Whamcloud - gitweb
LU-8602 gss: Properly port gss to newer crypto api.
[fs/lustre-release.git] / lustre / ptlrpc / gss / gss_keyring.c
1 /*
2  * GPL HEADER START
3  *
4  * DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.
5  *
6  * This program is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License version 2 only,
8  * as published by the Free Software Foundation.
9  *
10  * This program is distributed in the hope that it will be useful, but
11  * WITHOUT ANY WARRANTY; without even the implied warranty of
12  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
13  * General Public License version 2 for more details (a copy is included
14  * in the LICENSE file that accompanied this code).
15  *
16  * You should have received a copy of the GNU General Public License
17  * version 2 along with this program; If not, see
18  * http://www.gnu.org/licenses/gpl-2.0.html
19  *
20  * GPL HEADER END
21  */
22 /*
23  * Copyright (c) 2007, 2010, Oracle and/or its affiliates. All rights reserved.
24  * Use is subject to license terms.
25  *
26  * Copyright (c) 2012, 2014, Intel Corporation.
27  */
28 /*
29  * This file is part of Lustre, http://www.lustre.org/
30  * Lustre is a trademark of Sun Microsystems, Inc.
31  *
32  * lustre/ptlrpc/gss/gss_keyring.c
33  *
34  * Author: Eric Mei <ericm@clusterfs.com>
35  */
36
37 #define DEBUG_SUBSYSTEM S_SEC
38 #include <linux/init.h>
39 #include <linux/module.h>
40 #include <linux/slab.h>
41 #include <linux/dcache.h>
42 #include <linux/fs.h>
43 #include <linux/crypto.h>
44 #include <linux/key.h>
45 #include <linux/keyctl.h>
46 #include <linux/key-type.h>
47 #include <linux/mutex.h>
48 #include <asm/atomic.h>
49
50 #include <libcfs/linux/linux-list.h>
51 #include <obd.h>
52 #include <obd_class.h>
53 #include <obd_support.h>
54 #include <uapi/linux/lustre/lustre_idl.h>
55 #include <lustre_sec.h>
56 #include <lustre_net.h>
57 #include <lustre_import.h>
58
59 #include "gss_err.h"
60 #include "gss_internal.h"
61 #include "gss_api.h"
62
63 static struct ptlrpc_sec_policy gss_policy_keyring;
64 static struct ptlrpc_ctx_ops gss_keyring_ctxops;
65 static struct key_type gss_key_type;
66
67 static int sec_install_rctx_kr(struct ptlrpc_sec *sec,
68                                struct ptlrpc_svc_ctx *svc_ctx);
69
70 /*
71  * the timeout is only for the case that upcall child process die abnormally.
72  * in any other cases it should finally update kernel key.
73  *
74  * FIXME we'd better to incorporate the client & server side upcall timeouts
75  * into the framework of Adaptive Timeouts, but we need to figure out how to
76  * make sure that kernel knows the upcall processes is in-progress or died
77  * unexpectedly.
78  */
79 #define KEYRING_UPCALL_TIMEOUT  (obd_timeout + obd_timeout)
80
81 /****************************************
82  * internal helpers                     *
83  ****************************************/
84
85 #define DUMP_PROCESS_KEYRINGS(tsk)                                      \
86 {                                                                       \
87         CWARN("DUMP PK: %s[%u,%u/%u](<-%s[%u,%u/%u]): "                 \
88               "a %d, t %d, p %d, s %d, u %d, us %d, df %d\n",           \
89               tsk->comm, tsk->pid, tsk->uid, tsk->fsuid,                \
90               tsk->parent->comm, tsk->parent->pid,                      \
91               tsk->parent->uid, tsk->parent->fsuid,                     \
92               tsk->request_key_auth ?                                   \
93               tsk->request_key_auth->serial : 0,                        \
94               key_cred(tsk)->thread_keyring ?                           \
95               key_cred(tsk)->thread_keyring->serial : 0,                \
96               key_tgcred(tsk)->process_keyring ?                        \
97               key_tgcred(tsk)->process_keyring->serial : 0,             \
98               key_tgcred(tsk)->session_keyring ?                        \
