git.sur5r.net Git - openldap/blob - libraries/libldap/tls.c

   1 /* tls.c - Handle tls/ssl using SSLeay or OpenSSL. */
   2 /* $OpenLDAP$ */
   3 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
   4  *
   5  * Copyright 1998-2004 The OpenLDAP Foundation.
   6  * All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted only as authorized by the OpenLDAP
  10  * Public License.
  11  *
  12  * A copy of this license is available in the file LICENSE in the
  13  * top-level directory of the distribution or, alternatively, at
  14  * <http://www.OpenLDAP.org/license.html>.
  15  */
  16
  17 #include "portable.h"
  18 #include "ldap_config.h"
  19
  20 #include <stdio.h>
  21
  22 #include <ac/stdlib.h>
  23 #include <ac/errno.h>
  24 #include <ac/socket.h>
  25 #include <ac/string.h>
  26 #include <ac/ctype.h>
  27 #include <ac/time.h>
  28 #include <ac/unistd.h>
  29 #include <ac/param.h>
  30 #include <ac/dirent.h>
  31
  32 #include "ldap-int.h"
  33
  34 #ifdef HAVE_TLS
  35
  36 #ifdef LDAP_R_COMPILE
  37 #include <ldap_pvt_thread.h>
  38 #endif
  39
  40 #ifdef HAVE_OPENSSL_SSL_H
  41 #include <openssl/ssl.h>
  42 #include <openssl/x509v3.h>
  43 #include <openssl/err.h>
  44 #include <openssl/rand.h>
  45 #include <openssl/safestack.h>
  46 #elif defined( HAVE_SSL_H )
  47 #include <ssl.h>
  48 #endif
  49
  50 static int  tls_opt_trace = 1;
  51 static char *tls_opt_certfile = NULL;
  52 static char *tls_opt_keyfile = NULL;
  53 static char *tls_opt_cacertfile = NULL;
  54 static char *tls_opt_cacertdir = NULL;
  55 static int  tls_opt_require_cert = LDAP_OPT_X_TLS_DEMAND;
  56 static char *tls_opt_ciphersuite = NULL;
  57 static char *tls_opt_randfile = NULL;
  58
  59 #define HAS_TLS( sb )   ber_sockbuf_ctrl( sb, LBER_SB_OPT_HAS_IO, \
  60                                 (void *)&sb_tls_sbio )
  61
  62 static void tls_report_error( void );
  63
  64 static void tls_info_cb( const SSL *ssl, int where, int ret );
  65 static int tls_verify_cb( int ok, X509_STORE_CTX *ctx );
  66 static int tls_verify_ok( int ok, X509_STORE_CTX *ctx );
  67 static RSA * tls_tmp_rsa_cb( SSL *ssl, int is_export, int key_length );
  68 static STACK_OF(X509_NAME) * get_ca_list( char * bundle, char * dir );
  69
  70 #if 0   /* Currently this is not used by anyone */
  71 static DH * tls_tmp_dh_cb( SSL *ssl, int is_export, int key_length );
  72 #endif
  73
  74 static SSL_CTX *tls_def_ctx = NULL;
  75
  76 static int tls_seed_PRNG( const char *randfile );
  77
  78 #ifdef LDAP_R_COMPILE
  79 /*
  80  * provide mutexes for the SSLeay library.
  81  */
  82 static ldap_pvt_thread_mutex_t  tls_mutexes[CRYPTO_NUM_LOCKS];
  83
  84 static void tls_locking_cb( int mode, int type, const char *file, int line )
  85 {
  86         if ( mode & CRYPTO_LOCK ) {
  87                 ldap_pvt_thread_mutex_lock( &tls_mutexes[type] );
  88         } else {
  89                 ldap_pvt_thread_mutex_unlock( &tls_mutexes[type] );
  90         }
  91 }
  92
  93 /*
  94  * an extra mutex for the default ctx.
  95  */
  96
  97 static ldap_pvt_thread_mutex_t tls_def_ctx_mutex;
  98
  99 static void tls_init_threads( void )
 100 {
 101         int i;
 102
 103         for( i=0; i< CRYPTO_NUM_LOCKS ; i++ ) {
 104                 ldap_pvt_thread_mutex_init( &tls_mutexes[i] );
 105         }
 106         CRYPTO_set_locking_callback( tls_locking_cb );
 107         /* FIXME: the thread id should be added somehow... */
 108
 109         ldap_pvt_thread_mutex_init( &tls_def_ctx_mutex );
 110 }
 111 #endif /* LDAP_R_COMPILE */
 112
 113 /*
 114  * Tear down the TLS subsystem. Should only be called once.
 115  */
 116 void
 117 ldap_pvt_tls_destroy( void )
 118 {
 119         SSL_CTX_free(tls_def_ctx);
 120         tls_def_ctx = NULL;
 121
 122         EVP_cleanup();
 123         ERR_remove_state(0);
 124         ERR_free_strings();
 125
 126         if ( tls_opt_certfile ) {
 127                 LDAP_FREE( tls_opt_certfile );
 128                 tls_opt_certfile = NULL;
 129         }
 130         if ( tls_opt_keyfile ) {
 131                 LDAP_FREE( tls_opt_keyfile );
 132                 tls_opt_keyfile = NULL;
 133         }
 134         if ( tls_opt_cacertfile ) {
 135                 LDAP_FREE( tls_opt_cacertfile );
 136                 tls_opt_cacertfile = NULL;
 137         }
 138         if ( tls_opt_cacertdir ) {
 139                 LDAP_FREE( tls_opt_cacertdir );
 140                 tls_opt_cacertdir = NULL;
 141         }
 142         if ( tls_opt_ciphersuite ) {
 143                 LDAP_FREE( tls_opt_ciphersuite );
 144                 tls_opt_ciphersuite = NULL;
 145         }
 146         if ( tls_opt_randfile ) {
 147                 LDAP_FREE( tls_opt_randfile );
 148                 tls_opt_randfile = NULL;
 149         }
 150 }
 151
 152 /*
 153  * Initialize TLS subsystem. Should be called only once.
