git.sur5r.net Git - openldap/blob - libraries/libldap/tls.c

   1 /* tls.c - Handle tls/ssl using SSLeay or OpenSSL. */
   2 /* $OpenLDAP$ */
   3 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
   4  *
   5  * Copyright 1998-2004 The OpenLDAP Foundation.
   6  * All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted only as authorized by the OpenLDAP
  10  * Public License.
  11  *
  12  * A copy of this license is available in the file LICENSE in the
  13  * top-level directory of the distribution or, alternatively, at
  14  * <http://www.OpenLDAP.org/license.html>.
  15  */
  16
  17 #include "portable.h"
  18 #include "ldap_config.h"
  19
  20 #include <stdio.h>
  21
  22 #include <ac/stdlib.h>
  23 #include <ac/errno.h>
  24 #include <ac/socket.h>
  25 #include <ac/string.h>
  26 #include <ac/ctype.h>
  27 #include <ac/time.h>
  28 #include <ac/unistd.h>
  29 #include <ac/param.h>
  30 #include <ac/dirent.h>
  31
  32 #include "ldap-int.h"
  33
  34 #ifdef HAVE_TLS
  35
  36 #ifdef LDAP_R_COMPILE
  37 #include <ldap_pvt_thread.h>
  38 #endif
  39
  40 #ifdef HAVE_OPENSSL_SSL_H
  41 #include <openssl/ssl.h>
  42 #include <openssl/x509v3.h>
  43 #include <openssl/err.h>
  44 #include <openssl/rand.h>
  45 #include <openssl/safestack.h>
  46 #elif defined( HAVE_SSL_H )
  47 #include <ssl.h>
  48 #endif
  49
  50 static int  tls_opt_trace = 1;
  51 static char *tls_opt_certfile = NULL;
  52 static char *tls_opt_keyfile = NULL;
  53 static char *tls_opt_cacertfile = NULL;
  54 static char *tls_opt_cacertdir = NULL;
  55 static int  tls_opt_require_cert = LDAP_OPT_X_TLS_DEMAND;
  56 static char *tls_opt_ciphersuite = NULL;
  57 static char *tls_opt_randfile = NULL;
  58
  59 #define HAS_TLS( sb )   ber_sockbuf_ctrl( sb, LBER_SB_OPT_HAS_IO, \
  60                                 (void *)&sb_tls_sbio )
  61
  62 static void tls_report_error( void );
  63
  64 static void tls_info_cb( const SSL *ssl, int where, int ret );
  65 static int tls_verify_cb( int ok, X509_STORE_CTX *ctx );
  66 static int tls_verify_ok( int ok, X509_STORE_CTX *ctx );
  67 static RSA * tls_tmp_rsa_cb( SSL *ssl, int is_export, int key_length );
  68 static STACK_OF(X509_NAME) * get_ca_list( char * bundle, char * dir );
  69
  70 #if 0   /* Currently this is not used by anyone */
  71 static DH * tls_tmp_dh_cb( SSL *ssl, int is_export, int key_length );
  72 #endif
  73
  74 static SSL_CTX *tls_def_ctx = NULL;
  75
  76 static int tls_seed_PRNG( const char *randfile );
  77
  78 #ifdef LDAP_R_COMPILE
  79 /*
  80  * provide mutexes for the SSLeay library.
  81  */
  82 static ldap_pvt_thread_mutex_t  tls_mutexes[CRYPTO_NUM_LOCKS];
  83
  84 static void tls_locking_cb( int mode, int type, const char *file, int line )
  85 {
  86         if ( mode & CRYPTO_LOCK ) {
  87                 ldap_pvt_thread_mutex_lock( &tls_mutexes[type] );
  88         } else {
  89                 ldap_pvt_thread_mutex_unlock( &tls_mutexes[type] );
  90         }
  91 }
  92
  93 /*
  94  * an extra mutex for the default ctx.
  95  */
  96
  97 static ldap_pvt_thread_mutex_t tls_def_ctx_mutex;
  98
  99 static void tls_init_threads( void )
 100 {
 101         int i;
 102
 103         for( i=0; i< CRYPTO_NUM_LOCKS ; i++ ) {
 104                 ldap_pvt_thread_mutex_init( &tls_mutexes[i] );
 105         }
 106         CRYPTO_set_locking_callback( tls_locking_cb );
 107         /* FIXME: the thread id should be added somehow... */
 108
 109         ldap_pvt_thread_mutex_init( &tls_def_ctx_mutex );
 110 }
 111 #endif /* LDAP_R_COMPILE */
 112
 113 /*
 114  * Tear down the TLS subsystem. Should only be called once.
 115  */
 116 void
 117 ldap_pvt_tls_destroy( void )
 118 {
 119         SSL_CTX_free(tls_def_ctx);
 120         tls_def_ctx = NULL;
 121
 122         EVP_cleanup();
 123         ERR_remove_state(0);
 124         ERR_free_strings();
 125
 126         if ( tls_opt_certfile ) {
 127                 LDAP_FREE( tls_opt_certfile );
 128                 tls_opt_certfile = NULL;
 129         }
 130         if ( tls_opt_keyfile ) {
 131                 LDAP_FREE( tls_opt_keyfile );
 132                 tls_opt_keyfile = NULL;
 133         }
 134         if ( tls_opt_cacertfile ) {
 135                 LDAP_FREE( tls_opt_cacertfile );
 136                 tls_opt_cacertfile = NULL;
 137         }
 138         if ( tls_opt_cacertdir ) {
 139                 LDAP_FREE( tls_opt_cacertdir );
 140                 tls_opt_cacertdir = NULL;
 141         }
 142         if ( tls_opt_ciphersuite ) {
 143                 LDAP_FREE( tls_opt_ciphersuite );
 144                 tls_opt_ciphersuite = NULL;
 145         }
 146         if ( tls_opt_randfile ) {
 147                 LDAP_FREE( tls_opt_randfile );
 148                 tls_opt_randfile = NULL;
 149         }
 150 }
 151
 152 /*
 153  * Initialize TLS subsystem. Should be called only once.
