git.sur5r.net Git - openldap/blob - libraries/libldap/tls.c

   1 /* tls.c - Handle tls/ssl using SSLeay or OpenSSL. */
   2 /* $OpenLDAP$ */
   3 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
   4  *
   5  * Copyright 1998-2005 The OpenLDAP Foundation.
   6  * All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted only as authorized by the OpenLDAP
  10  * Public License.
  11  *
  12  * A copy of this license is available in the file LICENSE in the
  13  * top-level directory of the distribution or, alternatively, at
  14  * <http://www.OpenLDAP.org/license.html>.
  15  */
  16
  17 #include "portable.h"
  18 #include "ldap_config.h"
  19
  20 #include <stdio.h>
  21
  22 #include <ac/stdlib.h>
  23 #include <ac/errno.h>
  24 #include <ac/socket.h>
  25 #include <ac/string.h>
  26 #include <ac/ctype.h>
  27 #include <ac/time.h>
  28 #include <ac/unistd.h>
  29 #include <ac/param.h>
  30 #include <ac/dirent.h>
  31
  32 #include "ldap-int.h"
  33
  34 #ifdef HAVE_TLS
  35
  36 #ifdef LDAP_R_COMPILE
  37 #include <ldap_pvt_thread.h>
  38 #endif
  39
  40 #ifdef HAVE_OPENSSL_SSL_H
  41 #include <openssl/ssl.h>
  42 #include <openssl/x509v3.h>
  43 #include <openssl/err.h>
  44 #include <openssl/rand.h>
  45 #include <openssl/safestack.h>
  46 #elif defined( HAVE_SSL_H )
  47 #include <ssl.h>
  48 #endif
  49
  50 static int  tls_opt_trace = 1;
  51 static char *tls_opt_certfile = NULL;
  52 static char *tls_opt_keyfile = NULL;
  53 static char *tls_opt_cacertfile = NULL;
  54 static char *tls_opt_cacertdir = NULL;
  55 static int  tls_opt_require_cert = LDAP_OPT_X_TLS_DEMAND;
  56 static char *tls_opt_ciphersuite = NULL;
  57 static char *tls_opt_randfile = NULL;
  58
  59 #define HAS_TLS( sb )   ber_sockbuf_ctrl( sb, LBER_SB_OPT_HAS_IO, \
  60                                 (void *)&sb_tls_sbio )
  61
  62 static void tls_report_error( void );
  63
  64 static void tls_info_cb( const SSL *ssl, int where, int ret );
  65 static int tls_verify_cb( int ok, X509_STORE_CTX *ctx );
  66 static int tls_verify_ok( int ok, X509_STORE_CTX *ctx );
  67 static RSA * tls_tmp_rsa_cb( SSL *ssl, int is_export, int key_length );
  68 static STACK_OF(X509_NAME) * get_ca_list( char * bundle, char * dir );
  69
  70 #if 0   /* Currently this is not used by anyone */
  71 static DH * tls_tmp_dh_cb( SSL *ssl, int is_export, int key_length );
  72 #endif
  73
  74 static SSL_CTX *tls_def_ctx = NULL;
  75
  76 static int tls_seed_PRNG( const char *randfile );
  77
  78 #ifdef LDAP_R_COMPILE
  79 /*
  80  * provide mutexes for the SSLeay library.
  81  */
  82 static ldap_pvt_thread_mutex_t  tls_mutexes[CRYPTO_NUM_LOCKS];
  83
  84 static void tls_locking_cb( int mode, int type, const char *file, int line )
  85 {
  86         if ( mode & CRYPTO_LOCK ) {
  87                 ldap_pvt_thread_mutex_lock( &tls_mutexes[type] );
  88         } else {
  89                 ldap_pvt_thread_mutex_unlock( &tls_mutexes[type] );
  90         }
  91 }
  92
  93 /*
  94  * an extra mutex for the default ctx.
  95  */
  96
  97 static ldap_pvt_thread_mutex_t tls_def_ctx_mutex;
  98
  99 static void tls_init_threads( void )
 100 {
 101         int i;
 102
 103         for( i=0; i< CRYPTO_NUM_LOCKS ; i++ ) {
 104                 ldap_pvt_thread_mutex_init( &tls_mutexes[i] );
 105         }
 106         CRYPTO_set_locking_callback( tls_locking_cb );
 107         /* FIXME: the thread id should be added somehow... */
 108
 109         ldap_pvt_thread_mutex_init( &tls_def_ctx_mutex );
 110 }
 111 #endif /* LDAP_R_COMPILE */
 112
 113 /*
 114  * Tear down the TLS subsystem. Should only be called once.
 115  */
 116 void
 117 ldap_pvt_tls_destroy( void )
 118 {
 119         SSL_CTX_free(tls_def_ctx);
 120         tls_def_ctx = NULL;
 121
 122         EVP_cleanup();
 123         ERR_remove_state(0);
 124         ERR_free_strings();
 125
 126         if ( tls_opt_certfile ) {
 127                 LDAP_FREE( tls_opt_certfile );
 128                 tls_opt_certfile = NULL;
 129         }
 130         if ( tls_opt_keyfile ) {
 131                 LDAP_FREE( tls_opt_keyfile );
 132                 tls_opt_keyfile = NULL;
 133         }
 134         if ( tls_opt_cacertfile ) {
 135                 LDAP_FREE( tls_opt_cacertfile );
 136                 tls_opt_cacertfile = NULL;
 137         }
 138         if ( tls_opt_cacertdir ) {
 139                 LDAP_FREE( tls_opt_cacertdir );
 140                 tls_opt_cacertdir = NULL;
 141         }
 142         if ( tls_opt_ciphersuite ) {
 143                 LDAP_FREE( tls_opt_ciphersuite );
 144                 tls_opt_ciphersuite = NULL;
 145         }
 146         if ( tls_opt_randfile ) {
 147                 LDAP_FREE( tls_opt_randfile );
 148                 tls_opt_randfile = NULL;
 149         }
 150 }
 151
 152 /*
 153  * Initialize TLS subsystem. Should be called only once.