 154  */
 155 int
 156 ldap_pvt_tls_init( void )
 157 {
 158         static int tls_initialized = 0;
 159
 160         if ( tls_initialized++ ) return 0;
 161
 162 #ifdef HAVE_EBCDIC
 163         {
 164                 char *file = LDAP_STRDUP( tls_opt_randfile );
 165                 if ( file ) __atoe( file );
 166                 (void) tls_seed_PRNG( file );
 167                 LDAP_FREE( file );
 168         }
 169 #else
 170         (void) tls_seed_PRNG( tls_opt_randfile );
 171 #endif
 172
 173 #ifdef LDAP_R_COMPILE
 174         tls_init_threads();
 175 #endif
 176
 177         SSL_load_error_strings();
 178         SSLeay_add_ssl_algorithms();
 179
 180         /* FIXME: mod_ssl does this */
 181         X509V3_add_standard_extensions();
 182         return 0;
 183 }
 184
 185 /*
 186  * initialize the default context
 187  */
 188 int
 189 ldap_pvt_tls_init_def_ctx( void )
 190 {
 191         STACK_OF(X509_NAME) *calist;
 192         int rc = 0;
 193         char *ciphersuite = tls_opt_ciphersuite;
 194         char *cacertfile = tls_opt_cacertfile;
 195         char *cacertdir = tls_opt_cacertdir;
 196         char *certfile = tls_opt_certfile;
 197         char *keyfile = tls_opt_keyfile;
 198
 199 #ifdef HAVE_EBCDIC
 200         /* This ASCII/EBCDIC handling is a real pain! */
 201         if ( ciphersuite ) {
 202                 ciphersuite = LDAP_STRDUP( ciphersuite );
 203                 __atoe( ciphersuite );
 204         }
 205         if ( cacertfile ) {
 206                 cacertfile = LDAP_STRDUP( cacertfile );
 207                 __atoe( cacertfile );
 208         }
 209         if ( cacertdir ) {
 210                 cacertdir = LDAP_STRDUP( cacertdir );
 211                 __atoe( cacertdir );
 212         }
 213         if ( certfile ) {
 214                 certfile = LDAP_STRDUP( certfile );
 215                 __atoe( certfile );
 216         }
 217         if ( keyfile ) {
 218                 keyfile = LDAP_STRDUP( keyfile );
 219                 __atoe( keyfile );
 220         }
 221 #endif
 222
 223 #ifdef LDAP_R_COMPILE
 224         ldap_pvt_thread_mutex_lock( &tls_def_ctx_mutex );
 225 #endif
 226         if ( tls_def_ctx == NULL ) {
 227                 int i;
 228                 tls_def_ctx = SSL_CTX_new( SSLv23_method() );
 229                 if ( tls_def_ctx == NULL ) {
 230 #ifdef NEW_LOGGING
 231                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 232                                 "TLS could not allocate default ctx (%d).\n",
 233                                 ERR_peek_error(), 0, 0 );
 234 #else
 235                         Debug( LDAP_DEBUG_ANY,
 236                            "TLS: could not allocate default ctx (%lu).\n",
 237                                 ERR_peek_error(),0,0);
 238 #endif
 239                         rc = -1;
 240                         goto error_exit;
 241                 }
 242
 243                 SSL_CTX_set_session_id_context( tls_def_ctx,
 244                         (const unsigned char *) "OpenLDAP", sizeof("OpenLDAP")-1 );
 245
 246                 if ( tls_opt_ciphersuite &&
 247                         !SSL_CTX_set_cipher_list( tls_def_ctx, ciphersuite ) )
 248                 {
 249 #ifdef NEW_LOGGING
 250                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 251                                 "TLS could not set cipher list %s.\n",
 252                                 tls_opt_ciphersuite, 0, 0 );
 253 #else
 254                         Debug( LDAP_DEBUG_ANY,
 255                                    "TLS: could not set cipher list %s.\n",
 256                                    tls_opt_ciphersuite, 0, 0 );
 257 #endif
 258                         tls_report_error();
 259                         rc = -1;
 260                         goto error_exit;
 261                 }
 262
 263                 if (tls_opt_cacertfile != NULL || tls_opt_cacertdir != NULL) {
 264                         if ( !SSL_CTX_load_verify_locations( tls_def_ctx,
 265                                         cacertfile, cacertdir ) ||
 266                                 !SSL_CTX_set_default_verify_paths( tls_def_ctx ) )
 267                         {
 268 #ifdef NEW_LOGGING
 269                                 LDAP_LOG ( TRANSPORT, ERR,
 270                                         "ldap_pvt_tls_init_def_ctx: "
 271                                         "TLS could not load verify locations "
 272                                         "(file:`%s',dir:`%s').\n",
 273                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 274                                         tls_opt_cacertdir ? tls_opt_cacertdir : "", 0 );
 275 #else
 276                                 Debug( LDAP_DEBUG_ANY, "TLS: "
 277                                         "could not load verify locations (file:`%s',dir:`%s').\n",
 278                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 279                                         tls_opt_cacertdir ? tls_opt_cacertdir : "",
 280                                         0 );
 281 #endif
 282                                 tls_report_error();
 283                                 rc = -1;
 284                                 goto error_exit;
 285                         }
 286
 287                         calist = get_ca_list( cacertfile, cacertdir );
 288                         if ( !calist ) {
 289 #ifdef NEW_LOGGING
 290                                 LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 291                                         "TLS could not load client CA list (file: `%s',dir:`%s')\n",
 292                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 293                                         tls_opt_cacertdir ? tls_opt_cacertdir : "", 0 );
 294 #else
 295                                 Debug( LDAP_DEBUG_ANY, "TLS: "
 296                                         "could not load client CA list (file:`%s',dir:`%s').\n",
 297                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 298                                         tls_opt_cacertdir ? tls_opt_cacertdir : "",
 299                                         0 );
 300 #endif
 301                                 tls_report_error();
 302                                 rc = -1;
 303                                 goto error_exit;
 304                         }
 305
 306                         SSL_CTX_set_client_CA_list( tls_def_ctx, calist );
 307                 }
 308
 309                 if ( tls_opt_keyfile &&
 310                         !SSL_CTX_use_PrivateKey_file( tls_def_ctx,
 311                                 keyfile, SSL_FILETYPE_PEM ) )
 312                 {
 313 #ifdef NEW_LOGGING
 314                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 315                                 "TLS could not use key file `%s'.\n", tls_opt_keyfile, 0, 0 );
 316 #else
 317                         Debug( LDAP_DEBUG_ANY,
 318                                 "TLS: could not use key file `%s'.\n",
 319                                 tls_opt_keyfile,0,0);
 320 #endif
 321                         tls_report_error();
 322                         rc = -1;
 323                         goto error_exit;
 324                 }
 325
 326                 if ( tls_opt_certfile &&
 327                         !SSL_CTX_use_certificate_file( tls_def_ctx,
 328                                 certfile, SSL_FILETYPE_PEM ) )
 329                 {
 330 #ifdef NEW_LOGGING
 331                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 332                                 "TLS could not use certificate `%s'.\n",
 333                                 tls_opt_certfile, 0, 0 );
 334 #else
 335                         Debug( LDAP_DEBUG_ANY,
 336                                 "TLS: could not use certificate `%s'.\n",
 337                                 tls_opt_certfile,0,0);
 338 #endif
 339                         tls_report_error();
 340                         rc = -1;
 341                         goto error_exit;
 342                 }
 343
 344                 if ( ( tls_opt_certfile || tls_opt_keyfile ) &&
 345                         !SSL_CTX_check_private_key( tls_def_ctx ) )
 346                 {
 347 #ifdef NEW_LOGGING
 348                         LDAP_LOG ( TRANSPORT, ERR,
 349                                 "ldap_pvt_tls_init_def_ctx: TLS private key mismatch.\n",
 350                                 0, 0, 0 );
 351 #else
 352                         Debug( LDAP_DEBUG_ANY,
 353                                 "TLS: private key mismatch.\n",
 354                                 0,0,0);
 355 #endif
 356                         tls_report_error();
 357                         rc = -1;
 358                         goto error_exit;
 359                 }
 360
 361                 if ( tls_opt_trace ) {
 362                         SSL_CTX_set_info_callback( tls_def_ctx, tls_info_cb );
 363                 }
 364
 365                 i = SSL_VERIFY_NONE;
 366                 if ( tls_opt_require_cert ) {
 367                         i = SSL_VERIFY_PEER;
 368                         if ( tls_opt_require_cert == LDAP_OPT_X_TLS_DEMAND ||
 369                                  tls_opt_require_cert == LDAP_OPT_X_TLS_HARD ) {
 370                                 i |= SSL_VERIFY_FAIL_IF_NO_PEER_CERT;
 371                         }
 372                 }
 373
 374                 SSL_CTX_set_verify( tls_def_ctx, i,
 375                         tls_opt_require_cert == LDAP_OPT_X_TLS_ALLOW ?
