granicus.if.org Git - linux-pam/blob - modules/pam_unix/pam_unix_auth.c

   1 /*
   2  * Copyright Alexander O. Yuriev, 1996.  All rights reserved.
   3  * NIS+ support by Thorsten Kukuk <kukuk@weber.uni-paderborn.de>
   4  * Copyright Jan Rêkorajski, 1999.  All rights reserved.
   5  *
   6  * Redistribution and use in source and binary forms, with or without
   7  * modification, are permitted provided that the following conditions
   8  * are met:
   9  * 1. Redistributions of source code must retain the above copyright
  10  *    notice, and the entire permission notice in its entirety,
  11  *    including the disclaimer of warranties.
  12  * 2. Redistributions in binary form must reproduce the above copyright
  13  *    notice, this list of conditions and the following disclaimer in the
  14  *    documentation and/or other materials provided with the distribution.
  15  * 3. The name of the author may not be used to endorse or promote
  16  *    products derived from this software without specific prior
  17  *    written permission.
  18  *
  19  * ALTERNATIVELY, this product may be distributed under the terms of
  20  * the GNU Public License, in which case the provisions of the GPL are
  21  * required INSTEAD OF the above restrictions.  (This clause is
  22  * necessary due to a potential bad interaction between the GPL and
  23  * the restrictions contained in a BSD-style copyright.)
  24  *
  25  * THIS SOFTWARE IS PROVIDED ``AS IS'' AND ANY EXPRESS OR IMPLIED
  26  * WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
  27  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
  28  * DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT,
  29  * INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
  30  * (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
  31  * SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  32  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  33  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  34  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  35  * OF THE POSSIBILITY OF SUCH DAMAGE.
  36  */
  37
  38 /* #define DEBUG */
  39
  40 #include "config.h"
  41
  42 #include <stdio.h>
  43 #include <stdlib.h>
  44 #include <stdarg.h>
  45 #include <string.h>
  46 #include <unistd.h>
  47 #include <fcntl.h>
  48 #include <ctype.h>
  49 #include <sys/types.h>
  50 #include <sys/stat.h>
  51
  52 /* indicate the following groups are defined */
  53
  54 #define PAM_SM_AUTH
  55
  56 #define _PAM_EXTERN_FUNCTIONS
  57 #include <security/_pam_macros.h>
  58 #include <security/pam_modules.h>
  59
  60 #ifndef LINUX_PAM
  61 #include <security/pam_appl.h>
  62 #endif                          /* LINUX_PAM */
  63
  64 #include "support.h"
  65
  66 /*
  67  * PAM framework looks for these entry-points to pass control to the
  68  * authentication module.
  69  */
  70
  71 /* Fun starts here :)
  72
  73  * pam_sm_authenticate() performs UNIX/shadow authentication
  74  *
  75  *      First, if shadow support is available, attempt to perform
  76  *      authentication using shadow passwords. If shadow is not
  77  *      available, or user does not have a shadow password, fallback
  78  *      onto a normal UNIX authentication
  79  */
  80
  81 #define _UNIX_AUTHTOK  "-UN*X-PASS"
  82
  83 #define AUTH_RETURN                                             \
  84 do {                                                            \
  85         if (on(UNIX_LIKE_AUTH, ctrl) && ret_data) {             \
  86                 D(("recording return code for next time [%d]",  \
  87                                         retval));               \
  88                 *ret_data = retval;                             \
  89                 pam_set_data(pamh, "unix_setcred_return",       \
  90                              (void *) ret_data, setcred_free);  \
  91         } else if (ret_data)                                    \
  92           free (ret_data);                                      \
  93         D(("done. [%s]", pam_strerror(pamh, retval)));          \
  94         return retval;                                          \
  95 } while (0)
  96
  97
  98 static void
  99 setcred_free (pam_handle_t *pamh UNUSED, void *ptr, int err UNUSED)
 100 {
 101         if (ptr)
 102                 free (ptr);
 103 }
 104
 105
 106 PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags
 107                                    ,int argc, const char **argv)
 108 {
 109         unsigned int ctrl;
 110         int retval, *ret_data = NULL;
 111         const char *name;
 112         const void *p;
 113
 114         D(("called."));
 115
 116         ctrl = _set_ctrl(pamh, flags, NULL, argc, argv);
 117
 118         /* Get a few bytes so we can pass our return value to
 119            pam_sm_setcred(). */
 120         if (on(UNIX_LIKE_AUTH, ctrl))
 121                 ret_data = malloc(sizeof(int));
 122
 123         /* get the user'name' */
 124
 125         retval = pam_get_user(pamh, &name, NULL);
 126         if (retval == PAM_SUCCESS) {
 127                 /*
 128                  * Various libraries at various times have had bugs related to
 129                  * '+' or '-' as the first character of a user name. Don't take
 130                  * any chances here. Require that the username starts with an
 131                  * alphanumeric character.