 154  */
 155 int
 156 ldap_pvt_tls_init( void )
 157 {
 158         static int tls_initialized = 0;
 159
 160         if ( tls_initialized++ ) return 0;
 161
 162 #ifdef HAVE_EBCDIC
 163         {
 164                 char *file = LDAP_STRDUP( tls_opt_randfile );
 165                 if ( file ) __atoe( file );
 166                 (void) tls_seed_PRNG( file );
 167                 LDAP_FREE( file );
 168         }
 169 #else
 170         (void) tls_seed_PRNG( tls_opt_randfile );
 171 #endif
 172
 173 #ifdef LDAP_R_COMPILE
 174         tls_init_threads();
 175 #endif
 176
 177         SSL_load_error_strings();
 178         SSLeay_add_ssl_algorithms();
 179
 180         /* FIXME: mod_ssl does this */
 181         X509V3_add_standard_extensions();
 182         return 0;
 183 }
 184
 185 /*
 186  * initialize the default context
 187  */
 188 int
 189 ldap_pvt_tls_init_def_ctx( void )
 190 {
 191         STACK_OF(X509_NAME) *calist;
 192         int rc = 0;
 193         char *ciphersuite = tls_opt_ciphersuite;
 194         char *cacertfile = tls_opt_cacertfile;
 195         char *cacertdir = tls_opt_cacertdir;
 196         char *certfile = tls_opt_certfile;
 197         char *keyfile = tls_opt_keyfile;
 198
 199 #ifdef HAVE_EBCDIC
 200         /* This ASCII/EBCDIC handling is a real pain! */
 201         if ( ciphersuite ) {
 202                 ciphersuite = LDAP_STRDUP( ciphersuite );
 203                 __atoe( ciphersuite );
 204         }
 205         if ( cacertfile ) {
 206                 cacertfile = LDAP_STRDUP( cacertfile );
 207                 __atoe( cacertfile );
 208         }
 209         if ( cacertdir ) {
 210                 cacertdir = LDAP_STRDUP( cacertdir );
 211                 __atoe( cacertdir );
 212         }
 213         if ( certfile ) {
 214                 certfile = LDAP_STRDUP( certfile );
 215                 __atoe( certfile );
 216         }
 217         if ( keyfile ) {
 218                 keyfile = LDAP_STRDUP( keyfile );
 219                 __atoe( keyfile );
 220         }
 221 #endif
 222
 223 #ifdef LDAP_R_COMPILE
 224         ldap_pvt_thread_mutex_lock( &tls_def_ctx_mutex );
 225 #endif
 226         if ( tls_def_ctx == NULL ) {
 227                 int i;
 228                 tls_def_ctx = SSL_CTX_new( SSLv23_method() );
 229                 if ( tls_def_ctx == NULL ) {
 230 #ifdef NEW_LOGGING
 231                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 232                                 "TLS could not allocate default ctx (%d).\n",
 233                                 ERR_peek_error(), 0, 0 );
 234 #else
 235                         Debug( LDAP_DEBUG_ANY,
 236                            "TLS: could not allocate default ctx (%lu).\n",
 237                                 ERR_peek_error(),0,0);
 238 #endif
 239                         rc = -1;
 240                         goto error_exit;
 241                 }
 242
 243                 SSL_CTX_set_session_id_context( tls_def_ctx,
 244                         (const unsigned char *) "OpenLDAP", sizeof("OpenLDAP")-1 );
 245
 246                 if ( tls_opt_ciphersuite &&
 247                         !SSL_CTX_set_cipher_list( tls_def_ctx, ciphersuite ) )
 248                 {
 249 #ifdef NEW_LOGGING
 250                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 251                                 "TLS could not set cipher list %s.\n",
 252                                 tls_opt_ciphersuite, 0, 0 );
 253 #else
 254                         Debug( LDAP_DEBUG_ANY,
 255                                    "TLS: could not set cipher list %s.\n",
 256                                    tls_opt_ciphersuite, 0, 0 );
 257 #endif
 258                         tls_report_error();
 259                         rc = -1;
 260                         goto error_exit;
 261                 }
 262
 263                 if (tls_opt_cacertfile != NULL || tls_opt_cacertdir != NULL) {
 264                         if ( !SSL_CTX_load_verify_locations( tls_def_ctx,
 265                                         cacertfile, cacertdir ) ||
 266                                 !SSL_CTX_set_default_verify_paths( tls_def_ctx ) )
 267                         {
 268 #ifdef NEW_LOGGING
 269                                 LDAP_LOG ( TRANSPORT, ERR,
 270                                         "ldap_pvt_tls_init_def_ctx: "
 271                                         "TLS could not load verify locations "
 272                                         "(file:`%s',dir:`%s').\n",
 273                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 274                                         tls_opt_cacertdir ? tls_opt_cacertdir : "", 0 );
 275 #else
 276                                 Debug( LDAP_DEBUG_ANY, "TLS: "
 277                                         "could not load verify locations (file:`%s',dir:`%s').\n",
 278                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 279                                         tls_opt_cacertdir ? tls_opt_cacertdir : "",
 280                                         0 );
 281 #endif
 282                                 tls_report_error();
 283                                 rc = -1;
 284                                 goto error_exit;
 285                         }
 286
 287                         calist = get_ca_list( cacertfile, cacertdir );
 288                         if ( !calist ) {
 289 #ifdef NEW_LOGGING
 290                                 LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 291                                         "TLS could not load client CA list (file: `%s',dir:`%s')\n",
 292                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 293                                         tls_opt_cacertdir ? tls_opt_cacertdir : "", 0 );
 294 #else
 295                                 Debug( LDAP_DEBUG_ANY, "TLS: "
 296                                         "could not load client CA list (file:`%s',dir:`%s').\n",
 297                                         tls_opt_cacertfile ? tls_opt_cacertfile : "",
 298                                         tls_opt_cacertdir ? tls_opt_cacertdir : "",
 299                                         0 );
 300 #endif
 301                                 tls_report_error();
 302                                 rc = -1;
 303                                 goto error_exit;
 304                         }
 305
 306                         SSL_CTX_set_client_CA_list( tls_def_ctx, calist );
 307                 }
 308
 309                 if ( tls_opt_keyfile &&
 310                         !SSL_CTX_use_PrivateKey_file( tls_def_ctx,
 311                                 keyfile, SSL_FILETYPE_PEM ) )
 312                 {
 313 #ifdef NEW_LOGGING
 314                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 315                                 "TLS could not use key file `%s'.\n", tls_opt_keyfile, 0, 0 );
 316 #else
 317                         Debug( LDAP_DEBUG_ANY,
 318                                 "TLS: could not use key file `%s'.\n",
 319                                 tls_opt_keyfile,0,0);
 320 #endif
 321                         tls_report_error();
 322                         rc = -1;
 323                         goto error_exit;
 324                 }
 325
 326                 if ( tls_opt_certfile &&
 327                         !SSL_CTX_use_certificate_file( tls_def_ctx,
 328                                 certfile, SSL_FILETYPE_PEM ) )
 329                 {
 330 #ifdef NEW_LOGGING
 331                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_init_def_ctx: "
 332                                 "TLS could not use certificate `%s'.\n",
 333                                 tls_opt_certfile, 0, 0 );
 334 #else
 335                         Debug( LDAP_DEBUG_ANY,
 336                                 "TLS: could not use certificate `%s'.\n",
 337                                 tls_opt_certfile,0,0);
 338 #endif
 339                         tls_report_error();
 340                         rc = -1;
 341                         goto error_exit;
 342                 }
 343
 344                 if ( ( tls_opt_certfile || tls_opt_keyfile ) &&
 345                         !SSL_CTX_check_private_key( tls_def_ctx ) )
 346                 {
 347 #ifdef NEW_LOGGING
 348                         LDAP_LOG ( TRANSPORT, ERR,
 349                                 "ldap_pvt_tls_init_def_ctx: TLS private key mismatch.\n",
 350                                 0, 0, 0 );
 351 #else
 352                         Debug( LDAP_DEBUG_ANY,
 353                                 "TLS: private key mismatch.\n",
 354                                 0,0,0);
 355 #endif
 356                         tls_report_error();
 357                         rc = -1;
 358                         goto error_exit;
 359                 }
 360
 361                 if ( tls_opt_trace ) {
 362                         SSL_CTX_set_info_callback( tls_def_ctx, tls_info_cb );
 363                 }
 364
 365                 i = SSL_VERIFY_NONE;
 366                 if ( tls_opt_require_cert ) {
 367                         i = SSL_VERIFY_PEER;
 368                         if ( tls_opt_require_cert == LDAP_OPT_X_TLS_DEMAND ||
 369                                  tls_opt_require_cert == LDAP_OPT_X_TLS_HARD ) {
 370                                 i |= SSL_VERIFY_FAIL_IF_NO_PEER_CERT;
 371                         }
 372                 }
 373
 374                 SSL_CTX_set_verify( tls_def_ctx, i,
 375                         tls_opt_require_cert == LDAP_OPT_X_TLS_ALLOW ?
