git.sur5r.net Git - openldap/blob - servers/slapd/back-meta/conn.c

   1 /* $OpenLDAP$ */
   2 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
   3  *
   4  * Copyright 1999-2005 The OpenLDAP Foundation.
   5  * Portions Copyright 2001-2003 Pierangelo Masarati.
   6  * Portions Copyright 1999-2003 Howard Chu.
   7  * All rights reserved.
   8  *
   9  * Redistribution and use in source and binary forms, with or without
  10  * modification, are permitted only as authorized by the OpenLDAP
  11  * Public License.
  12  *
  13  * A copy of this license is available in the file LICENSE in the
  14  * top-level directory of the distribution or, alternatively, at
  15  * <http://www.OpenLDAP.org/license.html>.
  16  */
  17 /* ACKNOWLEDGEMENTS:
  18  * This work was initially developed by the Howard Chu for inclusion
  19  * in OpenLDAP Software and subsequently enhanced by Pierangelo
  20  * Masarati.
  21  */
  22
  23 #include "portable.h"
  24
  25 #include <stdio.h>
  26
  27 #include <ac/errno.h>
  28 #include <ac/socket.h>
  29 #include <ac/string.h>
  30
  31
  32 #define AVL_INTERNAL
  33 #include "slap.h"
  34 #include "../back-ldap/back-ldap.h"
  35 #include "back-meta.h"
  36
  37 /*
  38  * Set PRINT_CONNTREE larger than 0 to dump the connection tree (debug only)
  39  */
  40 #define PRINT_CONNTREE 0
  41
  42 /*
  43  * meta_back_conn_cmp
  44  *
  45  * compares two struct metaconn based on the value of the conn pointer;
  46  * used by avl stuff
  47  */
  48 int
  49 meta_back_conn_cmp(
  50         const void *c1,
  51         const void *c2 )
  52 {
  53         metaconn_t      *mc1 = ( metaconn_t * )c1;
  54         metaconn_t      *mc2 = ( metaconn_t * )c2;
  55         int             rc;
  56
  57         /* If local DNs don't match, it is definitely not a match */
  58         rc = ber_bvcmp( &mc1->mc_local_ndn, &mc2->mc_local_ndn );
  59         if ( rc ) {
  60                 return rc;
  61         }
  62
  63         /* For shared sessions, conn is NULL. Only explicitly
  64          * bound sessions will have non-NULL conn.
  65          */
  66         return SLAP_PTRCMP( mc1->mc_conn, mc2->mc_conn );
  67 }
  68
  69 /*
  70  * meta_back_conn_dup
  71  *
  72  * returns -1 in case a duplicate struct metaconn has been inserted;
  73  * used by avl stuff
  74  */
  75 int
  76 meta_back_conn_dup(
  77         void *c1,
  78         void *c2 )
  79 {
  80         metaconn_t      *mc1 = ( metaconn_t * )c1;
  81         metaconn_t      *mc2 = ( metaconn_t * )c2;
  82
  83         /* Cannot have more than one shared session with same DN */
  84         if ( dn_match( &mc1->mc_local_ndn, &mc2->mc_local_ndn ) &&
  85                         mc1->mc_conn == mc2->mc_conn )
  86         {
  87                 return -1;
  88         }
  89
  90         return 0;
  91 }
  92
  93 /*
  94  * Debug stuff (got it from libavl)
  95  */
  96 #if PRINT_CONNTREE > 0
  97 static void
  98 ravl_print( Avlnode *root, int depth )
  99 {
 100         int             i;
 101         metaconn_t      *mc = (metaconn_t *)root->avl_data;
 102
 103         if ( root == 0 ) {
 104                 return;
 105         }
 106
 107         ravl_print( root->avl_right, depth + 1 );
 108
 109         for ( i = 0; i < depth; i++ ) {
 110                 printf( "    " );
 111         }
 112
 113         printf( "c(%d%s%s) %d\n",
 114                 LDAP_BACK_PCONN_ID( mc->mc_conn ),
 115                 BER_BVISNULL( &mc->mc_local_ndn ) ? "" : ": ",
 116                 BER_BVISNULL( &mc->mc_local_ndn ) ? "" : mc->mc_local_ndn.bv_val,
 117                 root->avl_bf );
 118
 119         ravl_print( root->avl_left, depth + 1 );
 120 }
 121
 122 static void
 123 myprint( Avlnode *root )
 124 {
 125         printf( "********\n" );
 126
 127         if ( root == 0 ) {
 128                 printf( "\tNULL\n" );
 129         } else {
 130                 ravl_print( root, 0 );
 131         }
 132
 133         printf( "********\n" );
 134 }
 135 #endif /* PRINT_CONNTREE */
 136 /*
 137  * End of debug stuff
 138  */
 139
 140 /*
 141  * metaconn_alloc
 142  *
 143  * Allocates a connection structure, making room for all the referenced targets
 144  */
 145 static metaconn_t *
 146 metaconn_alloc(
 147         Operation               *op )
 148 {
 149         metainfo_t      *mi = ( metainfo_t * )op->o_bd->be_private;
 150         metaconn_t      *mc;
 151         int             i, ntargets = mi->mi_ntargets;
 152
 153         assert( ntargets > 0 );
 154
 155         /* malloc all in one */
 156         mc = ( metaconn_t * )ch_malloc( sizeof( metaconn_t )
 157                         + sizeof( metasingleconn_t ) * ntargets );
 158         if ( mc == NULL ) {
 159                 return NULL;
 160         }
 161
 162         for ( i = 0; i < ntargets; i++ ) {
 163                 mc->mc_conns[ i ].msc_ld = NULL;
 164                 BER_BVZERO( &mc->mc_conns[ i ].msc_bound_ndn );
 165                 BER_BVZERO( &mc->mc_conns[ i ].msc_cred );
 166                 LDAP_BACK_CONN_ISBOUND_CLEAR( &mc->mc_conns[ i ] );
 167                 mc->mc_conns[ i ].msc_info = mi;
 168         }
 169
 170         BER_BVZERO( &mc->mc_local_ndn );
 171         mc->msc_mscflags = 0;
 172         mc->mc_authz_target = META_BOUND_NONE;
 173         ldap_pvt_thread_mutex_init( &mc->mc_mutex );
 174         mc->mc_refcnt = 1;
 175         mc->mc_tainted = 0;
 176
 177         return mc;
 178 }
 179
 180 static void
 181 meta_back_freeconn(
 182         Operation       *op,
 183         metaconn_t      *mc )
 184 {
 185         metainfo_t      *mi = ( metainfo_t * )op->o_bd->be_private;
