Whamcloud - gitweb
c03c8f7c13e550281a2fa837f33fd12ac853eb30
[fs/lustre-release.git] / lustre / utils / l_getidentity.c
1 /*
2  * GPL HEADER START
3  *
4  * DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.
5  *
6  * This program is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License version 2 only,
8  * as published by the Free Software Foundation.
9  *
10  * This program is distributed in the hope that it will be useful, but
11  * WITHOUT ANY WARRANTY; without even the implied warranty of
12  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
13  * General Public License version 2 for more details (a copy is included
14  * in the LICENSE file that accompanied this code).
15  *
16  * You should have received a copy of the GNU General Public License
17  * version 2 along with this program; If not, see
18  * http://www.sun.com/software/products/lustre/docs/GPLv2.pdf
19  *
20  * Please contact Sun Microsystems, Inc., 4150 Network Circle, Santa Clara,
21  * CA 95054 USA or visit www.sun.com if you need additional information or
22  * have any questions.
23  *
24  * GPL HEADER END
25  */
26 /*
27  * Copyright (c) 2007, 2010, Oracle and/or its affiliates. All rights reserved.
28  * Use is subject to license terms.
29  *
30  * Copyright (c) 2011, 2014, Intel Corporation.
31  */
32 /*
33  * This file is part of Lustre, http://www.lustre.org/
34  * Lustre is a trademark of Sun Microsystems, Inc.
35  */
36
37 #include <stdbool.h>
38 #include <stdlib.h>
39 #include <stdint.h>
40 #include <stdio.h>
41 #include <unistd.h>
42 #include <errno.h>
43 #include <string.h>
44 #include <fcntl.h>
45 #include <pwd.h>
46 #include <grp.h>
47 #include <stdarg.h>
48 #include <stddef.h>
49 #include <libgen.h>
50 #include <syslog.h>
51
52 #include <libcfs/util/param.h>
53 #include <libcfs/util/string.h>
54 #include <lnet/nidstr.h>
55 #include <lustre/lustre_user.h>
56 #include <lustre/lustre_idl.h>
57
58 #define PERM_PATHNAME "/etc/lustre/perm.conf"
59
60 /*
61  * permission file format is like this:
62  * {nid} {uid} {perms}
63  *
64  * '*' nid means any nid
65  * '*' uid means any uid
66  * the valid values for perms are:
67  * setuid/setgid/setgrp/rmtacl           -- enable corresponding perm
68  * nosetuid/nosetgid/nosetgrp/normtacl   -- disable corresponding perm
69  * they can be listed together, separated by ',',
70  * when perm and noperm are in the same line (item), noperm is preferential,
71  * when they are in different lines (items), the latter is preferential,
72  * '*' nid is as default perm, and is not preferential.
73  */
74
75 static char *progname;
76
77 static void usage(void)
78 {
79         fprintf(stderr,
80                 "\nusage: %s {mdtname} {uid}\n"
81                 "Normally invoked as an upcall from Lustre, set via:\n"
82                 "lctl set_param mdt.${mdtname}.identity_upcall={path to upcall}\n",
83                 progname);
84 }
85
86 static int compare_u32(const void *v1, const void *v2)
87 {
88         return (*(__u32 *)v1 - *(__u32 *)v2);
89 }
90
91 static void errlog(const char *fmt, ...)