 376                         tls_verify_ok : tls_verify_cb );
 377                 SSL_CTX_set_tmp_rsa_callback( tls_def_ctx, tls_tmp_rsa_cb );
 378                 /* SSL_CTX_set_tmp_dh_callback( tls_def_ctx, tls_tmp_dh_cb ); */
 379         }
 380 error_exit:
 381         if ( rc == -1 && tls_def_ctx != NULL ) {
 382                 SSL_CTX_free( tls_def_ctx );
 383                 tls_def_ctx = NULL;
 384         }
 385 #ifdef HAVE_EBCDIC
 386         LDAP_FREE( ciphersuite );
 387         LDAP_FREE( cacertfile );
 388         LDAP_FREE( cacertdir );
 389         LDAP_FREE( certfile );
 390         LDAP_FREE( keyfile );
 391 #endif
 392 #ifdef LDAP_R_COMPILE
 393         ldap_pvt_thread_mutex_unlock( &tls_def_ctx_mutex );
 394 #endif
 395         return rc;
 396 }
 397
 398 static STACK_OF(X509_NAME) *
 399 get_ca_list( char * bundle, char * dir )
 400 {
 401         STACK_OF(X509_NAME) *ca_list = NULL;
 402
 403         if ( bundle ) {
 404                 ca_list = SSL_load_client_CA_file( bundle );
 405         }
 406 #if defined(HAVE_DIRENT_H) || defined(dirent)
 407         if ( dir ) {
 408                 int freeit = 0;
 409
 410                 if ( !ca_list ) {
 411                         ca_list = sk_X509_NAME_new_null();
 412                         freeit = 1;
 413                 }
 414                 if ( !SSL_add_dir_cert_subjects_to_stack( ca_list, dir ) &&
 415                         freeit ) {
 416                         sk_X509_NAME_free( ca_list );
 417                         ca_list = NULL;
 418                 }
 419         }
 420 #endif
 421         return ca_list;
 422 }
 423
 424 static SSL *
 425 alloc_handle( void *ctx_arg )
 426 {
 427         SSL_CTX *ctx;
 428         SSL     *ssl;
 429
 430         if ( ctx_arg ) {
 431                 ctx = (SSL_CTX *) ctx_arg;
 432         } else {
 433                 if ( ldap_pvt_tls_init_def_ctx() < 0 ) return NULL;
 434                 ctx = tls_def_ctx;
 435         }
 436
 437         ssl = SSL_new( ctx );
 438         if ( ssl == NULL ) {
 439 #ifdef NEW_LOGGING
 440                 LDAP_LOG ( TRANSPORT, ERR,
 441                         "alloc_handle: TLS can't create ssl handle.\n", 0, 0, 0 );
 442 #else
 443                 Debug( LDAP_DEBUG_ANY,"TLS: can't create ssl handle.\n",0,0,0);
 444 #endif
 445                 return NULL;
 446         }
 447         return ssl;
 448 }
 449
 450 static int
 451 update_flags( Sockbuf *sb, SSL * ssl, int rc )
 452 {
 453         int err = SSL_get_error(ssl, rc);
 454
 455         sb->sb_trans_needs_read  = 0;
 456         sb->sb_trans_needs_write = 0;
 457
 458         if (err == SSL_ERROR_WANT_READ) {
 459                 sb->sb_trans_needs_read  = 1;
 460                 return 1;
 461
 462         } else if (err == SSL_ERROR_WANT_WRITE) {
 463                 sb->sb_trans_needs_write = 1;
 464                 return 1;
 465
 466         } else if (err == SSL_ERROR_WANT_CONNECT) {
 467                 return 1;
 468         }
 469         return 0;
 470 }
 471
 472 /*
 473  * TLS support for LBER Sockbufs
 474  */
 475
 476 struct tls_data {
 477         SSL                     *ssl;
 478         Sockbuf_IO_Desc         *sbiod;
 479 };
 480
 481 static BIO_METHOD sb_tls_bio_method;
 482
 483 static int
 484 sb_tls_setup( Sockbuf_IO_Desc *sbiod, void *arg )
 485 {
 486         struct tls_data         *p;
 487         BIO                     *bio;
 488
 489         assert( sbiod != NULL );
 490
 491         p = LBER_MALLOC( sizeof( *p ) );
 492         if ( p == NULL ) {
 493                 return -1;
 494         }
 495
 496         p->ssl = (SSL *)arg;
 497         p->sbiod = sbiod;
 498         bio = BIO_new( &sb_tls_bio_method );
 499         bio->ptr = (void *)p;
 500         SSL_set_bio( p->ssl, bio, bio );
 501         sbiod->sbiod_pvt = p;
 502         return 0;
 503 }
 504
 505 static int
 506 sb_tls_remove( Sockbuf_IO_Desc *sbiod )
 507 {
 508         struct tls_data         *p;
 509
 510         assert( sbiod != NULL );
 511         assert( sbiod->sbiod_pvt != NULL );
 512
 513         p = (struct tls_data *)sbiod->sbiod_pvt;
 514         SSL_free( p->ssl );
 515         LBER_FREE( sbiod->sbiod_pvt );
 516         sbiod->sbiod_pvt = NULL;
 517         return 0;
 518 }
 519
 520 static int
 521 sb_tls_close( Sockbuf_IO_Desc *sbiod )
 522 {
 523         struct tls_data         *p;
 524
 525         assert( sbiod != NULL );
 526         assert( sbiod->sbiod_pvt != NULL );
 527
 528         p = (struct tls_data *)sbiod->sbiod_pvt;
 529         SSL_shutdown( p->ssl );
 530         return 0;
 531 }
 532
 533 static int
 534 sb_tls_ctrl( Sockbuf_IO_Desc *sbiod, int opt, void *arg )
 535 {
 536         struct tls_data         *p;
 537
 538         assert( sbiod != NULL );
 539         assert( sbiod->sbiod_pvt != NULL );
 540
 541         p = (struct tls_data *)sbiod->sbiod_pvt;
 542
 543         if ( opt == LBER_SB_OPT_GET_SSL ) {
 544                 *((SSL **)arg) = p->ssl;
 545                 return 1;
 546
 547         } else if ( opt == LBER_SB_OPT_DATA_READY ) {
 548                 if( SSL_pending( p->ssl ) > 0 ) {
 549                         return 1;
 550                 }
 551         }
 552
 553         return LBER_SBIOD_CTRL_NEXT( sbiod, opt, arg );
 554 }
 555
 556 static ber_slen_t
 557 sb_tls_read( Sockbuf_IO_Desc *sbiod, void *buf, ber_len_t len)
 558 {
 559         struct tls_data         *p;
 560         ber_slen_t              ret;
 561         int                     err;
 562
 563         assert( sbiod != NULL );
 564         assert( SOCKBUF_VALID( sbiod->sbiod_sb ) );
 565
 566         p = (struct tls_data *)sbiod->sbiod_pvt;
 567
 568         ret = SSL_read( p->ssl, (char *)buf, len );
 569 #ifdef HAVE_WINSOCK
 570         errno = WSAGetLastError();
 571 #endif
 572         err = SSL_get_error( p->ssl, ret );
 573         if (err == SSL_ERROR_WANT_READ ) {
 574                 sbiod->sbiod_sb->sb_trans_needs_read = 1;
 575                 errno = EWOULDBLOCK;
 576         }
 577         else
 578                 sbiod->sbiod_sb->sb_trans_needs_read = 0;
 579         return ret;
 580 }
 581
 582 static ber_slen_t
 583 sb_tls_write( Sockbuf_IO_Desc *sbiod, void *buf, ber_len_t len)
 584 {
 585         struct tls_data         *p;
 586         ber_slen_t              ret;
 587         int                     err;
 588
 589         assert( sbiod != NULL );
 590         assert( SOCKBUF_VALID( sbiod->sbiod_sb ) );
 591
 592         p = (struct tls_data *)sbiod->sbiod_pvt;
 593
 594         ret = SSL_write( p->ssl, (char *)buf, len );
 595 #ifdef HAVE_WINSOCK
 596         errno = WSAGetLastError();
 597 #endif
 598         err = SSL_get_error( p->ssl, ret );
 599         if (err == SSL_ERROR_WANT_WRITE ) {
 600                 sbiod->sbiod_sb->sb_trans_needs_write = 1;
 601                 errno = EWOULDBLOCK;
 602
 603         } else {
 604                 sbiod->sbiod_sb->sb_trans_needs_write = 0;
 605         }
 606         return ret;
 607 }
 608
 609 static Sockbuf_IO sb_tls_sbio =
 610 {
 611         sb_tls_setup,           /* sbi_setup */
 612         sb_tls_remove,          /* sbi_remove */
 613         sb_tls_ctrl,            /* sbi_ctrl */
 614         sb_tls_read,            /* sbi_read */
 615         sb_tls_write,           /* sbi_write */
 616         sb_tls_close            /* sbi_close */
 617 };
 618
 619 static int
 620 sb_tls_bio_create( BIO *b ) {
 621         b->init = 1;
 622         b->num = 0;
 623         b->ptr = NULL;
 624         b->flags = 0;
 625         return 1;
 626 }
 627
 628 static int
 629 sb_tls_bio_destroy( BIO *b )
 630 {
 631         if ( b == NULL ) return 0;
 632
 633         b->ptr = NULL;          /* sb_tls_remove() will free it */
 634         b->init = 0;
 635         b->flags = 0;
 636         return 1;
 637 }
 638
 639 static int
 640 sb_tls_bio_read( BIO *b, char *buf, int len )
 641 {
 642         struct tls_data         *p;
 643         int                     ret;
 644
 645         if ( buf == NULL || len <= 0 ) return 0;
 646
 647         p = (struct tls_data *)b->ptr;
 648
 649         if ( p == NULL || p->sbiod == NULL ) {
 650                 return 0;
 651         }
 652
 653         ret = LBER_SBIOD_READ_NEXT( p->sbiod, buf, len );
 654
 655         BIO_clear_retry_flags( b );
 656         if ( ret < 0 ) {
 657                 int err = errno;
 658                 if ( err == EAGAIN || err == EWOULDBLOCK ) {
 659                         BIO_set_retry_read( b );
 660                 }
 661         }
 662
 663         return ret;
 664 }
 665
 666 static int
 667 sb_tls_bio_write( BIO *b, const char *buf, int len )
 668 {
 669         struct tls_data         *p;
 670         int                     ret;
 671
 672         if ( buf == NULL || len <= 0 ) return 0;
 673
 674         p = (struct tls_data *)b->ptr;
 675
 676         if ( p == NULL || p->sbiod == NULL ) {
 677                 return 0;
 678         }
 679
 680         ret = LBER_SBIOD_WRITE_NEXT( p->sbiod, (char *)buf, len );
 681
 682         BIO_clear_retry_flags( b );
 683         if ( ret < 0 ) {
 684                 int err = errno;
 685                 if ( err == EAGAIN || err == EWOULDBLOCK ) {
 686                         BIO_set_retry_write( b );
 687                 }
 688         }
 689
 690         return ret;
 691 }
 692
 693 static long
 694 sb_tls_bio_ctrl( BIO *b, int cmd, long num, void *ptr )
 695 {
 696         if ( cmd == BIO_CTRL_FLUSH ) {
 697                 /* The OpenSSL library needs this */
 698                 return 1;
 699         }
 700         return 0;
 701 }
 702
 703 static int
 704 sb_tls_bio_gets( BIO *b, char *buf, int len )
 705 {
 706         return -1;
 707 }
 708
 709 static int
 710 sb_tls_bio_puts( BIO *b, const char *str )
 711 {
 712         return sb_tls_bio_write( b, str, strlen( str ) );
 713 }
 714
 715 static BIO_METHOD sb_tls_bio_method =
 716 {
 717         ( 100 | 0x400 ),                /* it's a source/sink BIO */
 718         "sockbuf glue",
 719         sb_tls_bio_write,
 720         sb_tls_bio_read,
 721         sb_tls_bio_puts,
 722         sb_tls_bio_gets,
 723         sb_tls_bio_ctrl,
 724         sb_tls_bio_create,
 725         sb_tls_bio_destroy
 726 };
 727
 728 /*
 729  * Call this to do a TLS connect on a sockbuf. ctx_arg can be
 730  * a SSL_CTX * or NULL, in which case the default ctx is used.