 186
 187         assert( mc != NULL );
 188
 189         ldap_pvt_thread_mutex_lock( &mi->mi_conn_mutex );
 190
 191         if ( --mc->mc_refcnt == 0 ) {
 192                 meta_back_conn_free( mc );
 193         }
 194
 195         ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
 196 }
 197
 198 /*
 199  * meta_back_init_one_conn
 200  *
 201  * Initializes one connection
 202  */
 203 int
 204 meta_back_init_one_conn(
 205         Operation               *op,
 206         SlapReply               *rs,
 207         metatarget_t            *mt,
 208         metaconn_t              *mc,
 209         metasingleconn_t        *msc,
 210         int                     ispriv,
 211         int                     isauthz,
 212         ldap_back_send_t        sendok )
 213 {
 214         metainfo_t      *mi = ( metainfo_t * )op->o_bd->be_private;
 215         int             vers;
 216         dncookie        dc;
 217
 218         /*
 219          * Already init'ed
 220          */
 221         if ( msc->msc_ld != NULL ) {
 222                 return rs->sr_err = LDAP_SUCCESS;
 223         }
 224
 225         /*
 226          * Attempts to initialize the connection to the target ds
 227          */
 228         rs->sr_err = ldap_initialize( &msc->msc_ld, mt->mt_uri );
 229         if ( rs->sr_err != LDAP_SUCCESS ) {
 230                 goto error_return;
 231         }
 232
 233         /*
 234          * Set LDAP version. This will always succeed: If the client
 235          * bound with a particular version, then so can we.
 236          */
 237         vers = op->o_conn->c_protocol;
 238         ldap_set_option( msc->msc_ld, LDAP_OPT_PROTOCOL_VERSION, &vers );
 239
 240         /* automatically chase referrals ("chase-referrals"/"dont-chase-referrals" statement) */
 241         if ( LDAP_BACK_CHASE_REFERRALS( mi ) ) {
 242                 ldap_set_option( msc->msc_ld, LDAP_OPT_REFERRALS, LDAP_OPT_ON );
 243         }
 244
 245 #ifdef HAVE_TLS
 246         /* start TLS ("tls [try-]{start|propagate}" statement) */
 247         if ( ( LDAP_BACK_USE_TLS( mi ) || ( op->o_conn->c_is_tls && LDAP_BACK_PROPAGATE_TLS( mi ) ) )
 248                         && !ldap_is_ldaps_url( mt->mt_uri ) )
 249         {
 250 #ifdef SLAP_STARTTLS_ASYNCHRONOUS
 251                 /*
 252                  * use asynchronous StartTLS; in case, chase referral
 253                  * FIXME: OpenLDAP does not return referral on StartTLS yet
 254                  */
 255                 int             msgid;
 256
 257                 rs->sr_err = ldap_start_tls( msc->msc_ld, NULL, NULL, &msgid );
 258                 if ( rs->sr_err == LDAP_SUCCESS ) {
 259                         LDAPMessage     *res = NULL;
 260                         int             rc, nretries = mt->mt_nretries;
 261                         struct timeval  tv;
 262
 263                         LDAP_BACK_TV_SET( &tv );
 264
 265 retry:;
 266                         rc = ldap_result( msc->msc_ld, msgid, LDAP_MSG_ALL, &tv, &res );
 267                         if ( rc < 0 ) {
 268                                 rs->sr_err = LDAP_OTHER;
 269
 270                         } else if ( rc == 0 ) {
 271                                 if ( nretries != 0 ) {
 272                                         if ( nretries > 0 ) {
 273                                                 nretries--;
 274                                         }
 275                                         LDAP_BACK_TV_SET( &tv );
 276                                         goto retry;
 277                                 }
 278                                 rs->sr_err = LDAP_OTHER;
 279
 280                         } else if ( rc == LDAP_RES_EXTENDED ) {
 281                                 struct berval   *data = NULL;
 282
 283                                 rs->sr_err = ldap_parse_extended_result( msc->msc_ld, res,
 284                                                 NULL, &data, 0 );
 285                                 if ( rs->sr_err == LDAP_SUCCESS ) {
 286                                         rs->sr_err = ldap_result2error( msc->msc_ld, res, 1 );
 287                                         res = NULL;
 288
 289                                         /* FIXME: in case a referral
 290                                          * is returned, should we try
 291                                          * using it instead of the
 292                                          * configured URI? */
 293                                         if ( rs->sr_err == LDAP_SUCCESS ) {
 294                                                 ldap_install_tls( msc->msc_ld );
 295
 296                                         } else if ( rs->sr_err == LDAP_REFERRAL ) {
 297                                                 rs->sr_err = LDAP_OTHER;
 298                                                 rs->sr_text = "unwilling to chase referral returned by Start TLS exop";
 299                                         }
 300
 301                                         if ( data ) {
 302                                                 if ( data->bv_val ) {
 303                                                         ber_memfree( data->bv_val );
 304                                                 }
 305                                                 ber_memfree( data );
 306                                         }
 307                                 }
 308
 309                         } else {
 310                                 rs->sr_err = LDAP_OTHER;
 311                         }
 312
