git.sur5r.net Git - openldap/blob - servers/slapd/starttls.c

   1 /* $OpenLDAP$ */
   2 /*
   3  * Copyright 1999-2002 The OpenLDAP Foundation.
   4  * All rights reserved.
   5  *
   6  * Redistribution and use in source and binary forms are permitted only
   7  * as authorized by the OpenLDAP Public License.  A copy of this
   8  * license is available at http://www.OpenLDAP.org/license.html or
   9  * in file LICENSE in the top-level directory of the distribution.
  10  */
  11
  12 #include "portable.h"
  13
  14 #include <stdio.h>
  15 #include <ac/socket.h>
  16
  17 #include <ldap_pvt.h>
  18
  19 #include "slap.h"
  20
  21 #ifdef HAVE_TLS
  22
  23 int
  24 starttls_extop (
  25         Connection *conn,
  26         Operation *op,
  27         const char * reqoid,
  28         struct berval * reqdata,
  29         char ** rspoid,
  30         struct berval ** rspdata,
  31         LDAPControl ***rspctrls,
  32         const char ** text,
  33         BVarray * refs )
  34 {
  35         void *ctx;
  36         int rc;
  37
  38         if ( reqdata != NULL ) {
  39                 /* no request data should be provided */
  40                 *text = "no request data expected";
  41                 return LDAP_PROTOCOL_ERROR;
  42         }
  43
  44         /* acquire connection lock */
  45         ldap_pvt_thread_mutex_lock( &conn->c_mutex );
  46
  47         /* can't start TLS if it is already started */
  48         if (conn->c_is_tls != 0) {
  49                 *text = "TLS already started";
  50                 rc = LDAP_OPERATIONS_ERROR;
  51                 goto done;
  52         }
  53
  54         /* can't start TLS if there are other op's around */
  55         if (( !LDAP_STAILQ_EMPTY(&conn->c_ops) &&
  56                         (LDAP_STAILQ_FIRST(&conn->c_ops) != op ||
  57                         LDAP_STAILQ_NEXT(op, o_next) != NULL)) ||
  58                 ( !LDAP_STAILQ_EMPTY(&conn->c_pending_ops) ))
  59         {
  60                 *text = "cannot start TLS when operations are outstanding";
  61                 rc = LDAP_OPERATIONS_ERROR;
  62                 goto done;
  63         }
  64
  65         if ( !( global_disallows & SLAP_DISALLOW_TLS_2_ANON ) &&
  66                 ( conn->c_dn.bv_len != 0 ) )
  67         {
  68                 /* force to anonymous */
  69                 connection2anonymous( conn );
  70         }
  71
  72         if ( ( global_disallows & SLAP_DISALLOW_TLS_AUTHC ) &&
  73                 ( conn->c_dn.bv_len != 0 ) )
  74         {
  75                 *text = "cannot start TLS after authentication";
  76                 rc = LDAP_OPERATIONS_ERROR;
  77                 goto done;
  78         }
  79
  80         /* fail if TLS could not be initialized */
  81         if (ldap_pvt_tls_get_option( NULL, LDAP_OPT_X_TLS_CTX, &ctx ) != 0
  82                 || ctx == NULL)
  83         {
  84                 if (default_referral != NULL) {
  85                         /* caller will put the referral in the result */
  86                         rc = LDAP_REFERRAL;
  87                         goto done;
  88                 }
  89
  90                 *text = "Could not initialize TLS";
  91                 rc = LDAP_UNAVAILABLE;
  92                 goto done;
  93         }
  94
  95     conn->c_is_tls = 1;
  96     conn->c_needs_tls_accept = 1;
  97
  98     rc = LDAP_SUCCESS;
  99
 100 done:
 101         /* give up connection lock */
 102         ldap_pvt_thread_mutex_unlock( &conn->c_mutex );
 103
 104         /*
 105          * RACE CONDITION: we give up lock before sending result
 106          * Should be resolved by reworking connection state, not
 107          * by moving send here (so as to ensure proper TLS sequencing)
 108          */
 109
 110         return rc;
 111 }
 112
 113 #endif  /* HAVE_TLS */