 731  *
 732  * Return value:
 733  *
 734  *  0 - Success. Connection is ready for communication.
 735  * <0 - Error. Can't create a TLS stream.
 736  * >0 - Partial success.
 737  *        Do a select (using information from lber_pvt_sb_needs_{read,write}
 738  *              and call again.
 739  */
 740
 741 static int
 742 ldap_int_tls_connect( LDAP *ld, LDAPConn *conn )
 743 {
 744         Sockbuf *sb = conn->lconn_sb;
 745         int     err;
 746         SSL     *ssl;
 747
 748         if ( HAS_TLS( sb ) ) {
 749                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
 750
 751         } else {
 752                 void *ctx = ld->ld_defconn
 753                         ? ld->ld_defconn->lconn_tls_ctx : NULL;
 754
 755                 ssl = alloc_handle( ctx );
 756
 757                 if ( ssl == NULL ) return -1;
 758
 759 #ifdef LDAP_DEBUG
 760                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
 761                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
 762 #endif
 763                 ber_sockbuf_add_io( sb, &sb_tls_sbio,
 764                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
 765
 766                 if( ctx == NULL ) {
 767                         conn->lconn_tls_ctx = tls_def_ctx;
 768                 }
 769         }
 770
 771         err = SSL_connect( ssl );
 772
 773 #ifdef HAVE_WINSOCK
 774         errno = WSAGetLastError();
 775 #endif
 776
 777         if ( err <= 0 ) {
 778                 if ( update_flags( sb, ssl, err )) {
 779                         return 1;
 780                 }
 781
 782                 if ((err = ERR_peek_error())) {
 783                         char buf[256];
 784
 785                         if (ld->ld_error ) {
 786                                 LDAP_FREE( ld->ld_error );
 787                         }
 788                         ld->ld_error = LDAP_STRDUP(ERR_error_string(err, buf));
 789 #ifdef HAVE_EBCDIC
 790                         if ( ld->ld_error ) __etoa(ld->ld_error);
 791 #endif
 792                 }
 793
 794 #ifdef NEW_LOGGING
 795                 LDAP_LOG ( TRANSPORT, ERR,
 796                         "ldap_int_tls_connect: TLS can't connect.\n", 0, 0, 0 );
 797 #else
 798                 Debug( LDAP_DEBUG_ANY,"TLS: can't connect.\n",0,0,0);
 799 #endif
 800
 801                 ber_sockbuf_remove_io( sb, &sb_tls_sbio,
 802                         LBER_SBIOD_LEVEL_TRANSPORT );
 803 #ifdef LDAP_DEBUG
 804                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
 805                         LBER_SBIOD_LEVEL_TRANSPORT );
 806 #endif
 807                 return -1;
 808         }
 809
 810         return 0;
 811 }
 812
 813 /*
 814  * Call this to do a TLS accept on a sockbuf.
 815  * Everything else is the same as with tls_connect.
 816  */
 817 int
 818 ldap_pvt_tls_accept( Sockbuf *sb, void *ctx_arg )
 819 {
 820         int     err;
 821         SSL     *ssl;
 822
 823         if ( HAS_TLS( sb ) ) {
 824                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
 825
 826         } else {
 827                 ssl = alloc_handle( ctx_arg );
 828                 if ( ssl == NULL ) return -1;
 829
 830 #ifdef LDAP_DEBUG
 831                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
 832                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
 833 #endif
 834                 ber_sockbuf_add_io( sb, &sb_tls_sbio,
 835                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
 836         }
 837
 838         err = SSL_accept( ssl );
 839
 840 #ifdef HAVE_WINSOCK
 841         errno = WSAGetLastError();
 842 #endif
 843         if ( err <= 0 ) {
 844                 if ( update_flags( sb, ssl, err )) return 1;
 845
 846 #ifdef NEW_LOGGING
 847                 LDAP_LOG ( TRANSPORT, ERR,
 848                         "ldap_pvt_tls_accept: TLS can't accept.\n", 0, 0, 0 );
 849 #else
 850                 Debug( LDAP_DEBUG_ANY,"TLS: can't accept.\n",0,0,0 );
 851 #endif
 852
 853                 tls_report_error();
 854                 ber_sockbuf_remove_io( sb, &sb_tls_sbio,
 855                         LBER_SBIOD_LEVEL_TRANSPORT );
 856 #ifdef LDAP_DEBUG
 857                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
 858                         LBER_SBIOD_LEVEL_TRANSPORT );
 859 #endif
 860                 return -1;
 861         }
 862
 863         return 0;
 864 }
 865
 866 int
 867 ldap_pvt_tls_inplace ( Sockbuf *sb )
 868 {
 869         return HAS_TLS( sb ) ? 1 : 0;
 870 }
 871
 872 static X509 *
 873 tls_get_cert( SSL *s )
 874 {
 875         /* If peer cert was bad, treat as if no cert was given */
 876         if (SSL_get_verify_result(s)) {
 877                 /* If we can send an alert, do so */
 878                 if (SSL_version(s) != SSL2_VERSION) {
 879                         ssl3_send_alert(s,SSL3_AL_WARNING,SSL3_AD_BAD_CERTIFICATE);
 880                 }
 881                 return NULL;
 882         }
 883         return SSL_get_peer_certificate(s);
 884 }
 885
 886 int
 887 ldap_pvt_tls_get_peer_dn( void *s, struct berval *dn,
 888         LDAPDN_rewrite_dummy *func, unsigned flags )
 889 {
 890         X509 *x;
 891         X509_NAME *xn;
 892         int rc;
 893
 894         x = tls_get_cert((SSL *)s);
 895
 896         if (!x) return LDAP_INVALID_CREDENTIALS;
 897
 898         xn = X509_get_subject_name(x);
 899         rc = ldap_X509dn2bv(xn, dn, (LDAPDN_rewrite_func *)func, flags);
 900         X509_free(x);
 901         return rc;
 902 }
 903
 904 char *
 905 ldap_pvt_tls_get_peer_hostname( void *s )
 906 {
 907         X509 *x;
 908         X509_NAME *xn;
 909         char buf[2048], *p;
 910         int ret;
 911
 912         x = tls_get_cert((SSL *)s);
 913         if (!x) return NULL;
 914
 915         xn = X509_get_subject_name(x);
 916
 917         ret = X509_NAME_get_text_by_NID(xn, NID_commonName, buf, sizeof(buf));
 918         if( ret == -1 ) {
 919                 X509_free(x);
 920                 return NULL;
 921         }
 922
 923         p = LDAP_STRDUP(buf);
 924         X509_free(x);
 925         return p;
 926 }
 927
 928 /* what kind of hostname were we given? */
 929 #define IS_DNS  0
 930 #define IS_IP4  1
 931 #define IS_IP6  2
 932
 933 int
 934 ldap_pvt_tls_check_hostname( LDAP *ld, void *s, const char *name_in )
 935 {
 936         int i, ret = LDAP_LOCAL_ERROR;
 937         X509 *x;
 938         const char *name;
 939         char *ptr;
 940         int ntype = IS_DNS;
 941 #ifdef LDAP_PF_INET6
 942         struct in6_addr addr;
 943 #else
 944         struct in_addr addr;
 945 #endif
 946
 947         if( ldap_int_hostname &&
 948                 ( !name_in || !strcasecmp( name_in, "localhost" ) ) )
 949         {
 950                 name = ldap_int_hostname;
 951         } else {
 952                 name = name_in;
 953         }
 954
 955         x = tls_get_cert((SSL *)s);
 956         if (!x) {
 957 #ifdef NEW_LOGGING
 958                 LDAP_LOG ( TRANSPORT, ERR,
 959                         "ldap_pvt_tls_check_hostname: "
 960                         "TLS unable to get peer certificate.\n" , 0, 0, 0 );
 961 #else
 962                 Debug( LDAP_DEBUG_ANY,
 963                         "TLS: unable to get peer certificate.\n",
 964                         0, 0, 0 );
 965 #endif
 966                 /* If this was a fatal condition, things would have
 967                  * aborted long before now.