 154  */
 155 int
 156 ldap_pvt_tls_init( void )
 157 {
 158         static int tls_initialized = 0;
 159
 160         if ( tls_initialized++ ) return 0;
 161
 162 #ifdef HAVE_EBCDIC
 163         {
 164                 char *file = LDAP_STRDUP( tls_opt_randfile );
 165                 if ( file ) __atoe( file );
 166                 (void) tls_seed_PRNG( file );
 167                 LDAP_FREE( file );
 168         }
 169 #else
 170         (void) tls_seed_PRNG( tls_opt_randfile );
 171 #endif
 172
 173 #ifdef LDAP_R_COMPILE
 174         tls_init_threads();
 175 #endif
 176
 177         SSL_load_error_strings();
 178         SSLeay_add_ssl_algorithms();
 179
 180         /* FIXME: mod_ssl does this */
 181         X509V3_add_standard_extensions();
 182         return 0;
 183 }
 184
 185 /*
 186  * initialize the default context
 187  */
 188 int
 189 ldap_pvt_tls_init_def_ctx( void )
 190 {
 191         STACK_OF(X509_NAME) *calist;
 192         int rc = 0;
 193         char *ciphersuite = tls_opt_ciphersuite;
 194         char *cacertfile = tls_opt_cacertfile;
 195         char *cacertdir = tls_opt_cacertdir;
 196         char *certfile = tls_opt_certfile;
 197         char *keyfile = tls_opt_keyfile;
 198
 199 #ifdef HAVE_EBCDIC
 200         /* This ASCII/EBCDIC handling is a real pain! */
 201         if ( ciphersuite ) {
 202                 ciphersuite = LDAP_STRDUP( ciphersuite );
 203                 __atoe( ciphersuite );
 204         }
 205         if ( cacertfile ) {
 206                 cacertfile = LDAP_STRDUP( cacertfile );
 207                 __atoe( cacertfile );
 208         }
 209         if ( cacertdir ) {
 210                 cacertdir = LDAP_STRDUP( cacertdir );
 211                 __atoe( cacertdir );
 212         }
 213         if ( certfile ) {
 214                 certfile = LDAP_STRDUP( certfile );
 215                 __atoe( certfile );
 216         }
 217         if ( keyfile ) {
 218                 keyfile = LDAP_STRDUP( keyfile );
 219                 __atoe( keyfile );
 220         }
 221 #endif
 222
 223 #ifdef LDAP_R_COMPILE
 224         ldap_pvt_thread_mutex_lock( &tls_def_ctx_mutex );
 225 #endif
 226         if ( tls_def_ctx == NULL ) {
 227                 int i;
 228                 tls_def_ctx = SSL_CTX_new( SSLv23_method() );
 229                 if ( tls_def_ctx == NULL ) {
 230 #ifdef NEW_LOGGING
 231                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 232                                 "TLS could not allocate default ctx (%d).\n",
 233                                 ERR_peek_error(), 0, 0 );
 234 #else
 235                         Debug( LDAP_DEBUG_ANY,
 236                            "TLS: could not allocate default ctx (%lu).\n",
 237                                 ERR_peek_error(),0,0);
 238 #endif
 239                         rc = -1;
 240                         goto error_exit;
 241                 }
 242
 243                 SSL_CTX_set_session_id_context( tls_def_ctx,
 244                         (const unsigned char *) "OpenLDAP", sizeof("OpenLDAP")-1 );
 245
 246                 if ( tls_opt_ciphersuite &&
 247                         !SSL_CTX_set_cipher_list( tls_def_ctx, ciphersuite ) )
 248                 {
 249 #ifdef NEW_LOGGING
 250                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 251                                 "TLS could not set cipher list %s.\n",
 252                                 tls_opt_ciphersuite, 0, 0 );
 253 #else
 254                         Debug( LDAP_DEBUG_ANY,
 255                                    "TLS: could not set cipher list %s.\n",
 256                                    tls_opt_ciphersuite, 0, 0 );
 257 #endif
 258                         tls_report_error();
 259                         rc = -1;
 260                         goto error_exit;
 261                 }
 262
 263                 if (tls_opt_cacertfile != NULL || tls_opt_cacertdir != NULL) {
 264                         if ( !SSL_CTX_load_verify_locations( tls_def_ctx,
 265                                         cacertfile, cacertdir ) ||
 266                                 !SSL_CTX_set_default_verify_paths( tls_def_ctx ) )
 267                         {
 268 #ifdef NEW_LOGGING
 269                                 LDAP_LOG ( TRANSPORT, ERR,
 270                                         "ldap_pvt_tls_init_def_ctx: "
 271                                         "TLS could not load verify locations "
 272                                         "(file:`%s',dir:`%s').\n",
 273                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 274                                         tls_opt_cacertdir ? tls_opt_cacertdir : "", 0 );
 275 #else
 276                                 Debug( LDAP_DEBUG_ANY, "TLS: "
 277                                         "could not load verify locations (file:`%s',dir:`%s').\n",
 278                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 279                                         tls_opt_cacertdir ? tls_opt_cacertdir : "",
 280                                         0 );
 281 #endif
 282                                 tls_report_error();
 283                                 rc = -1;
 284                                 goto error_exit;
 285                         }
 286
 287                         calist = get_ca_list( cacertfile, cacertdir );
 288                         if ( !calist ) {
 289 #ifdef NEW_LOGGING
 290                                 LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 291                                         "TLS could not load client CA list (file: `%s',dir:`%s')\n",
 292                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 293                                         tls_opt_cacertdir ? tls_opt_cacertdir : "", 0 );
 294 #else
 295                                 Debug( LDAP_DEBUG_ANY, "TLS: "
 296                                         "could not load client CA list (file:`%s',dir:`%s').\n",
 297                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 298                                         tls_opt_cacertdir ? tls_opt_cacertdir : "",
 299                                         0 );
 300 #endif
 301                                 tls_report_error();
 302                                 rc = -1;
 303                                 goto error_exit;
 304                         }
 305
 306                         SSL_CTX_set_client_CA_list( tls_def_ctx, calist );
 307                 }
 308
 309                 if ( tls_opt_keyfile &&
 310                         !SSL_CTX_use_PrivateKey_file( tls_def_ctx,
 311                                 keyfile, SSL_FILETYPE_PEM ) )
 312                 {
 313 #ifdef NEW_LOGGING
 314                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 315                                 "TLS could not use key file `%s'.\n", tls_opt_keyfile, 0, 0 );
 316 #else
 317                         Debug( LDAP_DEBUG_ANY,
 318                                 "TLS: could not use key file `%s'.\n",
 319                                 tls_opt_keyfile,0,0);
 320 #endif
 321                         tls_report_error();
 322                         rc = -1;
 323                         goto error_exit;
 324                 }
 325
 326                 if ( tls_opt_certfile &&
 327                         !SSL_CTX_use_certificate_file( tls_def_ctx,
 328                                 certfile, SSL_FILETYPE_PEM ) )
 329                 {
 330 #ifdef NEW_LOGGING
 331                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 332                                 "TLS could not use certificate `%s'.\n",
 333                                 tls_opt_certfile, 0, 0 );
 334 #else
 335                         Debug( LDAP_DEBUG_ANY,
 336                                 "TLS: could not use certificate `%s'.\n",
 337                                 tls_opt_certfile,0,0);
 338 #endif
 339                         tls_report_error();
 340                         rc = -1;
 341                         goto error_exit;
 342                 }
 343
 344                 if ( ( tls_opt_certfile || tls_opt_keyfile ) &&
 345                         !SSL_CTX_check_private_key( tls_def_ctx ) )
 346                 {
 347 #ifdef NEW_LOGGING
 348                         LDAP_LOG ( TRANSPORT, ERR,
 349                                 "ldap_pvt_tls_init_def_ctx: TLS private key mismatch.\n",
 350                                 0, 0, 0 );
 351 #else
 352                         Debug( LDAP_DEBUG_ANY,
 353                                 "TLS: private key mismatch.\n",
 354                                 0,0,0);
 355 #endif
 356                         tls_report_error();
 357                         rc = -1;
 358                         goto error_exit;
 359                 }
 360
 361                 if ( tls_opt_trace ) {
 362                         SSL_CTX_set_info_callback( tls_def_ctx, tls_info_cb );
 363                 }
 364
 365                 i = SSL_VERIFY_NONE;
 366                 if ( tls_opt_require_cert ) {
 367                         i = SSL_VERIFY_PEER;
 368                         if ( tls_opt_require_cert == LDAP_OPT_X_TLS_DEMAND ||
 369                                  tls_opt_require_cert == LDAP_OPT_X_TLS_HARD ) {
 370                                 i |= SSL_VERIFY_FAIL_IF_NO_PEER_CERT;
 371                         }
 372                 }
 373
 374                 SSL_CTX_set_verify( tls_def_ctx, i,
 375                         tls_opt_require_cert == LDAP_OPT_X_TLS_ALLOW ?