 376                         tls_verify_ok : tls_verify_cb );
 377                 SSL_CTX_set_tmp_rsa_callback( tls_def_ctx, tls_tmp_rsa_cb );
 378                 /* SSL_CTX_set_tmp_dh_callback( tls_def_ctx, tls_tmp_dh_cb ); */
 379         }
 380 error_exit:
 381         if ( rc == -1 && tls_def_ctx != NULL ) {
 382                 SSL_CTX_free( tls_def_ctx );
 383                 tls_def_ctx = NULL;
 384         }
 385 #ifdef HAVE_EBCDIC
 386         LDAP_FREE( ciphersuite );
 387         LDAP_FREE( cacertfile );
 388         LDAP_FREE( cacertdir );
 389         LDAP_FREE( certfile );
 390         LDAP_FREE( keyfile );
 391 #endif
 392 #ifdef LDAP_R_COMPILE
 393         ldap_pvt_thread_mutex_unlock( &tls_def_ctx_mutex );
 394 #endif
 395         return rc;
 396 }
 397
 398 static STACK_OF(X509_NAME) *
 399 get_ca_list( char * bundle, char * dir )
 400 {
 401         STACK_OF(X509_NAME) *ca_list = NULL;
 402
 403         if ( bundle ) {
 404                 ca_list = SSL_load_client_CA_file( bundle );
 405         }
 406 #if defined(HAVE_DIRENT_H) || defined(dirent)
 407         if ( dir ) {
 408                 int freeit = 0;
 409
 410                 if ( !ca_list ) {
 411                         ca_list = sk_X509_NAME_new_null();
 412                         freeit = 1;
 413                 }
 414                 if ( !SSL_add_dir_cert_subjects_to_stack( ca_list, dir ) &&
 415                         freeit ) {
 416                         sk_X509_NAME_free( ca_list );
 417                         ca_list = NULL;
 418                 }
 419         }
 420 #endif
 421         return ca_list;
 422 }
 423
 424 static SSL *
 425 alloc_handle( void *ctx_arg )
 426 {
 427         SSL_CTX *ctx;
 428         SSL     *ssl;
 429
 430         if ( ctx_arg ) {
 431                 ctx = (SSL_CTX *) ctx_arg;
 432         } else {
 433                 if ( ldap_pvt_tls_init_def_ctx() < 0 ) return NULL;
 434                 ctx = tls_def_ctx;
 435         }
 436
 437         ssl = SSL_new( ctx );
 438         if ( ssl == NULL ) {
 439 #ifdef NEW_LOGGING
 440                 LDAP_LOG ( TRANSPORT, ERR,
 441                         "alloc_handle: TLS can't create ssl handle.\n", 0, 0, 0 );
 442 #else
 443                 Debug( LDAP_DEBUG_ANY,"TLS: can't create ssl handle.\n",0,0,0);
 444 #endif
 445                 return NULL;
 446         }
 447         return ssl;
 448 }
 449
 450 static int
 451 update_flags( Sockbuf *sb, SSL * ssl, int rc )
 452 {
 453         int err = SSL_get_error(ssl, rc);
 454
 455         sb->sb_trans_needs_read  = 0;
 456         sb->sb_trans_needs_write = 0;
 457
 458         if (err == SSL_ERROR_WANT_READ) {
 459                 sb->sb_trans_needs_read  = 1;
 460                 return 1;
 461
 462         } else if (err == SSL_ERROR_WANT_WRITE) {
 463                 sb->sb_trans_needs_write = 1;
 464                 return 1;
 465
 466         } else if (err == SSL_ERROR_WANT_CONNECT) {
 467                 return 1;
 468         }
 469         return 0;
 470 }
 471
 472 /*
 473  * TLS support for LBER Sockbufs
 474  */
 475
 476 struct tls_data {
 477         SSL                     *ssl;
 478         Sockbuf_IO_Desc         *sbiod;
 479 };
 480
 481 static BIO_METHOD sb_tls_bio_method;
 482
 483 static int
 484 sb_tls_setup( Sockbuf_IO_Desc *sbiod, void *arg )
 485 {
 486         struct tls_data         *p;
 487         BIO                     *bio;
 488
 489         assert( sbiod != NULL );
 490
 491         p = LBER_MALLOC( sizeof( *p ) );
 492         if ( p == NULL ) {
 493                 return -1;
 494         }
 495
 496         p->ssl = (SSL *)arg;
 497         p->sbiod = sbiod;
 498         bio = BIO_new( &sb_tls_bio_method );
 499         bio->ptr = (void *)p;
 500         SSL_set_bio( p->ssl, bio, bio );
 501         sbiod->sbiod_pvt = p;
 502         return 0;
 503 }
 504
 505 static int
 506 sb_tls_remove( Sockbuf_IO_Desc *sbiod )
 507 {
 508         struct tls_data         *p;
 509
 510         assert( sbiod != NULL );
 511         assert( sbiod->sbiod_pvt != NULL );
 512
 513         p = (struct tls_data *)sbiod->sbiod_pvt;
 514         SSL_free( p->ssl );
 515         LBER_FREE( sbiod->sbiod_pvt );
 516         sbiod->sbiod_pvt = NULL;
 517         return 0;
 518 }
 519
 520 static int
 521 sb_tls_close( Sockbuf_IO_Desc *sbiod )
 522 {
 523         struct tls_data         *p;
 524
 525         assert( sbiod != NULL );
 526         assert( sbiod->sbiod_pvt != NULL );
 527
 528         p = (struct tls_data *)sbiod->sbiod_pvt;
 529         SSL_shutdown( p->ssl );
 530         return 0;
 531 }
 532
 533 static int
 534 sb_tls_ctrl( Sockbuf_IO_Desc *sbiod, int opt, void *arg )
 535 {
 536         struct tls_data         *p;
 537
 538         assert( sbiod != NULL );
 539         assert( sbiod->sbiod_pvt != NULL );
 540
 541         p = (struct tls_data *)sbiod->sbiod_pvt;
 542
 543         if ( opt == LBER_SB_OPT_GET_SSL ) {
 544                 *((SSL **)arg) = p->ssl;
 545                 return 1;
 546
 547         } else if ( opt == LBER_SB_OPT_DATA_READY ) {
 548                 if( SSL_pending( p->ssl ) > 0 ) {
 549                         return 1;
 550                 }
 551         }
 552
 553         return LBER_SBIOD_CTRL_NEXT( sbiod, opt, arg );
 554 }
 555
 556 static ber_slen_t
 557 sb_tls_read( Sockbuf_IO_Desc *sbiod, void *buf, ber_len_t len)
 558 {
 559         struct tls_data         *p;
 560         ber_slen_t              ret;
 561         int                     err;
 562
 563         assert( sbiod != NULL );
 564         assert( SOCKBUF_VALID( sbiod->sbiod_sb ) );
 565
 566         p = (struct tls_data *)sbiod->sbiod_pvt;
 567
 568         ret = SSL_read( p->ssl, (char *)buf, len );
 569 #ifdef HAVE_WINSOCK
 570         errno = WSAGetLastError();
 571 #endif
 572         err = SSL_get_error( p->ssl, ret );
 573         if (err == SSL_ERROR_WANT_READ ) {
 574                 sbiod->sbiod_sb->sb_trans_needs_read = 1;
 575                 errno = EWOULDBLOCK;
 576         }
 577         else
 578                 sbiod->sbiod_sb->sb_trans_needs_read = 0;
 579         return ret;
 580 }
 581
 582 static ber_slen_t
 583 sb_tls_write( Sockbuf_IO_Desc *sbiod, void *buf, ber_len_t len)
 584 {
 585         struct tls_data         *p;
 586         ber_slen_t              ret;
 587         int                     err;
 588
 589         assert( sbiod != NULL );
 590         assert( SOCKBUF_VALID( sbiod->sbiod_sb ) );
 591
 592         p = (struct tls_data *)sbiod->sbiod_pvt;
 593
 594         ret = SSL_write( p->ssl, (char *)buf, len );
 595 #ifdef HAVE_WINSOCK
 596         errno = WSAGetLastError();
 597 #endif
 598         err = SSL_get_error( p->ssl, ret );
 599         if (err == SSL_ERROR_WANT_WRITE ) {
 600                 sbiod->sbiod_sb->sb_trans_needs_write = 1;
 601                 errno = EWOULDBLOCK;
 602
 603         } else {
 604                 sbiod->sbiod_sb->sb_trans_needs_write = 0;
 605         }
 606         return ret;
 607 }
 608
 609 static Sockbuf_IO sb_tls_sbio =
 610 {
 611         sb_tls_setup,           /* sbi_setup */
 612         sb_tls_remove,          /* sbi_remove */
 613         sb_tls_ctrl,            /* sbi_ctrl */
 614         sb_tls_read,            /* sbi_read */
 615         sb_tls_write,           /* sbi_write */
 616         sb_tls_close            /* sbi_close */
 617 };
 618
 619 static int
 620 sb_tls_bio_create( BIO *b ) {
 621         b->init = 1;
 622         b->num = 0;
 623         b->ptr = NULL;
 624         b->flags = 0;
 625         return 1;
 626 }
 627
 628 static int
 629 sb_tls_bio_destroy( BIO *b )
 630 {
 631         if ( b == NULL ) return 0;
 632
 633         b->ptr = NULL;          /* sb_tls_remove() will free it */
 634         b->init = 0;
 635         b->flags = 0;
 636         return 1;
 637 }
 638
 639 static int
 640 sb_tls_bio_read( BIO *b, char *buf, int len )
 641 {
 642         struct tls_data         *p;
 643         int                     ret;
 644
 645         if ( buf == NULL || len <= 0 ) return 0;
 646
 647         p = (struct tls_data *)b->ptr;
 648
 649         if ( p == NULL || p->sbiod == NULL ) {
 650                 return 0;
 651         }
 652
 653         ret = LBER_SBIOD_READ_NEXT( p->sbiod, buf, len );
 654
 655         BIO_clear_retry_flags( b );
 656         if ( ret < 0 ) {
 657                 int err = errno;
 658                 if ( err == EAGAIN || err == EWOULDBLOCK ) {
 659                         BIO_set_retry_read( b );
 660                 }
 661         }
 662
 663         return ret;
 664 }
 665
 666 static int
 667 sb_tls_bio_write( BIO *b, const char *buf, int len )
 668 {
 669         struct tls_data         *p;
 670         int                     ret;
 671
 672         if ( buf == NULL || len <= 0 ) return 0;
 673
 674         p = (struct tls_data *)b->ptr;