92 {
93         va_list args;
94
95         openlog(progname, LOG_PERROR | LOG_PID, LOG_AUTHPRIV);
96
97         va_start(args, fmt);
98         vsyslog(LOG_NOTICE, fmt, args);
99         va_end(args);
100
101         closelog();
102 }
103
104 int get_groups_local(struct identity_downcall_data *data,
105                      unsigned int maxgroups)
106 {
107         gid_t *groups, *groups_tmp = NULL;
108         unsigned int ngroups = 0;
109         int ngroups_tmp;
110         struct passwd *pw;
111         char *pw_name;
112         int namelen;
113         int i;
114
115         pw = getpwuid(data->idd_uid);
116         if (!pw) {
117                 errlog("no such user %u\n", data->idd_uid);
118                 data->idd_err = errno ? errno : EIDRM;
119                 return -1;
120         }
121
122         data->idd_gid = pw->pw_gid;
123         namelen = sysconf(_SC_LOGIN_NAME_MAX);
124         if (namelen < _POSIX_LOGIN_NAME_MAX)
125                 namelen = _POSIX_LOGIN_NAME_MAX;
126
127         pw_name = malloc(namelen);
128         if (!pw_name) {
129                 errlog("malloc error\n");
130                 data->idd_err = errno;
131                 return -1;
132         }
133
134         strlcpy(pw_name, pw->pw_name, namelen);
135         groups = data->idd_groups;
136
137         /* Allocate array of size maxgroups instead of handling two
138          * consecutive and potentially racy getgrouplist() calls. */
139         groups_tmp = malloc(maxgroups * sizeof(gid_t));
140         if (groups_tmp == NULL) {
141                 free(pw_name);
142                 data->idd_err = errno ? errno : ENOMEM;
143                 errlog("malloc error=%u\n",data->idd_err);
144                 return -1;
145         }
146
147         ngroups_tmp = maxgroups;
148         if (getgrouplist(pw->pw_name, pw->pw_gid, groups_tmp, &ngroups_tmp) <
149             0) {
150                 free(pw_name);
151                 free(groups_tmp);
152                 data->idd_err = errno ? errno : EIDRM;
153                 errlog("getgrouplist() error for uid %u: error=%u\n",
154                         data->idd_uid, data->idd_err);
155                 return -1;
156         }
157
158         /* Do not place user's group ID in to the resulting groups list */
159         for (i = 0; i < ngroups_tmp; i++)
160                 if (pw->pw_gid != groups_tmp[i])
161                         groups[ngroups++] = groups_tmp[i];
162
163         if (ngroups > 0)
164                 qsort(groups, ngroups, sizeof(*groups), compare_u32);
165         data->idd_ngroups = ngroups;
166
167         free(pw_name);
168         free(groups_tmp);
169         return 0;
170 }
171
172 static inline int comment_line(char *line)
173 {
174         char *p = line;
175
176         while (*p && (*p == ' ' || *p == '\t')) p++;
177
178         if (!*p || *p == '\n' || *p == '#')
179                 return 1;
180         return 0;
181 }
182
183 static inline int match_uid(uid_t uid, const char *str)
184 {
185         char *end;
186         uid_t uid2;
187
188         if(!strcmp(str, "*"))
189                 return -1;
190
191         uid2 = strtoul(str, &end, 0);
192         if (*end)
193                 return 0;
194         return (uid == uid2);
195 }
196
197 typedef struct {
198         char   *name;
199         __u32   bit;
200 } perm_type_t;
201
202 static perm_type_t perm_types[] = {
203         { "setuid", CFS_SETUID_PERM },
204         { "setgid", CFS_SETGID_PERM },
205         { "setgrp", CFS_SETGRP_PERM },
206         { "rmtacl", CFS_RMTACL_PERM },
207         { "rmtown", CFS_RMTOWN_PERM },
208         { 0 }
209 };
210
211 static perm_type_t noperm_types[] = {
212         { "nosetuid", CFS_SETUID_PERM },
213         { "nosetgid", CFS_SETGID_PERM },
214         { "nosetgrp", CFS_SETGRP_PERM },
215         { "normtacl", CFS_RMTACL_PERM },
216         { "normtown", CFS_RMTOWN_PERM },
217         { 0 }
218 };
219
220 int parse_perm(__u32 *perm, __u32 *noperm, char *str)
221 {
222         char *start, *end;
223         char name[64];
224         perm_type_t *pt;
225
226         *perm = 0;
227         *noperm = 0;
228         start = str;
229         while (1) {
230                 size_t len;
231                 memset(name, 0, sizeof(name));
232                 end = strchr(start, ',');
233                 if (end == NULL)
234                         end = str + strlen(str);
235                 if (start >= end)
236                         break;
237                 len = end - start;
238                 if (len >= sizeof(name))
239                         return -E2BIG;
240                 strncpy(name, start, len);
241                 name[len] = '\0';
242                 for (pt = perm_types; pt->name; pt++) {