 376                         tls_verify_ok : tls_verify_cb );
 377                 SSL_CTX_set_tmp_rsa_callback( tls_def_ctx, tls_tmp_rsa_cb );
 378                 /* SSL_CTX_set_tmp_dh_callback( tls_def_ctx, tls_tmp_dh_cb ); */
 379         }
 380 error_exit:
 381         if ( rc == -1 && tls_def_ctx != NULL ) {
 382                 SSL_CTX_free( tls_def_ctx );
 383                 tls_def_ctx = NULL;
 384         }
 385 #ifdef HAVE_EBCDIC
 386         LDAP_FREE( ciphersuite );
 387         LDAP_FREE( cacertfile );
 388         LDAP_FREE( cacertdir );
 389         LDAP_FREE( certfile );
 390         LDAP_FREE( keyfile );
 391 #endif
 392 #ifdef LDAP_R_COMPILE
 393         ldap_pvt_thread_mutex_unlock( &tls_def_ctx_mutex );
 394 #endif
 395         return rc;
 396 }
 397
 398 static STACK_OF(X509_NAME) *
 399 get_ca_list( char * bundle, char * dir )
 400 {
 401         STACK_OF(X509_NAME) *ca_list = NULL;
 402
 403         if ( bundle ) {
 404                 ca_list = SSL_load_client_CA_file( bundle );
 405         }
 406 #if defined(HAVE_DIRENT_H) || defined(dirent)
 407         if ( dir ) {
 408                 int freeit = 0;
 409
 410                 if ( !ca_list ) {
 411                         ca_list = sk_X509_NAME_new_null();
 412                         freeit = 1;
 413                 }
 414                 if ( !SSL_add_dir_cert_subjects_to_stack( ca_list, dir ) &&
 415                         freeit ) {
 416                         sk_X509_NAME_free( ca_list );
 417                         ca_list = NULL;
 418                 }
 419         }
 420 #endif
 421         return ca_list;
 422 }
 423
 424 static SSL *
 425 alloc_handle( void *ctx_arg )
 426 {
 427         SSL_CTX *ctx;
 428         SSL     *ssl;
 429
 430         if ( ctx_arg ) {
 431                 ctx = (SSL_CTX *) ctx_arg;
 432         } else {
 433                 if ( ldap_pvt_tls_init_def_ctx() < 0 ) return NULL;
 434                 ctx = tls_def_ctx;
 435         }
 436
 437         ssl = SSL_new( ctx );
 438         if ( ssl == NULL ) {
 439 #ifdef NEW_LOGGING
 440                 LDAP_LOG ( TRANSPORT, ERR,
 441                         "alloc_handle: TLS can't create ssl handle.\n", 0, 0, 0 );
 442 #else
 443                 Debug( LDAP_DEBUG_ANY,"TLS: can't create ssl handle.\n",0,0,0);
 444 #endif
 445                 return NULL;
 446         }
 447         return ssl;
 448 }
 449
 450 static int
 451 update_flags( Sockbuf *sb, SSL * ssl, int rc )
 452 {
 453         int err = SSL_get_error(ssl, rc);
 454
 455         sb->sb_trans_needs_read  = 0;
 456         sb->sb_trans_needs_write = 0;
 457
 458         if (err == SSL_ERROR_WANT_READ) {
 459                 sb->sb_trans_needs_read  = 1;
 460                 return 1;
 461
 462         } else if (err == SSL_ERROR_WANT_WRITE) {
 463                 sb->sb_trans_needs_write = 1;
 464                 return 1;
 465
 466         } else if (err == SSL_ERROR_WANT_CONNECT) {
 467                 return 1;
 468         }
 469         return 0;
 470 }
 471
 472 /*
 473  * TLS support for LBER Sockbufs
 474  */
 475
 476 struct tls_data {
 477         SSL                     *ssl;
 478         Sockbuf_IO_Desc         *sbiod;
 479 };
 480
 481 static BIO_METHOD sb_tls_bio_method;
 482
 483 static int
 484 sb_tls_setup( Sockbuf_IO_Desc *sbiod, void *arg )
 485 {
 486         struct tls_data         *p;
 487         BIO                     *bio;
 488
 489         assert( sbiod != NULL );
 490
 491         p = LBER_MALLOC( sizeof( *p ) );
 492         if ( p == NULL ) {
 493                 return -1;
 494         }
 495
 496         p->ssl = (SSL *)arg;
 497         p->sbiod = sbiod;
 498         bio = BIO_new( &sb_tls_bio_method );
 499         bio->ptr = (void *)p;
 500         SSL_set_bio( p->ssl, bio, bio );
 501         sbiod->sbiod_pvt = p;
 502         return 0;
 503 }
 504
 505 static int
 506 sb_tls_remove( Sockbuf_IO_Desc *sbiod )
 507 {
 508         struct tls_data         *p;
 509
 510         assert( sbiod != NULL );
 511         assert( sbiod->sbiod_pvt != NULL );
 512
 513         p = (struct tls_data *)sbiod->sbiod_pvt;
 514         SSL_free( p->ssl );
 515         LBER_FREE( sbiod->sbiod_pvt );
 516         sbiod->sbiod_pvt = NULL;
 517         return 0;
 518 }
 519
 520 static int
 521 sb_tls_close( Sockbuf_IO_Desc *sbiod )
 522 {
 523         struct tls_data         *p;
 524
 525         assert( sbiod != NULL );
 526         assert( sbiod->sbiod_pvt != NULL );
 527
 528         p = (struct tls_data *)sbiod->sbiod_pvt;
 529         SSL_shutdown( p->ssl );
 530         return 0;
 531 }
 532
 533 static int
 534 sb_tls_ctrl( Sockbuf_IO_Desc *sbiod, int opt, void *arg )
 535 {
 536         struct tls_data         *p;
 537
 538         assert( sbiod != NULL );
 539         assert( sbiod->sbiod_pvt != NULL );
 540
 541         p = (struct tls_data *)sbiod->sbiod_pvt;
 542
 543         if ( opt == LBER_SB_OPT_GET_SSL ) {
 544                 *((SSL **)arg) = p->ssl;
 545                 return 1;
 546
 547         } else if ( opt == LBER_SB_OPT_DATA_READY ) {
 548                 if( SSL_pending( p->ssl ) > 0 ) {
 549                         return 1;
 550                 }
 551         }
 552
 553         return LBER_SBIOD_CTRL_NEXT( sbiod, opt, arg );
 554 }
 555
 556 static ber_slen_t
 557 sb_tls_read( Sockbuf_IO_Desc *sbiod, void *buf, ber_len_t len)
 558 {
 559         struct tls_data         *p;
 560         ber_slen_t              ret;
 561         int                     err;
 562
 563         assert( sbiod != NULL );
 564         assert( SOCKBUF_VALID( sbiod->sbiod_sb ) );
 565
 566         p = (struct tls_data *)sbiod->sbiod_pvt;
 567
 568         ret = SSL_read( p->ssl, (char *)buf, len );
 569 #ifdef HAVE_WINSOCK
 570         errno = WSAGetLastError();
 571 #endif
 572         err = SSL_get_error( p->ssl, ret );
 573         if (err == SSL_ERROR_WANT_READ ) {
 574                 sbiod->sbiod_sb->sb_trans_needs_read = 1;
 575                 errno = EWOULDBLOCK;
 576         }
 577         else
 578                 sbiod->sbiod_sb->sb_trans_needs_read = 0;
 579         return ret;
 580 }
 581
 582 static ber_slen_t
 583 sb_tls_write( Sockbuf_IO_Desc *sbiod, void *buf, ber_len_t len)
 584 {
 585         struct tls_data         *p;
 586         ber_slen_t              ret;
 587         int                     err;
 588
 589         assert( sbiod != NULL );
 590         assert( SOCKBUF_VALID( sbiod->sbiod_sb ) );
 591
 592         p = (struct tls_data *)sbiod->sbiod_pvt;
 593
 594         ret = SSL_write( p->ssl, (char *)buf, len );
 595 #ifdef HAVE_WINSOCK
 596         errno = WSAGetLastError();
 597 #endif
 598         err = SSL_get_error( p->ssl, ret );
 599         if (err == SSL_ERROR_WANT_WRITE ) {
 600                 sbiod->sbiod_sb->sb_trans_needs_write = 1;
 601                 errno = EWOULDBLOCK;
 602
 603         } else {
 604                 sbiod->sbiod_sb->sb_trans_needs_write = 0;
 605         }
 606         return ret;
 607 }
 608
 609 static Sockbuf_IO sb_tls_sbio =
 610 {
 611         sb_tls_setup,           /* sbi_setup */
 612         sb_tls_remove,          /* sbi_remove */
 613         sb_tls_ctrl,            /* sbi_ctrl */
 614         sb_tls_read,            /* sbi_read */
 615         sb_tls_write,           /* sbi_write */
 616         sb_tls_close            /* sbi_close */
 617 };
 618
 619 static int
 620 sb_tls_bio_create( BIO *b ) {
 621         b->init = 1;
 622         b->num = 0;
 623         b->ptr = NULL;
 624         b->flags = 0;
 625         return 1;
 626 }
 627
 628 static int
 629 sb_tls_bio_destroy( BIO *b )
 630 {
 631         if ( b == NULL ) return 0;
 632
 633         b->ptr = NULL;          /* sb_tls_remove() will free it */
 634         b->init = 0;
 635         b->flags = 0;
 636         return 1;
 637 }
 638
 639 static int
 640 sb_tls_bio_read( BIO *b, char *buf, int len )
 641 {
 642         struct tls_data         *p;
 643         int                     ret;
 644
 645         if ( buf == NULL || len <= 0 ) return 0;
 646
 647         p = (struct tls_data *)b->ptr;
 648
 649         if ( p == NULL || p->sbiod == NULL ) {
 650                 return 0;
 651         }
 652
 653         ret = LBER_SBIOD_READ_NEXT( p->sbiod, buf, len );
 654
 655         BIO_clear_retry_flags( b );
 656         if ( ret < 0 ) {
 657                 int err = errno;
