]> git.sur5r.net Git - openldap/blob - libraries/libldap/tls2.c
Add LDAP_OPT_X_TLS_PACKAGE
[openldap] / libraries / libldap / tls2.c
1 /* tls.c - Handle tls/ssl. */
2 /* $OpenLDAP$ */
3 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
4  *
5  * Copyright 1998-2011 The OpenLDAP Foundation.
6  * All rights reserved.
7  *
8  * Redistribution and use in source and binary forms, with or without
9  * modification, are permitted only as authorized by the OpenLDAP
10  * Public License.
11  *
12  * A copy of this license is available in the file LICENSE in the
13  * top-level directory of the distribution or, alternatively, at
14  * <http://www.OpenLDAP.org/license.html>.
15  */
16 /* ACKNOWLEDGEMENTS: restructured by Howard Chu.
17  */
18
19 #include "portable.h"
20 #include "ldap_config.h"
21
22 #include <stdio.h>
23
24 #include <ac/stdlib.h>
25 #include <ac/errno.h>
26 #include <ac/socket.h>
27 #include <ac/string.h>
28 #include <ac/ctype.h>
29 #include <ac/time.h>
30 #include <ac/unistd.h>
31 #include <ac/param.h>
32 #include <ac/dirent.h>
33
34 #include "ldap-int.h"
35
36 #ifdef HAVE_TLS
37
38 #include "ldap-tls.h"
39
40 static tls_impl *tls_imp = &ldap_int_tls_impl;
41 #define HAS_TLS( sb )   ber_sockbuf_ctrl( sb, LBER_SB_OPT_HAS_IO, \
42                                 (void *)tls_imp->ti_sbio )
43
44 #endif /* HAVE_TLS */
45
46 /* RFC2459 minimum required set of supported attribute types
47  * in a certificate DN
48  */
49 typedef struct oid_name {
50         struct berval oid;
51         struct berval name;
52 } oid_name;
53
54 static oid_name oids[] = {
55         { BER_BVC("2.5.4.3"), BER_BVC("cn") },
56         { BER_BVC("2.5.4.4"), BER_BVC("sn") },
57         { BER_BVC("2.5.4.6"), BER_BVC("c") },
58         { BER_BVC("2.5.4.7"), BER_BVC("l") },
59         { BER_BVC("2.5.4.8"), BER_BVC("st") },
60         { BER_BVC("2.5.4.10"), BER_BVC("o") },
61         { BER_BVC("2.5.4.11"), BER_BVC("ou") },
62         { BER_BVC("2.5.4.12"), BER_BVC("title") },
63         { BER_BVC("2.5.4.41"), BER_BVC("name") },
64         { BER_BVC("2.5.4.42"), BER_BVC("givenName") },
65         { BER_BVC("2.5.4.43"), BER_BVC("initials") },
66         { BER_BVC("2.5.4.44"), BER_BVC("generationQualifier") },
67         { BER_BVC("2.5.4.46"), BER_BVC("dnQualifier") },
68         { BER_BVC("1.2.840.113549.1.9.1"), BER_BVC("email") },
69         { BER_BVC("0.9.2342.19200300.100.1.25"), BER_BVC("dc") },
70         { BER_BVNULL, BER_BVNULL }
71 };
72
73 #ifdef HAVE_TLS
74
75 void
76 ldap_pvt_tls_ctx_free ( void *c )
77 {
78         if ( !c ) return;
79         tls_imp->ti_ctx_free( c );
80 }
81
82 static void
83 tls_ctx_ref( tls_ctx *ctx )
84 {
85         if ( !ctx ) return;
86
87         tls_imp->ti_ctx_ref( ctx );
88 }
89
90 #ifdef LDAP_R_COMPILE
91 /*
92  * an extra mutex for the default ctx.
93  */
94 static ldap_pvt_thread_mutex_t tls_def_ctx_mutex;
95 #endif
96
97 void
98 ldap_int_tls_destroy( struct ldapoptions *lo )
99 {
100         if ( lo->ldo_tls_ctx ) {
101                 ldap_pvt_tls_ctx_free( lo->ldo_tls_ctx );
102                 lo->ldo_tls_ctx = NULL;
103         }
104
105         if ( lo->ldo_tls_certfile ) {
106                 LDAP_FREE( lo->ldo_tls_certfile );
107                 lo->ldo_tls_certfile = NULL;
108         }
109         if ( lo->ldo_tls_keyfile ) {
110                 LDAP_FREE( lo->ldo_tls_keyfile );
111                 lo->ldo_tls_keyfile = NULL;
112         }
113         if ( lo->ldo_tls_dhfile ) {
114                 LDAP_FREE( lo->ldo_tls_dhfile );
115                 lo->ldo_tls_dhfile = NULL;
116         }
117         if ( lo->ldo_tls_cacertfile ) {
118                 LDAP_FREE( lo->ldo_tls_cacertfile );
119                 lo->ldo_tls_cacertfile = NULL;
120         }
121         if ( lo->ldo_tls_cacertdir ) {
122                 LDAP_FREE( lo->ldo_tls_cacertdir );
123                 lo->ldo_tls_cacertdir = NULL;
124         }
125         if ( lo->ldo_tls_ciphersuite ) {
126                 LDAP_FREE( lo->ldo_tls_ciphersuite );
127                 lo->ldo_tls_ciphersuite = NULL;
128         }
129         if ( lo->ldo_tls_crlfile ) {
130                 LDAP_FREE( lo->ldo_tls_crlfile );
131                 lo->ldo_tls_crlfile = NULL;
132         }
133 }
134
135 /*
136  * Tear down the TLS subsystem. Should only be called once.
137  */
138 void
139 ldap_pvt_tls_destroy( void )
140 {
141         struct ldapoptions *lo = LDAP_INT_GLOBAL_OPT();   
142
143         ldap_int_tls_destroy( lo );
144
145         tls_imp->ti_tls_destroy();
146 }
147
148 /*
149  * Initialize a particular TLS implementation.
150  * Called once per implementation.
151  */
152 static int
153 tls_init(tls_impl *impl )
154 {
155         static int tls_initialized = 0;
156
157         if ( !tls_initialized++ ) {
158 #ifdef LDAP_R_COMPILE
159                 ldap_pvt_thread_mutex_init( &tls_def_ctx_mutex );
160 #endif
161         }
162
163         if ( impl->ti_inited++ ) return 0;
164
165 #ifdef LDAP_R_COMPILE
166         impl->ti_thr_init();
167 #endif
168         return impl->ti_tls_init();
169 }
170
171 /*
172  * Initialize TLS subsystem. Called once per implementation.
173  */
174 int
175 ldap_pvt_tls_init( void )
176 {
177         return tls_init( tls_imp );
178 }
179
180 /*
181  * initialize a new TLS context
182  */
183 static int
184 ldap_int_tls_init_ctx( struct ldapoptions *lo, int is_server )
185 {
186         int rc = 0;
187         tls_impl *ti = tls_imp;
188         struct ldaptls lts = lo->ldo_tls_info;
189
190         if ( lo->ldo_tls_ctx )
191                 return 0;
192
193         tls_init( ti );
194
195         if ( is_server && !lts.lt_certfile && !lts.lt_keyfile &&
196                 !lts.lt_cacertfile && !lts.lt_cacertdir ) {
197                 /* minimum configuration not provided */
198                 return LDAP_NOT_SUPPORTED;
199         }
200
201 #ifdef HAVE_EBCDIC
202         /* This ASCII/EBCDIC handling is a real pain! */
203         if ( lts.lt_ciphersuite ) {
204                 lts.lt_ciphersuite = LDAP_STRDUP( lts.lt_ciphersuite );
205                 __atoe( lts.lt_ciphersuite );
206         }
207         if ( lts.lt_cacertfile ) {
208                 lts.lt_cacertfile = LDAP_STRDUP( lts.lt_cacertfile );
209                 __atoe( lts.lt_cacertfile );
210         }
211         if ( lts.lt_certfile ) {
212                 lts.lt_certfile = LDAP_STRDUP( lts.lt_certfile );
213                 __atoe( lts.lt_certfile );
214         }
215         if ( lts.lt_keyfile ) {
216                 lts.lt_keyfile = LDAP_STRDUP( lts.lt_keyfile );
217                 __atoe( lts.lt_keyfile );
218         }
219         if ( lts.lt_crlfile ) {
220                 lts.lt_crlfile = LDAP_STRDUP( lts.lt_crlfile );
221                 __atoe( lts.lt_crlfile );
222         }
223         if ( lts.lt_cacertdir ) {
224                 lts.lt_cacertdir = LDAP_STRDUP( lts.lt_cacertdir );
225                 __atoe( lts.lt_cacertdir );
226         }
227         if ( lts.lt_dhfile ) {
228                 lts.lt_dhfile = LDAP_STRDUP( lts.lt_dhfile );
229                 __atoe( lts.lt_dhfile );
230         }
231 #endif
232         lo->ldo_tls_ctx = ti->ti_ctx_new( lo );
233         if ( lo->ldo_tls_ctx == NULL ) {
234                 Debug( LDAP_DEBUG_ANY,
235                    "TLS: could not allocate default ctx.\n",
236                         0,0,0);
237                 rc = -1;
238                 goto error_exit;
239         }
240
241         rc = ti->ti_ctx_init( lo, &lts, is_server );
242
243 error_exit:
244         if ( rc < 0 && lo->ldo_tls_ctx != NULL ) {
245                 ldap_pvt_tls_ctx_free( lo->ldo_tls_ctx );
246                 lo->ldo_tls_ctx = NULL;
247         }
248 #ifdef HAVE_EBCDIC
249         LDAP_FREE( lts.lt_ciphersuite );
250         LDAP_FREE( lts.lt_cacertfile );
251         LDAP_FREE( lts.lt_certfile );
252         LDAP_FREE( lts.lt_keyfile );
253         LDAP_FREE( lts.lt_crlfile );
254         LDAP_FREE( lts.lt_cacertdir );
255         LDAP_FREE( lts.lt_dhfile );
256 #endif
257         return rc;
258 }
259
260 /*
261  * initialize the default context
262  */
263 int
264 ldap_pvt_tls_init_def_ctx( int is_server )
265 {
266         struct ldapoptions *lo = LDAP_INT_GLOBAL_OPT();   
267         int rc;
268         LDAP_MUTEX_LOCK( &tls_def_ctx_mutex );
269         rc = ldap_int_tls_init_ctx( lo, is_server );
270         LDAP_MUTEX_UNLOCK( &tls_def_ctx_mutex );
271         return rc;
272 }
273
274 static tls_session *
275 alloc_handle( void *ctx_arg, int is_server )
276 {
277         tls_ctx *ctx;
278         tls_session     *ssl;
279
280         if ( ctx_arg ) {
281                 ctx = ctx_arg;
282         } else {
283                 struct ldapoptions *lo = LDAP_INT_GLOBAL_OPT();   
284                 if ( ldap_pvt_tls_init_def_ctx( is_server ) < 0 ) return NULL;
285                 ctx = lo->ldo_tls_ctx;
286         }
287
288         ssl = tls_imp->ti_session_new( ctx, is_server );
289         if ( ssl == NULL ) {
290                 Debug( LDAP_DEBUG_ANY,"TLS: can't create ssl handle.\n",0,0,0);
291                 return NULL;
292         }
293         return ssl;
294 }
295
296 static int
297 update_flags( Sockbuf *sb, tls_session * ssl, int rc )
298 {
299         sb->sb_trans_needs_read  = 0;
300         sb->sb_trans_needs_write = 0;
301
302         return tls_imp->ti_session_upflags( sb, ssl, rc );
303 }
304
305 /*
306  * Call this to do a TLS connect on a sockbuf. ctx_arg can be
307  * a SSL_CTX * or NULL, in which case the default ctx is used.
308  *
309  * Return value:
310  *
311  *  0 - Success. Connection is ready for communication.
312  * <0 - Error. Can't create a TLS stream.
313  * >0 - Partial success.
314  *        Do a select (using information from lber_pvt_sb_needs_{read,write}
315  *              and call again.
316  */
317
318 static int
319 ldap_int_tls_connect( LDAP *ld, LDAPConn *conn )
320 {
321         Sockbuf *sb = conn->lconn_sb;
322         int     err;
323         tls_session     *ssl = NULL;
324
325         if ( HAS_TLS( sb )) {
326                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
327         } else {
328                 struct ldapoptions *lo;
329                 tls_ctx *ctx;
330
331                 ctx = ld->ld_options.ldo_tls_ctx;
332
333                 ssl = alloc_handle( ctx, 0 );
334
335                 if ( ssl == NULL ) return -1;
336
337 #ifdef LDAP_DEBUG
338                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
339                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
340 #endif
341                 ber_sockbuf_add_io( sb, tls_imp->ti_sbio,
342                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
343
344                 lo = LDAP_INT_GLOBAL_OPT();   
345                 if( ctx == NULL ) {
346                         ctx = lo->ldo_tls_ctx;
347                         ld->ld_options.ldo_tls_ctx = ctx;
348                         tls_ctx_ref( ctx );
349                 }
350                 if ( ld->ld_options.ldo_tls_connect_cb )
351                         ld->ld_options.ldo_tls_connect_cb( ld, ssl, ctx,
352                         ld->ld_options.ldo_tls_connect_arg );
353                 if ( lo && lo->ldo_tls_connect_cb && lo->ldo_tls_connect_cb !=
354                         ld->ld_options.ldo_tls_connect_cb )
355                         lo->ldo_tls_connect_cb( ld, ssl, ctx, lo->ldo_tls_connect_arg );
356         }
357
358         err = tls_imp->ti_session_connect( ld, ssl );
359
360 #ifdef HAVE_WINSOCK
361         errno = WSAGetLastError();
362 #endif
363
364         if ( err < 0 )
365         {
366                 char buf[256], *msg;
367                 if ( update_flags( sb, ssl, err )) {
368                         return 1;
369                 }
370
371                 msg = tls_imp->ti_session_errmsg( ssl, err, buf, sizeof(buf) );
372                 if ( msg ) {
373                         if ( ld->ld_error ) {
374                                 LDAP_FREE( ld->ld_error );
375                         }
376                         ld->ld_error = LDAP_STRDUP( msg );
377 #ifdef HAVE_EBCDIC
378                         if ( ld->ld_error ) __etoa(ld->ld_error);
379 #endif
380                 }
381
382                 Debug( LDAP_DEBUG_ANY,"TLS: can't connect: %s.\n",
383                         ld->ld_error ? ld->ld_error : "" ,0,0);
384
385                 ber_sockbuf_remove_io( sb, tls_imp->ti_sbio,
386                         LBER_SBIOD_LEVEL_TRANSPORT );
387 #ifdef LDAP_DEBUG
388                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
389                         LBER_SBIOD_LEVEL_TRANSPORT );
390 #endif
391                 return -1;
392         }
393
394         return 0;
395 }
396
397 /*
398  * Call this to do a TLS accept on a sockbuf.
399  * Everything else is the same as with tls_connect.
400  */
401 int
402 ldap_pvt_tls_accept( Sockbuf *sb, void *ctx_arg )
403 {
404         int     err;
405         tls_session     *ssl = NULL;
406
407         if ( HAS_TLS( sb )) {
408                 ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&ssl );
409         } else {
410                 ssl = alloc_handle( ctx_arg, 1 );
411                 if ( ssl == NULL ) return -1;
412
413 #ifdef LDAP_DEBUG
414                 ber_sockbuf_add_io( sb, &ber_sockbuf_io_debug,
415                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)"tls_" );
416 #endif
417                 ber_sockbuf_add_io( sb, tls_imp->ti_sbio,
418                         LBER_SBIOD_LEVEL_TRANSPORT, (void *)ssl );
419         }
420
421         err = tls_imp->ti_session_accept( ssl );
422
423 #ifdef HAVE_WINSOCK
424         errno = WSAGetLastError();
425 #endif
426
427         if ( err < 0 )
428         {
429                 if ( update_flags( sb, ssl, err )) return 1;
430
431                 if ( DebugTest( LDAP_DEBUG_ANY ) ) {
432                         char buf[256], *msg;
433                         msg = tls_imp->ti_session_errmsg( ssl, err, buf, sizeof(buf) );
434                         Debug( LDAP_DEBUG_ANY,"TLS: can't accept: %s.\n",
435                                 msg ? msg : "(unknown)", 0, 0 );
436                 }
437
438                 ber_sockbuf_remove_io( sb, tls_imp->ti_sbio,
439                         LBER_SBIOD_LEVEL_TRANSPORT );
440 #ifdef LDAP_DEBUG
441                 ber_sockbuf_remove_io( sb, &ber_sockbuf_io_debug,
442                         LBER_SBIOD_LEVEL_TRANSPORT );
443 #endif
444                 return -1;
445         }
446         return 0;
447 }
448
449 int
450 ldap_pvt_tls_inplace ( Sockbuf *sb )
451 {
452         return HAS_TLS( sb ) ? 1 : 0;
453 }
454
455 int
456 ldap_tls_inplace( LDAP *ld )
457 {
458         Sockbuf         *sb = NULL;
459
460         if ( ld->ld_defconn && ld->ld_defconn->lconn_sb ) {
461                 sb = ld->ld_defconn->lconn_sb;
462
463         } else if ( ld->ld_sb ) {
464                 sb = ld->ld_sb;
465
466         } else {
467                 return 0;
468         }
469
470         return ldap_pvt_tls_inplace( sb );
471 }
472
473 int
474 ldap_pvt_tls_get_peer_dn( void *s, struct berval *dn,
475         LDAPDN_rewrite_dummy *func, unsigned flags )
476 {
477         tls_session *session = s;
478         struct berval bvdn;
479         int rc;
480
481         rc = tls_imp->ti_session_peer_dn( session, &bvdn );
482         if ( rc ) return rc;
483
484         rc = ldap_X509dn2bv( &bvdn, dn, 
485                             (LDAPDN_rewrite_func *)func, flags);
486         return rc;
487 }
488
489 int
490 ldap_pvt_tls_check_hostname( LDAP *ld, void *s, const char *name_in )
491 {
492         tls_session *session = s;
493
494         return tls_imp->ti_session_chkhost( ld, session, name_in );
495 }
496
497 int
498 ldap_int_tls_config( LDAP *ld, int option, const char *arg )
499 {
500         int i;
501
502         switch( option ) {
503         case LDAP_OPT_X_TLS_CACERTFILE:
504         case LDAP_OPT_X_TLS_CACERTDIR:
505         case LDAP_OPT_X_TLS_CERTFILE:
506         case LDAP_OPT_X_TLS_KEYFILE:
507         case LDAP_OPT_X_TLS_RANDOM_FILE:
508         case LDAP_OPT_X_TLS_CIPHER_SUITE:
509         case LDAP_OPT_X_TLS_DHFILE:
510         case LDAP_OPT_X_TLS_CRLFILE:    /* GnuTLS only */
511                 return ldap_pvt_tls_set_option( ld, option, (void *) arg );
512
513         case LDAP_OPT_X_TLS_REQUIRE_CERT:
514         case LDAP_OPT_X_TLS:
515                 i = -1;
516                 if ( strcasecmp( arg, "never" ) == 0 ) {
517                         i = LDAP_OPT_X_TLS_NEVER ;
518
519                 } else if ( strcasecmp( arg, "demand" ) == 0 ) {
520                         i = LDAP_OPT_X_TLS_DEMAND ;
521
522                 } else if ( strcasecmp( arg, "allow" ) == 0 ) {
523                         i = LDAP_OPT_X_TLS_ALLOW ;
524
525                 } else if ( strcasecmp( arg, "try" ) == 0 ) {
526                         i = LDAP_OPT_X_TLS_TRY ;
527
528                 } else if ( ( strcasecmp( arg, "hard" ) == 0 ) ||
529                         ( strcasecmp( arg, "on" ) == 0 ) ||
530                         ( strcasecmp( arg, "yes" ) == 0) ||
531                         ( strcasecmp( arg, "true" ) == 0 ) )
532                 {
533                         i = LDAP_OPT_X_TLS_HARD ;
534                 }
535
536                 if (i >= 0) {
537                         return ldap_pvt_tls_set_option( ld, option, &i );
538                 }
539                 return -1;
540         case LDAP_OPT_X_TLS_PROTOCOL_MIN: {
541                 char *next;
542                 long l;
543                 l = strtol( arg, &next, 10 );
544                 if ( l < 0 || l > 0xff || next == arg ||
545                         ( *next != '\0' && *next != '.' ) )
546                         return -1;
547                 i = l << 8;
548                 if (*next == '.') {
549                         arg = next + 1;
550                         l = strtol( arg, &next, 10 );
551                         if ( l < 0 || l > 0xff || next == arg || *next != '\0' )
552                                 return -1;
553                         i += l;
554                 }
555                 return ldap_pvt_tls_set_option( ld, option, &i );
556                 }
557 #ifdef HAVE_OPENSSL_CRL
558         case LDAP_OPT_X_TLS_CRLCHECK:   /* OpenSSL only */
559                 i = -1;
560                 if ( strcasecmp( arg, "none" ) == 0 ) {
561                         i = LDAP_OPT_X_TLS_CRL_NONE ;
562                 } else if ( strcasecmp( arg, "peer" ) == 0 ) {
563                         i = LDAP_OPT_X_TLS_CRL_PEER ;
564                 } else if ( strcasecmp( arg, "all" ) == 0 ) {
565                         i = LDAP_OPT_X_TLS_CRL_ALL ;
566                 }
567                 if (i >= 0) {
568                         return ldap_pvt_tls_set_option( ld, option, &i );
569                 }
570                 return -1;
571 #endif
572         }
573         return -1;
574 }
575
576 int
577 ldap_pvt_tls_get_option( LDAP *ld, int option, void *arg )
578 {
579         struct ldapoptions *lo;
580
581         if( option == LDAP_OPT_X_TLS_PACKAGE ) {
582                 *(char **)arg = LDAP_STRDUP( tls_imp->ti_name );
583                 return 0;
584         }
585
586         if( ld != NULL ) {
587                 assert( LDAP_VALID( ld ) );
588
589                 if( !LDAP_VALID( ld ) ) {
590                         return LDAP_OPT_ERROR;
591                 }
592
593                 lo = &ld->ld_options;
594
595         } else {
596                 /* Get pointer to global option structure */
597                 lo = LDAP_INT_GLOBAL_OPT();   
598                 if ( lo == NULL ) {
599                         return LDAP_NO_MEMORY;
600                 }
601         }
602
603         switch( option ) {
604         case LDAP_OPT_X_TLS:
605                 *(int *)arg = lo->ldo_tls_mode;
606                 break;
607         case LDAP_OPT_X_TLS_CTX:
608                 *(void **)arg = lo->ldo_tls_ctx;
609                 if ( lo->ldo_tls_ctx ) {
610                         tls_ctx_ref( lo->ldo_tls_ctx );
611                 }
612                 break;
613         case LDAP_OPT_X_TLS_CACERTFILE:
614                 *(char **)arg = lo->ldo_tls_cacertfile ?
615                         LDAP_STRDUP( lo->ldo_tls_cacertfile ) : NULL;
616                 break;
617         case LDAP_OPT_X_TLS_CACERTDIR:
618                 *(char **)arg = lo->ldo_tls_cacertdir ?
619                         LDAP_STRDUP( lo->ldo_tls_cacertdir ) : NULL;
620                 break;
621         case LDAP_OPT_X_TLS_CERTFILE:
622                 *(char **)arg = lo->ldo_tls_certfile ?
623                         LDAP_STRDUP( lo->ldo_tls_certfile ) : NULL;
624                 break;
625         case LDAP_OPT_X_TLS_KEYFILE:
626                 *(char **)arg = lo->ldo_tls_keyfile ?
627                         LDAP_STRDUP( lo->ldo_tls_keyfile ) : NULL;
628                 break;
629         case LDAP_OPT_X_TLS_DHFILE:
630                 *(char **)arg = lo->ldo_tls_dhfile ?
631                         LDAP_STRDUP( lo->ldo_tls_dhfile ) : NULL;
632                 break;
633         case LDAP_OPT_X_TLS_CRLFILE:    /* GnuTLS only */
634                 *(char **)arg = lo->ldo_tls_crlfile ?
635                         LDAP_STRDUP( lo->ldo_tls_crlfile ) : NULL;
636                 break;
637         case LDAP_OPT_X_TLS_REQUIRE_CERT:
638                 *(int *)arg = lo->ldo_tls_require_cert;
639                 break;
640 #ifdef HAVE_OPENSSL_CRL
641         case LDAP_OPT_X_TLS_CRLCHECK:   /* OpenSSL only */
642                 *(int *)arg = lo->ldo_tls_crlcheck;
643                 break;
644 #endif
645         case LDAP_OPT_X_TLS_CIPHER_SUITE:
646                 *(char **)arg = lo->ldo_tls_ciphersuite ?
647                         LDAP_STRDUP( lo->ldo_tls_ciphersuite ) : NULL;
648                 break;
649         case LDAP_OPT_X_TLS_PROTOCOL_MIN:
650                 *(int *)arg = lo->ldo_tls_protocol_min;
651                 break;
652         case LDAP_OPT_X_TLS_RANDOM_FILE:
653                 *(char **)arg = lo->ldo_tls_randfile ?
654                         LDAP_STRDUP( lo->ldo_tls_randfile ) : NULL;
655                 break;
656         case LDAP_OPT_X_TLS_SSL_CTX: {
657                 void *retval = 0;
658                 if ( ld != NULL ) {
659                         LDAPConn *conn = ld->ld_defconn;
660                         if ( conn != NULL ) {
661                                 Sockbuf *sb = conn->lconn_sb;
662                                 retval = ldap_pvt_tls_sb_ctx( sb );
663                         }
664                 }
665                 *(void **)arg = retval;
666                 break;
667         }
668         case LDAP_OPT_X_TLS_CONNECT_CB:
669                 *(LDAP_TLS_CONNECT_CB **)arg = lo->ldo_tls_connect_cb;
670                 break;
671         case LDAP_OPT_X_TLS_CONNECT_ARG:
672                 *(void **)arg = lo->ldo_tls_connect_arg;
673                 break;
674         default:
675                 return -1;
676         }
677         return 0;
678 }
679
680 int
681 ldap_pvt_tls_set_option( LDAP *ld, int option, void *arg )
682 {
683         struct ldapoptions *lo;
684
685         if( ld != NULL ) {
686                 assert( LDAP_VALID( ld ) );
687
688                 if( !LDAP_VALID( ld ) ) {
689                         return LDAP_OPT_ERROR;
690                 }
691
692                 lo = &ld->ld_options;
693
694         } else {
695                 /* Get pointer to global option structure */
696                 lo = LDAP_INT_GLOBAL_OPT();   
697                 if ( lo == NULL ) {
698                         return LDAP_NO_MEMORY;
699                 }
700         }
701
702         switch( option ) {
703         case LDAP_OPT_X_TLS:
704                 if ( !arg ) return -1;
705
706                 switch( *(int *) arg ) {
707                 case LDAP_OPT_X_TLS_NEVER:
708                 case LDAP_OPT_X_TLS_DEMAND:
709                 case LDAP_OPT_X_TLS_ALLOW:
710                 case LDAP_OPT_X_TLS_TRY:
711                 case LDAP_OPT_X_TLS_HARD:
712                         if (lo != NULL) {
713                                 lo->ldo_tls_mode = *(int *)arg;
714                         }
715
716                         return 0;
717                 }
718                 return -1;
719
720         case LDAP_OPT_X_TLS_CTX:
721                 if ( lo->ldo_tls_ctx )
722                         ldap_pvt_tls_ctx_free( lo->ldo_tls_ctx );
723                 lo->ldo_tls_ctx = arg;
724                 tls_ctx_ref( lo->ldo_tls_ctx );
725                 return 0;
726         case LDAP_OPT_X_TLS_CONNECT_CB:
727                 lo->ldo_tls_connect_cb = (LDAP_TLS_CONNECT_CB *)arg;
728                 return 0;
729         case LDAP_OPT_X_TLS_CONNECT_ARG:
730                 lo->ldo_tls_connect_arg = arg;
731                 return 0;
732         case LDAP_OPT_X_TLS_CACERTFILE:
733                 if ( lo->ldo_tls_cacertfile ) LDAP_FREE( lo->ldo_tls_cacertfile );
734                 lo->ldo_tls_cacertfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
735                 return 0;
736         case LDAP_OPT_X_TLS_CACERTDIR:
737                 if ( lo->ldo_tls_cacertdir ) LDAP_FREE( lo->ldo_tls_cacertdir );
738                 lo->ldo_tls_cacertdir = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
739                 return 0;
740         case LDAP_OPT_X_TLS_CERTFILE:
741                 if ( lo->ldo_tls_certfile ) LDAP_FREE( lo->ldo_tls_certfile );
742                 lo->ldo_tls_certfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
743                 return 0;
744         case LDAP_OPT_X_TLS_KEYFILE:
745                 if ( lo->ldo_tls_keyfile ) LDAP_FREE( lo->ldo_tls_keyfile );
746                 lo->ldo_tls_keyfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
747                 return 0;
748         case LDAP_OPT_X_TLS_DHFILE:
749                 if ( lo->ldo_tls_dhfile ) LDAP_FREE( lo->ldo_tls_dhfile );
750                 lo->ldo_tls_dhfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
751                 return 0;
752         case LDAP_OPT_X_TLS_CRLFILE:    /* GnuTLS only */
753                 if ( lo->ldo_tls_crlfile ) LDAP_FREE( lo->ldo_tls_crlfile );
754                 lo->ldo_tls_crlfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
755                 return 0;
756         case LDAP_OPT_X_TLS_REQUIRE_CERT:
757                 if ( !arg ) return -1;
758                 switch( *(int *) arg ) {
759                 case LDAP_OPT_X_TLS_NEVER:
760                 case LDAP_OPT_X_TLS_DEMAND:
761                 case LDAP_OPT_X_TLS_ALLOW:
762                 case LDAP_OPT_X_TLS_TRY:
763                 case LDAP_OPT_X_TLS_HARD:
764                         lo->ldo_tls_require_cert = * (int *) arg;
765                         return 0;
766                 }
767                 return -1;
768 #ifdef HAVE_OPENSSL_CRL
769         case LDAP_OPT_X_TLS_CRLCHECK:   /* OpenSSL only */
770                 if ( !arg ) return -1;
771                 switch( *(int *) arg ) {
772                 case LDAP_OPT_X_TLS_CRL_NONE:
773                 case LDAP_OPT_X_TLS_CRL_PEER:
774                 case LDAP_OPT_X_TLS_CRL_ALL:
775                         lo->ldo_tls_crlcheck = * (int *) arg;
776                         return 0;
777                 }
778                 return -1;
779 #endif
780         case LDAP_OPT_X_TLS_CIPHER_SUITE:
781                 if ( lo->ldo_tls_ciphersuite ) LDAP_FREE( lo->ldo_tls_ciphersuite );
782                 lo->ldo_tls_ciphersuite = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
783                 return 0;
784
785         case LDAP_OPT_X_TLS_PROTOCOL_MIN:
786                 if ( !arg ) return -1;
787                 lo->ldo_tls_protocol_min = *(int *)arg;
788                 return 0;
789         case LDAP_OPT_X_TLS_RANDOM_FILE:
790                 if ( ld != NULL )
791                         return -1;
792                 if ( lo->ldo_tls_randfile ) LDAP_FREE (lo->ldo_tls_randfile );
793                 lo->ldo_tls_randfile = arg ? LDAP_STRDUP( (char *) arg ) : NULL;
794                 break;
795         case LDAP_OPT_X_TLS_NEWCTX:
796                 if ( !arg ) return -1;
797                 if ( lo->ldo_tls_ctx )
798                         ldap_pvt_tls_ctx_free( lo->ldo_tls_ctx );
799                 lo->ldo_tls_ctx = NULL;
800                 return ldap_int_tls_init_ctx( lo, *(int *)arg );
801         default:
802                 return -1;
803         }
804         return 0;
805 }
806
807 int
808 ldap_int_tls_start ( LDAP *ld, LDAPConn *conn, LDAPURLDesc *srv )
809 {
810         Sockbuf *sb = conn->lconn_sb;
811         char *host;
812         void *ssl;
813
814         if( srv ) {
815                 host = srv->lud_host;
816         } else {
817                 host = conn->lconn_server->lud_host;
818         }
819
820         /* avoid NULL host */
821         if( host == NULL ) {
822                 host = "localhost";
823         }
824
825         (void) tls_init( tls_imp );
826
827         /*
828          * Fortunately, the lib uses blocking io...
829          */
830         if ( ldap_int_tls_connect( ld, conn ) < 0 ) {
831                 ld->ld_errno = LDAP_CONNECT_ERROR;
832                 return (ld->ld_errno);
833         }
834
835         ssl = ldap_pvt_tls_sb_ctx( sb );
836         assert( ssl != NULL );
837
838         /* 
839          * compare host with name(s) in certificate
840          */
841         if (ld->ld_options.ldo_tls_require_cert != LDAP_OPT_X_TLS_NEVER) {
842                 ld->ld_errno = ldap_pvt_tls_check_hostname( ld, ssl, host );
843                 if (ld->ld_errno != LDAP_SUCCESS) {
844                         return ld->ld_errno;
845                 }
846         }
847
848         return LDAP_SUCCESS;
849 }
850
851 void *
852 ldap_pvt_tls_sb_ctx( Sockbuf *sb )
853 {
854         void                    *p = NULL;
855         
856         ber_sockbuf_ctrl( sb, LBER_SB_OPT_GET_SSL, (void *)&p );
857         return p;
858 }
859
860 int
861 ldap_pvt_tls_get_strength( void *s )
862 {
863         tls_session *session = s;
864
865         return tls_imp->ti_session_strength( session );
866 }
867
868 int
869 ldap_pvt_tls_get_my_dn( void *s, struct berval *dn, LDAPDN_rewrite_dummy *func, unsigned flags )
870 {
871         tls_session *session = s;
872         struct berval der_dn;
873         int rc;
874
875         rc = tls_imp->ti_session_my_dn( session, &der_dn );
876         if ( rc == LDAP_SUCCESS )
877                 rc = ldap_X509dn2bv(&der_dn, dn, (LDAPDN_rewrite_func *)func, flags );
878         return rc;
879 }
880 #endif /* HAVE_TLS */
881
882 int
883 ldap_start_tls( LDAP *ld,
884         LDAPControl **serverctrls,
885         LDAPControl **clientctrls,
886         int *msgidp )
887 {
888         return ldap_extended_operation( ld, LDAP_EXOP_START_TLS,
889                 NULL, serverctrls, clientctrls, msgidp );
890 }
891
892 int
893 ldap_install_tls( LDAP *ld )
894 {
895 #ifndef HAVE_TLS
896         return LDAP_NOT_SUPPORTED;
897 #else
898         if ( ldap_tls_inplace( ld ) ) {
899                 return LDAP_LOCAL_ERROR;
900         }
901
902         return ldap_int_tls_start( ld, ld->ld_defconn, NULL );
903 #endif
904 }
905
906 int
907 ldap_start_tls_s ( LDAP *ld,
908         LDAPControl **serverctrls,
909         LDAPControl **clientctrls )
910 {
911 #ifndef HAVE_TLS
912         return LDAP_NOT_SUPPORTED;
913 #else
914         int rc;
915         char *rspoid = NULL;
916         struct berval *rspdata = NULL;
917
918         /* XXYYZ: this initiates operation only on default connection! */
919
920         if ( ldap_tls_inplace( ld ) ) {
921                 return LDAP_LOCAL_ERROR;
922         }
923
924         rc = ldap_extended_operation_s( ld, LDAP_EXOP_START_TLS,
925                 NULL, serverctrls, clientctrls, &rspoid, &rspdata );
926
927         if ( rspoid != NULL ) {
928                 LDAP_FREE(rspoid);
929         }
930
931         if ( rspdata != NULL ) {
932                 ber_bvfree( rspdata );
933         }
934
935         if ( rc == LDAP_SUCCESS ) {
936                 rc = ldap_int_tls_start( ld, ld->ld_defconn, NULL );
937         }
938
939         return rc;
940 #endif
941 }
942
943 /* These tags probably all belong in lber.h, but they're
944  * not normally encountered when processing LDAP, so maybe
945  * they belong somewhere else instead.
946  */
947
948 #define LBER_TAG_OID            ((ber_tag_t) 0x06UL)
949
950 /* Tags for string types used in a DirectoryString.
951  *
952  * Note that IA5string is not one of the defined choices for
953  * DirectoryString in X.520, but it gets used for email AVAs.
954  */
955 #define LBER_TAG_UTF8           ((ber_tag_t) 0x0cUL)
956 #define LBER_TAG_PRINTABLE      ((ber_tag_t) 0x13UL)
957 #define LBER_TAG_TELETEX        ((ber_tag_t) 0x14UL)
958 #define LBER_TAG_IA5            ((ber_tag_t) 0x16UL)
959 #define LBER_TAG_UNIVERSAL      ((ber_tag_t) 0x1cUL)
960 #define LBER_TAG_BMP            ((ber_tag_t) 0x1eUL)
961
962 static oid_name *
963 find_oid( struct berval *oid )
964 {
965         int i;
966
967         for ( i=0; !BER_BVISNULL( &oids[i].oid ); i++ ) {
968                 if ( oids[i].oid.bv_len != oid->bv_len ) continue;
969                 if ( !strcmp( oids[i].oid.bv_val, oid->bv_val ))
970                         return &oids[i];
971         }
972         return NULL;
973 }
974
975 /* Converts BER Bitstring value to LDAP BitString value (RFC4517)
976  *
977  * berValue    : IN
978  * rfc4517Value: OUT
979  *
980  * berValue and ldapValue should not be NULL
981  */
982
983 #define BITS_PER_BYTE   8
984 #define SQUOTE_LENGTH   1
985 #define B_CHAR_LENGTH   1
986 #define STR_OVERHEAD    (2*SQUOTE_LENGTH + B_CHAR_LENGTH)
987
988 static int
989 der_to_ldap_BitString (struct berval *berValue,
990                                    struct berval *ldapValue)
991 {
992         ber_len_t bitPadding=0;
993         ber_len_t bits, maxBits;
994         char *tmpStr;
995         unsigned char byte;
996         ber_len_t bitLength;
997         ber_len_t valLen;
998         unsigned char* valPtr;
999
1000         ldapValue->bv_len=0;
1001         ldapValue->bv_val=NULL;
1002
1003         /* Gets padding and points to binary data */
1004         valLen=berValue->bv_len;
1005         valPtr=(unsigned char*)berValue->bv_val;
1006         if (valLen) {
1007                 bitPadding=(ber_len_t)(valPtr[0]);
1008                 valLen--;
1009                 valPtr++;
1010         }
1011         /* If Block is non DER encoding fixes to DER encoding */
1012         if (bitPadding >= BITS_PER_BYTE) {
1013                 if (valLen*BITS_PER_BYTE > bitPadding ) {
1014                         valLen-=(bitPadding/BITS_PER_BYTE);
1015                         bitPadding%=BITS_PER_BYTE;
1016                 } else {
1017                         valLen=0;
1018                         bitPadding=0;
1019                 }
1020         }
1021         /* Just in case bad encoding */
1022         if (valLen*BITS_PER_BYTE < bitPadding ) {
1023                 bitPadding=0;
1024                 valLen=0;
1025         }
1026
1027         /* Gets buffer to hold RFC4517 Bit String format */
1028         bitLength=valLen*BITS_PER_BYTE-bitPadding;
1029         tmpStr=LDAP_MALLOC(bitLength + STR_OVERHEAD + 1);
1030
1031         if (!tmpStr)
1032                 return LDAP_NO_MEMORY;
1033
1034         ldapValue->bv_val=tmpStr;
1035         ldapValue->bv_len=bitLength + STR_OVERHEAD;
1036
1037         /* Formatting in '*binary-digit'B format */
1038         maxBits=BITS_PER_BYTE;
1039         *tmpStr++ ='\'';
1040         while(valLen) {
1041                 byte=*valPtr;
1042                 if (valLen==1)
1043                         maxBits-=bitPadding;
1044                 for (bits=0; bits<maxBits; bits++) {
1045                         if (0x80 & byte)
1046                                 *tmpStr='1';
1047                         else
1048                                 *tmpStr='0';
1049                         tmpStr++;
1050                         byte<<=1;
1051                 }
1052                 valPtr++;
1053                 valLen--;
1054         }
1055         *tmpStr++ ='\'';
1056         *tmpStr++ ='B';
1057         *tmpStr=0;
1058
1059         return LDAP_SUCCESS;
1060 }
1061
1062 /* Convert a structured DN from an X.509 certificate into an LDAPV3 DN.
1063  * x509_name must be raw DER. If func is non-NULL, the
1064  * constructed DN will use numeric OIDs to identify attributeTypes,
1065  * and the func() will be invoked to rewrite the DN with the given
1066  * flags.
1067  *
1068  * Otherwise the DN will use shortNames from a hardcoded table.
1069  */
1070 int
1071 ldap_X509dn2bv( void *x509_name, struct berval *bv, LDAPDN_rewrite_func *func,
1072         unsigned flags )
1073 {
1074         LDAPDN  newDN;
1075         LDAPRDN newRDN;
1076         LDAPAVA *newAVA, *baseAVA;
1077         BerElementBuffer berbuf;
1078         BerElement *ber = (BerElement *)&berbuf;
1079         char oids[8192], *oidptr = oids, *oidbuf = NULL;
1080         void *ptrs[2048];
1081         char *dn_end, *rdn_end;
1082         int i, navas, nrdns, rc = LDAP_SUCCESS;
1083         size_t dnsize, oidrem = sizeof(oids), oidsize = 0;
1084         int csize;
1085         ber_tag_t tag;
1086         ber_len_t len;
1087         oid_name *oidname;
1088
1089         struct berval   Oid, Val, oid2, *in = x509_name;
1090
1091         assert( bv != NULL );
1092
1093         bv->bv_len = 0;
1094         bv->bv_val = NULL;
1095
1096         navas = 0;
1097         nrdns = 0;
1098
1099         /* A DN is a SEQUENCE of RDNs. An RDN is a SET of AVAs.
1100          * An AVA is a SEQUENCE of attr and value.
1101          * Count the number of AVAs and RDNs
1102          */
1103         ber_init2( ber, in, LBER_USE_DER );
1104         tag = ber_peek_tag( ber, &len );
1105         if ( tag != LBER_SEQUENCE )
1106                 return LDAP_DECODING_ERROR;
1107
1108         for ( tag = ber_first_element( ber, &len, &dn_end );
1109                 tag == LBER_SET;
1110                 tag = ber_next_element( ber, &len, dn_end )) {
1111                 nrdns++;
1112                 for ( tag = ber_first_element( ber, &len, &rdn_end );
1113                         tag == LBER_SEQUENCE;
1114                         tag = ber_next_element( ber, &len, rdn_end )) {
1115                         tag = ber_skip_tag( ber, &len );
1116                         ber_skip_data( ber, len );
1117                         navas++;
1118                 }
1119         }
1120
1121         /* Allocate the DN/RDN/AVA stuff as a single block */    
1122         dnsize = sizeof(LDAPRDN) * (nrdns+1);
1123         dnsize += sizeof(LDAPAVA *) * (navas+nrdns);
1124         dnsize += sizeof(LDAPAVA) * navas;
1125         if (dnsize > sizeof(ptrs)) {
1126                 newDN = (LDAPDN)LDAP_MALLOC( dnsize );
1127                 if ( newDN == NULL )
1128                         return LDAP_NO_MEMORY;
1129         } else {
1130                 newDN = (LDAPDN)(char *)ptrs;
1131         }
1132         
1133         newDN[nrdns] = NULL;
1134         newRDN = (LDAPRDN)(newDN + nrdns+1);
1135         newAVA = (LDAPAVA *)(newRDN + navas + nrdns);
1136         baseAVA = newAVA;
1137
1138         /* Rewind and start extracting */
1139         ber_rewind( ber );
1140
1141         tag = ber_first_element( ber, &len, &dn_end );
1142         for ( i = nrdns - 1; i >= 0; i-- ) {
1143                 newDN[i] = newRDN;
1144
1145                 for ( tag = ber_first_element( ber, &len, &rdn_end );
1146                         tag == LBER_SEQUENCE;
1147                         tag = ber_next_element( ber, &len, rdn_end )) {
1148
1149                         *newRDN++ = newAVA;
1150                         tag = ber_skip_tag( ber, &len );
1151                         tag = ber_get_stringbv( ber, &Oid, LBER_BV_NOTERM );
1152                         if ( tag != LBER_TAG_OID ) {
1153                                 rc = LDAP_DECODING_ERROR;
1154                                 goto nomem;
1155                         }
1156
1157                         oid2.bv_val = oidptr;
1158                         oid2.bv_len = oidrem;
1159                         if ( ber_decode_oid( &Oid, &oid2 ) < 0 ) {
1160                                 rc = LDAP_DECODING_ERROR;
1161                                 goto nomem;
1162                         }
1163                         oidname = find_oid( &oid2 );
1164                         if ( !oidname ) {
1165                                 newAVA->la_attr = oid2;
1166                                 oidptr += oid2.bv_len + 1;
1167                                 oidrem -= oid2.bv_len + 1;
1168
1169                                 /* Running out of OID buffer space? */
1170                                 if (oidrem < 128) {
1171                                         if ( oidsize == 0 ) {
1172                                                 oidsize = sizeof(oids) * 2;
1173                                                 oidrem = oidsize;
1174                                                 oidbuf = LDAP_MALLOC( oidsize );
1175                                                 if ( oidbuf == NULL ) goto nomem;
1176                                                 oidptr = oidbuf;
1177                                         } else {
1178                                                 char *old = oidbuf;
1179                                                 oidbuf = LDAP_REALLOC( oidbuf, oidsize*2 );
1180                                                 if ( oidbuf == NULL ) goto nomem;
1181                                                 /* Buffer moved! Fix AVA pointers */
1182                                                 if ( old != oidbuf ) {
1183                                                         LDAPAVA *a;
1184                                                         long dif = oidbuf - old;
1185
1186                                                         for (a=baseAVA; a<=newAVA; a++){
1187                                                                 if (a->la_attr.bv_val >= old &&
1188                                                                         a->la_attr.bv_val <= (old + oidsize))
1189                                                                         a->la_attr.bv_val += dif;
1190                                                         }
1191                                                 }
1192                                                 oidptr = oidbuf + oidsize - oidrem;
1193                                                 oidrem += oidsize;
1194                                                 oidsize *= 2;
1195                                         }
1196                                 }
1197                         } else {
1198                                 if ( func ) {
1199                                         newAVA->la_attr = oidname->oid;
1200                                 } else {
1201                                         newAVA->la_attr = oidname->name;
1202                                 }
1203                         }
1204                         newAVA->la_private = NULL;
1205                         newAVA->la_flags = LDAP_AVA_STRING;
1206                         tag = ber_get_stringbv( ber, &Val, LBER_BV_NOTERM );
1207                         switch(tag) {
1208                         case LBER_TAG_UNIVERSAL:
1209                                 /* This uses 32-bit ISO 10646-1 */
1210                                 csize = 4; goto to_utf8;
1211                         case LBER_TAG_BMP:
1212                                 /* This uses 16-bit ISO 10646-1 */
1213                                 csize = 2; goto to_utf8;
1214                         case LBER_TAG_TELETEX:
1215                                 /* This uses 8-bit, assume ISO 8859-1 */
1216                                 csize = 1;
1217 to_utf8:                rc = ldap_ucs_to_utf8s( &Val, csize, &newAVA->la_value );
1218                                 newAVA->la_flags |= LDAP_AVA_NONPRINTABLE;
1219 allocd:
1220                                 newAVA->la_flags |= LDAP_AVA_FREE_VALUE;
1221                                 if (rc != LDAP_SUCCESS) goto nomem;
1222                                 break;
1223                         case LBER_TAG_UTF8:
1224                                 newAVA->la_flags |= LDAP_AVA_NONPRINTABLE;
1225                                 /* This is already in UTF-8 encoding */
1226                         case LBER_TAG_IA5:
1227                         case LBER_TAG_PRINTABLE:
1228                                 /* These are always 7-bit strings */
1229                                 newAVA->la_value = Val;
1230                                 break;
1231                         case LBER_BITSTRING:
1232                                 /* X.690 bitString value converted to RFC4517 Bit String */
1233                                 rc = der_to_ldap_BitString( &Val, &newAVA->la_value );
1234                                 goto allocd;
1235                         default:
1236                                 /* Not a string type at all */
1237                                 newAVA->la_flags = 0;
1238                                 newAVA->la_value = Val;
1239                                 break;
1240                         }
1241                         newAVA++;
1242                 }
1243                 *newRDN++ = NULL;
1244                 tag = ber_next_element( ber, &len, dn_end );
1245         }
1246                 
1247         if ( func ) {
1248                 rc = func( newDN, flags, NULL );
1249                 if ( rc != LDAP_SUCCESS )
1250                         goto nomem;
1251         }
1252
1253         rc = ldap_dn2bv_x( newDN, bv, LDAP_DN_FORMAT_LDAPV3, NULL );
1254
1255 nomem:
1256         for (;baseAVA < newAVA; baseAVA++) {
1257                 if (baseAVA->la_flags & LDAP_AVA_FREE_ATTR)
1258                         LDAP_FREE( baseAVA->la_attr.bv_val );
1259                 if (baseAVA->la_flags & LDAP_AVA_FREE_VALUE)
1260                         LDAP_FREE( baseAVA->la_value.bv_val );
1261         }
1262
1263         if ( oidsize != 0 )
1264                 LDAP_FREE( oidbuf );
1265         if ( newDN != (LDAPDN)(char *) ptrs )
1266                 LDAP_FREE( newDN );
1267         return rc;
1268 }
1269