 675
 676         if ( p == NULL || p->sbiod == NULL ) {
 677                 return 0;
 678         }
 679
 680         ret = LBER_SBIOD_WRITE_NEXT( p->sbiod, (char *)buf, len );
 681
 682         BIO_clear_retry_flags( b );
 683         if ( ret < 0 ) {
 684                 int err = errno;
 685                 if ( err == EAGAIN || err == EWOULDBLOCK ) {
 686                         BIO_set_retry_write( b );
 687                 }
 688         }
 689
 690         return ret;
 691 }
 692
 693 static long
 694 sb_tls_bio_ctrl( BIO *b, int cmd, long num, void *ptr )
 695 {
 696         if ( cmd == BIO_CTRL_FLUSH ) {
 697                 /* The OpenSSL library needs this */
 698                 return 1;
 699         }
 700         return 0;
 701 }
 702
 703 static int
 704 sb_tls_bio_gets( BIO *b, char *buf, int len )
 705 {
 706         return -1;
 707 }
 708
 709 static int
 710 sb_tls_bio_puts( BIO *b, const char *str )
 711 {
 712         return sb_tls_bio_write( b, str, strlen( str ) );
 713 }
 714
 715 static BIO_METHOD sb_tls_bio_method =
 716 {
 717         ( 100 | 0x400 ),                /* it's a source/sink BIO */
 718         "sockbuf glue",
 719         sb_tls_bio_write,
 720         sb_tls_bio_read,
 721         sb_tls_bio_puts,
 722         sb_tls_bio_gets,
 723         sb_tls_bio_ctrl,
 724         sb_tls_bio_create,
 725         sb_tls_bio_destroy
 726 };
 727
 728 /*
 729  * Call this to do a TLS connect on a sockbuf. ctx_arg can be
 730  * a SSL_CTX * or NULL, in which case the default ctx is used.
 731  *
 732  * Return value:
 733  *
 734  *  0 - Success. Connection is ready for communication.
 735  * <0 - Error. Can't create a TLS stream.
 736  * >0 - Partial success.
 737  *        Do a select (using information from lber_pvt_sb_needs_{read,write}
 738  *              and call again.
 739  */
 740
 741 static int
 742 ldap_int_tls_connect( LDAP *ld, LDAPConn *conn )
 743 {
 744         Sockbuf *sb = conn->lconn_sb;
 745         int     err;
 746         SSL     *ssl;
 747
 748         if ( HAS_TLS( sb ) ) {
 749                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
 750
 751         } else {
 752                 void *ctx = ld->ld_defconn
 753                         ? ld->ld_defconn->lconn_tls_ctx : NULL;
 754
 755                 ssl = alloc_handle( ctx );
 756
 757                 if ( ssl == NULL ) return -1;
 758
 759 #ifdef LDAP_DEBUG
 760                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
 761                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
 762 #endif
 763                 ber_sockbuf_add_io( sb, &sb_tls_sbio,
 764                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
 765
 766                 if( ctx == NULL ) {
 767                         conn->lconn_tls_ctx = tls_def_ctx;
 768                 }
 769         }
 770
 771         err = SSL_connect( ssl );
 772
 773 #ifdef HAVE_WINSOCK
 774         errno = WSAGetLastError();
 775 #endif
 776
 777         if ( err <= 0 ) {
 778                 if ( update_flags( sb, ssl, err )) {
 779                         return 1;
 780                 }
 781
 782                 if ((err = ERR_peek_error())) {
 783                         char buf[256];
 784                         ld->ld_error = LDAP_STRDUP(ERR_error_string(err, buf));
 785 #ifdef HAVE_EBCDIC
 786                         if ( ld->ld_error ) __etoa(ld->ld_error);
 787 #endif
 788                 }
 789
 790 #ifdef NEW_LOGGING
 791                 LDAP_LOG ( TRANSPORT, ERR,
 792                         "ldap_int_tls_connect: TLS can't connect.\n", 0, 0, 0 );
 793 #else
 794                 Debug( LDAP_DEBUG_ANY,"TLS: can't connect.\n",0,0,0);
 795 #endif
 796
 797                 ber_sockbuf_remove_io( sb, &sb_tls_sbio,
 798                         LBER_SBIOD_LEVEL_TRANSPORT );
 799 #ifdef LDAP_DEBUG
 800                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
 801                         LBER_SBIOD_LEVEL_TRANSPORT );
 802 #endif
 803                 return -1;
 804         }
 805
 806         return 0;
 807 }
 808
 809 /*
 810  * Call this to do a TLS accept on a sockbuf.
 811  * Everything else is the same as with tls_connect.
 812  */
 813 int
 814 ldap_pvt_tls_accept( Sockbuf *sb, void *ctx_arg )
 815 {
 816         int     err;
 817         SSL     *ssl;
 818
 819         if ( HAS_TLS( sb ) ) {
 820                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
 821
 822         } else {
 823                 ssl = alloc_handle( ctx_arg );
 824                 if ( ssl == NULL ) return -1;
 825
 826 #ifdef LDAP_DEBUG
 827                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
 828                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
 829 #endif
 830                 ber_sockbuf_add_io( sb, &sb_tls_sbio,
 831                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
 832         }
 833
 834         err = SSL_accept( ssl );
 835
 836 #ifdef HAVE_WINSOCK
 837         errno = WSAGetLastError();
 838 #endif
 839         if ( err <= 0 ) {
 840                 if ( update_flags( sb, ssl, err )) return 1;
 841
 842 #ifdef NEW_LOGGING
 843                 LDAP_LOG ( TRANSPORT, ERR,
 844                         "ldap_pvt_tls_accept: TLS can't accept.\n", 0, 0, 0 );
 845 #else
 846                 Debug( LDAP_DEBUG_ANY,"TLS: can't accept.\n",0,0,0 );
 847 #endif
 848
 849                 tls_report_error();
 850                 ber_sockbuf_remove_io( sb, &sb_tls_sbio,
 851                         LBER_SBIOD_LEVEL_TRANSPORT );
 852 #ifdef LDAP_DEBUG
 853                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
 854                         LBER_SBIOD_LEVEL_TRANSPORT );
 855 #endif
 856                 return -1;
 857         }
 858
 859         return 0;
 860 }
 861
 862 int
 863 ldap_pvt_tls_inplace ( Sockbuf *sb )
 864 {
 865         return HAS_TLS( sb ) ? 1 : 0;
 866 }
 867
 868 static X509 *
 869 tls_get_cert( SSL *s )
 870 {
 871         /* If peer cert was bad, treat as if no cert was given */
 872         if (SSL_get_verify_result(s)) {
 873                 /* If we can send an alert, do so */
 874                 if (SSL_version(s) != SSL2_VERSION) {
 875                         ssl3_send_alert(s,SSL3_AL_WARNING,SSL3_AD_BAD_CERTIFICATE);
 876                 }
 877                 return NULL;
 878         }
 879         return SSL_get_peer_certificate(s);
 880 }
 881
 882 int
 883 ldap_pvt_tls_get_peer_dn( void *s, struct berval *dn,
 884         LDAPDN_rewrite_dummy *func, unsigned flags )
 885 {
 886         X509 *x;
 887         X509_NAME *xn;
 888         int rc;
 889
 890         x = tls_get_cert((SSL *)s);
 891
 892         if (!x) return LDAP_INVALID_CREDENTIALS;
 893
 894         xn = X509_get_subject_name(x);
 895         rc = ldap_X509dn2bv(xn, dn, (LDAPDN_rewrite_func *)func, flags);
 896         X509_free(x);
 897         return rc;
 898 }
 899
 900 char *
 901 ldap_pvt_tls_get_peer_hostname( void *s )
 902 {
 903         X509 *x;
 904         X509_NAME *xn;
 905         char buf[2048], *p;
 906         int ret;
 907
 908         x = tls_get_cert((SSL *)s);
 909         if (!x) return NULL;
 910
 911         xn = X509_get_subject_name(x);
 912
 913         ret = X509_NAME_get_text_by_NID(xn, NID_commonName, buf, sizeof(buf));
 914         if( ret == -1 ) {
 915                 X509_free(x);
 916                 return NULL;
 917         }
 918
 919         p = LDAP_STRDUP(buf);
 920         X509_free(x);
 921         return p;
 922 }
 923
 924 /* what kind of hostname were we given? */
 925 #define IS_DNS  0
 926 #define IS_IP4  1
 927 #define IS_IP6  2
 928
 929 int
 930 ldap_pvt_tls_check_hostname( LDAP *ld, void *s, const char *name_in )
 931 {
 932         int i, ret = LDAP_LOCAL_ERROR;
 933         X509 *x;
 934         const char *name;
 935         char *ptr;
 936         int ntype = IS_DNS;
 937 #ifdef LDAP_PF_INET6
 938         struct in6_addr addr;
 939 #else
 940         struct in_addr addr;
 941 #endif
 942
 943         if( ldap_int_hostname &&
 944                 ( !name_in || !strcasecmp( name_in, "localhost" ) ) )
 945         {
 946                 name = ldap_int_hostname;
 947         } else {
 948                 name = name_in;
 949         }
 950
 951         x = tls_get_cert((SSL *)s);
 952         if (!x) {
 953 #ifdef NEW_LOGGING
 954                 LDAP_LOG ( TRANSPORT, ERR,
 955                         "ldap_pvt_tls_check_hostname: "
 956                         "TLS unable to get peer certificate.\n" , 0, 0, 0 );
 957 #else
 958                 Debug( LDAP_DEBUG_ANY,
 959                         "TLS: unable to get peer certificate.\n",
 960                         0, 0, 0 );
 961 #endif
 962                 /* If this was a fatal condition, things would have
 963                  * aborted long before now.