 658                 if ( err == EAGAIN || err == EWOULDBLOCK ) {
 659                         BIO_set_retry_read( b );
 660                 }
 661         }
 662
 663         return ret;
 664 }
 665
 666 static int
 667 sb_tls_bio_write( BIO *b, const char *buf, int len )
 668 {
 669         struct tls_data         *p;
 670         int                     ret;
 671
 672         if ( buf == NULL || len <= 0 ) return 0;
 673
 674         p = (struct tls_data *)b->ptr;
 675
 676         if ( p == NULL || p->sbiod == NULL ) {
 677                 return 0;
 678         }
 679
 680         ret = LBER_SBIOD_WRITE_NEXT( p->sbiod, (char *)buf, len );
 681
 682         BIO_clear_retry_flags( b );
 683         if ( ret < 0 ) {
 684                 int err = errno;
 685                 if ( err == EAGAIN || err == EWOULDBLOCK ) {
 686                         BIO_set_retry_write( b );
 687                 }
 688         }
 689
 690         return ret;
 691 }
 692
 693 static long
 694 sb_tls_bio_ctrl( BIO *b, int cmd, long num, void *ptr )
 695 {
 696         if ( cmd == BIO_CTRL_FLUSH ) {
 697                 /* The OpenSSL library needs this */
 698                 return 1;
 699         }
 700         return 0;
 701 }
 702
 703 static int
 704 sb_tls_bio_gets( BIO *b, char *buf, int len )
 705 {
 706         return -1;
 707 }
 708
 709 static int
 710 sb_tls_bio_puts( BIO *b, const char *str )
 711 {
 712         return sb_tls_bio_write( b, str, strlen( str ) );
 713 }
 714
 715 static BIO_METHOD sb_tls_bio_method =
 716 {
 717         ( 100 | 0x400 ),                /* it's a source/sink BIO */
 718         "sockbuf glue",
 719         sb_tls_bio_write,
 720         sb_tls_bio_read,
 721         sb_tls_bio_puts,
 722         sb_tls_bio_gets,
 723         sb_tls_bio_ctrl,
 724         sb_tls_bio_create,
 725         sb_tls_bio_destroy
 726 };
 727
 728 /*
 729  * Call this to do a TLS connect on a sockbuf. ctx_arg can be
 730  * a SSL_CTX * or NULL, in which case the default ctx is used.
 731  *
 732  * Return value:
 733  *
 734  *  0 - Success. Connection is ready for communication.
 735  * <0 - Error. Can't create a TLS stream.
 736  * >0 - Partial success.
 737  *        Do a select (using information from lber_pvt_sb_needs_{read,write}
 738  *              and call again.
 739  */
 740
 741 static int
 742 ldap_int_tls_connect( LDAP *ld, LDAPConn *conn )
 743 {
 744         Sockbuf *sb = conn->lconn_sb;
 745         int     err;
 746         SSL     *ssl;
 747
 748         if ( HAS_TLS( sb ) ) {
 749                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
 750
 751         } else {
 752                 void *ctx = ld->ld_defconn
 753                         ? ld->ld_defconn->lconn_tls_ctx : NULL;
 754
 755                 ssl = alloc_handle( ctx );
 756
 757                 if ( ssl == NULL ) return -1;
 758
 759 #ifdef LDAP_DEBUG
 760                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
 761                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
 762 #endif
 763                 ber_sockbuf_add_io( sb, &sb_tls_sbio,
 764                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
 765
 766                 if( ctx == NULL ) {
 767                         conn->lconn_tls_ctx = tls_def_ctx;
 768                 }
 769         }
 770
 771         err = SSL_connect( ssl );
 772
 773 #ifdef HAVE_WINSOCK
 774         errno = WSAGetLastError();
 775 #endif
 776
 777         if ( err <= 0 ) {
 778                 if ( update_flags( sb, ssl, err )) {
 779                         return 1;
 780                 }
 781
 782                 if ((err = ERR_peek_error())) {
 783                         char buf[256];
 784                         ld->ld_error = LDAP_STRDUP(ERR_error_string(err, buf));
 785 #ifdef HAVE_EBCDIC
 786                         if ( ld->ld_error ) __etoa(ld->ld_error);
 787 #endif
 788                 }
 789
 790 #ifdef NEW_LOGGING
 791                 LDAP_LOG ( TRANSPORT, ERR,
 792                         "ldap_int_tls_connect: TLS can't connect.\n", 0, 0, 0 );
 793 #else
 794                 Debug( LDAP_DEBUG_ANY,"TLS: can't connect.\n",0,0,0);
 795 #endif
 796
 797                 ber_sockbuf_remove_io( sb, &sb_tls_sbio,
 798                         LBER_SBIOD_LEVEL_TRANSPORT );
 799 #ifdef LDAP_DEBUG
 800                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
 801                         LBER_SBIOD_LEVEL_TRANSPORT );
 802 #endif
 803                 return -1;
 804         }
 805
 806         return 0;
 807 }
 808
 809 /*
 810  * Call this to do a TLS accept on a sockbuf.
 811  * Everything else is the same as with tls_connect.
 812  */
 813 int
 814 ldap_pvt_tls_accept( Sockbuf *sb, void *ctx_arg )
 815 {
 816         int     err;
 817         SSL     *ssl;
 818
 819         if ( HAS_TLS( sb ) ) {
 820                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
 821
 822         } else {
 823                 ssl = alloc_handle( ctx_arg );
 824                 if ( ssl == NULL ) return -1;
 825
 826 #ifdef LDAP_DEBUG
 827                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
 828                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
 829 #endif
 830                 ber_sockbuf_add_io( sb, &sb_tls_sbio,
 831                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
 832         }
 833
 834         err = SSL_accept( ssl );
 835
 836 #ifdef HAVE_WINSOCK
 837         errno = WSAGetLastError();
 838 #endif
 839         if ( err <= 0 ) {
 840                 if ( update_flags( sb, ssl, err )) return 1;
 841
 842 #ifdef NEW_LOGGING
 843                 LDAP_LOG ( TRANSPORT, ERR,
 844                         "ldap_pvt_tls_accept: TLS can't accept.\n", 0, 0, 0 );
 845 #else
 846                 Debug( LDAP_DEBUG_ANY,"TLS: can't accept.\n",0,0,0 );
 847 #endif
 848
 849                 tls_report_error();
 850                 ber_sockbuf_remove_io( sb, &sb_tls_sbio,
 851                         LBER_SBIOD_LEVEL_TRANSPORT );
 852 #ifdef LDAP_DEBUG
 853                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
 854                         LBER_SBIOD_LEVEL_TRANSPORT );
 855 #endif
 856                 return -1;
 857         }
 858
 859         return 0;
 860 }
 861
 862 int
 863 ldap_pvt_tls_inplace ( Sockbuf *sb )
 864 {
 865         return HAS_TLS( sb ) ? 1 : 0;
 866 }
 867
 868 static X509 *
 869 tls_get_cert( SSL *s )
 870 {
 871         /* If peer cert was bad, treat as if no cert was given */
 872         if (SSL_get_verify_result(s)) {
 873                 /* If we can send an alert, do so */
 874                 if (SSL_version(s) != SSL2_VERSION) {
 875                         ssl3_send_alert(s,SSL3_AL_WARNING,SSL3_AD_BAD_CERTIFICATE);
 876                 }
 877                 return NULL;
 878         }
 879         return SSL_get_peer_certificate(s);
 880 }
 881
 882 int
 883 ldap_pvt_tls_get_peer_dn( void *s, struct berval *dn, LDAPDN_rewrite_dummy *func, unsigned flags )
 884 {
 885         X509 *x;
 886         X509_NAME *xn;
 887         int rc;
 888
 889         x = tls_get_cert((SSL *)s);
 890
 891         if (!x) return LDAP_INVALID_CREDENTIALS;
 892
 893         xn = X509_get_subject_name(x);
 894         rc = ldap_X509dn2bv(xn, dn, (LDAPDN_rewrite_func *)func, flags);
 895         X509_free(x);
 896         return rc;
 897 }
 898
 899 char *
 900 ldap_pvt_tls_get_peer_hostname( void *s )
 901 {
 902         X509 *x;
 903         X509_NAME *xn;
 904         char buf[2048], *p;
 905         int ret;
 906
 907         x = tls_get_cert((SSL *)s);
 908         if (!x) return NULL;
 909
 910         xn = X509_get_subject_name(x);
 911
 912         ret = X509_NAME_get_text_by_NID(xn, NID_commonName, buf, sizeof(buf));
 913         if( ret == -1 ) {
 914                 X509_free(x);
 915                 return NULL;
 916         }
 917
 918         p = LDAP_STRDUP(buf);
 919         X509_free(x);
 920         return p;
 921 }
 922
 923 /* what kind of hostname were we given? */
 924 #define IS_DNS  0
 925 #define IS_IP4  1
 926 #define IS_IP6  2
 927
 928 int
 929 ldap_pvt_tls_check_hostname( LDAP *ld, void *s, const char *name_in )
 930 {
 931         int i, ret = LDAP_LOCAL_ERROR;
 932         X509 *x;
 933         const char *name;
 934         char *ptr;
 935         int ntype = IS_DNS;