 313                         if ( res != NULL ) {
 314                                 ldap_msgfree( res );
 315                         }
 316                 }
 317 #else /* ! SLAP_STARTTLS_ASYNCHRONOUS */
 318                 /*
 319                  * use synchronous StartTLS
 320                  */
 321                 rs->sr_err = ldap_start_tls_s( msc->msc_ld, NULL, NULL );
 322 #endif /* ! SLAP_STARTTLS_ASYNCHRONOUS */
 323
 324                 /* if StartTLS is requested, only attempt it if the URL
 325                  * is not "ldaps://"; this may occur not only in case
 326                  * of misconfiguration, but also when used in the chain
 327                  * overlay, where the "uri" can be parsed out of a referral */
 328                 if ( rs->sr_err == LDAP_SERVER_DOWN
 329                                 || ( rs->sr_err != LDAP_SUCCESS && LDAP_BACK_TLS_CRITICAL( mi ) ) )
 330                 {
 331                         ldap_unbind_ext_s( msc->msc_ld, NULL, NULL );
 332                         goto error_return;
 333                 }
 334         }
 335 #endif /* HAVE_TLS */
 336
 337         /*
 338          * Set the network timeout if set
 339          */
 340         if ( mi->mi_network_timeout != 0 ) {
 341                 struct timeval  network_timeout;
 342
 343                 network_timeout.tv_usec = 0;
 344                 network_timeout.tv_sec = mi->mi_network_timeout;
 345
 346                 ldap_set_option( msc->msc_ld, LDAP_OPT_NETWORK_TIMEOUT,
 347                                 (void *)&network_timeout );
 348         }
 349
 350         /*
 351          * If the connection DN is not null, an attempt to rewrite it is made
 352          */
 353
 354         if ( ispriv ) {
 355                 if ( !BER_BVISNULL( &mt->mt_pseudorootdn ) ) {
 356                         ber_dupbv( &msc->msc_bound_ndn, &mt->mt_pseudorootdn );
 357                         if ( !BER_BVISNULL( &mt->mt_pseudorootpw ) ) {
 358                                 ber_dupbv( &msc->msc_cred, &mt->mt_pseudorootpw );
 359                         }
 360
 361                 } else {
 362                         ber_str2bv( "", 0, 1, &msc->msc_bound_ndn );
 363                 }
 364
 365                 LDAP_BACK_CONN_ISPRIV_SET( msc );
 366
 367         } else {
 368                 BER_BVZERO( &msc->msc_cred );
 369                 BER_BVZERO( &msc->msc_bound_ndn );
 370                 if ( !BER_BVISEMPTY( &op->o_ndn )
 371                         && SLAP_IS_AUTHZ_BACKEND( op )
 372                         && isauthz )
 373                 {
 374                         dc.target = mt;
 375                         dc.conn = op->o_conn;
 376                         dc.rs = rs;
 377                         dc.ctx = "bindDN";
 378
 379                         /*
 380                          * Rewrite the bind dn if needed
 381                          */
 382                         if ( ldap_back_dn_massage( &dc, &op->o_conn->c_dn,
 383                                                 &msc->msc_bound_ndn ) )
 384                         {
 385                                 ldap_unbind_ext_s( msc->msc_ld, NULL, NULL );
 386                                 goto error_return;
 387                         }
 388
 389                         /* copy the DN idf needed */
 390                         if ( msc->msc_bound_ndn.bv_val == op->o_conn->c_dn.bv_val ) {
 391                                 ber_dupbv( &msc->msc_bound_ndn, &op->o_conn->c_dn );
 392                         }
 393
 394                 } else {
 395                         ber_str2bv( "", 0, 1, &msc->msc_bound_ndn );
 396                 }
 397         }
 398
 399         assert( !BER_BVISNULL( &msc->msc_bound_ndn ) );
 400
 401         LDAP_BACK_CONN_ISBOUND_CLEAR( msc );
 402
 403 error_return:;
 404         if ( rs->sr_err == LDAP_SUCCESS ) {
 405                 /*
 406                  * Sets a cookie for the rewrite session
 407                  */
 408                 ( void )rewrite_session_init( mt->mt_rwmap.rwm_rw, op->o_conn );
 409
 410         } else {
 411                 rs->sr_err = slap_map_api2result( rs );
 412                 if ( sendok & LDAP_BACK_SENDERR ) {
 413                         send_ldap_result( op, rs );
 414                         rs->sr_text = NULL;
 415                 }
 416         }
 417
 418         return rs->sr_err;
 419 }
 420
 421 /*
 422  * meta_back_retry
 423  *
 424  * Retries one connection
 425  */
 426 int
 427 meta_back_retry(
 428         Operation               *op,
 429         SlapReply               *rs,
 430         metaconn_t              *mc,
 431         int                     candidate,
 432         ldap_back_send_t        sendok )
 433 {
 434         metainfo_t              *mi = ( metainfo_t * )op->o_bd->be_private;
 435         metatarget_t            *mt = &mi->mi_targets[ candidate ];
 436         int                     rc = LDAP_UNAVAILABLE;
 437         metasingleconn_t        *msc = &mc->mc_conns[ candidate ];
 438
 439 retry_lock:;
 440         ldap_pvt_thread_mutex_lock( &mi->mi_conn_mutex );
 441
 442         assert( mc->mc_refcnt > 0 );
 443
 444         if ( mc->mc_refcnt == 1 ) {
 445                 while ( ldap_pvt_thread_mutex_trylock( &mc->mc_mutex ) ) {
 446                         ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
 447                         ldap_pvt_thread_yield();
 448                         goto retry_lock;
 449                 }
 450
 451                 Debug( LDAP_DEBUG_ANY,
 452                         "%s meta_back_retry: retrying URI=\"%s\" DN=\"%s\"\n",