 968                  */
 969                 return LDAP_SUCCESS;
 970         }
 971
 972 #ifdef LDAP_PF_INET6
 973         if (name[0] == '[' && strchr(name, ']')) {
 974                 char *n2 = ldap_strdup(name+1);
 975                 *strchr(n2, ']') = 2;
 976                 if (inet_pton(AF_INET6, n2, &addr))
 977                         ntype = IS_IP6;
 978                 LDAP_FREE(n2);
 979         } else
 980 #endif
 981         if ((ptr = strrchr(name, '.')) && isdigit((unsigned char)ptr[1])) {
 982                 if (inet_aton(name, (struct in_addr *)&addr)) ntype = IS_IP4;
 983         }
 984
 985         i = X509_get_ext_by_NID(x, NID_subject_alt_name, -1);
 986         if (i >= 0) {
 987                 X509_EXTENSION *ex;
 988                 STACK_OF(GENERAL_NAME) *alt;
 989
 990                 ex = X509_get_ext(x, i);
 991                 alt = X509V3_EXT_d2i(ex);
 992                 if (alt) {
 993                         int n, len1 = 0, len2 = 0;
 994                         char *domain = NULL;
 995                         GENERAL_NAME *gn;
 996
 997                         if (ntype == IS_DNS) {
 998                                 len1 = strlen(name);
 999                                 domain = strchr(name, '.');
1000                                 if (domain) {
1001                                         len2 = len1 - (domain-name);
1002                                 }
1003                         }
1004                         n = sk_GENERAL_NAME_num(alt);
1005                         for (i=0; i<n; i++) {
1006                                 char *sn;
1007                                 int sl;
1008                                 gn = sk_GENERAL_NAME_value(alt, i);
1009                                 if (gn->type == GEN_DNS) {
1010                                         if (ntype != IS_DNS) continue;
1011
1012                                         sn = (char *) ASN1_STRING_data(gn->d.ia5);
1013                                         sl = ASN1_STRING_length(gn->d.ia5);
1014
1015                                         /* ignore empty */
1016                                         if (sl == 0) continue;
1017
1018                                         /* Is this an exact match? */
1019                                         if ((len1 == sl) && !strncasecmp(name, sn, len1)) {
1020                                                 break;
1021                                         }
1022
1023                                         /* Is this a wildcard match? */
1024                                         if (domain && (sn[0] == '*') && (sn[1] == '.') &&
1025                                                 (len2 == sl-1) && !strncasecmp(domain, &sn[1], len2))
1026                                         {
1027                                                 break;
1028                                         }
1029
1030                                 } else if (gn->type == GEN_IPADD) {
1031                                         if (ntype == IS_DNS) continue;
1032
1033                                         sn = (char *) ASN1_STRING_data(gn->d.ia5);
1034                                         sl = ASN1_STRING_length(gn->d.ia5);
1035
1036 #ifdef LDAP_PF_INET6
1037                                         if (ntype == IS_IP6 && sl != sizeof(struct in6_addr)) {
1038                                                 continue;
1039                                         } else
1040 #endif
1041                                         if (ntype == IS_IP4 && sl != sizeof(struct in_addr)) {
1042                                                 continue;
1043                                         }
1044                                         if (!memcmp(sn, &addr, sl)) {
1045                                                 break;
1046                                         }
1047                                 }
1048                         }
1049
1050                         GENERAL_NAMES_free(alt);
1051                         if (i < n) {    /* Found a match */
1052                                 ret = LDAP_SUCCESS;
1053                         }
1054                 }
1055         }
1056
1057         if (ret != LDAP_SUCCESS) {
1058                 X509_NAME *xn;
1059                 char buf[2048];
1060                 buf[0] = '\0';
1061
1062                 xn = X509_get_subject_name(x);
1063                 if( X509_NAME_get_text_by_NID( xn, NID_commonName,
1064                         buf, sizeof(buf)) == -1)
1065                 {
1066 #ifdef NEW_LOGGING
1067                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_check_hostname: "
1068                                 "TLS unable to get common name from peer certificate.\n",
1069                                 0, 0, 0 );
1070 #else
1071                         Debug( LDAP_DEBUG_ANY,
1072                                 "TLS: unable to get common name from peer certificate.\n",
1073                                 0, 0, 0 );
1074 #endif
1075                         ret = LDAP_CONNECT_ERROR;
1076                         if (ld->ld_error ) {
1077                                 LDAP_FREE( ld->ld_error );
1078                         }
1079                         ld->ld_error = LDAP_STRDUP(
1080                                 _("TLS: unable to get CN from peer certificate"));
1081
1082                 } else if (strcasecmp(name, buf) == 0 ) {
1083                         ret = LDAP_SUCCESS;
1084
1085                 } else if (( buf[0] == '*' ) && ( buf[1] == '.' )) {
1086                         char *domain = strchr(name, '.');
1087                         if( domain ) {
1088                                 size_t dlen = 0;
1089                                 size_t sl;
1090
1091                                 sl = strlen(name);
1092                                 dlen = sl - (domain-name);
1093                                 sl = strlen(buf);
1094
1095                                 /* Is this a wildcard match? */
1096                                 if ((dlen == sl-1) && !strncasecmp(domain, &buf[1], dlen)) {
1097                                         ret = LDAP_SUCCESS;
1098                                 }
1099                         }
1100                 }
1101
1102                 if( ret == LDAP_LOCAL_ERROR ) {
1103 #ifdef NEW_LOGGING
1104                         LDAP_LOG ( TRANSPORT, ERR, "ldap_pvt_tls_check_hostname: "
1105                                 "TLS hostname (%s) does not match "
1106                                 "common name in certificate (%s).\n", name, buf, 0 );
1107 #else
1108                         Debug( LDAP_DEBUG_ANY, "TLS: hostname (%s) does not match "
1109                                 "common name in certificate (%s).\n",
1110                                 name, buf, 0 );
1111 #endif
1112                         ret = LDAP_CONNECT_ERROR;
1113                         if (ld->ld_error ) {
1114                                 LDAP_FREE( ld->ld_error );
1115                         }
1116                         ld->ld_error = LDAP_STRDUP(
1117                                 _("TLS: hostname does not match CN in peer certificate"));
1118                 }
1119         }
1120         X509_free(x);
1121         return ret;
1122 }
1123
1124 const char *
1125 ldap_pvt_tls_get_peer_issuer( void *s )
1126 {
1127 #if 0   /* currently unused; see ldap_pvt_tls_get_peer_dn() if needed */
1128         X509 *x;
1129         X509_NAME *xn;
1130         char buf[2048], *p;
1131
1132         x = SSL_get_peer_certificate((SSL *)s);
1133
1134         if (!x) return NULL;
1135
1136         xn = X509_get_issuer_name(x);
1137         p = LDAP_STRDUP(X509_NAME_oneline(xn, buf, sizeof(buf)));
1138         X509_free(x);
1139         return p;
1140 #else
1141         return NULL;
1142 #endif
1143 }
1144
1145 int
1146 ldap_int_tls_config( LDAP *ld, int option, const char *arg )
1147 {
1148         int i;
1149
1150         switch( option ) {
1151         case LDAP_OPT_X_TLS_CACERTFILE:
1152         case LDAP_OPT_X_TLS_CACERTDIR:
1153         case LDAP_OPT_X_TLS_CERTFILE:
1154         case LDAP_OPT_X_TLS_KEYFILE:
1155         case LDAP_OPT_X_TLS_RANDOM_FILE:
1156         case LDAP_OPT_X_TLS_CIPHER_SUITE:
1157                 return ldap_pvt_tls_set_option( ld, option, (void *) arg );
1158
1159         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1160         case LDAP_OPT_X_TLS:
1161                 i = -1;
1162                 if ( strcasecmp( arg, "never" ) == 0 ) {
1163                         i = LDAP_OPT_X_TLS_NEVER ;
1164
1165                 } else if ( strcasecmp( arg, "demand" ) == 0 ) {
1166                         i = LDAP_OPT_X_TLS_DEMAND ;
1167
1168                 } else if ( strcasecmp( arg, "allow" ) == 0 ) {
1169                         i = LDAP_OPT_X_TLS_ALLOW ;
1170
1171                 } else if ( strcasecmp( arg, "try" ) == 0 ) {
1172                         i = LDAP_OPT_X_TLS_TRY ;
1173
1174                 } else if ( ( strcasecmp( arg, "hard" ) == 0 ) ||
1175                         ( strcasecmp( arg, "on" ) == 0 ) ||
1176                         ( strcasecmp( arg, "yes" ) == 0) ||
1177                         ( strcasecmp( arg, "true" ) == 0 ) )
1178                 {
1179                         i = LDAP_OPT_X_TLS_HARD ;
1180                 }
1181
1182                 if (i >= 0) {
1183                         return ldap_pvt_tls_set_option( ld, option, &i );
1184                 }
1185                 return -1;
1186         }
1187
1188         return -1;
1189 }
1190
1191 int
1192 ldap_pvt_tls_get_option( LDAP *ld, int option, void *arg )
1193 {
1194         struct ldapoptions *lo;
1195
1196         if( ld != NULL ) {
1197                 assert( LDAP_VALID( ld ) );
1198
1199                 if( !LDAP_VALID( ld ) ) {
1200                         return LDAP_OPT_ERROR;
1201                 }
1202
1203                 lo = &ld->ld_options;
1204
1205         } else {
1206                 /* Get pointer to global option structure */
1207                 lo = LDAP_INT_GLOBAL_OPT();
1208                 if ( lo == NULL ) {
1209                         return LDAP_NO_MEMORY;
1210                 }
1211         }
1212
1213         switch( option ) {
1214         case LDAP_OPT_X_TLS:
1215                 *(int *)arg = lo->ldo_tls_mode;
1216                 break;
1217         case LDAP_OPT_X_TLS_CTX:
1218                 if ( ld == NULL ) {
1219                         *(void **)arg = (void *) tls_def_ctx;
1220                 } else {
1221                         *(void **)arg = ld->ld_defconn->lconn_tls_ctx;
1222                 }
1223                 break;
1224         case LDAP_OPT_X_TLS_CACERTFILE:
1225                 *(char **)arg = tls_opt_cacertfile ?
1226                         LDAP_STRDUP( tls_opt_cacertfile ) : NULL;
1227                 break;
1228         case LDAP_OPT_X_TLS_CACERTDIR:
1229                 *(char **)arg = tls_opt_cacertdir ?
1230                         LDAP_STRDUP( tls_opt_cacertdir ) : NULL;
1231                 break;
1232         case LDAP_OPT_X_TLS_CERTFILE:
1233                 *(char **)arg = tls_opt_certfile ?
1234                         LDAP_STRDUP( tls_opt_certfile ) : NULL;
1235                 break;
1236         case LDAP_OPT_X_TLS_KEYFILE:
1237                 *(char **)arg = tls_opt_keyfile ?
1238                         LDAP_STRDUP( tls_opt_keyfile ) : NULL;
1239                 break;
1240         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1241                 *(int *)arg = tls_opt_require_cert;
1242                 break;
1243         case LDAP_OPT_X_TLS_RANDOM_FILE:
1244                 *(char **)arg = tls_opt_randfile ?
1245                         LDAP_STRDUP( tls_opt_randfile ) : NULL;
1246                 break;
1247         case LDAP_OPT_X_TLS_SSL_CTX: {
1248                 void *retval = 0;
1249                 if ( ld != NULL ) {
1250                         LDAPConn *conn = ld->ld_defconn;
1251                         if ( conn != NULL ) {
1252                                 Sockbuf *sb = conn->lconn_sb;
1253                                 retval = ldap_pvt_tls_sb_ctx( sb );
1254                         }
1255                 }
1256                 *(void **)arg = retval;
1257                 break;
1258         }
1259         default:
1260                 return -1;
1261         }
1262         return 0;
1263 }
1264
1265 int
1266 ldap_pvt_tls_set_option( LDAP *ld, int option, void *arg )
1267 {
1268         struct ldapoptions *lo;
1269
1270         if( ld != NULL ) {
1271                 assert( LDAP_VALID( ld ) );
1272
1273                 if( !LDAP_VALID( ld ) ) {
1274                         return LDAP_OPT_ERROR;
1275                 }
1276
1277                 lo = &ld->ld_options;
1278
1279         } else {
1280                 /* Get pointer to global option structure */
1281                 lo = LDAP_INT_GLOBAL_OPT();
1282                 if ( lo == NULL ) {
1283                         return LDAP_NO_MEMORY;
1284                 }
1285         }
1286
1287         switch( option ) {
1288         case LDAP_OPT_X_TLS:
1289                 switch( *(int *) arg ) {
1290                 case LDAP_OPT_X_TLS_NEVER:
1291                 case LDAP_OPT_X_TLS_DEMAND:
1292                 case LDAP_OPT_X_TLS_ALLOW:
1293                 case LDAP_OPT_X_TLS_TRY:
1294                 case LDAP_OPT_X_TLS_HARD:
1295                         if (lo != NULL) {
1296                                 lo->ldo_tls_mode = *(int *)arg;
1297                         }
1298
1299                         return 0;
1300                 }
1301                 return -1;
1302
1303         case LDAP_OPT_X_TLS_CTX:
1304                 if ( ld == NULL ) {
1305                         tls_def_ctx = (SSL_CTX *) arg;
1306
1307                 } else {
1308                         ld->ld_defconn->lconn_tls_ctx = arg;
1309                 }
1310                 return 0;
1311         }
1312
1313         if ( ld != NULL ) {
1314                 return -1;
1315         }
1316
1317         switch( option ) {
1318         case LDAP_OPT_X_TLS_CACERTFILE:
1319                 if ( tls_opt_cacertfile ) LDAP_FREE( tls_opt_cacertfile );
1320                 tls_opt_cacertfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1321                 break;
1322         case LDAP_OPT_X_TLS_CACERTDIR:
1323                 if ( tls_opt_cacertdir ) LDAP_FREE( tls_opt_cacertdir );
1324                 tls_opt_cacertdir = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1325                 break;
1326         case LDAP_OPT_X_TLS_CERTFILE:
1327                 if ( tls_opt_certfile ) LDAP_FREE( tls_opt_certfile );
1328                 tls_opt_certfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1329                 break;
1330         case LDAP_OPT_X_TLS_KEYFILE:
1331                 if ( tls_opt_keyfile ) LDAP_FREE( tls_opt_keyfile );
1332                 tls_opt_keyfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1333                 break;
1334         case LDAP_OPT_X_TLS_REQUIRE_CERT:
1335                 switch( *(int *) arg ) {
1336                 case LDAP_OPT_X_TLS_NEVER:
1337                 case LDAP_OPT_X_TLS_DEMAND:
1338                 case LDAP_OPT_X_TLS_ALLOW:
1339                 case LDAP_OPT_X_TLS_TRY:
1340                 case LDAP_OPT_X_TLS_HARD:
1341                         tls_opt_require_cert = * (int *) arg;
1342                         return 0;
1343                 }
1344                 return -1;
1345         case LDAP_OPT_X_TLS_CIPHER_SUITE:
1346                 if ( tls_opt_ciphersuite ) LDAP_FREE( tls_opt_ciphersuite );
1347                 tls_opt_ciphersuite = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1348                 break;
1349         case LDAP_OPT_X_TLS_RANDOM_FILE:
1350                 if (tls_opt_randfile ) LDAP_FREE (tls_opt_randfile );
1351                 tls_opt_randfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
1352                 break;
1353         default:
1354                 return -1;
1355         }
1356         return 0;
1357 }
1358
1359 int
1360 ldap_int_tls_start ( LDAP *ld, LDAPConn *conn, LDAPURLDesc *srv )
1361 {
1362         Sockbuf *sb = conn->lconn_sb;
1363         char *host;
1364         void *ssl;
1365
1366         if( srv ) {
1367                 host = srv->lud_host;
1368         } else {
1369                 host = conn->lconn_server->lud_host;
1370         }
1371
1372         /* avoid NULL host */
1373         if( host == NULL ) {
1374                 host = "localhost";
1375         }
1376
1377         (void) ldap_pvt_tls_init();
1378
1379         /*
1380          * Fortunately, the lib uses blocking io...
1381          */
1382         if ( ldap_int_tls_connect( ld, conn ) < 0 ) {
1383                 ld->ld_errno = LDAP_CONNECT_ERROR;
1384                 return (ld->ld_errno);
1385         }
1386
1387         ssl = ldap_pvt_tls_sb_ctx( sb );
1388         assert( ssl != NULL );
1389
1390         /*
1391          * compare host with name(s) in certificate
1392          */
1393         if (tls_opt_require_cert != LDAP_OPT_X_TLS_NEVER) {
1394                 ld->ld_errno = ldap_pvt_tls_check_hostname( ld, ssl, host );
1395                 if (ld->ld_errno != LDAP_SUCCESS) {
1396                         return ld->ld_errno;
1397                 }
1398         }
1399
1400         return LDAP_SUCCESS;
1401 }
1402
1403 /* Derived from openssl/apps/s_cb.c */
1404 static void
1405 tls_info_cb( const SSL *ssl, int where, int ret )
1406 {
1407         int w;
1408         char *op;
1409         char *state = (char *) SSL_state_string_long( (SSL *)ssl );
1410
1411         w = where & ~SSL_ST_MASK;
1412         if ( w & SSL_ST_CONNECT ) {
1413                 op = "SSL_connect";
1414         } else if ( w & SSL_ST_ACCEPT ) {
1415                 op = "SSL_accept";
1416         } else {
1417                 op = "undefined";
1418         }
1419
1420 #ifdef HAVE_EBCDIC
1421         if ( state ) {
1422                 state = LDAP_STRDUP( state );
1423                 __etoa( state );
1424         }
1425 #endif
1426         if ( where & SSL_CB_LOOP ) {
1427 #ifdef NEW_LOGGING
1428                 LDAP_LOG ( TRANSPORT, DETAIL1, "tls_info_cb: "
1429                         "TLS trace: %s:%s\n", op, state, 0 );
1430 #else
1431                 Debug( LDAP_DEBUG_TRACE,
1432                            "TLS trace: %s:%s\n",
1433                            op, state, 0 );
1434 #endif
1435
1436         } else if ( where & SSL_CB_ALERT ) {
1437                 char *atype = (char *) SSL_alert_type_string_long( ret );
1438                 char *adesc = (char *) SSL_alert_desc_string_long( ret );
1439                 op = ( where & SSL_CB_READ ) ? "read" : "write";
1440 #ifdef HAVE_EBCDIC
1441                 if ( atype ) {
1442                         atype = LDAP_STRDUP( atype );
1443                         __etoa( atype );
1444                 }
1445                 if ( adesc ) {
1446                         adesc = LDAP_STRDUP( adesc );
1447                         __etoa( adesc );
1448                 }
1449 #endif
1450 #ifdef NEW_LOGGING
1451                 LDAP_LOG ( TRANSPORT, DETAIL1,
1452                         "tls_info_cb: TLS trace: SSL3 alert %s:%s:%s\n",
1453                         op, atype, adesc );
1454 #else
1455                 Debug( LDAP_DEBUG_TRACE,
1456                            "TLS trace: SSL3 alert %s:%s:%s\n",
1457                            op, atype, adesc );
1458 #endif
1459 #ifdef HAVE_EBCDIC
1460                 if ( atype ) LDAP_FREE( atype );
1461                 if ( adesc ) LDAP_FREE( adesc );
1462 #endif
1463         } else if ( where & SSL_CB_EXIT ) {
1464                 if ( ret == 0 ) {
1465 #ifdef NEW_LOGGING
1466                         LDAP_LOG ( TRANSPORT, ERR,
1467                                 "tls_info_cb: TLS trace: %s:failed in %s\n",
1468                                 op, state, 0 );
1469 #else
1470                         Debug( LDAP_DEBUG_TRACE,
1471                                    "TLS trace: %s:failed in %s\n",
1472                                    op, state, 0 );
1473 #endif
1474                 } else if ( ret < 0 ) {
1475 #ifdef NEW_LOGGING
1476                         LDAP_LOG ( TRANSPORT, ERR,
1477                                 "tls_info_cb: TLS trace: %s:error in %s\n",
1478                                 op, state, 0 );
1479 #else
1480                         Debug( LDAP_DEBUG_TRACE,
1481                                    "TLS trace: %s:error in %s\n",
1482                                    op, state, 0 );
1483 #endif
1484                 }
1485         }
1486 #ifdef HAVE_EBCDIC
1487         if ( state ) LDAP_FREE( state );
1488 #endif
1489 }
1490
1491 static int
1492 tls_verify_cb( int ok, X509_STORE_CTX *ctx )
1493 {
1494         X509 *cert;
1495         int errnum;
1496         int errdepth;
1497         X509_NAME *subject;
1498         X509_NAME *issuer;
1499         char *sname;
1500         char *iname;
1501         char *certerr = NULL;
1502
1503         cert = X509_STORE_CTX_get_current_cert( ctx );
1504         errnum = X509_STORE_CTX_get_error( ctx );
1505         errdepth = X509_STORE_CTX_get_error_depth( ctx );
1506
1507         /*
1508          * X509_get_*_name return pointers to the internal copies of
1509          * those things requested.  So do not free them.
1510          */
1511         subject = X509_get_subject_name( cert );
1512         issuer = X509_get_issuer_name( cert );
1513         /* X509_NAME_oneline, if passed a NULL buf, allocate memomry */
1514         sname = X509_NAME_oneline( subject, NULL, 0 );
1515         iname = X509_NAME_oneline( issuer, NULL, 0 );
1516         if ( !ok ) certerr = (char *)X509_verify_cert_error_string( errnum );
1517 #ifdef HAVE_EBCDIC
1518         if ( sname ) __etoa( sname );
1519         if ( iname ) __etoa( iname );
1520         if ( certerr ) {
1521                 certerr = LDAP_STRDUP( certerr );
1522                 __etoa( certerr );
1523         }
1524 #endif
1525 #ifdef NEW_LOGGING
1526         LDAP_LOG( TRANSPORT, ERR,
1527                    "TLS certificate verification: depth: %d, err: %d, subject: %s,",
1528                    errdepth, errnum,
1529                    sname ? sname : "-unknown-" );
1530         LDAP_LOG( TRANSPORT, ERR, " issuer: %s\n", iname ? iname : "-unknown-", 0, 0 );
1531         if ( !ok ) {
1532                 LDAP_LOG ( TRANSPORT, ERR,
1533                         "TLS certificate verification: Error, %s\n",
1534                         certerr, 0, 0 );
1535         }
1536 #else
1537         Debug( LDAP_DEBUG_TRACE,
1538                    "TLS certificate verification: depth: %d, err: %d, subject: %s,",
1539                    errdepth, errnum,
1540                    sname ? sname : "-unknown-" );
1541         Debug( LDAP_DEBUG_TRACE, " issuer: %s\n", iname ? iname : "-unknown-", 0, 0 );
1542         if ( !ok ) {
1543                 Debug( LDAP_DEBUG_ANY,
1544                         "TLS certificate verification: Error, %s\n",
1545                         certerr, 0, 0 );
1546         }
1547 #endif
1548         if ( sname )
1549                 CRYPTO_free ( sname );
1550         if ( iname )
1551                 CRYPTO_free ( iname );
1552 #ifdef HAVE_EBCDIC
1553         if ( certerr ) LDAP_FREE( certerr );
1554 #endif
1555         return ok;
1556 }
1557
1558 static int
1559 tls_verify_ok( int ok, X509_STORE_CTX *ctx )
1560 {
1561         (void) tls_verify_cb( ok, ctx );
1562         return 1;
1563 }
1564
1565 /* Inspired by ERR_print_errors in OpenSSL */
1566 static void
1567 tls_report_error( void )
1568 {
1569         unsigned long l;
1570         char buf[200];
1571         const char *file;
1572         int line;
1573
1574         while ( ( l = ERR_get_error_line( &file, &line ) ) != 0 ) {
1575                 ERR_error_string_n( l, buf, sizeof( buf ) );
1576 #ifdef HAVE_EBCDIC
1577                 if ( file ) {
1578                         file = LDAP_STRDUP( file );
1579                         __etoa( (char *)file );
1580                 }
1581                 __etoa( buf );
1582 #endif
1583 #ifdef NEW_LOGGING
1584                 LDAP_LOG ( TRANSPORT, ERR,
1585                         "tls_report_error: TLS %s %s:%d\n",
1586                         buf, file, line );
1587 #else
1588                 Debug( LDAP_DEBUG_ANY, "TLS: %s %s:%d\n",
1589                         buf, file, line );
1590 #endif
1591 #ifdef HAVE_EBCDIC
1592                 if ( file ) LDAP_FREE( (void *)file );
1593 #endif
1594         }
1595 }
1596
1597 static RSA *
1598 tls_tmp_rsa_cb( SSL *ssl, int is_export, int key_length )
1599 {
1600         RSA *tmp_rsa;
1601
1602         /* FIXME:  Pregenerate the key on startup */
1603         /* FIXME:  Who frees the key? */
1604         tmp_rsa = RSA_generate_key( key_length, RSA_F4, NULL, NULL );
1605
1606         if ( !tmp_rsa ) {
1607 #ifdef NEW_LOGGING
1608                 LDAP_LOG ( TRANSPORT, ERR,
1609                         "tls_tmp_rsa_cb: TLS Failed to generate temporary %d-bit %s "
1610                         "RSA key\n", key_length, is_export ? "export" : "domestic", 0 );
1611 #else
1612                 Debug( LDAP_DEBUG_ANY,
1613                         "TLS: Failed to generate temporary %d-bit %s RSA key\n",
1614                         key_length, is_export ? "export" : "domestic", 0 );
1615 #endif
1616                 return NULL;
1617         }
1618         return tmp_rsa;
1619 }
1620
1621 static int
1622 tls_seed_PRNG( const char *randfile )
1623 {
1624 #ifndef URANDOM_DEVICE
1625         /* no /dev/urandom (or equiv) */
1626         long total=0;
1627         char buffer[MAXPATHLEN];
1628
1629         if (randfile == NULL) {
1630                 /* The seed file is $RANDFILE if defined, otherwise $HOME/.rnd.
1631                  * If $HOME is not set or buffer too small to hold the pathname,
1632                  * an error occurs.     - From RAND_file_name() man page.
1633                  * The fact is that when $HOME is NULL, .rnd is used.
1634                  */
1635                 randfile = RAND_file_name( buffer, sizeof( buffer ) );
1636
1637         } else if (RAND_egd(randfile) > 0) {
1638                 /* EGD socket */
1639                 return 0;
1640         }
1641
1642         if (randfile == NULL) {
1643 #ifdef NEW_LOGGING
1644                 LDAP_LOG ( TRANSPORT, DETAIL1,
1645                         "tls_seed_PRNG: TLS Use configuration file or "
1646                         "$RANDFILE to define seed PRNG\n", 0, 0, 0 );
1647 #else
1648                 Debug( LDAP_DEBUG_ANY,
1649                         "TLS: Use configuration file or $RANDFILE to define seed PRNG\n",
1650                         0, 0, 0);
1651 #endif
1652                 return -1;
1653         }
1654
1655         total = RAND_load_file(randfile, -1);
1656
1657         if (RAND_status() == 0) {
1658 #ifdef NEW_LOGGING
1659                 LDAP_LOG ( TRANSPORT, DETAIL1,
1660                         "tls_seed_PRNG: TLS PRNG not been seeded with enough data\n",
1661                         0, 0, 0 );
1662 #else
1663                 Debug( LDAP_DEBUG_ANY,
1664                         "TLS: PRNG not been seeded with enough data\n",
1665                         0, 0, 0);
1666 #endif
1667                 return -1;
1668         }
1669
1670         /* assume if there was enough bits to seed that it's okay
1671          * to write derived bits to the file
1672          */
1673         RAND_write_file(randfile);
1674
1675 #endif
1676
1677         return 0;
1678 }
1679
1680 #if 0
1681 static DH *
1682 tls_tmp_dh_cb( SSL *ssl, int is_export, int key_length )
1683 {
1684         return NULL;
1685 }
1686 #endif
1687 #endif
1688
1689 void *
1690 ldap_pvt_tls_sb_ctx( Sockbuf *sb )
1691 {
1692 #ifdef HAVE_TLS
1693         void                    *p;
1694
1695         if (HAS_TLS( sb )) {
1696                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&p );
1697                 return p;
1698         }
1699 #endif
1700
1701         return NULL;
1702 }
1703
1704 int
1705 ldap_pvt_tls_get_strength( void *s )
1706 {
1707 #ifdef HAVE_TLS
1708         SSL_CIPHER *c;
1709
1710         c = SSL_get_current_cipher((SSL *)s);
1711         return SSL_CIPHER_get_bits(c, NULL);
1712 #else
1713         return 0;
1714 #endif
1715 }
1716
1717
1718 int
1719 ldap_pvt_tls_get_my_dn( void *s, struct berval *dn, LDAPDN_rewrite_dummy *func, unsigned flags )
1720 {
1721 #ifdef HAVE_TLS
1722         X509 *x;
1723         X509_NAME *xn;
1724         int rc;
1725
1726         x = SSL_get_certificate((SSL *)s);
1727
1728         if (!x) return LDAP_INVALID_CREDENTIALS;
1729
1730         xn = X509_get_subject_name(x);
1731         rc = ldap_X509dn2bv(xn, dn, (LDAPDN_rewrite_func *)func, flags );
1732         return rc;
1733 #else
1734         return LDAP_NOT_SUPPORTED;
1735 #endif
1736 }
1737
1738 int
1739 ldap_start_tls_s ( LDAP *ld,
1740         LDAPControl **serverctrls,
1741         LDAPControl **clientctrls )
1742 {
1743         int rc;
1744
1745 #ifdef HAVE_TLS
1746         char *rspoid = NULL;
1747         struct berval *rspdata = NULL;
1748
1749         /* XXYYZ: this initiates operation only on default connection! */
1750
1751         if ( ld->ld_sb != NULL && ldap_pvt_tls_inplace( ld->ld_sb ) != 0 ) {
1752                 return LDAP_LOCAL_ERROR;
1753         }
1754
1755         rc = ldap_extended_operation_s( ld, LDAP_EXOP_START_TLS,
1756                 NULL, serverctrls, clientctrls, &rspoid, &rspdata );
1757
1758         if ( rspoid != NULL ) {
1759                 LDAP_FREE(rspoid);
1760         }
1761
1762         if ( rspdata != NULL ) {
1763                 ber_bvfree( rspdata );
1764         }
1765
1766         if ( rc == LDAP_SUCCESS ) {
1767                 rc = ldap_int_tls_start( ld, ld->ld_defconn, NULL );
1768         }
1769
1770 #else
1771         rc = LDAP_NOT_SUPPORTED;
1772 #endif
1773         return rc;
1774 }
1775