git.sur5r.net Git - bacula/bacula/blob - bacula/src/console/authenticate.c

   1 /*
   2  *
   3  *   Bacula UA authentication. Provides authentication with
   4  *     the Director.
   5  *
   6  *     Kern Sibbald, June MMI
   7  *
   8  *    This routine runs as a thread and must be thread reentrant.
   9  *
  10  *  Basic tasks done here:
  11  *
  12  */
  13 /*
  14    Copyright (C) 2001-2004 Kern Sibbald and John Walker
  15
  16    This program is free software; you can redistribute it and/or
  17    modify it under the terms of the GNU General Public License
  18    as published by the Free Software Foundation; either version 2
  19    of the License, or (at your option) any later version.
  20
  21    This program is distributed in the hope that it will be useful,
  22    but WITHOUT ANY WARRANTY; without even the implied warranty of
  23    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  24    GNU General Public License for more details.
  25
  26    You should have received a copy of the GNU General Public
  27    License along with this program; if not, write to the Free
  28    Software Foundation, Inc., 59 Temple Place - Suite 330, Boston,
  29    MA 02111-1307, USA.
  30  */
  31
  32 #include "bacula.h"
  33 #include "console_conf.h"
  34 #include "jcr.h"
  35
  36
  37 void senditf(const char *fmt, ...);
  38 void sendit(const char *buf);
  39
  40 /* Commands sent to Director */
  41 static char hello[]    = N_("Hello %s calling\n");
  42
  43 /* Response from Director */
  44 static char OKhello[]   = N_("1000 OK:");
  45
  46 /* Forward referenced functions */
  47
  48 /*
  49  * Authenticate Director
  50  */
  51 int authenticate_director(JCR *jcr, DIRRES *director, CONRES *cons)
  52 {
  53    BSOCK *dir = jcr->dir_bsock;
  54    int tls_local_need = BNET_TLS_NONE;
  55    int tls_remote_need = BNET_TLS_NONE;
  56    char bashed_name[MAX_NAME_LENGTH];
  57    char *password;
  58    TLS_CONTEXT *tls_ctx = NULL;
  59
  60    /*
  61     * Send my name to the Director then do authentication
  62     */
  63    if (cons) {
  64       bstrncpy(bashed_name, cons->hdr.name, sizeof(bashed_name));
  65       bash_spaces(bashed_name);
  66       password = cons->password;
  67       /* TLS Requirement */
  68       if (cons->tls_enable) {
  69          if (cons->tls_require) {
  70             tls_local_need = BNET_TLS_REQUIRED;
  71          } else {
  72             tls_local_need = BNET_TLS_OK;
  73          }
  74       }
  75
  76       tls_ctx = cons->tls_ctx;
  77    } else {
  78       bstrncpy(bashed_name, "*UserAgent*", sizeof(bashed_name));
  79       password = director->password;
  80       /* TLS Requirement */
  81       if (director->tls_enable) {
  82          if (director->tls_require) {
  83             tls_local_need = BNET_TLS_REQUIRED;
  84          } else {
  85             tls_local_need = BNET_TLS_OK;
  86          }
  87       }
  88
  89       tls_ctx = director->tls_ctx;
  90    }
  91
  92
  93    /* Timeout Hello after 5 mins */
  94    btimer_t *tid = start_bsock_timer(dir, 60 * 5);
  95    bnet_fsend(dir, hello, bashed_name);
  96
  97    if (!cram_md5_get_auth(dir, password, &tls_remote_need) ||
  98        !cram_md5_auth(dir, password, tls_local_need)) {
  99       goto bail_out;
 100    }
 101
 102    /* Verify that the remote host is willing to meet our TLS requirements */
 103    if (tls_remote_need < tls_local_need && tls_local_need != BNET_TLS_OK && tls_remote_need != BNET_TLS_OK) {
 104       sendit(_("Authorization problem:"
 105              " Remote server did not advertise required TLS support.\n"));
 106       goto bail_out;
 107    }
 108
 109    /* Verify that we are willing to meet the remote host's requirements */
 110    if (tls_remote_need > tls_local_need && tls_local_need != BNET_TLS_OK && tls_remote_need != BNET_TLS_OK) {
 111       sendit(_("Authorization problem:"
 112              " Remote server requires TLS.\n"));
 113       goto bail_out;
 114    }
 115
 116    /* Is TLS Enabled? */
 117    if (have_tls) {
 118       if (tls_local_need >= BNET_TLS_OK && tls_remote_need >= BNET_TLS_OK) {
 119          /* Engage TLS! Full Speed Ahead! */
 120          if (!bnet_tls_client(tls_ctx, dir)) {
 121             sendit(_("TLS negotiation failed\n"));
 122             goto bail_out;
 123          }
 124       }
 125    }
 126
 127    /*
 128     * It's possible that the TLS connection will
 129     * be dropped here if an invalid client certificate was presented
 130     */
 131    Dmsg1(6, ">dird: %s", dir->msg);
 132    if (bnet_recv(dir) <= 0) {
 133       senditf(_("Bad response to Hello command: ERR=%s\n"),
 134          bnet_strerror(dir));
 135       goto bail_out;
 136    }
 137
 138    Dmsg1(10, "<dird: %s", dir->msg);
 139    if (strncmp(dir->msg, OKhello, sizeof(OKhello)-1) != 0) {
 140       sendit(_("Director rejected Hello command\n"));
 141       goto bail_out;
 142    } else {
 143       sendit(dir->msg);
 144    }
 145    stop_bsock_timer(tid);
 146    return 1;
 147
 148 bail_out:
 149    stop_bsock_timer(tid);
 150    sendit( _("Director authorization problem.\n"
 151              "Most likely the passwords do not agree.\n"
 152              "If you are using TLS, there may have been a certificate validation error during the TLS handshake.\n"
 153              "Please see http://www.bacula.org/rel-manual/faq.html#AuthorizationErrors for help.\n"));
 154    return 0;
 155 }