 453                         op->o_log_prefix, mt->mt_uri,
 454                         BER_BVISNULL( &msc->msc_bound_ndn ) ?
 455                                 "" : msc->msc_bound_ndn.bv_val );
 456
 457                 meta_clear_one_candidate( msc );
 458                 LDAP_BACK_CONN_ISBOUND_CLEAR( msc );
 459
 460                 ( void )rewrite_session_delete( mt->mt_rwmap.rwm_rw, op->o_conn );
 461
 462                 /* mc here must be the regular mc, reset and ready for init */
 463                 rc = meta_back_init_one_conn( op, rs, mt, mc, msc,
 464                         LDAP_BACK_CONN_ISPRIV( mc ),
 465                         candidate == mc->mc_authz_target, sendok );
 466
 467                 if ( rc == LDAP_SUCCESS ) {
 468                         rc = meta_back_single_dobind( op, rs, mc, candidate,
 469                                         sendok, mt->mt_nretries, 0 );
 470                 }
 471
 472                 ldap_pvt_thread_mutex_unlock( &mc->mc_mutex );
 473         }
 474
 475         if ( rc != LDAP_SUCCESS ) {
 476                 mc->mc_tainted = 1;
 477         }
 478
 479         ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
 480
 481         return rc == LDAP_SUCCESS ? 1 : 0;
 482 }
 483
 484 /*
 485  * callback for unique candidate selection
 486  */
 487 static int
 488 meta_back_conn_cb( Operation *op, SlapReply *rs )
 489 {
 490         assert( op->o_tag == LDAP_REQ_SEARCH );
 491
 492         switch ( rs->sr_type ) {
 493         case REP_SEARCH:
 494                 ((long *)op->o_callback->sc_private)[0] = (long)op->o_private;
 495                 break;
 496
 497         case REP_SEARCHREF:
 498         case REP_RESULT:
 499                 break;
 500
 501         default:
 502                 return rs->sr_err;
 503         }
 504
 505         return 0;
 506 }
 507
 508
 509 static int
 510 meta_back_get_candidate(
 511         Operation       *op,
 512         SlapReply       *rs,
 513         struct berval   *ndn )
 514 {
 515         metainfo_t      *mi = ( metainfo_t * )op->o_bd->be_private;
 516         long            candidate;
 517
 518         /*
 519          * tries to get a unique candidate
 520          * (takes care of default target)
 521          */
 522         candidate = meta_back_select_unique_candidate( mi, ndn );
 523
 524         /*
 525          * if any is found, inits the connection
 526          */
 527         if ( candidate == META_TARGET_NONE ) {
 528                 rs->sr_err = LDAP_NO_SUCH_OBJECT;
 529                 rs->sr_text = "no suitable candidate target found";
 530
 531         } else if ( candidate == META_TARGET_MULTIPLE ) {
 532                 Filter          f = { 0 };
 533                 Operation       op2 = *op;
 534                 SlapReply       rs2 = { 0 };
 535                 slap_callback   cb2 = { 0 };
 536                 int             rc;
 537
 538                 /* try to get a unique match for the request ndn
 539                  * among the multiple candidates available */
 540                 op2.o_tag = LDAP_REQ_SEARCH;
 541                 op2.o_req_dn = *ndn;
 542                 op2.o_req_ndn = *ndn;
 543                 op2.ors_scope = LDAP_SCOPE_BASE;
 544                 op2.ors_deref = LDAP_DEREF_NEVER;
 545                 op2.ors_attrs = slap_anlist_no_attrs;
 546                 op2.ors_attrsonly = 0;
 547                 op2.ors_limit = NULL;
 548                 op2.ors_slimit = 1;
 549                 op2.ors_tlimit = SLAP_NO_LIMIT;
 550
 551                 f.f_choice = LDAP_FILTER_PRESENT;
 552                 f.f_desc = slap_schema.si_ad_objectClass;
 553                 op2.ors_filter = &f;
 554                 BER_BVSTR( &op2.ors_filterstr, "(objectClass=*)" );
 555
 556                 op2.o_callback = &cb2;
 557                 cb2.sc_response = meta_back_conn_cb;
 558                 cb2.sc_private = (void *)&candidate;
 559
 560                 rc = op->o_bd->be_search( &op2, &rs2 );
 561
 562                 switch ( rs2.sr_err ) {
 563                 case LDAP_SUCCESS:
 564                 default:
 565                         rs->sr_err = rs2.sr_err;
 566                         break;
 567
 568                 case LDAP_SIZELIMIT_EXCEEDED:
 569                         /* if multiple candidates can serve the operation,
 570                          * and a default target is defined, and it is
 571                          * a candidate, try using it (FIXME: YMMV) */
 572                         if ( mi->mi_defaulttarget != META_DEFAULT_TARGET_NONE