 964                  */
 965                 return LDAP_SUCCESS;
 966         }
 967
 968 #ifdef LDAP_PF_INET6
 969         if (name[0] == '[' && strchr(name, ']')) {
 970                 char *n2 = ldap_strdup(name+1);
 971                 *strchr(n2, ']') = 2;
 972                 if (inet_pton(AF_INET6, n2, &addr))
 973                         ntype = IS_IP6;
 974                 LDAP_FREE(n2);
 975         } else
 976 #endif
 977         if ((ptr = strrchr(name, '.')) && isdigit((unsigned char)ptr[1])) {
 978                 if (inet_aton(name, (struct in_addr *)&addr)) ntype = IS_IP4;
 979         }
 980
 981         i = X509_get_ext_by_NID(x, NID_subject_alt_name, -1);
 982         if (i >= 0) {
 983                 X509_EXTENSION *ex;
 984                 STACK_OF(GENERAL_NAME) *alt;
 985
 986                 ex = X509_get_ext(x, i);
 987                 alt = X509V3_EXT_d2i(ex);
 988                 if (alt) {
 989                         int n, len1 = 0, len2 = 0;
 990                         char *domain = NULL;
 991                         GENERAL_NAME *gn;
 992
 993                         if (ntype == IS_DNS) {
 994                                 len1 = strlen(name);
 995                                 domain = strchr(name, '.');
 996                                 if (domain) {
 997                                         len2 = len1 - (domain-name);
 998                                 }
 999                         }
1000                         n = sk_GENERAL_NAME_num(alt);
1001                         for (i=0; i<n; i++) {
1002                                 char *sn;
1003                                 int sl;
1004                                 gn = sk_GENERAL_NAME_value(alt, i);
1005                                 if (gn->type == GEN_DNS) {
1006                                         if (ntype != IS_DNS) continue;
1007
1008                                         sn = (char *) ASN1_STRING_data(gn->d.ia5);
1009                                         sl = ASN1_STRING_length(gn->d.ia5);
1010
1011                                         /* ignore empty */
1012                                         if (sl == 0) continue;
1013
1014                                         /* Is this an exact match? */
1015                                         if ((len1 == sl) && !strncasecmp(name, sn, len1)) {
1016                                                 break;
1017                                         }
1018
1019                                         /* Is this a wildcard match? */
1020                                         if (domain && (sn[0] == '*') && (sn[1] == '.') &&
1021                                                 (len2 == sl-1) && !strncasecmp(domain, &sn[1], len2))
1022                                         {
1023                                                 break;
1024                                         }
1025
1026                                 } else if (gn->type == GEN_IPADD) {
1027                                         if (ntype == IS_DNS) continue;
1028
1029                                         sn = (char *) ASN1_STRING_data(gn->d.ia5);
1030                                         sl = ASN1_STRING_length(gn->d.ia5);
1031
1032 #ifdef LDAP_PF_INET6
1033                                         if (ntype == IS_IP6 && sl != sizeof(struct in6_addr)) {
1034                                                 continue;
1035                                         } else
1036 #endif
1037                                         if (ntype == IS_IP4 && sl != sizeof(struct in_addr)) {
1038                                                 continue;
1039                                         }
1040                                         if (!memcmp(sn, &addr, sl)) {
1041                                                 break;
1042                                         }
1043                                 }
1044                         }
1045
1046                         GENERAL_NAMES_free(alt);
1047                         if (i < n) {    /* Found a match */
1048                                 ret = LDAP_SUCCESS;
1049                         }
1050                 }
1051         }
1052
1053         if (ret != LDAP_SUCCESS) {
1054                 X509_NAME *xn;
1055                 char buf[2048];
1056                 buf[0] = '\0';
1057
1058                 xn = X509_get_subject_name(x);
1059                 if( X509_NAME_get_text_by_NID( xn, NID_commonName,
1060                         buf, sizeof(buf)) == -1)
1061                 {
1062 #ifdef NEW_LOGGING
1063                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_check_hostname: "
1064                                 "TLS unable to get common name from peer certificate.\n",
1065                                 0, 0, 0 );
1066 #else
1067                         Debug( LDAP_DEBUG_ANY,
1068                                 "TLS: unable to get common name from peer certificate.\n",
1069                                 0, 0, 0 );
1070 #endif
1071                 ret = LDAP_CONNECT_ERROR;
1072                         ld->ld_error = LDAP_STRDUP(
1073                                 _("TLS: unable to get CN from peer certificate"));
1074
1075                 } else if (strcasecmp(name, buf) == 0 ) {
1076                         ret = LDAP_SUCCESS;
1077
1078                 } else if (( buf[0] == '*' ) && ( buf[1] == '.' )) {
1079                         char *domain = strchr(name, '.');
1080                         if( domain ) {
1081                                 size_t dlen = 0;
1082                                 size_t sl;
1083
1084                                 sl = strlen(name);
1085                                 dlen = sl - (domain-name);
1086                                 sl = strlen(buf);
1087
1088                                 /* Is this a wildcard match? */
1089                                 if ((dlen == sl-1) && !strncasecmp(domain, &buf[1], dlen)) {
1090                                         ret = LDAP_SUCCESS;
1091                                 }
1092                         }
1093                 }
1094
1095                 if( ret == LDAP_LOCAL_ERROR ) {
1096 #ifdef NEW_LOGGING
1097                  LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_check_hostname: "
1098                          "TLS hostname (%s) does not match "
1099                          "common name in certificate (%s).\n", name, buf, 0 );
1100 #else
1101                  Debug( LDAP_DEBUG_ANY, "TLS: hostname (%s) does not match "
1102                          "common name in certificate (%s).\n",
1103                          name, buf, 0 );
1104 #endif
1105                  ret = LDAP_CONNECT_ERROR;
1106                  ld->ld_error = LDAP_STRDUP(
1107                          _("TLS: hostname does not match CN in peer certificate"));
1108                 }
1109         }
1110         X509_free(x);
1111         return ret;
1112 }
1113
1114 const char *
1115 ldap_pvt_tls_get_peer_issuer( void *s )
1116 {
1117 #if 0   /* currently unused; see ldap_pvt_tls_get_peer_dn() if needed */
1118         X509 *x;
1119         X509_NAME *xn;
1120         char buf[2048], *p;
1121
1122         x = SSL_get_peer_certificate((SSL *)s);
1123
1124         if (!x) return NULL;
1125
1126         xn = X509_get_issuer_name(x);
1127         p = LDAP_STRDUP(X509_NAME_oneline(xn, buf, sizeof(buf)));
1128         X509_free(x);
1129         return p;
1130 #else
1131         return NULL;
1132 #endif
1133 }
1134
1135 int
1136 ldap_int_tls_config( LDAP *ld, int option, const char *arg )
1137 {
1138         int i;
1139
1140         switch( option ) {
1141         case LDAP_OPT_X_TLS_CACERTFILE:
1142         case LDAP_OPT_X_TLS_CACERTDIR:
1143         case LDAP_OPT_X_TLS_CERTFILE:
1144         case LDAP_OPT_X_TLS_KEYFILE:
1145         case LDAP_OPT_X_TLS_RANDOM_FILE:
1146                 return ldap_pvt_tls_set_option( ld, option, (void *) arg );
1147
1148         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1149         case LDAP_OPT_X_TLS:
1150                 i = -1;
1151                 if ( strcasecmp( arg, "never" ) == 0 ) {
1152                         i = LDAP_OPT_X_TLS_NEVER ;