99               key_tgcred(tsk)->session_keyring->serial : 0,             \
100               key_cred(tsk)->user->uid_keyring ?                        \
101               key_cred(tsk)->user->uid_keyring->serial : 0,             \
102               key_cred(tsk)->user->session_keyring ?                    \
103               key_cred(tsk)->user->session_keyring->serial : 0,         \
104               key_cred(tsk)->jit_keyring                                \
105              );                                                         \
106 }
107
108 #define DUMP_KEY(key)                                                   \
109 {                                                                       \
110         CWARN("DUMP KEY: %p(%d) ref %d u%u/g%u desc %s\n",              \
111               key, key->serial, ll_read_key_usage(key),                 \
112               key->uid, key->gid,                                       \
113               key->description ? key->description : "n/a"               \
114              );                                                         \
115 }
116
117 #define key_cred(tsk)   ((tsk)->cred)
118 #ifdef HAVE_CRED_TGCRED
119 #define key_tgcred(tsk) ((tsk)->cred->tgcred)
120 #else
121 #define key_tgcred(tsk) key_cred(tsk)
122 #endif
123
124 static inline void keyring_upcall_lock(struct gss_sec_keyring *gsec_kr)
125 {
126 #ifdef HAVE_KEYRING_UPCALL_SERIALIZED
127         mutex_lock(&gsec_kr->gsk_uc_lock);
128 #endif
129 }
130
131 static inline void keyring_upcall_unlock(struct gss_sec_keyring *gsec_kr)
132 {
133 #ifdef HAVE_KEYRING_UPCALL_SERIALIZED
134         mutex_unlock(&gsec_kr->gsk_uc_lock);
135 #endif
136 }
137
138 static inline void key_revoke_locked(struct key *key)
139 {
140         set_bit(KEY_FLAG_REVOKED, &key->flags);
141 }
142
143 static void ctx_upcall_timeout_kr(cfs_timer_cb_arg_t data)
144 {
145         struct gss_cli_ctx_keyring *gctx_kr = cfs_from_timer(gctx_kr,
146                                                              &data, gck_timer);
147         struct ptlrpc_cli_ctx *ctx = &(gctx_kr->gck_base.gc_base);
148         struct key *key = gctx_kr->gck_key;
149
150         CWARN("ctx %p, key %p\n", ctx, key);
151
152         LASSERT(key);
153
154         cli_ctx_expire(ctx);
155         key_revoke_locked(key);
156 }
157
158 static void ctx_start_timer_kr(struct ptlrpc_cli_ctx *ctx, time64_t timeout)
159 {
160         struct gss_cli_ctx_keyring *gctx_kr = ctx2gctx_keyring(ctx);
161         struct timer_list *timer = gctx_kr->gck_timer;
162
163         LASSERT(timer);
164
165         CDEBUG(D_SEC, "ctx %p: start timer %llds\n", ctx, timeout);
166
167         cfs_timer_setup(timer, ctx_upcall_timeout_kr,
168                         (unsigned long)gctx_kr, 0);
169         timer->expires = cfs_time_seconds(timeout) + jiffies;
170         add_timer(timer);
171 }
172
173 /*
174  * caller should make sure no race with other threads
175  */
176 static
177 void ctx_clear_timer_kr(struct ptlrpc_cli_ctx *ctx)
178 {
179         struct gss_cli_ctx_keyring *gctx_kr = ctx2gctx_keyring(ctx);
180         struct timer_list          *timer = gctx_kr->gck_timer;
181
182         if (timer == NULL)
183                 return;
184
185         CDEBUG(D_SEC, "ctx %p, key %p\n", ctx, gctx_kr->gck_key);
186
187         gctx_kr->gck_timer = NULL;
188
189         del_singleshot_timer_sync(timer);
190
191         OBD_FREE_PTR(timer);
192 }
193
194 static
195 struct ptlrpc_cli_ctx *ctx_create_kr(struct ptlrpc_sec *sec,
196                                      struct vfs_cred *vcred)
197 {
198         struct ptlrpc_cli_ctx      *ctx;
199         struct gss_cli_ctx_keyring *gctx_kr;
200
201         OBD_ALLOC_PTR(gctx_kr);
202         if (gctx_kr == NULL)
203                 return NULL;
204
205         OBD_ALLOC_PTR(gctx_kr->gck_timer);
206         if (gctx_kr->gck_timer == NULL) {
207                 OBD_FREE_PTR(gctx_kr);