 573                                 && meta_back_is_candidate( &mi->mi_targets[ mi->mi_defaulttarget ].mt_nsuffix,
 574                                                 mi->mi_targets[ mi->mi_defaulttarget ].mt_scope,
 575                                                 ndn, op->o_tag == LDAP_REQ_SEARCH ? op->ors_scope : LDAP_SCOPE_BASE ) )
 576                         {
 577                                 candidate = mi->mi_defaulttarget;
 578                                 rs->sr_err = LDAP_SUCCESS;
 579                                 rs->sr_text = NULL;
 580
 581                         } else {
 582                                 rs->sr_err = LDAP_UNWILLING_TO_PERFORM;
 583                                 rs->sr_text = "cannot select unique candidate target";
 584                         }
 585                         break;
 586                 }
 587
 588         } else {
 589                 rs->sr_err = LDAP_SUCCESS;
 590         }
 591
 592         return candidate;
 593 }
 594
 595 static void     *meta_back_candidates_dummy;
 596
 597 static void
 598 meta_back_candidates_keyfree(
 599         void            *key,
 600         void            *data )
 601 {
 602         metacandidates_t        *mc = (metacandidates_t *)data;
 603
 604         ber_memfree_x( mc->mc_candidates, NULL );
 605         ber_memfree_x( data, NULL );
 606 }
 607
 608 SlapReply *
 609 meta_back_candidates_get( Operation *op )
 610 {
 611         metainfo_t              *mi = ( metainfo_t * )op->o_bd->be_private;
 612         metacandidates_t        *mc;
 613
 614         if ( op->o_threadctx ) {
 615                 void            *data = NULL;
 616
 617                 ldap_pvt_thread_pool_getkey( op->o_threadctx,
 618                                 &meta_back_candidates_dummy, &data, NULL );
 619                 mc = (metacandidates_t *)data;
 620
 621         } else {
 622                 mc = mi->mi_candidates;
 623         }
 624
 625         if ( mc == NULL ) {
 626                 mc = ch_calloc( sizeof( metacandidates_t ), 1 );
 627                 mc->mc_ntargets = mi->mi_ntargets;
 628                 mc->mc_candidates = ch_calloc( sizeof( SlapReply ), mc->mc_ntargets );
 629                 if ( op->o_threadctx ) {
 630                         void            *data = NULL;
 631
 632                         data = (void *)mc;
 633                         ldap_pvt_thread_pool_setkey( op->o_threadctx,
 634                                         &meta_back_candidates_dummy, data,
 635                                         meta_back_candidates_keyfree );
 636
 637                 } else {
 638                         mi->mi_candidates = mc;
 639                 }
 640
 641         } else if ( mc->mc_ntargets < mi->mi_ntargets ) {
 642                 /* NOTE: in the future, may want to allow back-config
 643                  * to add/remove targets from back-meta... */
 644                 mc->mc_ntargets = mi->mi_ntargets;
 645                 mc->mc_candidates = ch_realloc( mc->mc_candidates,
 646                                 sizeof( SlapReply ) * mc->mc_ntargets );
 647         }
 648
 649         return mc->mc_candidates;
 650 }
 651
 652 /*
 653  * meta_back_getconn
 654  *
 655  * Prepares the connection structure
 656  *
 657  * RATIONALE:
 658  *
 659  * - determine what DN is being requested:
 660  *
 661  *      op      requires candidate      checks
 662  *
 663  *      add     unique                  parent of o_req_ndn
 664  *      bind    unique^*[/all]          o_req_ndn [no check]
 665  *      compare unique^+                o_req_ndn
 666  *      delete  unique                  o_req_ndn
 667  *      modify  unique                  o_req_ndn
 668  *      search  any                     o_req_ndn
 669  *      modrdn  unique[, unique]        o_req_ndn[, orr_nnewSup]
 670  *
 671  * - for ops that require the candidate to be unique, in case of multiple
 672  *   occurrences an internal search with sizeLimit=1 is performed
 673  *   if a unique candidate can actually be determined.  If none is found,
 674  *   the operation aborts; if multiple are found, the default target
 675  *   is used if defined and candidate; otherwise the operation aborts.
 676  *
 677  * *^note: actually, the bind operation is handled much like a search;
 678  *   i.e. the bind is broadcast to all candidate targets.
 679  *
 680  * +^note: actually, the compare operation is handled much like a search;
 681  *   i.e. the compare is broadcast to all candidate targets, while checking
 682  *   that exactly none (noSuchObject) or one (TRUE/FALSE/UNDEFINED) is
 683  *   returned.
