git.sur5r.net Git - bacula/bacula/blob - bacula/src/qt-console/bcomm/dircomm_auth.cpp

   1 /*
   2    Bacula® - The Network Backup Solution
   3
   4    Copyright (C) 2001-2009 Free Software Foundation Europe e.V.
   5
   6    The main author of Bacula is Kern Sibbald, with contributions from
   7    many others, a complete list can be found in the file AUTHORS.
   8    This program is Free Software; you can redistribute it and/or
   9    modify it under the terms of version two of the GNU General Public
  10    License as published by the Free Software Foundation and included
  11    in the file LICENSE.
  12
  13    This program is distributed in the hope that it will be useful, but
  14    WITHOUT ANY WARRANTY; without even the implied warranty of
  15    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
  16    General Public License for more details.
  17
  18    You should have received a copy of the GNU General Public License
  19    along with this program; if not, write to the Free Software
  20    Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
  21    02110-1301, USA.
  22
  23    Bacula® is a registered trademark of Kern Sibbald.
  24    The licensor of Bacula is the Free Software Foundation Europe
  25    (FSFE), Fiduciary Program, Sumatrastrasse 25, 8006 Zürich,
  26    Switzerland, email:ftf@fsfeurope.org.
  27 */
  28
  29 /*
  30  *
  31  *   Bacula UA authentication. Provides authentication with
  32  *     the Director.
  33  *
  34  *     Kern Sibbald, June MMI   adapted to bat, Jan MMVI
  35  *
  36  *     Version $Id$
  37  *
  38  */
  39
  40
  41 #include "bat.h"
  42
  43
  44 /* Commands sent to Director */
  45 static char hello[]    = "Hello %s calling\n";
  46
  47 /* Response from Director */
  48 static char OKhello[]   = "1000 OK:";
  49
  50 /* Forward referenced functions */
  51
  52 /*
  53  * Authenticate Director
  54  */
  55 bool DirComm::authenticate_director(JCR *jcr, DIRRES *director, CONRES *cons,
  56                 char *errmsg, int errmsg_len)
  57 {
  58    BSOCK *dir = jcr->dir_bsock;
  59    int tls_local_need = BNET_TLS_NONE;
  60    int tls_remote_need = BNET_TLS_NONE;
  61    bool tls_authenticate;
  62    int compatible = true;
  63    char bashed_name[MAX_NAME_LENGTH];
  64    char *password;
  65    TLS_CONTEXT *tls_ctx = NULL;
  66
  67    errmsg[0] = 0;
  68    /*
  69     * Send my name to the Director then do authentication
  70     */
  71    if (cons) {
  72       bstrncpy(bashed_name, cons->hdr.name, sizeof(bashed_name));
  73       bash_spaces(bashed_name);
  74       password = cons->password;
  75       /* TLS Requirement */
  76       if (cons->tls_enable) {
  77          if (cons->tls_require) {
  78             tls_local_need = BNET_TLS_REQUIRED;
  79          } else {
  80             tls_local_need = BNET_TLS_OK;
  81          }
  82       }
  83       tls_authenticate = cons->tls_authenticate;
  84       tls_ctx = cons->tls_ctx;
  85    } else {
  86       bstrncpy(bashed_name, "*UserAgent*", sizeof(bashed_name));
  87       password = director->password;
  88       /* TLS Requirement */
  89       if (director->tls_enable) {
  90          if (director->tls_require) {
  91             tls_local_need = BNET_TLS_REQUIRED;
  92          } else {
  93             tls_local_need = BNET_TLS_OK;
  94          }
  95       }
  96
  97       tls_authenticate = director->tls_authenticate;
  98       tls_ctx = director->tls_ctx;
  99    }
 100    if (tls_authenticate) {
 101       tls_local_need = BNET_TLS_REQUIRED;
 102    }
 103
 104    /* Timeout Hello after 15 secs */
 105    dir->start_timer(15);
 106    dir->fsend(hello, bashed_name);
 107
 108    /* respond to Dir challenge */
 109    if (!cram_md5_respond(dir, password, &tls_remote_need, &compatible) ||
 110        /* Now challenge dir */
 111        !cram_md5_challenge(dir, password, tls_local_need, compatible)) {
 112       bsnprintf(errmsg, errmsg_len, _("Director authorization problem at \"%s:%d\"\n"),
 113          dir->host(), dir->port());
 114       goto bail_out;
 115    }
 116
 117    /* Verify that the remote host is willing to meet our TLS requirements */
 118    if (tls_remote_need < tls_local_need && tls_local_need != BNET_TLS_OK && tls_remote_need != BNET_TLS_OK) {
 119       bsnprintf(errmsg, errmsg_len, _("Authorization problem:"
 120              " Remote server at \"%s:%d\" did not advertise required TLS support.\n"),
 121              dir->host(), dir->port());
 122       goto bail_out;
 123    }
 124
 125    /* Verify that we are willing to meet the remote host's requirements */
 126    if (tls_remote_need > tls_local_need && tls_local_need != BNET_TLS_OK && tls_remote_need != BNET_TLS_OK) {
 127       bsnprintf(errmsg, errmsg_len, _("Authorization problem with Director at \"%s:%d\":"
 128                      " Remote server requires TLS.\n"),
 129                      dir->host(), dir->port());
 130
 131       goto bail_out;
 132    }
 133
 134    /* Is TLS Enabled? */
 135    if (tls_local_need >= BNET_TLS_OK && tls_remote_need >= BNET_TLS_OK) {
 136       /* Engage TLS! Full Speed Ahead! */
 137       if (!bnet_tls_client(tls_ctx, dir, NULL)) {
 138          bsnprintf(errmsg, errmsg_len, _("TLS negotiation failed with Director at \"%s:%d\"\n"),
 139             dir->host(), dir->port());
 140          goto bail_out;
 141       }
 142       if (tls_authenticate) {               /* authenticate only? */
 143          dir->free_tls();                   /* Yes, shutdown tls */
 144       }
 145    }
 146
 147    Dmsg1(6, ">dird: %s", dir->msg);
 148    if (dir->recv() <= 0) {
 149       dir->stop_timer();
 150       bsnprintf(errmsg, errmsg_len, _("Bad response to Hello command: ERR=%s\n"
 151                       "The Director at \"%s:%d\" is probably not running.\n"),
 152                     dir->bstrerror(), dir->host(), dir->port());
 153       return false;
 154    }
 155
 156    dir->stop_timer();
 157    Dmsg1(10, "<dird: %s", dir->msg);
 158    if (strncmp(dir->msg, OKhello, sizeof(OKhello)-1) != 0) {
 159       bsnprintf(errmsg, errmsg_len, _("Director at \"%s:%d\" rejected Hello command\n"),
 160          dir->host(), dir->port());
 161       return false;
 162    } else {
 163       if (m_conn == 0) {
 164          bsnprintf(errmsg, errmsg_len, "%s", dir->msg);
 165       }
 166    }
 167    return true;
 168
 169 bail_out:
 170    dir->stop_timer();
 171    bsnprintf(errmsg, errmsg_len, _("Authorization problem with Director at \"%s:%d\"\n"
 172              "Most likely the passwords do not agree.\n"
 173              "If you are using TLS, there may have been a certificate validation error during the TLS handshake.\n"
 174              "Please see http://www.bacula.org/en/rel-manual/Bacula_Freque_Asked_Questi.html#SECTION003760000000000000000 for help.\n"),
 175              dir->host(), dir->port());
 176    return false;
 177 }