 936 #ifdef LDAP_PF_INET6
 937         struct in6_addr addr;
 938 #else
 939         struct in_addr addr;
 940 #endif
 941
 942         if( ldap_int_hostname &&
 943                 ( !name_in || !strcasecmp( name_in, "localhost" ) ) )
 944         {
 945                 name = ldap_int_hostname;
 946         } else {
 947                 name = name_in;
 948         }
 949
 950         x = tls_get_cert((SSL *)s);
 951         if (!x) {
 952 #ifdef NEW_LOGGING
 953                 LDAP_LOG ( TRANSPORT, ERR,
 954                         "ldap_pvt_tls_check_hostname: "
 955                         "TLS unable to get peer certificate.\n" , 0, 0, 0 );
 956 #else
 957                 Debug( LDAP_DEBUG_ANY,
 958                         "TLS: unable to get peer certificate.\n",
 959                         0, 0, 0 );
 960 #endif
 961                 /* If this was a fatal condition, things would have
 962                  * aborted long before now.
 963                  */
 964                 return LDAP_SUCCESS;
 965         }
 966
 967 #ifdef LDAP_PF_INET6
 968         if (name[0] == '[' && strchr(name, ']')) {
 969                 char *n2 = ldap_strdup(name+1);
 970                 *strchr(n2, ']') = 2;
 971                 if (inet_pton(AF_INET6, n2, &addr))
 972                         ntype = IS_IP6;
 973                 LDAP_FREE(n2);
 974         } else
 975 #endif
 976         if ((ptr = strrchr(name, '.')) && isdigit((unsigned char)ptr[1])) {
 977                 if (inet_aton(name, (struct in_addr *)&addr))
 978                         ntype = IS_IP4;
 979         }
 980
 981         i = X509_get_ext_by_NID(x, NID_subject_alt_name, -1);
 982         if (i >= 0) {
 983                 X509_EXTENSION *ex;
 984                 STACK_OF(GENERAL_NAME) *alt;
 985
 986                 ex = X509_get_ext(x, i);
 987                 alt = X509V3_EXT_d2i(ex);
 988                 if (alt) {
 989                         int n, len1 = 0, len2 = 0;
 990                         char *domain = NULL;
 991                         GENERAL_NAME *gn;
 992
 993                         if (ntype == IS_DNS) {
 994                                 len1 = strlen(name);
 995                                 domain = strchr(name, '.');
 996                                 if (domain) {
 997                                         len2 = len1 - (domain-name);
 998                                 }
 999                         }
1000                         n = sk_GENERAL_NAME_num(alt);
1001                         for (i=0; i<n; i++) {
1002                                 char *sn;
1003                                 int sl;
1004                                 gn = sk_GENERAL_NAME_value(alt, i);
1005                                 if (gn->type == GEN_DNS) {
1006                                         if (ntype != IS_DNS) continue;
1007
1008                                         sn = (char *) ASN1_STRING_data(gn->d.ia5);
1009                                         sl = ASN1_STRING_length(gn->d.ia5);
1010
1011                                         /* Is this an exact match? */
1012                                         if ((len1 == sl) && !strncasecmp(name, sn, len1)) {
1013                                                 break;
1014                                         }
1015
1016                                         /* Is this a wildcard match? */
1017                                         if ((*sn == '*') && domain && (len2 == sl-1) &&
1018                                                 !strncasecmp(domain, sn+1, len2)) {
1019                                                 break;
1020                                         }
1021
1022 #if 0
1023                                         /* Is this a RFC 2459 style wildcard match? */
1024                                         if ((*sn == '.') && domain && (len2 == sl) &&
1025                                                 !strncasecmp(domain, sn, len2)) {
1026                                                 break;
1027                                         }
1028 #endif
1029                                 } else if (gn->type == GEN_IPADD) {
1030                                         if (ntype == IS_DNS) continue;
1031
1032                                         sn = (char *) ASN1_STRING_data(gn->d.ia5);
1033                                         sl = ASN1_STRING_length(gn->d.ia5);
1034
1035 #ifdef LDAP_PF_INET6
1036                                         if (ntype == IS_IP6 && sl != sizeof(struct in6_addr)) {
1037                                                 continue;
1038                                         } else
1039 #endif
1040                                         if (ntype == IS_IP4 && sl != sizeof(struct in_addr)) {
1041                                                 continue;
1042                                         }
1043                                         if (!memcmp(sn, &addr, sl)) {
1044                                                 break;
1045                                         }
1046                                 }
1047                         }
1048
1049                         GENERAL_NAMES_free(alt);
1050                         if (i < n) {    /* Found a match */
1051                                 ret = LDAP_SUCCESS;
1052                         }
1053                 }
1054         }
1055
1056         if (ret != LDAP_SUCCESS) {
1057                 X509_NAME *xn;
1058                 char buf[2048];
1059
1060                 xn = X509_get_subject_name(x);
1061
1062                 if( X509_NAME_get_text_by_NID( xn, NID_commonName,
1063                         buf, sizeof(buf)) == -1)
1064                 {
1065 #ifdef NEW_LOGGING
1066                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_check_hostname: "
1067                                 "TLS unable to get common name from peer certificate.\n",
1068                                 0, 0, 0 );
1069 #else
1070                         Debug( LDAP_DEBUG_ANY,
1071                                 "TLS: unable to get common name from peer certificate.\n",
1072                                 0, 0, 0 );
1073 #endif
1074                         ld->ld_error = LDAP_STRDUP(
1075                                 _("TLS: unable to get CN from peer certificate"));
1076
1077                 } else if (strcasecmp(name, buf)) {
1078 #ifdef NEW_LOGGING
1079                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_check_hostname: "
1080                                 "TLS hostname (%s) does not match "
1081                                 "common name in certificate (%s).\n", name, buf, 0 );
1082 #else
1083                         Debug( LDAP_DEBUG_ANY, "TLS: hostname (%s) does not match "
1084                                 "common name in certificate (%s).\n",
1085                                 name, buf, 0 );
1086 #endif
1087                         ret = LDAP_CONNECT_ERROR;
1088                         ld->ld_error = LDAP_STRDUP(
1089                                 _("TLS: hostname does not match CN in peer certificate"));
1090
1091                 } else {
1092                         ret = LDAP_SUCCESS;
1093                 }
1094         }
1095         X509_free(x);
1096         return ret;
1097 }
1098
1099 const char *
1100 ldap_pvt_tls_get_peer_issuer( void *s )
1101 {
1102 #if 0   /* currently unused; see ldap_pvt_tls_get_peer_dn() if needed */
1103         X509 *x;
1104         X509_NAME *xn;
1105         char buf[2048], *p;
1106
1107         x = SSL_get_peer_certificate((SSL *)s);
1108
1109         if (!x) return NULL;
1110
1111         xn = X509_get_issuer_name(x);
1112         p = LDAP_STRDUP(X509_NAME_oneline(xn, buf, sizeof(buf)));
1113         X509_free(x);
1114         return p;
1115 #else
1116         return NULL;
1117 #endif
1118 }
1119
1120 int
1121 ldap_int_tls_config( LDAP *ld, int option, const char *arg )
1122 {
1123         int i;
1124
1125         switch( option ) {
1126         case LDAP_OPT_X_TLS_CACERTFILE:
1127         case LDAP_OPT_X_TLS_CACERTDIR:
1128         case LDAP_OPT_X_TLS_CERTFILE:
1129         case LDAP_OPT_X_TLS_KEYFILE:
1130         case LDAP_OPT_X_TLS_RANDOM_FILE:
1131                 return ldap_pvt_tls_set_option( ld, option, (void *) arg );
1132
1133         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1134         case LDAP_OPT_X_TLS:
1135                 i = -1;
1136                 if ( strcasecmp( arg, "never" ) == 0 ) {
1137                         i = LDAP_OPT_X_TLS_NEVER ;
1138
1139                 } else if ( strcasecmp( arg, "demand" ) == 0 ) {
1140                         i = LDAP_OPT_X_TLS_DEMAND ;
1141
1142                 } else if ( strcasecmp( arg, "allow" ) == 0 ) {
1143                         i = LDAP_OPT_X_TLS_ALLOW ;
1144
1145                 } else if ( strcasecmp( arg, "try" ) == 0 ) {
1146                         i = LDAP_OPT_X_TLS_TRY ;
1147
1148                 } else if ( ( strcasecmp( arg, "hard" ) == 0 ) ||
1149                         ( strcasecmp( arg, "on" ) == 0 ) ||
1150                         ( strcasecmp( arg, "yes" ) == 0) ||
1151                         ( strcasecmp( arg, "true" ) == 0 ) )
1152                 {
1153                         i = LDAP_OPT_X_TLS_HARD ;
1154                 }
1155
1156                 if (i >= 0) {
1157                         return ldap_pvt_tls_set_option( ld, option, &i );
1158                 }
1159                 return -1;
1160         }
1161
1162         return -1;
1163 }
1164
1165 int
1166 ldap_pvt_tls_get_option( LDAP *ld, int option, void *arg )
1167 {
1168         struct ldapoptions *lo;
1169
1170         if( ld != NULL ) {
1171                 assert( LDAP_VALID( ld ) );
1172
1173                 if( !LDAP_VALID( ld ) ) {
1174                         return LDAP_OPT_ERROR;
1175                 }
1176
1177                 lo = &ld->ld_options;
1178
1179         } else {
1180                 /* Get pointer to global option structure */
1181                 lo = LDAP_INT_GLOBAL_OPT();
1182                 if ( lo == NULL ) {
1183                         return LDAP_NO_MEMORY;
1184                 }
1185         }
1186
1187         switch( option ) {
1188         case LDAP_OPT_X_TLS:
1189                 *(int *)arg = lo->ldo_tls_mode;
1190                 break;
1191         case LDAP_OPT_X_TLS_CTX:
1192                 if ( ld == NULL ) {
1193                         *(void **)arg = (void *) tls_def_ctx;
1194                 } else {
1195                         *(void **)arg = ld->ld_defconn->lconn_tls_ctx;
1196                 }
1197                 break;
1198         case LDAP_OPT_X_TLS_CACERTFILE:
1199                 *(char **)arg = tls_opt_cacertfile ?
1200                         LDAP_STRDUP( tls_opt_cacertfile ) : NULL;
1201                 break;
1202         case LDAP_OPT_X_TLS_CACERTDIR:
1203                 *(char **)arg = tls_opt_cacertdir ?
1204                         LDAP_STRDUP( tls_opt_cacertdir ) : NULL;
1205                 break;
1206         case LDAP_OPT_X_TLS_CERTFILE:
1207                 *(char **)arg = tls_opt_certfile ?
1208                         LDAP_STRDUP( tls_opt_certfile ) : NULL;
1209                 break;
1210         case LDAP_OPT_X_TLS_KEYFILE:
1211                 *(char **)arg = tls_opt_keyfile ?
1212                         LDAP_STRDUP( tls_opt_keyfile ) : NULL;
1213                 break;
1214         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1215                 *(int *)arg = tls_opt_require_cert;
1216                 break;
1217         case LDAP_OPT_X_TLS_RANDOM_FILE:
1218                 *(char **)arg = tls_opt_randfile ?
1219                         LDAP_STRDUP( tls_opt_randfile ) : NULL;
1220                 break;
1221         case LDAP_OPT_X_TLS_SSL_CTX: {
1222                 void *retval = 0;
1223                 if ( ld != NULL ) {
1224                         LDAPConn *conn = ld->ld_defconn;
1225                         if ( conn != NULL ) {
1226                                 Sockbuf *sb = conn->lconn_sb;
1227                                 retval = ldap_pvt_tls_sb_ctx( sb );
1228                         }
1229                 }
1230                 *(void **)arg = retval;
1231                 break;
1232         }
1233         default:
1234                 return -1;
1235         }
1236         return 0;
1237 }
1238
1239 int
1240 ldap_pvt_tls_set_option( LDAP *ld, int option, void *arg )
1241 {
1242         struct ldapoptions *lo;
1243
1244         if( ld != NULL ) {
1245                 assert( LDAP_VALID( ld ) );
1246
1247                 if( !LDAP_VALID( ld ) ) {
1248                         return LDAP_OPT_ERROR;
1249                 }
1250
1251                 lo = &ld->ld_options;
1252
1253         } else {
1254                 /* Get pointer to global option structure */
1255                 lo = LDAP_INT_GLOBAL_OPT();
1256                 if ( lo == NULL ) {
1257                         return LDAP_NO_MEMORY;
1258                 }
1259         }
1260
1261         switch( option ) {
1262         case LDAP_OPT_X_TLS:
1263                 switch( *(int *) arg ) {
1264                 case LDAP_OPT_X_TLS_NEVER:
1265                 case LDAP_OPT_X_TLS_DEMAND:
1266                 case LDAP_OPT_X_TLS_ALLOW:
1267                 case LDAP_OPT_X_TLS_TRY:
1268                 case LDAP_OPT_X_TLS_HARD:
1269                         if (lo != NULL) {
1270                                 lo->ldo_tls_mode = *(int *)arg;
1271                         }
1272
1273                         return 0;
1274                 }
1275                 return -1;
1276
1277         case LDAP_OPT_X_TLS_CTX:
1278                 if ( ld == NULL ) {
1279                         tls_def_ctx = (SSL_CTX *) arg;
1280
1281                 } else {
1282                         ld->ld_defconn->lconn_tls_ctx = arg;
1283                 }
1284                 return 0;
1285         }
1286
1287         if ( ld != NULL ) {
1288                 return -1;
1289         }
1290
1291         switch( option ) {
1292         case LDAP_OPT_X_TLS_CACERTFILE:
1293                 if ( tls_opt_cacertfile ) LDAP_FREE( tls_opt_cacertfile );
1294                 tls_opt_cacertfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1295                 break;
1296         case LDAP_OPT_X_TLS_CACERTDIR:
1297                 if ( tls_opt_cacertdir ) LDAP_FREE( tls_opt_cacertdir );
1298                 tls_opt_cacertdir = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1299                 break;
1300         case LDAP_OPT_X_TLS_CERTFILE:
1301                 if ( tls_opt_certfile ) LDAP_FREE( tls_opt_certfile );
1302                 tls_opt_certfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1303                 break;
1304         case LDAP_OPT_X_TLS_KEYFILE:
1305                 if ( tls_opt_keyfile ) LDAP_FREE( tls_opt_keyfile );
1306                 tls_opt_keyfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1307                 break;
1308         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1309                 switch( *(int *) arg ) {
1310                 case LDAP_OPT_X_TLS_NEVER:
1311                 case LDAP_OPT_X_TLS_DEMAND:
1312                 case LDAP_OPT_X_TLS_ALLOW:
1313                 case LDAP_OPT_X_TLS_TRY:
1314                 case LDAP_OPT_X_TLS_HARD:
1315                         tls_opt_require_cert = * (int *) arg;
1316                         return 0;
1317                 }
1318                 return -1;
1319         case LDAP_OPT_X_TLS_CIPHER_SUITE:
1320                 if ( tls_opt_ciphersuite ) LDAP_FREE( tls_opt_ciphersuite );
1321                 tls_opt_ciphersuite = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1322                 break;
1323         case LDAP_OPT_X_TLS_RANDOM_FILE:
1324                 if (tls_opt_randfile ) LDAP_FREE (tls_opt_randfile );
1325                 tls_opt_randfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1326                 break;
1327         default:
1328                 return -1;
1329         }
1330         return 0;
1331 }
1332
1333 int
1334 ldap_int_tls_start ( LDAP *ld, LDAPConn *conn, LDAPURLDesc *srv )
1335 {
1336         Sockbuf *sb = conn->lconn_sb;
1337         char *host;
1338         void *ssl;
1339
1340         if( srv ) {
1341                 host = srv->lud_host;
1342         } else {
1343                 host = conn->lconn_server->lud_host;
1344         }
1345
1346         /* avoid NULL host */
1347         if( host == NULL ) {
1348                 host = "localhost";
1349         }
1350
1351         (void) ldap_pvt_tls_init();
1352
1353         /*
1354          * Fortunately, the lib uses blocking io...