 684  */
 685 metaconn_t *
 686 meta_back_getconn(
 687         Operation               *op,
 688         SlapReply               *rs,
 689         int                     *candidate,
 690         ldap_back_send_t        sendok )
 691 {
 692         metainfo_t      *mi = ( metainfo_t * )op->o_bd->be_private;
 693         metaconn_t      *mc = NULL,
 694                         mc_curr = { 0 };
 695         int             cached = META_TARGET_NONE,
 696                         i = META_TARGET_NONE,
 697                         err = LDAP_SUCCESS,
 698                         new_conn = 0,
 699                         ncandidates = 0;
 700
 701
 702         meta_op_type    op_type = META_OP_REQUIRE_SINGLE;
 703         int             parent = 0,
 704                         newparent = 0;
 705         struct berval   ndn = op->o_req_ndn,
 706                         pndn;
 707
 708         SlapReply       *candidates = meta_back_candidates_get( op );
 709
 710         /* Internal searches are privileged and shared. So is root. */
 711         /* FIXME: there seem to be concurrency issues */
 712         if ( op->o_do_not_cache || be_isroot( op ) ) {
 713                 mc_curr.mc_local_ndn = op->o_bd->be_rootndn;
 714                 LDAP_BACK_CONN_ISPRIV_SET( &mc_curr );
 715                 mc_curr.mc_conn = LDAP_BACK_PCONN_SET( op );
 716
 717         } else {
 718                 mc_curr.mc_local_ndn = op->o_ndn;
 719
 720                 /* Explicit binds must not be shared */
 721                 if ( op->o_tag == LDAP_REQ_BIND || SLAP_IS_AUTHZ_BACKEND( op ) ) {
 722                         mc_curr.mc_conn = op->o_conn;
 723
 724                 } else {
 725                         mc_curr.mc_conn = LDAP_BACK_PCONN_SET( op );
 726                 }
 727         }
 728
 729         /* Searches for a metaconn in the avl tree */
 730         ldap_pvt_thread_mutex_lock( &mi->mi_conn_mutex );
 731         mc = (metaconn_t *)avl_find( mi->mi_conntree,
 732                 (caddr_t)&mc_curr, meta_back_conn_cmp );
 733         if ( mc ) {
 734                 if ( mc->mc_tainted ) {
 735                         rs->sr_err = LDAP_UNAVAILABLE;
 736                         rs->sr_text = "remote server unavailable";
 737                         ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
 738                         return NULL;
 739                 }
 740
 741                 mc->mc_refcnt++;
 742         }
 743         ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
 744
 745         switch ( op->o_tag ) {
 746         case LDAP_REQ_ADD:
 747                 /* if we go to selection, the entry must not exist,
 748                  * and we must be able to resolve the parent */
 749                 parent = 1;
 750                 dnParent( &ndn, &pndn );
 751                 break;
 752
 753         case LDAP_REQ_MODRDN:
 754                 /* if nnewSuperior is not NULL, it must resolve
 755                  * to the same candidate as the req_ndn */
 756                 if ( op->orr_nnewSup ) {
 757                         newparent = 1;
 758                 }
 759                 break;
 760
 761         case LDAP_REQ_BIND:
 762                 /* if bound as rootdn, the backend must bind to all targets
 763                  * with the administrative identity */
 764                 if ( op->orb_method == LDAP_AUTH_SIMPLE && be_isroot_pw( op ) ) {
 765                         op_type = META_OP_REQUIRE_ALL;
 766                 }
 767                 break;
 768
 769         case LDAP_REQ_DELETE:
 770         case LDAP_REQ_MODIFY:
 771                 /* just a unique candidate */
 772                 break;
 773
 774         case LDAP_REQ_COMPARE:
 775         case LDAP_REQ_SEARCH:
 776                 /* allow multiple candidates for the searchBase */
 777                 op_type = META_OP_ALLOW_MULTIPLE;
 778                 break;
 779
 780         default:
 781                 /* right now, just break (exop?) */
 782                 break;
 783         }
 784
 785         /*
 786          * require all connections ...
 787          */
 788         if ( op_type == META_OP_REQUIRE_ALL ) {
 789
 790                 /* Looks like we didn't get a bind. Open a new session... */
 791                 if ( mc == NULL ) {
 792                         mc = metaconn_alloc( op );
 793                         mc->mc_conn = mc_curr.mc_conn;
 794                         ber_dupbv( &mc->mc_local_ndn, &mc_curr.mc_local_ndn );
 795                         new_conn = 1;
 796                 }
 797
 798                 for ( i = 0; i < mi->mi_ntargets; i++ ) {
 799                         metatarget_t            *mt = &mi->mi_targets[ i ];
 800                         metasingleconn_t        *msc = &mc->mc_conns[ i ];
 801
 802                         /*
 803                          * The target is activated; if needed, it is
 804                          * also init'd
 805                          */
 806                         candidates[ i ].sr_err = meta_back_init_one_conn( op,
 807                                 rs, mt, mc, msc,
 808                                 LDAP_BACK_CONN_ISPRIV( &mc_curr ),
 809                                 i == mc->mc_authz_target, sendok );
 810                         if ( candidates[ i ].sr_err == LDAP_SUCCESS ) {
 811                                 candidates[ i ].sr_tag = META_CANDIDATE;
 812                                 ncandidates++;
 813
 814                         } else {
 815
 816                                 /*
 817                                  * FIXME: in case one target cannot
 818                                  * be init'd, should the other ones
 819                                  * be tried?
 820                                  */
 821                                 candidates[ i ].sr_tag = META_NOT_CANDIDATE;
 822                                 err = candidates[ i ].sr_err;
 823                                 continue;
 824                         }
 825                 }
 826
 827                 if ( ncandidates == 0 ) {
 828                         if ( new_conn ) {
 829                                 meta_back_freeconn( op, mc );
 830
 831                         } else {
 832                                 meta_back_release_conn( op, mc );
 833                         }
 834
 835                         rs->sr_err = LDAP_NO_SUCH_OBJECT;
 836                         rs->sr_text = "Unable to select valid candidates";
 837
 838                         if ( sendok & LDAP_BACK_SENDERR ) {
 839                                 if ( rs->sr_err == LDAP_NO_SUCH_OBJECT ) {
 840                                         rs->sr_matched = op->o_bd->be_suffix[ 0 ].bv_val;
 841                                 }
 842                                 send_ldap_result( op, rs );
 843                                 rs->sr_text = NULL;
 844                                 rs->sr_matched = NULL;
 845                         }
 846
 847                         return NULL;
 848                 }
 849
 850                 goto done;
 851         }
 852
 853         /*
 854          * looks in cache, if any
 855          */
 856         if ( mi->mi_cache.ttl != META_DNCACHE_DISABLED ) {
 857                 cached = i = meta_dncache_get_target( &mi->mi_cache, &op->o_req_ndn );
 858         }
 859
 860         if ( op_type == META_OP_REQUIRE_SINGLE ) {
 861                 metatarget_t            *mt = NULL;
 862                 metasingleconn_t        *msc = NULL;
 863
 864                 int                     j;
 865
 866                 for ( j = 0; j < mi->mi_ntargets; j++ ) {
 867                         candidates[ j ].sr_tag = META_NOT_CANDIDATE;
 868                 }
 869
 870                 /*
 871                  * tries to get a unique candidate
 872                  * (takes care of default target)
 873                  */
 874                 if ( i == META_TARGET_NONE ) {
 875                         i = meta_back_get_candidate( op, rs, &ndn );
 876
 877                         if ( rs->sr_err == LDAP_NO_SUCH_OBJECT && parent ) {
 878                                 i = meta_back_get_candidate( op, rs, &pndn );
 879                         }
 880
 881                         if ( rs->sr_err != LDAP_SUCCESS ) {
 882                                 if ( mc != NULL ) {
 883                                         meta_back_release_conn( op, mc );
 884                                 }
 885
 886                                 if ( sendok & LDAP_BACK_SENDERR ) {
 887                                         if ( rs->sr_err == LDAP_NO_SUCH_OBJECT ) {
 888                                                 rs->sr_matched = op->o_bd->be_suffix[ 0 ].bv_val;
 889                                         }
 890                                         send_ldap_result( op, rs );
 891                                         rs->sr_text = NULL;
 892                                         rs->sr_matched = NULL;
 893                                 }
 894
 895                                 return NULL;
 896                         }
 897                 }
 898
 899                 if ( newparent && meta_back_get_candidate( op, rs, op->orr_nnewSup ) != i )
 900                 {
 901                         if ( mc != NULL ) {
 902                                 meta_back_release_conn( op, mc );
 903                         }
 904
 905                         rs->sr_err = LDAP_UNWILLING_TO_PERFORM;
 906                         rs->sr_text = "cross-target rename not supported";
 907                         if ( sendok & LDAP_BACK_SENDERR ) {
 908                                 send_ldap_result( op, rs );
 909                                 rs->sr_text = NULL;
 910                         }
 911
 912                         return NULL;
 913                 }
 914
 915                 Debug( LDAP_DEBUG_TRACE,
 916         "==>meta_back_getconn: got target %d for ndn=\"%s\" from cache\n",
 917                                 i, op->o_req_ndn.bv_val, 0 );
 918
 919                 if ( mc == NULL ) {
 920                         /* Retries searching for a metaconn in the avl tree
 921                          * the reason is that the connection might have been
 922                          * created by meta_back_get_candidate() */
 923                         ldap_pvt_thread_mutex_lock( &mi->mi_conn_mutex );
 924                         mc = (metaconn_t *)avl_find( mi->mi_conntree,
 925                                 (caddr_t)&mc_curr, meta_back_conn_cmp );
 926                         if ( mc != NULL ) {
 927                                 mc->mc_refcnt++;
 928                         }
 929                         ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
 930
 931                         /* Looks like we didn't get a bind. Open a new session... */
 932                         if ( mc == NULL ) {
 933                                 mc = metaconn_alloc( op );
 934                                 mc->mc_conn = mc_curr.mc_conn;
 935                                 ber_dupbv( &mc->mc_local_ndn, &mc_curr.mc_local_ndn );
 936                                 new_conn = 1;
 937                         }
 938                 }
 939
 940                 /*
 941                  * Clear all other candidates
 942                  */
 943                 ( void )meta_clear_unused_candidates( op, i );
 944
 945                 mt = &mi->mi_targets[ i ];
 946                 msc = &mc->mc_conns[ i ];
 947
 948                 /*
 949                  * The target is activated; if needed, it is
 950                  * also init'd. In case of error, meta_back_init_one_conn
 951                  * sends the appropriate result.
 952                  */
 953                 err = meta_back_init_one_conn( op, rs, mt, mc, msc,
 954                         LDAP_BACK_CONN_ISPRIV( &mc_curr ),
 955                         i == mc->mc_authz_target, sendok );
 956                 if ( err != LDAP_SUCCESS ) {
 957                         /*
 958                          * FIXME: in case one target cannot
 959                          * be init'd, should the other ones
 960                          * be tried?
 961                          */
 962                         candidates[ i ].sr_tag = META_NOT_CANDIDATE;
 963                         if ( new_conn ) {
 964                                 (void)meta_clear_one_candidate( msc );
 965                                 meta_back_freeconn( op, mc );
 966
 967                         } else {
 968                                 meta_back_release_conn( op, mc );
 969                         }
 970                         return NULL;
 971                 }
 972
 973                 candidates[ i ].sr_err = LDAP_SUCCESS;
 974                 candidates[ i ].sr_tag = META_CANDIDATE;
 975                 ncandidates++;
 976
 977                 if ( candidate ) {
 978                         *candidate = i;
 979                 }
 980
 981         /*
 982          * if no unique candidate ...
 983          */
 984         } else {
 985
 986                 /* Looks like we didn't get a bind. Open a new session... */
 987                 if ( mc == NULL ) {
 988                         mc = metaconn_alloc( op );
 989                         mc->mc_conn = mc_curr.mc_conn;
 990                         ber_dupbv( &mc->mc_local_ndn, &mc_curr.mc_local_ndn );
 991                         new_conn = 1;
 992                 }
 993
 994                 for ( i = 0; i < mi->mi_ntargets; i++ ) {
 995                         metatarget_t            *mt = &mi->mi_targets[ i ];
 996                         metasingleconn_t        *msc = &mc->mc_conns[ i ];
 997
 998                         if ( i == cached
 999                                 || meta_back_is_candidate( &mt->mt_nsuffix,
1000                                                 mt->mt_scope,
1001                                                 &op->o_req_ndn,
1002                                                 LDAP_SCOPE_SUBTREE ) )
1003                         {
1004
1005                                 /*
1006                                  * The target is activated; if needed, it is
1007                                  * also init'd
1008                                  */
1009                                 int lerr = meta_back_init_one_conn( op, rs,
1010                                                 mt, mc, msc,
1011                                                 LDAP_BACK_CONN_ISPRIV( &mc_curr ),
1012                                                 i == mc->mc_authz_target,
1013                                                 sendok );
1014                                 if ( lerr == LDAP_SUCCESS ) {
1015                                         candidates[ i ].sr_tag = META_CANDIDATE;
1016                                         candidates[ i ].sr_err = LDAP_SUCCESS;
1017                                         ncandidates++;
1018
1019                                         Debug( LDAP_DEBUG_TRACE, "%s: meta_back_init_one_conn(%d)\n",
1020                                                 op->o_log_prefix, i, 0 );
1021
1022                                 } else {
1023
1024                                         /*
1025                                          * FIXME: in case one target cannot
1026                                          * be init'd, should the other ones
1027                                          * be tried?