 132                  */
 133                 if (name == NULL || !isalnum(*name)) {
 134                         _log_err(LOG_ERR, pamh, "bad username [%s]", name);
 135                         retval = PAM_USER_UNKNOWN;
 136                         AUTH_RETURN;
 137                 }
 138                 if (retval == PAM_SUCCESS && on(UNIX_DEBUG, ctrl))
 139                         D(("username [%s] obtained", name));
 140         } else {
 141                 D(("trouble reading username"));
 142                 if (retval == PAM_CONV_AGAIN) {
 143                         D(("pam_get_user/conv() function is not ready yet"));
 144                         /* it is safe to resume this function so we translate this
 145                          * retval to the value that indicates we're happy to resume.
 146                          */
 147                         retval = PAM_INCOMPLETE;
 148                 }
 149                 AUTH_RETURN;
 150         }
 151
 152         /* if this user does not have a password... */
 153
 154         if (_unix_blankpasswd(pamh, ctrl, name)) {
 155                 D(("user '%s' has blank passwd", name));
 156                 name = NULL;
 157                 retval = PAM_SUCCESS;
 158                 AUTH_RETURN;
 159         }
 160         /* get this user's authentication token */
 161
 162         retval = _unix_read_password(pamh, ctrl, NULL, "Password: ", NULL
 163                                      ,_UNIX_AUTHTOK, &p);
 164         if (retval != PAM_SUCCESS) {
 165                 if (retval != PAM_CONV_AGAIN) {
 166                         _log_err(LOG_CRIT, pamh, "auth could not identify password for [%s]"
 167                                  ,name);
 168                 } else {
 169                         D(("conversation function is not ready yet"));
 170                         /*
 171                          * it is safe to resume this function so we translate this
 172                          * retval to the value that indicates we're happy to resume.
 173                          */
 174                         retval = PAM_INCOMPLETE;
 175                 }
 176                 name = NULL;
 177                 AUTH_RETURN;
 178         }
 179         D(("user=%s, password=[%s]", name, p));
 180
 181         /* verify the password of this user */
 182         retval = _unix_verify_password(pamh, name, p, ctrl);
 183         name = p = NULL;
 184
 185         AUTH_RETURN;
 186 }
 187
 188
 189 /*
 190  * The only thing _pam_set_credentials_unix() does is initialization of
 191  * UNIX group IDs.
 192  *
 193  * Well, everybody but me on linux-pam is convinced that it should not
 194  * initialize group IDs, so I am not doing it but don't say that I haven't
 195  * warned you. -- AOY
 196  */
 197
 198 PAM_EXTERN int
 199 pam_sm_setcred (pam_handle_t *pamh, int flags UNUSED,
 200                 int argc UNUSED, const char **argv UNUSED)
 201 {
 202         int retval;
 203         const void *pretval = NULL;
 204
 205         D(("called."));
 206
 207         retval = PAM_SUCCESS;
 208
 209         D(("recovering return code from auth call"));
 210         /* We will only find something here if UNIX_LIKE_AUTH is set --
 211            don't worry about an explicit check of argv. */
 212         if (pam_get_data(pamh, "unix_setcred_return", &pretval) == PAM_SUCCESS
 213             && pretval) {
 214                 retval = *(const int *)pretval;
 215                 pam_set_data(pamh, "unix_setcred_return", NULL, NULL);
 216                 D(("recovered data indicates that old retval was %d", retval));
 217         }
 218
 219         return retval;
 220 }
 221
 222 #ifdef PAM_STATIC
 223 struct pam_module _pam_unix_auth_modstruct = {
 224     "pam_unix_auth",
 225     pam_sm_authenticate,
 226     pam_sm_setcred,
 227     NULL,
 228     NULL,
 229     NULL,
 230     NULL,
 231 };
 232 #endif