTH_ADMIN : WIKIAUTH_USER)
 161             : WIKIAUTH_ANON;
 162     }
 163
 164     function mayChangePass()
 165     {
 166         return false;
 167     }
 168 }
 169
 170 // Local Variables:
 171 // mode: php
 172 // tab-width: 8
 173 // c-basic-offset: 4
 174 // c-hanging-comment-ender-p: nil
 175 // indent-tabs-mode: nil
 176 // End: