git.sur5r.net Git - openldap/blob - servers/slapd/back-meta/bind.c

   1 /* $OpenLDAP$ */
   2 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
   3  *
   4  * Copyright 1999-2003 The OpenLDAP Foundation.
   5  * Portions Copyright 2001-2003 Pierangelo Masarati.
   6  * Portions Copyright 1999-2003 Howard Chu.
   7  * All rights reserved.
   8  *
   9  * Redistribution and use in source and binary forms, with or without
  10  * modification, are permitted only as authorized by the OpenLDAP
  11  * Public License.
  12  *
  13  * A copy of this license is available in the file LICENSE in the
  14  * top-level directory of the distribution or, alternatively, at
  15  * <http://www.OpenLDAP.org/license.html>.
  16  */
  17 /* ACKNOWLEDGEMENTS:
  18  * This work was initially developed by the Howard Chu for inclusion
  19  * in OpenLDAP Software and subsequently enhanced by Pierangelo
  20  * Masarati.
  21  */
  22
  23 #include "portable.h"
  24
  25 #include <stdio.h>
  26
  27 #include <ac/socket.h>
  28 #include <ac/string.h>
  29
  30
  31 #define AVL_INTERNAL
  32 #include "slap.h"
  33 #include "../back-ldap/back-ldap.h"
  34 #include "back-meta.h"
  35
  36 static LDAP_REBIND_PROC meta_back_rebind;
  37
  38 static int
  39 meta_back_do_single_bind(
  40                 struct metaconn         *lc,
  41                 Operation               *op,
  42                 SlapReply               *rs,
  43                 int                     candidate
  44 );
  45
  46 int
  47 meta_back_bind( Operation *op, SlapReply *rs )
  48 {
  49         struct metainfo *li = ( struct metainfo * )op->o_bd->be_private;
  50         struct metaconn *lc;
  51
  52         int rc = -1, i, gotit = 0, ndnlen, isroot = 0;
  53         int op_type = META_OP_ALLOW_MULTIPLE;
  54
  55         rs->sr_err = LDAP_SUCCESS;
  56
  57 #ifdef NEW_LOGGING
  58         LDAP_LOG( BACK_META, ENTRY, "meta_back_bind: dn: %s.\n",
  59                         op->o_req_dn.bv_val, 0, 0 );
  60 #else /* !NEW_LOGGING */
  61         Debug( LDAP_DEBUG_ARGS, "meta_back_bind: dn: %s.\n%s%s",
  62                         op->o_req_dn.bv_val, "", "" );
  63 #endif /* !NEW_LOGGING */
  64
  65         if ( op->oq_bind.rb_method == LDAP_AUTH_SIMPLE && be_isroot_pw( op ) ) {
  66                 isroot = 1;
  67                 ber_dupbv( &op->oq_bind.rb_edn, be_root_dn( op->o_bd ) );
  68                 op_type = META_OP_REQUIRE_ALL;
  69         }
  70         lc = meta_back_getconn( op, rs, op_type,
  71                         &op->o_req_ndn, NULL );
  72         if ( !lc ) {
  73 #ifdef NEW_LOGGING
  74                 LDAP_LOG( BACK_META, NOTICE,
  75                                 "meta_back_bind: no target for dn %s.\n",
  76                                 op->o_req_dn.bv_val, 0, 0 );
  77 #else /* !NEW_LOGGING */
  78                 Debug( LDAP_DEBUG_ANY,
  79                                 "meta_back_bind: no target for dn %s.\n%s%s",
  80                                 op->o_req_dn.bv_val, "", "");
  81 #endif /* !NEW_LOGGING */
  82
  83                 send_ldap_result( op, rs );
  84                 return -1;
  85         }
  86
  87         /*
  88          * Each target is scanned ...
  89          */
  90         lc->bound_target = META_BOUND_NONE;
  91         ndnlen = op->o_req_ndn.bv_len;
  92         for ( i = 0; i < li->ntargets; i++ ) {
  93                 int             lerr;
  94                 struct berval   orig_dn = op->o_req_dn;
  95                 struct berval   orig_ndn = op->o_req_ndn;
  96                 struct berval   orig_cred = op->oq_bind.rb_cred;
  97                 int             orig_method = op->oq_bind.rb_method;
  98
  99
 100                 /*
 101                  * Skip non-candidates
 102                  */
 103                 if ( lc->conns[ i ].candidate != META_CANDIDATE ) {
 104                         continue;
 105                 }
 106
 107                 if ( gotit == 0 ) {
 108                         gotit = 1;
 109                 } else {
 110                         /*
 111                          * A bind operation is expected to have
 112                          * ONE CANDIDATE ONLY!
 113                          */
 114 #ifdef NEW_LOGGING
 115                         LDAP_LOG( BACK_META, WARNING,
 116                                         "==>meta_back_bind: more than one"
 117                                         " candidate is attempting to bind"
 118                                         " ...\n" , 0, 0, 0 );
 119 #else /* !NEW_LOGGING */
 120                         Debug( LDAP_DEBUG_ANY,
 121                                         "==>meta_back_bind: more than one"
 122                                         " candidate is attempting to bind"
 123                                         " ...\n%s%s%s",
 124                                         "", "", "" );
 125 #endif /* !NEW_LOGGING */
 126                 }
 127
 128                 if ( isroot && li->targets[ i ]->pseudorootdn.bv_val != NULL ) {
 129                         op->o_req_dn = li->targets[ i ]->pseudorootdn;
 130                         op->o_req_ndn = li->targets[ i ]->pseudorootdn;
 131                         op->oq_bind.rb_cred = li->targets[ i ]->pseudorootpw;
 132                         op->oq_bind.rb_method = LDAP_AUTH_SIMPLE;
 133                 }
 134
 135                 lerr = meta_back_do_single_bind( lc, op, rs, i );
 136                 if ( lerr != LDAP_SUCCESS ) {
 137                         rs->sr_err = lerr;
 138                         ( void )meta_clear_one_candidate( &lc->conns[ i ], 1 );
 139                 } else {
 140                         rc = LDAP_SUCCESS;
 141                 }
 142
 143                 op->o_req_dn = orig_dn;
 144                 op->o_req_ndn = orig_ndn;
 145                 op->oq_bind.rb_cred = orig_cred;
 146                 op->oq_bind.rb_method = orig_method;
 147         }
 148
 149         if ( isroot ) {
 150                 lc->bound_target = META_BOUND_ALL;
 151         }
 152
 153         /*
 154          * rc is LDAP_SUCCESS if at least one bind succeeded,
 155          * err is the last error that occurred during a bind;
 156          * if at least (and at most?) one bind succeedes, fine.
 157          */
 158         if ( rc != LDAP_SUCCESS /* && rs->sr_err != LDAP_SUCCESS */ ) {
 159
 160                 /*
 161                  * deal with bind failure ...
 162                  */
 163
 164                 /*
 165                  * no target was found within the naming context,
 166                  * so bind must fail with invalid credentials
 167                  */
 168                 if ( rs->sr_err == LDAP_SUCCESS && gotit == 0 ) {
 169                         rs->sr_err = LDAP_INVALID_CREDENTIALS;
 170                 }
 171
 172                 rs->sr_err = ldap_back_map_result( rs );
 173                 send_ldap_result( op, rs );
 174                 return -1;
 175         }
 176
 177         return 0;
 178 }
 179
 180 /*
 181  * meta_back_do_single_bind
 182  *
 183  * attempts to perform a bind with creds
 184  */
 185 static int
 186 meta_back_do_single_bind(
 187                 struct metaconn         *lc,
 188                 Operation               *op,
 189                 SlapReply               *rs,
 190                 int                     candidate
 191 )
 192 {
 193         struct metainfo *li = ( struct metainfo * )op->o_bd->be_private;
 194         struct berval   mdn = { 0, NULL };
 195         ber_int_t       msgid;
 196         dncookie        dc;
 197         struct metasingleconn   *lsc = &lc->conns[ candidate ];
 198
 199         /*
 200          * Rewrite the bind dn if needed
 201          */
 202         dc.rwmap = &li->targets[ candidate ]->rwmap;
 203         dc.conn = op->o_conn;
 204         dc.rs = rs;
 205         dc.ctx = "bindDn";
 206
 207         if ( ldap_back_dn_massage( &dc, &op->o_req_dn, &mdn ) ) {
 208                 send_ldap_result( op, rs );
 209                 return -1;
 210         }
 211
 212         if ( op->o_ctrls ) {
 213                 rs->sr_err = ldap_set_option( lsc->ld,
 214                                 LDAP_OPT_SERVER_CONTROLS, op->o_ctrls );
 215                 if ( rs->sr_err != LDAP_SUCCESS ) {
 216                         rs->sr_err = ldap_back_map_result( rs );
 217                         goto return_results;
 218                 }
 219         }
 220
 221         rs->sr_err = ldap_sasl_bind(lsc->ld, mdn.bv_val,
 222                         LDAP_SASL_SIMPLE, &op->oq_bind.rb_cred,
 223                         op->o_ctrls, NULL, &msgid);
 224         if ( rs->sr_err != LDAP_SUCCESS ) {
 225                 rs->sr_err = ldap_back_map_result( rs );
 226
 227         } else {
 228                 /*
 229                  * FIXME: handle response!!!
 230                  */
 231                 if ( lsc->bound_dn.bv_val != NULL ) {
 232                         ber_memfree( lsc->bound_dn.bv_val );
 233                 }
 234                 ber_dupbv( &lsc->bound_dn, &op->o_req_dn );
 235                 lsc->bound = META_BOUND;
 236                 lc->bound_target = candidate;
 237
 238                 if ( li->savecred ) {
 239                         if ( lsc->cred.bv_val ) {
 240                                 memset( lsc->cred.bv_val, 0, lsc->cred.bv_len );
 241                                 ber_memfree( lsc->cred.bv_val );
 242                         }
 243                         ber_dupbv( &lsc->cred, &op->oq_bind.rb_cred );
 244                         ldap_set_rebind_proc( lsc->ld, meta_back_rebind, lsc );
 245                 }
 246
 247                 if ( li->cache.ttl != META_DNCACHE_DISABLED
 248                                 && op->o_req_ndn.bv_len != 0 ) {
 249                         ( void )meta_dncache_update_entry( &li->cache,
 250                                         &op->o_req_ndn, candidate );
 251                 }
 252         }
 253
 254 return_results:;
 255
 256         if ( mdn.bv_val != op->o_req_dn.bv_val ) {
 257                 free( mdn.bv_val );
 258         }
 259
 260         return rs->sr_err;
 261 }
 262
 263 /*
 264  * meta_back_dobind
 265  */
 266 int
 267 meta_back_dobind( struct metaconn *lc, Operation *op )
 268 {
 269         struct metasingleconn *lsc;
 270         int bound = 0, i;
 271
 272         /*
 273          * all the targets are bound as pseudoroot
 274          */
 275         if ( lc->bound_target == META_BOUND_ALL ) {
 276                 return 1;
 277         }
 278
 279         for ( i = 0, lsc = lc->conns; !META_LAST(lsc); ++i, ++lsc ) {
 280                 int rc;
 281
 282                 /*
 283                  * Not a candidate or something wrong with this target ...
 284                  */
 285                 if ( lsc->ld == NULL ) {
 286                         continue;
 287                 }
 288
 289                 /*
 290                  * If required, set controls
 291                  */
 292                 if ( op->o_ctrls ) {
 293                         if ( ldap_set_option( lsc->ld, LDAP_OPT_SERVER_CONTROLS,
 294                                         op->o_ctrls ) != LDAP_SUCCESS ) {
 295                                 ( void )meta_clear_one_candidate( lsc, 1 );
 296                                 continue;
 297                         }
 298                 }
 299
 300                 /*
 301                  * If the target is already bound it is skipped
 302                  */
 303                 if ( lsc->bound == META_BOUND && lc->bound_target == i ) {
 304                         ++bound;
 305                         continue;
 306                 }
 307
 308                 /*
 309                  * Otherwise an anonymous bind is performed
 310                  * (note: if the target was already bound, the anonymous
 311                  * bind clears the previous bind).
 312                  */
 313                 if ( lsc->bound_dn.bv_val ) {
 314                         ber_memfree( lsc->bound_dn.bv_val );
 315                         lsc->bound_dn.bv_val = NULL;
 316                         lsc->bound_dn.bv_len = 0;
 317                 }
 318
 319                 if ( /* FIXME: need li ... li->savecred && */
 320                                 lsc->cred.bv_val ) {
 321                         memset( lsc->cred.bv_val, 0, lsc->cred.bv_len );
 322                         ber_memfree( lsc->cred.bv_val );
 323                         lsc->cred.bv_val = NULL;
 324                         lsc->cred.bv_len = 0;
 325                 }
 326
 327                 rc = ldap_bind_s( lsc->ld, 0, NULL, LDAP_AUTH_SIMPLE );
 328                 if ( rc != LDAP_SUCCESS ) {
 329
 330 #ifdef NEW_LOGGING
 331                         LDAP_LOG( BACK_META, WARNING,
 332                                         "meta_back_dobind: (anonymous)"
 333                                         " bind failed"
 334                                         " with error %d (%s)\n",
 335                                         rc, ldap_err2string( rc ), 0 );
 336 #else /* !NEW_LOGGING */
 337                         Debug( LDAP_DEBUG_ANY,
 338                                         "==>meta_back_dobind: (anonymous)"
 339                                         " bind failed"
 340                                         " with error %d (%s)\n",
 341                                         rc, ldap_err2string( rc ), 0 );
 342 #endif /* !NEW_LOGGING */
 343
 344                         /*
 345                          * null cred bind should always succeed
 346                          * as anonymous, so a failure means
 347                          * the target is no longer candidate possibly
 348                          * due to technical reasons (remote host down?)