243                         if (!strcasecmp(name, pt->name)) {
244                                 *perm |= pt->bit;
245                                 break;
246                         }
247                 }
248
249                 if (!pt->name) {
250                         for (pt = noperm_types; pt->name; pt++) {
251                                 if (!strcasecmp(name, pt->name)) {
252                                         *noperm |= pt->bit;
253                                         break;
254                                 }
255                         }
256
257                         if (!pt->name) {
258                                 printf("unkown type: %s\n", name);
259                                 return -1;
260                         }
261                 }
262
263                 start = end + 1;
264         }
265         return 0;
266 }
267
268 static int
269 parse_perm_line(struct identity_downcall_data *data, char *line, size_t size)
270 {
271         char uid_str[size];
272         char nid_str[size];
273         char perm_str[size];
274         lnet_nid_t nid;
275         __u32 perm, noperm;
276         int rc, i;
277
278         if (data->idd_nperms >= N_PERMS_MAX) {
279                 errlog("permission count %d > max %d\n",
280                         data->idd_nperms, N_PERMS_MAX);
281                 return -1;
282         }
283
284         rc = sscanf(line, "%s %s %s", nid_str, uid_str, perm_str);
285         if (rc != 3) {
286                 errlog("can't parse line %s\n", line);
287                 return -1;
288         }
289
290         if (!match_uid(data->idd_uid, uid_str))
291                 return 0;
292
293         if (!strcmp(nid_str, "*")) {
294                 nid = LNET_NID_ANY;
295         } else {
296                 nid = libcfs_str2nid(nid_str);
297                 if (nid == LNET_NID_ANY) {
298                         errlog("can't parse nid %s\n", nid_str);
299                         return -1;
300                 }
301         }
302
303         if (parse_perm(&perm, &noperm, perm_str)) {
304                 errlog("invalid perm %s\n", perm_str);
305                 return -1;
306         }
307
308         /* merge the perms with the same nid.
309          *
310          * If there is LNET_NID_ANY in data->idd_perms[i].pdd_nid,
311          * it must be data->idd_perms[0].pdd_nid, and act as default perm.
312          */
313         if (nid != LNET_NID_ANY) {
314                 int found = 0;
315
316                 /* search for the same nid */
317                 for (i = data->idd_nperms - 1; i >= 0; i--) {
318                         if (data->idd_perms[i].pdd_nid == nid) {
319                                 data->idd_perms[i].pdd_perm =
320                                         (data->idd_perms[i].pdd_perm | perm) &
321                                         ~noperm;
322                                 found = 1;
323                                 break;
324                         }
325                 }
326
327                 /* NOT found, add to tail */
328                 if (!found) {
329                         data->idd_perms[data->idd_nperms].pdd_nid = nid;
330                         data->idd_perms[data->idd_nperms].pdd_perm =
331                                 perm & ~noperm;
332                         data->idd_nperms++;
333                 }
334         } else {
335                 if (data->idd_nperms > 0) {
336                         /* the first one isn't LNET_NID_ANY, need exchange */
337                         if (data->idd_perms[0].pdd_nid != LNET_NID_ANY) {
338                                 data->idd_perms[data->idd_nperms].pdd_nid =
339                                         data->idd_perms[0].pdd_nid;
340                                 data->idd_perms[data->idd_nperms].pdd_perm =
341                                         data->idd_perms[0].pdd_perm;
342                                 data->idd_perms[0].pdd_nid = LNET_NID_ANY;
343                                 data->idd_perms[0].pdd_perm = perm & ~noperm;
344                                 data->idd_nperms++;
345                         } else {
346                                 /* only fix LNET_NID_ANY item */
347                                 data->idd_perms[0].pdd_perm =
348                                         (data->idd_perms[0].pdd_perm | perm) &
349                                         ~noperm;
350                         }
351                 } else {
352                         /* it is the first one, only add to head */
353                         data->idd_perms[0].pdd_nid = LNET_NID_ANY;
354                         data->idd_perms[0].pdd_perm = perm & ~noperm;
