git.sur5r.net Git - openldap/blob - servers/slapd/starttls.c

   1 /* $OpenLDAP$ */
   2 /*
   3  * Copyright 1999-2000 The OpenLDAP Foundation.
   4  * All rights reserved.
   5  *
   6  * Redistribution and use in source and binary forms are permitted only
   7  * as authorized by the OpenLDAP Public License.  A copy of this
   8  * license is available at http://www.OpenLDAP.org/license.html or
   9  * in file LICENSE in the top-level directory of the distribution.
  10  */
  11
  12 #include "portable.h"
  13
  14 #include <stdio.h>
  15 #include <ac/socket.h>
  16
  17 #include <ldap_pvt.h>
  18
  19 #include "slap.h"
  20
  21 #ifdef HAVE_TLS
  22
  23 int
  24 starttls_extop (
  25         Connection *conn,
  26         Operation *op,
  27         const char * reqoid,
  28         struct berval * reqdata,
  29         char ** rspoid,
  30         struct berval ** rspdata,
  31         LDAPControl ***rspctrls,
  32         const char ** text,
  33         struct berval *** refs )
  34 {
  35         void *ctx;
  36         int rc;
  37
  38         if ( reqdata != NULL ) {
  39                 /* no request data should be provided */
  40                 *text = "no request data expected";
  41                 return LDAP_PROTOCOL_ERROR;
  42         }
  43
  44         /* acquire connection lock */
  45         ldap_pvt_thread_mutex_lock( &conn->c_mutex );
  46
  47         /* can't start TLS if it is already started */
  48         if (conn->c_is_tls != 0) {
  49                 *text = "TLS already started";
  50                 rc = LDAP_OPERATIONS_ERROR;
  51                 goto done;
  52         }
  53
  54         /* can't start TLS if there are other op's around */
  55         if (( conn->c_ops != NULL &&
  56                         (conn->c_ops != op || op->o_next != NULL)) ||
  57                 ( conn->c_pending_ops != NULL))
  58         {
  59                 *text = "cannot start TLS when operations our outstanding";
  60                 rc = LDAP_OPERATIONS_ERROR;
  61                 goto done;
  62         }
  63
  64         if ( !( global_disallows & SLAP_DISALLOW_TLS_2_ANON ) &&
  65                 ( conn->c_dn.bv_len != 0 ) )
  66         {
  67                 /* force to anonymous */
  68                 connection2anonymous( conn );
  69         }
  70
  71         if ( ( global_disallows & SLAP_DISALLOW_TLS_AUTHC ) &&
  72                 ( conn->c_dn.bv_len != 0 ) )
  73         {
  74                 *text = "cannot start TLS after authentication";
  75                 rc = LDAP_OPERATIONS_ERROR;
  76                 goto done;
  77         }
  78
  79         /* fail if TLS could not be initialized */
  80         if (ldap_pvt_tls_get_option( NULL, LDAP_OPT_X_TLS_CTX, &ctx ) != 0
  81                 || ctx == NULL)
  82         {
  83                 if (default_referral != NULL) {
  84                         /* caller will put the referral in the result */
  85                         rc = LDAP_REFERRAL;
  86                         goto done;
  87                 }
  88
  89                 *text = "Could not initialize TLS";
  90                 rc = LDAP_UNAVAILABLE;
  91                 goto done;
  92         }
  93
  94     conn->c_is_tls = 1;
  95     conn->c_needs_tls_accept = 1;
  96
  97     rc = LDAP_SUCCESS;
  98
  99 done:
 100         /* give up connection lock */
 101         ldap_pvt_thread_mutex_unlock( &conn->c_mutex );
 102
 103         /*
 104          * RACE CONDITION: we give up lock before sending result
 105          * Should be resolved by reworking connection state, not
 106          * by moving send here (so as to ensure proper TLS sequencing)
 107          */
 108
 109         return rc;
 110 }
 111
 112 #endif  /* HAVE_TLS */