1355          */
1356         if ( ldap_int_tls_connect( ld, conn ) < 0 ) {
1357                 ld->ld_errno = LDAP_CONNECT_ERROR;
1358                 return (ld->ld_errno);
1359         }
1360
1361         ssl = ldap_pvt_tls_sb_ctx( sb );
1362         assert( ssl != NULL );
1363
1364         /*
1365          * compare host with name(s) in certificate
1366          */
1367         if (tls_opt_require_cert != LDAP_OPT_X_TLS_NEVER) {
1368                 ld->ld_errno = ldap_pvt_tls_check_hostname( ld, ssl, host );
1369                 if (ld->ld_errno != LDAP_SUCCESS) {
1370                         return ld->ld_errno;
1371                 }
1372         }
1373
1374         return LDAP_SUCCESS;
1375 }
1376
1377 /* Derived from openssl/apps/s_cb.c */
1378 static void
1379 tls_info_cb( const SSL *ssl, int where, int ret )
1380 {
1381         int w;
1382         char *op;
1383         char *state = (char *) SSL_state_string_long( (SSL *)ssl );
1384
1385         w = where & ~SSL_ST_MASK;
1386         if ( w & SSL_ST_CONNECT ) {
1387                 op = "SSL_connect";
1388         } else if ( w & SSL_ST_ACCEPT ) {
1389                 op = "SSL_accept";
1390         } else {
1391                 op = "undefined";
1392         }
1393
1394 #ifdef HAVE_EBCDIC
1395         if ( state ) {
1396                 state = LDAP_STRDUP( state );
1397                 __etoa( state );
1398         }
1399 #endif
1400         if ( where & SSL_CB_LOOP ) {
1401 #ifdef NEW_LOGGING
1402                 LDAP_LOG ( TRANSPORT, DETAIL1, "tls_info_cb: "
1403                         "TLS trace: %s:%s\n", op, state, 0 );
1404 #else
1405                 Debug( LDAP_DEBUG_TRACE,
1406                            "TLS trace: %s:%s\n",
1407                            op, state, 0 );
1408 #endif
1409
1410         } else if ( where & SSL_CB_ALERT ) {
1411                 char *atype = (char *) SSL_alert_type_string_long( ret );
1412                 char *adesc = (char *) SSL_alert_desc_string_long( ret );
1413                 op = ( where & SSL_CB_READ ) ? "read" : "write";
1414 #ifdef HAVE_EBCDIC
1415                 if ( atype ) {
1416                         atype = LDAP_STRDUP( atype );
1417                         __etoa( atype );
1418                 }
1419                 if ( adesc ) {
1420                         adesc = LDAP_STRDUP( adesc );
1421                         __etoa( adesc );
1422                 }
1423 #endif
1424 #ifdef NEW_LOGGING
1425                 LDAP_LOG ( TRANSPORT, DETAIL1,
1426                         "tls_info_cb: TLS trace: SSL3 alert %s:%s:%s\n",
1427                         op, atype, adesc );
1428 #else
1429                 Debug( LDAP_DEBUG_TRACE,
1430                            "TLS trace: SSL3 alert %s:%s:%s\n",
1431                            op, atype, adesc );
1432 #endif
1433 #ifdef HAVE_EBCDIC
1434                 if ( atype ) LDAP_FREE( atype );
1435                 if ( adesc ) LDAP_FREE( adesc );
1436 #endif
1437         } else if ( where & SSL_CB_EXIT ) {
1438                 if ( ret == 0 ) {
1439 #ifdef NEW_LOGGING
1440                         LDAP_LOG ( TRANSPORT, ERR,
1441                                 "tls_info_cb: TLS trace: %s:failed in %s\n",
1442                                 op, state, 0 );
1443 #else
1444                         Debug( LDAP_DEBUG_TRACE,
1445                                    "TLS trace: %s:failed in %s\n",
1446                                    op, state, 0 );
1447 #endif
1448                 } else if ( ret < 0 ) {
1449 #ifdef NEW_LOGGING
1450                         LDAP_LOG ( TRANSPORT, ERR,
1451                                 "tls_info_cb: TLS trace: %s:error in %s\n",
1452                                 op, state, 0 );
1453 #else
1454                         Debug( LDAP_DEBUG_TRACE,
1455                                    "TLS trace: %s:error in %s\n",
1456                                    op, state, 0 );
1457 #endif
1458                 }
1459         }
1460 #ifdef HAVE_EBCDIC
1461         if ( state ) LDAP_FREE( state );
1462 #endif
1463 }
1464
1465 static int
1466 tls_verify_cb( int ok, X509_STORE_CTX *ctx )
1467 {
1468         X509 *cert;
1469         int errnum;
1470         int errdepth;
1471         X509_NAME *subject;
1472         X509_NAME *issuer;
1473         char *sname;
1474         char *iname;
1475         char *certerr = NULL;
1476
1477         cert = X509_STORE_CTX_get_current_cert( ctx );
1478         errnum = X509_STORE_CTX_get_error( ctx );
1479         errdepth = X509_STORE_CTX_get_error_depth( ctx );
1480
1481         /*
1482          * X509_get_*_name return pointers to the internal copies of
1483          * those things requested.  So do not free them.