1153
1154                 } else if ( strcasecmp( arg, "demand" ) == 0 ) {
1155                         i = LDAP_OPT_X_TLS_DEMAND ;
1156
1157                 } else if ( strcasecmp( arg, "allow" ) == 0 ) {
1158                         i = LDAP_OPT_X_TLS_ALLOW ;
1159
1160                 } else if ( strcasecmp( arg, "try" ) == 0 ) {
1161                         i = LDAP_OPT_X_TLS_TRY ;
1162
1163                 } else if ( ( strcasecmp( arg, "hard" ) == 0 ) ||
1164                         ( strcasecmp( arg, "on" ) == 0 ) ||
1165                         ( strcasecmp( arg, "yes" ) == 0) ||
1166                         ( strcasecmp( arg, "true" ) == 0 ) )
1167                 {
1168                         i = LDAP_OPT_X_TLS_HARD ;
1169                 }
1170
1171                 if (i >= 0) {
1172                         return ldap_pvt_tls_set_option( ld, option, &i );
1173                 }
1174                 return -1;
1175         }
1176
1177         return -1;
1178 }
1179
1180 int
1181 ldap_pvt_tls_get_option( LDAP *ld, int option, void *arg )
1182 {
1183         struct ldapoptions *lo;
1184
1185         if( ld != NULL ) {
1186                 assert( LDAP_VALID( ld ) );
1187
1188                 if( !LDAP_VALID( ld ) ) {
1189                         return LDAP_OPT_ERROR;
1190                 }
1191
1192                 lo = &ld->ld_options;
1193
1194         } else {
1195                 /* Get pointer to global option structure */
1196                 lo = LDAP_INT_GLOBAL_OPT();
1197                 if ( lo == NULL ) {
1198                         return LDAP_NO_MEMORY;
1199                 }
1200         }
1201
1202         switch( option ) {
1203         case LDAP_OPT_X_TLS:
1204                 *(int *)arg = lo->ldo_tls_mode;
1205                 break;
1206         case LDAP_OPT_X_TLS_CTX:
1207                 if ( ld == NULL ) {
1208                         *(void **)arg = (void *) tls_def_ctx;
1209                 } else {
1210                         *(void **)arg = ld->ld_defconn->lconn_tls_ctx;
1211                 }
1212                 break;
1213         case LDAP_OPT_X_TLS_CACERTFILE:
1214                 *(char **)arg = tls_opt_cacertfile ?
1215                         LDAP_STRDUP( tls_opt_cacertfile ) : NULL;
1216                 break;
1217         case LDAP_OPT_X_TLS_CACERTDIR:
1218                 *(char **)arg = tls_opt_cacertdir ?
1219                         LDAP_STRDUP( tls_opt_cacertdir ) : NULL;
1220                 break;
1221         case LDAP_OPT_X_TLS_CERTFILE:
1222                 *(char **)arg = tls_opt_certfile ?
1223                         LDAP_STRDUP( tls_opt_certfile ) : NULL;
1224                 break;
1225         case LDAP_OPT_X_TLS_KEYFILE:
1226                 *(char **)arg = tls_opt_keyfile ?
1227                         LDAP_STRDUP( tls_opt_keyfile ) : NULL;
1228                 break;
1229         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1230                 *(int *)arg = tls_opt_require_cert;
1231                 break;
1232         case LDAP_OPT_X_TLS_RANDOM_FILE:
1233                 *(char **)arg = tls_opt_randfile ?
1234                         LDAP_STRDUP( tls_opt_randfile ) : NULL;
1235                 break;
1236         case LDAP_OPT_X_TLS_SSL_CTX: {
1237                 void *retval = 0;
1238                 if ( ld != NULL ) {
1239                         LDAPConn *conn = ld->ld_defconn;
1240                         if ( conn != NULL ) {
1241                                 Sockbuf *sb = conn->lconn_sb;
1242                                 retval = ldap_pvt_tls_sb_ctx( sb );
1243                         }
1244                 }
1245                 *(void **)arg = retval;
1246                 break;
1247         }
1248         default:
1249                 return -1;
1250         }
1251         return 0;
1252 }
1253
1254 int
1255 ldap_pvt_tls_set_option( LDAP *ld, int option, void *arg )
1256 {
1257         struct ldapoptions *lo;
1258
1259         if( ld != NULL ) {
1260                 assert( LDAP_VALID( ld ) );
1261
1262                 if( !LDAP_VALID( ld ) ) {
1263                         return LDAP_OPT_ERROR;
1264                 }
1265
1266                 lo = &ld->ld_options;
1267
1268         } else {
1269                 /* Get pointer to global option structure */
1270                 lo = LDAP_INT_GLOBAL_OPT();
1271                 if ( lo == NULL ) {
1272                         return LDAP_NO_MEMORY;
1273                 }
1274         }
1275
1276         switch( option ) {
1277         case LDAP_OPT_X_TLS:
1278                 switch( *(int *) arg ) {
1279                 case LDAP_OPT_X_TLS_NEVER:
1280                 case LDAP_OPT_X_TLS_DEMAND:
1281                 case LDAP_OPT_X_TLS_ALLOW:
1282                 case LDAP_OPT_X_TLS_TRY:
1283                 case LDAP_OPT_X_TLS_HARD:
1284                         if (lo != NULL) {
1285                                 lo->ldo_tls_mode = *(int *)arg;
1286                         }
1287
1288                         return 0;
1289                 }
1290                 return -1;
1291
1292         case LDAP_OPT_X_TLS_CTX:
1293                 if ( ld == NULL ) {
1294                         tls_def_ctx = (SSL_CTX *) arg;
1295
1296                 } else {
1297                         ld->ld_defconn->lconn_tls_ctx = arg;
1298                 }
1299                 return 0;
1300         }
1301
1302         if ( ld != NULL ) {
1303                 return -1;
1304         }
1305
1306         switch( option ) {
1307         case LDAP_OPT_X_TLS_CACERTFILE:
1308                 if ( tls_opt_cacertfile ) LDAP_FREE( tls_opt_cacertfile );
1309                 tls_opt_cacertfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1310                 break;
1311         case LDAP_OPT_X_TLS_CACERTDIR:
1312                 if ( tls_opt_cacertdir ) LDAP_FREE( tls_opt_cacertdir );
1313                 tls_opt_cacertdir = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1314                 break;
1315         case LDAP_OPT_X_TLS_CERTFILE:
1316                 if ( tls_opt_certfile ) LDAP_FREE( tls_opt_certfile );
1317                 tls_opt_certfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1318                 break;
1319         case LDAP_OPT_X_TLS_KEYFILE:
1320                 if ( tls_opt_keyfile ) LDAP_FREE( tls_opt_keyfile );
1321                 tls_opt_keyfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1322                 break;
1323         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1324                 switch( *(int *) arg ) {
1325                 case LDAP_OPT_X_TLS_NEVER:
1326                 case LDAP_OPT_X_TLS_DEMAND:
1327                 case LDAP_OPT_X_TLS_ALLOW:
1328                 case LDAP_OPT_X_TLS_TRY:
1329                 case LDAP_OPT_X_TLS_HARD:
1330                         tls_opt_require_cert = * (int *) arg;
1331                         return 0;
1332                 }
1333                 return -1;
1334         case LDAP_OPT_X_TLS_CIPHER_SUITE:
1335                 if ( tls_opt_ciphersuite ) LDAP_FREE( tls_opt_ciphersuite );
1336                 tls_opt_ciphersuite = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1337                 break;
1338         case LDAP_OPT_X_TLS_RANDOM_FILE:
1339                 if (tls_opt_randfile ) LDAP_FREE (tls_opt_randfile );
1340                 tls_opt_randfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1341                 break;
1342         default:
1343                 return -1;
1344         }
1345         return 0;
1346 }
1347
1348 int
1349 ldap_int_tls_start ( LDAP *ld, LDAPConn *conn, LDAPURLDesc *srv )
1350 {
1351         Sockbuf *sb = conn->lconn_sb;
1352         char *host;
1353         void *ssl;
1354
1355         if( srv ) {
1356                 host = srv->lud_host;
1357         } else {
1358                 host = conn->lconn_server->lud_host;
1359         }
1360
1361         /* avoid NULL host */
1362         if( host == NULL ) {
1363                 host = "localhost";
1364         }
1365
1366         (void) ldap_pvt_tls_init();
1367
1368         /*
1369          * Fortunately, the lib uses blocking io...