 349                          * so better clear the handle
 350                          */
 351                         ( void )meta_clear_one_candidate( lsc, 1 );
 352                         continue;
 353                 } /* else */
 354
 355                 lsc->bound = META_ANONYMOUS;
 356                 ++bound;
 357         }
 358
 359         return( bound > 0 );
 360 }
 361
 362 /*
 363  *
 364  */
 365 int
 366 meta_back_is_valid( struct metaconn *lc, int candidate )
 367 {
 368         struct metasingleconn   *lsc;
 369         int                     i;
 370
 371         assert( lc );
 372
 373         if ( candidate < 0 ) {
 374                 return 0;
 375         }
 376
 377         for ( i = 0, lsc = lc->conns; !META_LAST(lsc) && i < candidate;
 378                         ++i, ++lsc );
 379
 380         if ( !META_LAST(lsc) ) {
 381                 return( lsc->ld != NULL );
 382         }
 383
 384         return 0;
 385 }
 386
 387 /*
 388  * meta_back_rebind
 389  *
 390  * This is a callback used for chasing referrals using the same
 391  * credentials as the original user on this session.
 392  */
 393 static int
 394 meta_back_rebind( LDAP *ld, LDAP_CONST char *url, ber_tag_t request,
 395         ber_int_t msgid, void *params )
 396 {
 397         struct metasingleconn *lc = params;
 398
 399         return ldap_bind_s( ld, lc->bound_dn.bv_val, lc->cred.bv_val,
 400                         LDAP_AUTH_SIMPLE );
 401 }
 402
 403 /*
 404  * FIXME: error return must be handled in a cleaner way ...
 405  */
 406 int
 407 meta_back_op_result( struct metaconn *lc, Operation *op, SlapReply *rs )
 408 {
 409         int i, rerr = LDAP_SUCCESS;
 410         struct metasingleconn *lsc;
 411         char *rmsg = NULL;
 412         char *rmatch = NULL;
 413
 414         for ( i = 0, lsc = lc->conns; !META_LAST(lsc); ++i, ++lsc ) {
 415                 char *msg = NULL;
 416                 char *match = NULL;
 417
 418                 rs->sr_err = LDAP_SUCCESS;
 419
 420                 ldap_get_option( lsc->ld, LDAP_OPT_ERROR_NUMBER, &rs->sr_err );
 421                 if ( rs->sr_err != LDAP_SUCCESS ) {
 422                         /*
 423                          * better check the type of error. In some cases
 424                          * (search ?) it might be better to return a
 425                          * success if at least one of the targets gave
 426                          * positive result ...
 427                          */
 428                         ldap_get_option( lsc->ld,
 429                                         LDAP_OPT_ERROR_STRING, &msg );
 430                         ldap_get_option( lsc->ld,
 431                                         LDAP_OPT_MATCHED_DN, &match );
 432                         rs->sr_err = ldap_back_map_result( rs );
 433
 434 #ifdef NEW_LOGGING
 435                         LDAP_LOG( BACK_META, RESULTS,
 436                                         "meta_back_op_result: target"
 437                                         " <%d> sending msg \"%s\""
 438                                         " (matched \"%s\")\n",
 439                                         i, ( msg ? msg : "" ),
 440                                         ( match ? match : "" ) );
 441 #else /* !NEW_LOGGING */
 442                         Debug(LDAP_DEBUG_ANY,
 443                                         "==> meta_back_op_result: target"
 444                                         " <%d> sending msg \"%s\""
 445                                         " (matched \"%s\")\n",
 446                                         i, ( msg ? msg : "" ),
 447                                         ( match ? match : "" ) );
 448 #endif /* !NEW_LOGGING */
 449
 450                         /*
 451                          * FIXME: need to rewrite "match" (need rwinfo)
 452                          */
 453                         switch ( rs->sr_err ) {
 454                         default:
 455                                 rerr = rs->sr_err;
 456                                 rmsg = msg;
 457                                 msg = NULL;
 458                                 rmatch = match;
 459                                 match = NULL;
 460                                 break;
 461                         }
 462
 463                         /* better test the pointers before freeing? */
 464                         if ( match ) {
 465                                 free( match );
 466                         }
 467                         if ( msg ) {
 468                                 free( msg );
 469                         }
 470                 }
 471         }
 472
 473         rs->sr_err = rerr;
 474         rs->sr_text = rmsg;
 475         rs->sr_matched = rmatch;
 476         send_ldap_result( op, rs );
 477         rs->sr_text = NULL;
 478         rs->sr_matched = NULL;
 479
 480         return ( ( rerr == LDAP_SUCCESS ) ? 0 : -1 );
 481 }
 482