355                         data->idd_nperms = 1;
356                 }
357         }
358
359         return 0;
360 }
361
362 int get_perms(struct identity_downcall_data *data)
363 {
364         FILE *fp;
365         char line[PATH_MAX];
366
367         fp = fopen(PERM_PATHNAME, "r");
368         if (fp == NULL) {
369                 if (errno == ENOENT) {
370                         return 0;
371                 } else {
372                         errlog("open %s failed: %s\n",
373                                PERM_PATHNAME, strerror(errno));
374                         data->idd_err = errno;
375                         return -1;
376                 }
377         }
378
379         while (fgets(line, sizeof(line), fp)) {
380                 if (comment_line(line))
381                         continue;
382
383                 if (parse_perm_line(data, line, sizeof(line))) {
384                         errlog("parse line %s failed!\n", line);
385                         data->idd_err = EINVAL;
386                         fclose(fp);
387                         return -1;
388                 }
389         }
390
391         fclose(fp);
392         return 0;
393 }
394
395 static void show_result(struct identity_downcall_data *data)
396 {
397         int i;
398
399         if (data->idd_err) {
400                 errlog("failed to get identity for uid %d: %s\n",
401                        data->idd_uid, strerror(data->idd_err));
402                 return;
403         }
404
405         printf("uid=%d gid=%d", data->idd_uid, data->idd_gid);
406         for (i = 0; i < data->idd_ngroups; i++)
407                 printf(",%u", data->idd_groups[i]);
408         printf("\n");
409         printf("permissions:\n"
410                "  nid\t\t\tperm\n");
411         for (i = 0; i < data->idd_nperms; i++) {
412                 struct perm_downcall_data *pdd;
413
414                 pdd = &data->idd_perms[i];
415
416                 printf("  %#jx\t0x%x\n", (uintmax_t)pdd->pdd_nid,
417                        pdd->pdd_perm);
418         }
419         printf("\n");
420 }
421
422 int main(int argc, char **argv)
423 {
424         char *end;
425         struct identity_downcall_data *data = NULL;
426         glob_t path;
427         unsigned long uid;
428         int fd, rc = -EINVAL, size, maxgroups;
429
430         progname = basename(argv[0]);
431         if (argc != 3) {
432                 usage();
433                 goto out;
434         }
435
436         uid = strtoul(argv[2], &end, 0);
437         if (*end) {
438                 errlog("%s: invalid uid '%s'\n", progname, argv[2]);
439                 goto out;
440         }
441
442         maxgroups = sysconf(_SC_NGROUPS_MAX);
443         if (maxgroups > NGROUPS_MAX)
444                 maxgroups = NGROUPS_MAX;
445         if (maxgroups == -1) {
446                 rc = -EINVAL;
447                 goto out;
448         }
449
450         size = offsetof(struct identity_downcall_data, idd_groups[maxgroups]);
451         data = malloc(size);
452         if (!data) {
453                 errlog("malloc identity downcall data(%d) failed!\n", size);
454                 rc = -ENOMEM;
455                 goto out;
456         }
457
458         memset(data, 0, size);
459         data->idd_magic = IDENTITY_DOWNCALL_MAGIC;
460         data->idd_uid = uid;
461         /* get groups for uid */
462         rc = get_groups_local(data, maxgroups);
463         if (rc)
464                 goto downcall;
465
466         size = offsetof(struct identity_downcall_data,
467                         idd_groups[data->idd_ngroups]);
468         /* read permission database */
469         rc = get_perms(data);
470
471 downcall:
472         if (getenv("L_GETIDENTITY_TEST")) {
473                 show_result(data);
474                 rc = 0;
475                 goto out;
476         }
477
478         rc = cfs_get_param_paths(&path, "mdt/%s/identity_info", argv[1]);
479         if (rc != 0) {
480                 rc = -errno;
481                 goto out;
482         }
483
484         fd = open(path.gl_pathv[0], O_WRONLY);
485         if (fd < 0) {
486                 errlog("can't open file '%s':%s\n", path.gl_pathv[0],
487                        strerror(errno));
488                 rc = -errno;
489                 goto out_params;
490         }
491
492         rc = write(fd, data, size);
493         close(fd);
494         if (rc != size) {
495                 errlog("partial write ret %d: %s\n", rc, strerror(errno));
496                 rc = -1;
497         } else {
498                 rc = 0;
499         }
500
501 out_params:
502         cfs_free_param_data(&path);
503 out:
504         if (data != NULL)
505                 free(data);
506         return rc;
507 }