]> git.sur5r.net Git - bacula/bacula/blob - bacula/src/qt-console/bcomm/dircomm_auth.cpp
This is the rather large commit of adding the feature to create multiple connections. I
[bacula/bacula] / bacula / src / qt-console / bcomm / dircomm_auth.cpp
1 /*
2    Bacula® - The Network Backup Solution
3
4    Copyright (C) 2001-2007 Free Software Foundation Europe e.V.
5
6    The main author of Bacula is Kern Sibbald, with contributions from
7    many others, a complete list can be found in the file AUTHORS.
8    This program is Free Software; you can redistribute it and/or
9    modify it under the terms of version two of the GNU General Public
10    License as published by the Free Software Foundation and included
11    in the file LICENSE.
12
13    This program is distributed in the hope that it will be useful, but
14    WITHOUT ANY WARRANTY; without even the implied warranty of
15    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
16    General Public License for more details.
17
18    You should have received a copy of the GNU General Public License
19    along with this program; if not, write to the Free Software
20    Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
21    02110-1301, USA.
22
23    Bacula® is a registered trademark of Kern Sibbald.
24    The licensor of Bacula is the Free Software Foundation Europe
25    (FSFE), Fiduciary Program, Sumatrastrasse 25, 8006 Zürich,
26    Switzerland, email:ftf@fsfeurope.org.
27 */
28
29 /*
30  *
31  *   Bacula UA authentication. Provides authentication with
32  *     the Director.
33  *
34  *     Kern Sibbald, June MMI   adapted to bat, Jan MMVI
35  *
36  *     Version $Id$
37  *
38  */
39
40
41 #include "bat.h"
42
43
44 /* Commands sent to Director */
45 static char hello[]    = "Hello %s calling\n";
46
47 /* Response from Director */
48 static char OKhello[]   = "1000 OK:";
49
50 /* Forward referenced functions */
51
52 /*
53  * Authenticate Director
54  */
55 bool DirComm::authenticate_director(JCR *jcr, DIRRES *director, CONRES *cons, 
56                 char *errmsg, int errmsg_len) 
57 {
58    BSOCK *dir = jcr->dir_bsock;
59    int tls_local_need = BNET_TLS_NONE;
60    int tls_remote_need = BNET_TLS_NONE;
61    bool tls_authenticate;
62    int compatible = true;
63    char bashed_name[MAX_NAME_LENGTH];
64    char *password;
65    TLS_CONTEXT *tls_ctx = NULL;
66
67    errmsg[0] = 0;
68    /*
69     * Send my name to the Director then do authentication
70     */
71    if (cons) {
72       bstrncpy(bashed_name, cons->hdr.name, sizeof(bashed_name));
73       bash_spaces(bashed_name);
74       password = cons->password;
75       /* TLS Requirement */
76       if (cons->tls_enable) {
77          if (cons->tls_require) {
78             tls_local_need = BNET_TLS_REQUIRED;
79          } else {
80             tls_local_need = BNET_TLS_OK;
81          }
82       }
83       tls_authenticate = cons->tls_authenticate;
84       tls_ctx = cons->tls_ctx;
85    } else {
86       bstrncpy(bashed_name, "*UserAgent*", sizeof(bashed_name));
87       password = director->password;
88       /* TLS Requirement */
89       if (director->tls_enable) {
90          if (director->tls_require) {
91             tls_local_need = BNET_TLS_REQUIRED;
92          } else {
93             tls_local_need = BNET_TLS_OK;
94          }
95       }
96
97       tls_authenticate = director->tls_authenticate;
98       tls_ctx = director->tls_ctx;
99    }
100    if (tls_authenticate) {
101       tls_local_need = BNET_TLS_REQUIRED;
102    }
103
104    /* Timeout Hello after 15 secs */
105    dir->start_timer(15);
106    dir->fsend(hello, bashed_name);
107
108    /* respond to Dir challenge */
109    if (!cram_md5_respond(dir, password, &tls_remote_need, &compatible) ||
110        /* Now challenge dir */
111        !cram_md5_challenge(dir, password, tls_local_need, compatible)) {
112       bsnprintf(errmsg, errmsg_len, _("Director authorization problem at \"%s:%d\"\n"),
113          dir->host(), dir->port());
114       goto bail_out;
115    }
116
117    /* Verify that the remote host is willing to meet our TLS requirements */
118    if (tls_remote_need < tls_local_need && tls_local_need != BNET_TLS_OK && tls_remote_need != BNET_TLS_OK) {
119       bsnprintf(errmsg, errmsg_len, _("Authorization problem:"
120              " Remote server at \"%s:%d\" did not advertise required TLS support.\n"),
121              dir->host(), dir->port());
122       goto bail_out;
123    }
124
125    /* Verify that we are willing to meet the remote host's requirements */
126    if (tls_remote_need > tls_local_need && tls_local_need != BNET_TLS_OK && tls_remote_need != BNET_TLS_OK) {
127       bsnprintf(errmsg, errmsg_len, _("Authorization problem with Director at \"%s:%d\":"
128                      " Remote server requires TLS.\n"),
129                      dir->host(), dir->port());
130
131       goto bail_out;
132    }
133
134    /* Is TLS Enabled? */
135    if (tls_local_need >= BNET_TLS_OK && tls_remote_need >= BNET_TLS_OK) {
136       /* Engage TLS! Full Speed Ahead! */
137       if (!bnet_tls_client(tls_ctx, dir, NULL)) {
138          bsnprintf(errmsg, errmsg_len, _("TLS negotiation failed with Director at \"%s:%d\"\n"),
139             dir->host(), dir->port());
140          goto bail_out;
141       }
142       if (tls_authenticate) {               /* authenticate only? */
143          dir->free_tls();                   /* Yes, shutdown tls */
144       }
145    }
146
147    Dmsg1(6, ">dird: %s", dir->msg);
148    if (dir->recv() <= 0) {
149       dir->stop_timer();
150       bsnprintf(errmsg, errmsg_len, _("Bad response to Hello command: ERR=%s\n"
151                       "The Director at \"%s:%d\" is probably not running.\n"),
152                     dir->bstrerror(), dir->host(), dir->port());
153       return false;
154    }
155
156    dir->stop_timer();
157    Dmsg1(10, "<dird: %s", dir->msg);
158    if (strncmp(dir->msg, OKhello, sizeof(OKhello)-1) != 0) {
159       bsnprintf(errmsg, errmsg_len, _("Director at \"%s:%d\" rejected Hello command\n"),
160          dir->host(), dir->port());
161       return false;
162    } else {
163       bsnprintf(errmsg, errmsg_len, "%s", dir->msg);
164    }
165    return true;
166
167 bail_out:
168    dir->stop_timer();
169    bsnprintf(errmsg, errmsg_len, _("Authorization problem with Director at \"%s:%d\"\n"
170              "Most likely the passwords do not agree.\n"
171              "If you are using TLS, there may have been a certificate validation error during the TLS handshake.\n"
172              "Please see http://www.bacula.org/en/rel-manual/Bacula_Freque_Asked_Questi.html#SECTION003760000000000000000 for help.\n"), 
173              dir->host(), dir->port());
174    return false;
175 }