208                 return NULL;
209         }
210         cfs_timer_setup(gctx_kr->gck_timer, NULL, 0, 0);
211
212         ctx = &gctx_kr->gck_base.gc_base;
213
214         if (gss_cli_ctx_init_common(sec, ctx, &gss_keyring_ctxops, vcred)) {
215                 OBD_FREE_PTR(gctx_kr->gck_timer);
216                 OBD_FREE_PTR(gctx_kr);
217                 return NULL;
218         }
219
220         ctx->cc_expire = ktime_get_real_seconds() + KEYRING_UPCALL_TIMEOUT;
221         clear_bit(PTLRPC_CTX_NEW_BIT, &ctx->cc_flags);
222         atomic_inc(&ctx->cc_refcount); /* for the caller */
223
224         return ctx;
225 }
226
227 static void ctx_destroy_kr(struct ptlrpc_cli_ctx *ctx)
228 {
229         struct ptlrpc_sec               *sec = ctx->cc_sec;
230         struct gss_cli_ctx_keyring      *gctx_kr = ctx2gctx_keyring(ctx);
231
232         CDEBUG(D_SEC, "destroying ctx %p\n", ctx);
233
234         /* at this time the association with key has been broken. */
235         LASSERT(sec);
236         LASSERT(atomic_read(&sec->ps_refcount) > 0);
237         LASSERT(atomic_read(&sec->ps_nctx) > 0);
238         LASSERT(test_bit(PTLRPC_CTX_CACHED_BIT, &ctx->cc_flags) == 0);
239         LASSERT(gctx_kr->gck_key == NULL);
240
241         ctx_clear_timer_kr(ctx);
242         LASSERT(gctx_kr->gck_timer == NULL);
243
244         if (gss_cli_ctx_fini_common(sec, ctx))
245                 return;
246
247         OBD_FREE_PTR(gctx_kr);
248
249         atomic_dec(&sec->ps_nctx);
250         sptlrpc_sec_put(sec);
251 }
252
253 static void ctx_release_kr(struct ptlrpc_cli_ctx *ctx, int sync)
254 {
255         if (sync) {
256                 ctx_destroy_kr(ctx);
257         } else {
258                 atomic_inc(&ctx->cc_refcount);
259                 sptlrpc_gc_add_ctx(ctx);
260         }
261 }
262
263 static void ctx_put_kr(struct ptlrpc_cli_ctx *ctx, int sync)
264 {
265         LASSERT(atomic_read(&ctx->cc_refcount) > 0);
266
267         if (atomic_dec_and_test(&ctx->cc_refcount))
268                 ctx_release_kr(ctx, sync);
269 }
270
271 /*
272  * key <-> ctx association and rules:
273  * - ctx might not bind with any key
274  * - key/ctx binding is protected by key semaphore (if the key present)
275  * - key and ctx each take a reference of the other
276  * - ctx enlist/unlist is protected by ctx spinlock
277  * - never enlist a ctx after it's been unlisted
278  * - whoever do enlist should also do bind, lock key before enlist:
279  *   - lock key -> lock ctx -> enlist -> unlock ctx -> bind -> unlock key
280  * - whoever do unlist should also do unbind:
281  *   - lock key -> lock ctx -> unlist -> unlock ctx -> unbind -> unlock key
282  *   - lock ctx -> unlist -> unlock ctx -> lock key -> unbind -> unlock key
283  */
284
285 static inline void spin_lock_if(spinlock_t *lock, int condition)
286 {
287         if (condition)
288                 spin_lock(lock);
289 }
290
291 static inline void spin_unlock_if(spinlock_t *lock, int condition)
292 {
293         if (condition)
294                 spin_unlock(lock);
295 }
296
297 static void ctx_enlist_kr(struct ptlrpc_cli_ctx *ctx, int is_root, int locked)
298 {
299         struct ptlrpc_sec       *sec = ctx->cc_sec;
300         struct gss_sec_keyring  *gsec_kr = sec2gsec_keyring(sec);
301
302         LASSERT(!test_bit(PTLRPC_CTX_CACHED_BIT, &ctx->cc_flags));
303         LASSERT(atomic_read(&ctx->cc_refcount) > 0);
304
305         spin_lock_if(&sec->ps_lock, !locked);
306
307         atomic_inc(&ctx->cc_refcount);
308         set_bit(PTLRPC_CTX_CACHED_BIT, &ctx->cc_flags);
309         hlist_add_head(&ctx->cc_cache, &gsec_kr->gsk_clist);
310         if (is_root)
311                 gsec_kr->gsk_root_ctx = ctx;
312
313         spin_unlock_if(&sec->ps_lock, !locked);
314 }
315
316 /*
317  * Note after this get called, caller should not access ctx again because
318  * it might have been freed, unless caller hold at least one refcount of
319  * the ctx.