1028                                          */
1029                                         if ( new_conn ) {
1030                                                 ( void )meta_clear_one_candidate( msc );
1031                                         }
1032                                         /* leave the target candidate, but record the error for later use */
1033                                         candidates[ i ].sr_err = lerr;
1034                                         err = lerr;
1035
1036                                         Debug( LDAP_DEBUG_ANY, "%s: meta_back_init_one_conn(%d) failed: %d\n",
1037                                                 op->o_log_prefix, i, lerr );
1038
1039                                         continue;
1040                                 }
1041
1042                         } else {
1043                                 if ( new_conn ) {
1044                                         ( void )meta_clear_one_candidate( msc );
1045                                 }
1046                                 candidates[ i ].sr_tag = META_NOT_CANDIDATE;
1047                         }
1048                 }
1049
1050                 if ( ncandidates == 0 ) {
1051                         if ( new_conn ) {
1052                                 meta_back_freeconn( op, mc );
1053
1054                         } else {
1055                                 meta_back_release_conn( op, mc );
1056                         }
1057
1058                         rs->sr_err = LDAP_NO_SUCH_OBJECT;
1059                         rs->sr_text = "Unable to select valid candidates";
1060
1061                         if ( sendok & LDAP_BACK_SENDERR ) {
1062                                 if ( rs->sr_err == LDAP_NO_SUCH_OBJECT ) {
1063                                         rs->sr_matched = op->o_bd->be_suffix[ 0 ].bv_val;
1064                                 }
1065                                 send_ldap_result( op, rs );
1066                                 rs->sr_text = NULL;
1067                                 rs->sr_matched = NULL;
1068                         }
1069
1070                         return NULL;
1071                 }
1072         }
1073
1074 done:;
1075         /* clear out meta_back_init_one_conn non-fatal errors */
1076         rs->sr_err = LDAP_SUCCESS;
1077         rs->sr_text = NULL;
1078
1079         if ( new_conn ) {
1080
1081                 /*
1082                  * Inserts the newly created metaconn in the avl tree
1083                  */
1084                 ldap_pvt_thread_mutex_lock( &mi->mi_conn_mutex );
1085                 err = avl_insert( &mi->mi_conntree, ( caddr_t )mc,
1086                                 meta_back_conn_cmp, meta_back_conn_dup );
1087
1088 #if PRINT_CONNTREE > 0
1089                 myprint( mi->mi_conntree );
1090 #endif /* PRINT_CONNTREE */
1091
1092                 ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
1093
1094                 /*
1095                  * Err could be -1 in case a duplicate metaconn is inserted
1096                  *
1097                  * FIXME: what if the same client issues more than one
1098                  * asynchronous operations?
1099                  */
1100                 if ( err != 0 ) {
1101                         Debug( LDAP_DEBUG_ANY,
1102                                 "%s meta_back_getconn: candidates=%d conn=%ld insert failed\n",
1103                                 op->o_log_prefix, ncandidates,
1104                                 LDAP_BACK_PCONN_ID( mc->mc_conn ) );
1105
1106                         rs->sr_err = LDAP_OTHER;
1107                         rs->sr_text = "Internal server error";
1108                         meta_back_freeconn( op, mc );
1109                         if ( sendok & LDAP_BACK_SENDERR ) {
1110                                 send_ldap_result( op, rs );
1111                                 rs->sr_text = NULL;
1112                         }
1113                         return NULL;
1114                 }
1115
1116                 Debug( LDAP_DEBUG_TRACE,
1117                         "%s meta_back_getconn: candidates=%d conn=%ld inserted\n",
1118                         op->o_log_prefix, ncandidates,
1119                         LDAP_BACK_PCONN_ID( mc->mc_conn ) );
1120
1121         } else {
1122                 Debug( LDAP_DEBUG_TRACE,
1123                         "%s meta_back_getconn: candidates=%d conn=%ld fetched\n",
1124                         op->o_log_prefix, ncandidates,
1125                         LDAP_BACK_PCONN_ID( mc->mc_conn ) );
1126         }
1127
1128         return mc;
1129 }
1130
1131 void
1132 meta_back_release_conn(
1133         Operation               *op,
1134         metaconn_t              *mc )
1135 {
1136         metainfo_t      *mi = ( metainfo_t * )op->o_bd->be_private;
1137
1138         assert( mc != NULL );
1139
1140         ldap_pvt_thread_mutex_lock( &mi->mi_conn_mutex );
1141         assert( mc->mc_refcnt > 0 );
1142         mc->mc_refcnt--;
1143         if ( mc->mc_refcnt == 0 && mc->mc_tainted ) {
1144                 (void)avl_delete( &mi->mi_conntree, ( caddr_t )mc,
1145                                 meta_back_conn_cmp );
1146                 meta_back_conn_free( mc );
1147         }
1148         ldap_pvt_thread_mutex_unlock( &mi->mi_conn_mutex );
1149 }