1370          */
1371         if ( ldap_int_tls_connect( ld, conn ) < 0 ) {
1372                 ld->ld_errno = LDAP_CONNECT_ERROR;
1373                 return (ld->ld_errno);
1374         }
1375
1376         ssl = ldap_pvt_tls_sb_ctx( sb );
1377         assert( ssl != NULL );
1378
1379         /*
1380          * compare host with name(s) in certificate
1381          */
1382         if (tls_opt_require_cert != LDAP_OPT_X_TLS_NEVER) {
1383                 ld->ld_errno = ldap_pvt_tls_check_hostname( ld, ssl, host );
1384                 if (ld->ld_errno != LDAP_SUCCESS) {
1385                         return ld->ld_errno;
1386                 }
1387         }
1388
1389         return LDAP_SUCCESS;
1390 }
1391
1392 /* Derived from openssl/apps/s_cb.c */
1393 static void
1394 tls_info_cb( const SSL *ssl, int where, int ret )
1395 {
1396         int w;
1397         char *op;
1398         char *state = (char *) SSL_state_string_long( (SSL *)ssl );
1399
1400         w = where & ~SSL_ST_MASK;
1401         if ( w & SSL_ST_CONNECT ) {
1402                 op = "SSL_connect";
1403         } else if ( w & SSL_ST_ACCEPT ) {
1404                 op = "SSL_accept";
1405         } else {
1406                 op = "undefined";
1407         }
1408
1409 #ifdef HAVE_EBCDIC
1410         if ( state ) {
1411                 state = LDAP_STRDUP( state );
1412                 __etoa( state );
1413         }
1414 #endif
1415         if ( where & SSL_CB_LOOP ) {
1416 #ifdef NEW_LOGGING
1417                 LDAP_LOG ( TRANSPORT, DETAIL1, "tls_info_cb: "
1418                         "TLS trace: %s:%s\n", op, state, 0 );
1419 #else
1420                 Debug( LDAP_DEBUG_TRACE,
1421                            "TLS trace: %s:%s\n",
1422                            op, state, 0 );
1423 #endif
1424
1425         } else if ( where & SSL_CB_ALERT ) {
1426                 char *atype = (char *) SSL_alert_type_string_long( ret );
1427                 char *adesc = (char *) SSL_alert_desc_string_long( ret );
1428                 op = ( where & SSL_CB_READ ) ? "read" : "write";
1429 #ifdef HAVE_EBCDIC
1430                 if ( atype ) {
1431                         atype = LDAP_STRDUP( atype );
1432                         __etoa( atype );
1433                 }
1434                 if ( adesc ) {
1435                         adesc = LDAP_STRDUP( adesc );
1436                         __etoa( adesc );
1437                 }
1438 #endif
1439 #ifdef NEW_LOGGING
1440                 LDAP_LOG ( TRANSPORT, DETAIL1,
1441                         "tls_info_cb: TLS trace: SSL3 alert %s:%s:%s\n",
1442                         op, atype, adesc );
1443 #else
1444                 Debug( LDAP_DEBUG_TRACE,
1445                            "TLS trace: SSL3 alert %s:%s:%s\n",
1446                            op, atype, adesc );
1447 #endif
1448 #ifdef HAVE_EBCDIC
1449                 if ( atype ) LDAP_FREE( atype );
1450                 if ( adesc ) LDAP_FREE( adesc );
1451 #endif
1452         } else if ( where & SSL_CB_EXIT ) {
1453                 if ( ret == 0 ) {
1454 #ifdef NEW_LOGGING
1455                         LDAP_LOG ( TRANSPORT, ERR,
1456                                 "tls_info_cb: TLS trace: %s:failed in %s\n",
1457                                 op, state, 0 );
1458 #else
1459                         Debug( LDAP_DEBUG_TRACE,
1460                                    "TLS trace: %s:failed in %s\n",
1461                                    op, state, 0 );
1462 #endif
1463                 } else if ( ret < 0 ) {
1464 #ifdef NEW_LOGGING
1465                         LDAP_LOG ( TRANSPORT, ERR,
1466                                 "tls_info_cb: TLS trace: %s:error in %s\n",
1467                                 op, state, 0 );
1468 #else
1469                         Debug( LDAP_DEBUG_TRACE,
1470                                    "TLS trace: %s:error in %s\n",
1471                                    op, state, 0 );
1472 #endif
1473                 }
1474         }
1475 #ifdef HAVE_EBCDIC
1476         if ( state ) LDAP_FREE( state );
1477 #endif
1478 }
1479
1480 static int
1481 tls_verify_cb( int ok, X509_STORE_CTX *ctx )
1482 {
1483         X509 *cert;
1484         int errnum;
1485         int errdepth;
1486         X509_NAME *subject;
1487         X509_NAME *issuer;
1488         char *sname;
1489         char *iname;
1490         char *certerr = NULL;
1491
1492         cert = X509_STORE_CTX_get_current_cert( ctx );
1493         errnum = X509_STORE_CTX_get_error( ctx );
1494         errdepth = X509_STORE_CTX_get_error_depth( ctx );
1495
1496         /*
1497          * X509_get_*_name return pointers to the internal copies of
1498          * those things requested.  So do not free them.