1484          */
1485         subject = X509_get_subject_name( cert );
1486         issuer = X509_get_issuer_name( cert );
1487         /* X509_NAME_oneline, if passed a NULL buf, allocate memomry */
1488         sname = X509_NAME_oneline( subject, NULL, 0 );
1489         iname = X509_NAME_oneline( issuer, NULL, 0 );
1490         if ( !ok ) certerr = (char *)X509_verify_cert_error_string( errnum );
1491 #ifdef HAVE_EBCDIC
1492         if ( sname ) __etoa( sname );
1493         if ( iname ) __etoa( iname );
1494         if ( certerr ) {
1495                 certerr = LDAP_STRDUP( certerr );
1496                 __etoa( certerr );
1497         }
1498 #endif
1499 #ifdef NEW_LOGGING
1500         LDAP_LOG( TRANSPORT, ERR,
1501                    "TLS certificate verification: depth: %d, err: %d, subject: %s,",
1502                    errdepth, errnum,
1503                    sname ? sname : "-unknown-" );
1504         LDAP_LOG( TRANSPORT, ERR, " issuer: %s\n", iname ? iname : "-unknown-", 0, 0 );
1505         if ( !ok ) {
1506                 LDAP_LOG ( TRANSPORT, ERR,
1507                         "TLS certificate verification: Error, %s\n",
1508                         certerr, 0, 0 );
1509         }
1510 #else
1511         Debug( LDAP_DEBUG_TRACE,
1512                    "TLS certificate verification: depth: %d, err: %d, subject: %s,",
1513                    errdepth, errnum,
1514                    sname ? sname : "-unknown-" );
1515         Debug( LDAP_DEBUG_TRACE, " issuer: %s\n", iname ? iname : "-unknown-", 0, 0 );
1516         if ( !ok ) {
1517                 Debug( LDAP_DEBUG_ANY,
1518                         "TLS certificate verification: Error, %s\n",
1519                         certerr, 0, 0 );
1520         }
1521 #endif
1522         if ( sname )
1523                 CRYPTO_free ( sname );
1524         if ( iname )
1525                 CRYPTO_free ( iname );
1526 #ifdef HAVE_EBCDIC
1527         if ( certerr ) LDAP_FREE( certerr );
1528 #endif
1529         return ok;
1530 }
1531
1532 static int
1533 tls_verify_ok( int ok, X509_STORE_CTX *ctx )
1534 {
1535         (void) tls_verify_cb( ok, ctx );
1536         return 1;
1537 }
1538
1539 /* Inspired by ERR_print_errors in OpenSSL */
1540 static void
1541 tls_report_error( void )
1542 {
1543         unsigned long l;
1544         char buf[200];
1545         const char *file;
1546         int line;
1547
1548         while ( ( l = ERR_get_error_line( &file, &line ) ) != 0 ) {
1549                 ERR_error_string_n( l, buf, sizeof( buf ) );
1550 #ifdef HAVE_EBCDIC
1551                 if ( file ) {
1552                         file = LDAP_STRDUP( file );
1553                         __etoa( (char *)file );
1554                 }
1555                 __etoa( buf );
1556 #endif
1557 #ifdef NEW_LOGGING
1558                 LDAP_LOG ( TRANSPORT, ERR,
1559                         "tls_report_error: TLS %s %s:%d\n",
1560                         buf, file, line );
1561 #else
1562                 Debug( LDAP_DEBUG_ANY, "TLS: %s %s:%d\n",
1563                         buf, file, line );
1564 #endif
1565 #ifdef HAVE_EBCDIC
1566                 if ( file ) LDAP_FREE( (void *)file );
1567 #endif
1568         }
1569 }
1570
1571 static RSA *
1572 tls_tmp_rsa_cb( SSL *ssl, int is_export, int key_length )
1573 {
1574         RSA *tmp_rsa;
1575
1576         /* FIXME:  Pregenerate the key on startup */
1577         /* FIXME:  Who frees the key? */
1578         tmp_rsa = RSA_generate_key( key_length, RSA_F4, NULL, NULL );
1579
1580         if ( !tmp_rsa ) {
1581 #ifdef NEW_LOGGING
1582                 LDAP_LOG ( TRANSPORT, ERR,
1583                         "tls_tmp_rsa_cb: TLS Failed to generate temporary %d-bit %s "
1584                         "RSA key\n", key_length, is_export ? "export" : "domestic", 0 );
1585 #else
1586                 Debug( LDAP_DEBUG_ANY,
1587                         "TLS: Failed to generate temporary %d-bit %s RSA key\n",
1588                         key_length, is_export ? "export" : "domestic", 0 );
1589 #endif
1590                 return NULL;
1591         }
1592         return tmp_rsa;
1593 }
1594
1595 static int
1596 tls_seed_PRNG( const char *randfile )
1597 {
1598 #ifndef URANDOM_DEVICE
1599         /* no /dev/urandom (or equiv) */
1600         long total=0;
1601         char buffer[MAXPATHLEN];
1602
1603         if (randfile == NULL) {
1604                 /* The seed file is $RANDFILE if defined, otherwise $HOME/.rnd.
1605                  * If $HOME is not set or buffer too small to hold the pathname,
1606                  * an error occurs.     - From RAND_file_name() man page.
1607                  * The fact is that when $HOME is NULL, .rnd is used.
1608                  */
1609                 randfile = RAND_file_name( buffer, sizeof( buffer ) );
1610
1611         } else if (RAND_egd(randfile) > 0) {
1612                 /* EGD socket */
1613                 return 0;
1614         }
1615
1616         if (randfile == NULL) {
1617 #ifdef NEW_LOGGING
1618                 LDAP_LOG ( TRANSPORT, DETAIL1,
1619                         "tls_seed_PRNG: TLS Use configuration file or "
1620                         "$RANDFILE to define seed PRNG\n", 0, 0, 0 );
1621 #else
1622                 Debug( LDAP_DEBUG_ANY,
1623                         "TLS: Use configuration file or $RANDFILE to define seed PRNG\n",
1624                         0, 0, 0);
1625 #endif
1626                 return -1;
1627         }
1628
1629         total = RAND_load_file(randfile, -1);
1630
1631         if (RAND_status() == 0) {
1632 #ifdef NEW_LOGGING
1633                 LDAP_LOG ( TRANSPORT, DETAIL1,
1634                         "tls_seed_PRNG: TLS PRNG not been seeded with enough data\n",
1635                         0, 0, 0 );
1636 #else
1637                 Debug( LDAP_DEBUG_ANY,
1638                         "TLS: PRNG not been seeded with enough data\n",
1639                         0, 0, 0);
1640 #endif
1641                 return -1;
1642         }
1643
1644         /* assume if there was enough bits to seed that it's okay
1645          * to write derived bits to the file
1646          */
1647         RAND_write_file(randfile);
1648
1649 #endif
1650
1651         return 0;
1652 }
1653
1654 #if 0
1655 static DH *
1656 tls_tmp_dh_cb( SSL *ssl, int is_export, int key_length )
1657 {
1658         return NULL;
1659 }
1660 #endif
1661 #endif
1662
1663 void *
1664 ldap_pvt_tls_sb_ctx( Sockbuf *sb )
1665 {
1666 #ifdef HAVE_TLS
1667         void                    *p;
1668
1669         if (HAS_TLS( sb )) {
1670                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&p );
1671                 return p;
1672         }
1673 #endif
1674
1675         return NULL;
1676 }
1677
1678 int
1679 ldap_pvt_tls_get_strength( void *s )
1680 {
1681 #ifdef HAVE_TLS
1682         SSL_CIPHER *c;
1683
1684         c = SSL_get_current_cipher((SSL *)s);
1685         return SSL_CIPHER_get_bits(c, NULL);
1686 #else
1687         return 0;
1688 #endif
1689 }
1690
1691
1692 int
1693 ldap_pvt_tls_get_my_dn( void *s, struct berval *dn, LDAPDN_rewrite_dummy *func, unsigned flags )
1694 {
1695 #ifdef HAVE_TLS
1696         X509 *x;
1697         X509_NAME *xn;
1698         int rc;
1699
1700         x = SSL_get_certificate((SSL *)s);
1701
1702         if (!x) return LDAP_INVALID_CREDENTIALS;
1703
1704         xn = X509_get_subject_name(x);
1705         rc = ldap_X509dn2bv(xn, dn, (LDAPDN_rewrite_func *)func, flags );
1706         return rc;
1707 #else
1708         return LDAP_NOT_SUPPORTED;
1709 #endif
1710 }
1711
1712 int
1713 ldap_start_tls_s ( LDAP *ld,
1714         LDAPControl **serverctrls,
1715         LDAPControl **clientctrls )
1716 {
1717         int rc;
1718
1719 #ifdef HAVE_TLS
1720         char *rspoid = NULL;
1721         struct berval *rspdata = NULL;
1722
1723         /* XXYYZ: this initiates operation only on default connection! */
1724
1725         if ( ld->ld_sb != NULL && ldap_pvt_tls_inplace( ld->ld_sb ) != 0 ) {
1726                 return LDAP_LOCAL_ERROR;
1727         }
1728
1729         rc = ldap_extended_operation_s( ld, LDAP_EXOP_START_TLS,
1730                 NULL, serverctrls, clientctrls, &rspoid, &rspdata );
1731
1732         if ( rspoid != NULL ) {
1733                 LDAP_FREE(rspoid);
1734         }
1735
1736         if ( rspdata != NULL ) {
1737                 ber_bvfree( rspdata );
1738         }
1739
1740         if ( rc == LDAP_SUCCESS ) {
1741                 rc = ldap_int_tls_start( ld, ld->ld_defconn, NULL );
1742         }
1743
1744 #else
1745         rc = LDAP_NOT_SUPPORTED;
1746 #endif
1747         return rc;
1748 }
1749