1499          */
1500         subject = X509_get_subject_name( cert );
1501         issuer = X509_get_issuer_name( cert );
1502         /* X509_NAME_oneline, if passed a NULL buf, allocate memomry */
1503         sname = X509_NAME_oneline( subject, NULL, 0 );
1504         iname = X509_NAME_oneline( issuer, NULL, 0 );
1505         if ( !ok ) certerr = (char *)X509_verify_cert_error_string( errnum );
1506 #ifdef HAVE_EBCDIC
1507         if ( sname ) __etoa( sname );
1508         if ( iname ) __etoa( iname );
1509         if ( certerr ) {
1510                 certerr = LDAP_STRDUP( certerr );
1511                 __etoa( certerr );
1512         }
1513 #endif
1514 #ifdef NEW_LOGGING
1515         LDAP_LOG( TRANSPORT, ERR,
1516                    "TLS certificate verification: depth: %d, err: %d, subject: %s,",
1517                    errdepth, errnum,
1518                    sname ? sname : "-unknown-" );
1519         LDAP_LOG( TRANSPORT, ERR, " issuer: %s\n", iname ? iname : "-unknown-", 0, 0 );
1520         if ( !ok ) {
1521                 LDAP_LOG ( TRANSPORT, ERR,
1522                         "TLS certificate verification: Error, %s\n",
1523                         certerr, 0, 0 );
1524         }
1525 #else
1526         Debug( LDAP_DEBUG_TRACE,
1527                    "TLS certificate verification: depth: %d, err: %d, subject: %s,",
1528                    errdepth, errnum,
1529                    sname ? sname : "-unknown-" );
1530         Debug( LDAP_DEBUG_TRACE, " issuer: %s\n", iname ? iname : "-unknown-", 0, 0 );
1531         if ( !ok ) {
1532                 Debug( LDAP_DEBUG_ANY,
1533                         "TLS certificate verification: Error, %s\n",
1534                         certerr, 0, 0 );
1535         }
1536 #endif
1537         if ( sname )
1538                 CRYPTO_free ( sname );
1539         if ( iname )
1540                 CRYPTO_free ( iname );
1541 #ifdef HAVE_EBCDIC
1542         if ( certerr ) LDAP_FREE( certerr );
1543 #endif
1544         return ok;
1545 }
1546
1547 static int
1548 tls_verify_ok( int ok, X509_STORE_CTX *ctx )
1549 {
1550         (void) tls_verify_cb( ok, ctx );
1551         return 1;
1552 }
1553
1554 /* Inspired by ERR_print_errors in OpenSSL */
1555 static void
1556 tls_report_error( void )
1557 {
1558         unsigned long l;
1559         char buf[200];
1560         const char *file;
1561         int line;
1562
1563         while ( ( l = ERR_get_error_line( &file, &line ) ) != 0 ) {
1564                 ERR_error_string_n( l, buf, sizeof( buf ) );
1565 #ifdef HAVE_EBCDIC
1566                 if ( file ) {
1567                         file = LDAP_STRDUP( file );
1568                         __etoa( (char *)file );
1569                 }
1570                 __etoa( buf );
1571 #endif
1572 #ifdef NEW_LOGGING
1573                 LDAP_LOG ( TRANSPORT, ERR,
1574                         "tls_report_error: TLS %s %s:%d\n",
1575                         buf, file, line );
1576 #else
1577                 Debug( LDAP_DEBUG_ANY, "TLS: %s %s:%d\n",
1578                         buf, file, line );
1579 #endif
1580 #ifdef HAVE_EBCDIC
1581                 if ( file ) LDAP_FREE( (void *)file );
1582 #endif
1583         }
1584 }
1585
1586 static RSA *
1587 tls_tmp_rsa_cb( SSL *ssl, int is_export, int key_length )
1588 {
1589         RSA *tmp_rsa;
1590
1591         /* FIXME:  Pregenerate the key on startup */
1592         /* FIXME:  Who frees the key? */
1593         tmp_rsa = RSA_generate_key( key_length, RSA_F4, NULL, NULL );
1594
1595         if ( !tmp_rsa ) {
1596 #ifdef NEW_LOGGING
1597                 LDAP_LOG ( TRANSPORT, ERR,
1598                         "tls_tmp_rsa_cb: TLS Failed to generate temporary %d-bit %s "
1599                         "RSA key\n", key_length, is_export ? "export" : "domestic", 0 );
1600 #else
1601                 Debug( LDAP_DEBUG_ANY,
1602                         "TLS: Failed to generate temporary %d-bit %s RSA key\n",
1603                         key_length, is_export ? "export" : "domestic", 0 );
1604 #endif
1605                 return NULL;
1606         }
1607         return tmp_rsa;
1608 }
1609
1610 static int
1611 tls_seed_PRNG( const char *randfile )
1612 {
1613 #ifndef URANDOM_DEVICE
1614         /* no /dev/urandom (or equiv) */
1615         long total=0;
1616         char buffer[MAXPATHLEN];
1617
1618         if (randfile == NULL) {
1619                 /* The seed file is $RANDFILE if defined, otherwise $HOME/.rnd.
1620                  * If $HOME is not set or buffer too small to hold the pathname,
1621                  * an error occurs.     - From RAND_file_name() man page.
1622                  * The fact is that when $HOME is NULL, .rnd is used.
1623                  */
1624                 randfile = RAND_file_name( buffer, sizeof( buffer ) );
1625
1626         } else if (RAND_egd(randfile) > 0) {
1627                 /* EGD socket */
1628                 return 0;
1629         }
1630
1631         if (randfile == NULL) {
1632 #ifdef NEW_LOGGING
1633                 LDAP_LOG ( TRANSPORT, DETAIL1,
1634                         "tls_seed_PRNG: TLS Use configuration file or "
1635                         "$RANDFILE to define seed PRNG\n", 0, 0, 0 );
1636 #else
1637                 Debug( LDAP_DEBUG_ANY,
1638                         "TLS: Use configuration file or $RANDFILE to define seed PRNG\n",
1639                         0, 0, 0);
1640 #endif
1641                 return -1;
1642         }
1643
1644         total = RAND_load_file(randfile, -1);
1645
1646         if (RAND_status() == 0) {
1647 #ifdef NEW_LOGGING
1648                 LDAP_LOG ( TRANSPORT, DETAIL1,
1649                         "tls_seed_PRNG: TLS PRNG not been seeded with enough data\n",
1650                         0, 0, 0 );
1651 #else
1652                 Debug( LDAP_DEBUG_ANY,
1653                         "TLS: PRNG not been seeded with enough data\n",
1654                         0, 0, 0);
1655 #endif
1656                 return -1;
1657         }
1658
1659         /* assume if there was enough bits to seed that it's okay
1660          * to write derived bits to the file
1661          */
1662         RAND_write_file(randfile);
1663
1664 #endif
1665
1666         return 0;
1667 }
1668
1669 #if 0
1670 static DH *
1671 tls_tmp_dh_cb( SSL *ssl, int is_export, int key_length )
1672 {
1673         return NULL;
1674 }
1675 #endif
1676 #endif
1677
1678 void *
1679 ldap_pvt_tls_sb_ctx( Sockbuf *sb )
1680 {
1681 #ifdef HAVE_TLS
1682         void                    *p;
1683
1684         if (HAS_TLS( sb )) {
1685                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&p );
1686                 return p;
1687         }
1688 #endif
1689
1690         return NULL;
1691 }
1692
1693 int
1694 ldap_pvt_tls_get_strength( void *s )
1695 {
1696 #ifdef HAVE_TLS
1697         SSL_CIPHER *c;
1698
1699         c = SSL_get_current_cipher((SSL *)s);
1700         return SSL_CIPHER_get_bits(c, NULL);
1701 #else
1702         return 0;
1703 #endif
1704 }
1705
1706
1707 int
1708 ldap_pvt_tls_get_my_dn( void *s, struct berval *dn, LDAPDN_rewrite_dummy *func, unsigned flags )
1709 {
1710 #ifdef HAVE_TLS
1711         X509 *x;
1712         X509_NAME *xn;
1713         int rc;
1714
1715         x = SSL_get_certificate((SSL *)s);
1716
1717         if (!x) return LDAP_INVALID_CREDENTIALS;
1718
1719         xn = X509_get_subject_name(x);
1720         rc = ldap_X509dn2bv(xn, dn, (LDAPDN_rewrite_func *)func, flags );
1721         return rc;
1722 #else
1723         return LDAP_NOT_SUPPORTED;
1724 #endif
1725 }
1726
1727 int
1728 ldap_start_tls_s ( LDAP *ld,
1729         LDAPControl **serverctrls,
1730         LDAPControl **clientctrls )
1731 {
1732         int rc;
1733
1734 #ifdef HAVE_TLS
1735         char *rspoid = NULL;
1736         struct berval *rspdata = NULL;
1737
1738         /* XXYYZ: this initiates operation only on default connection! */
1739
1740         if ( ld->ld_sb != NULL && ldap_pvt_tls_inplace( ld->ld_sb ) != 0 ) {
1741                 return LDAP_LOCAL_ERROR;
1742         }
1743
1744         rc = ldap_extended_operation_s( ld, LDAP_EXOP_START_TLS,
1745                 NULL, serverctrls, clientctrls, &rspoid, &rspdata );
1746
1747         if ( rspoid != NULL ) {
1748                 LDAP_FREE(rspoid);
1749         }
1750
1751         if ( rspdata != NULL ) {
1752                 ber_bvfree( rspdata );
1753         }
1754
1755         if ( rc == LDAP_SUCCESS ) {
1756                 rc = ldap_int_tls_start( ld, ld->ld_defconn, NULL );
1757         }
1758
1759 #else
1760         rc = LDAP_NOT_SUPPORTED;
1761 #endif
1762         return rc;
1763 }
1764