320  *
321  * return non-zero if we indeed unlist this ctx.
322  */
323 static int ctx_unlist_kr(struct ptlrpc_cli_ctx *ctx, int locked)
324 {
325         struct ptlrpc_sec       *sec = ctx->cc_sec;
326         struct gss_sec_keyring  *gsec_kr = sec2gsec_keyring(sec);
327
328         /* if hashed bit has gone, leave the job to somebody who is doing it */
329         if (test_and_clear_bit(PTLRPC_CTX_CACHED_BIT, &ctx->cc_flags) == 0)
330                 return 0;
331
332         /* drop ref inside spin lock to prevent race with other operations */
333         spin_lock_if(&sec->ps_lock, !locked);
334
335         if (gsec_kr->gsk_root_ctx == ctx)
336                 gsec_kr->gsk_root_ctx = NULL;
337         hlist_del_init(&ctx->cc_cache);
338         atomic_dec(&ctx->cc_refcount);
339
340         spin_unlock_if(&sec->ps_lock, !locked);
341
342         return 1;
343 }
344
345 /*
346  * Get specific payload. Newer kernels support 4 slots.
347  */
348 static void *
349 key_get_payload(struct key *key, unsigned int index)
350 {
351         void *key_ptr = NULL;
352
353 #ifdef HAVE_KEY_PAYLOAD_DATA_ARRAY
354         key_ptr = key->payload.data[index];
355 #else
356         if (!index)
357                 key_ptr = key->payload.data;
358 #endif
359         return key_ptr;
360 }
361
362 /*
363  * Set specific payload. Newer kernels support 4 slots.
364  */
365 static int key_set_payload(struct key *key, unsigned int index,
366                            struct ptlrpc_cli_ctx *ctx)
367 {
368         int rc = -EINVAL;
369
370 #ifdef HAVE_KEY_PAYLOAD_DATA_ARRAY
371         if (index < 4) {
372                 key->payload.data[index] = ctx;
373 #else
374         if (!index) {
375                 key->payload.data = ctx;
376 #endif
377                 rc = 0;
378         }
379         return rc;
380 }
381
382 /*
383  * bind a key with a ctx together.
384  * caller must hold write lock of the key, as well as ref on key & ctx.
385  */
386 static void bind_key_ctx(struct key *key, struct ptlrpc_cli_ctx *ctx)
387 {
388         LASSERT(atomic_read(&ctx->cc_refcount) > 0);
389         LASSERT(ll_read_key_usage(key) > 0);
390         LASSERT(ctx2gctx_keyring(ctx)->gck_key == NULL);
391         LASSERT(!key_get_payload(key, 0));
392
393         /* at this time context may or may not in list. */
394         key_get(key);
395         atomic_inc(&ctx->cc_refcount);
396         ctx2gctx_keyring(ctx)->gck_key = key;
397         LASSERT(!key_set_payload(key, 0, ctx));
398 }
399
400 /*
401  * unbind a key and a ctx.
402  * caller must hold write lock, as well as a ref of the key.
403  */
404 static void unbind_key_ctx(struct key *key, struct ptlrpc_cli_ctx *ctx)
405 {
406         LASSERT(key_get_payload(key, 0) == ctx);
407         LASSERT(test_bit(PTLRPC_CTX_CACHED_BIT, &ctx->cc_flags) == 0);
408
409         /* must revoke the key, or others may treat it as newly created */
410         key_revoke_locked(key);
411
412         key_set_payload(key, 0, NULL);
413         ctx2gctx_keyring(ctx)->gck_key = NULL;
414
415         /* once ctx get split from key, the timer is meaningless */
416         ctx_clear_timer_kr(ctx);
417
418         ctx_put_kr(ctx, 1);
419         key_put(key);
420 }
421
422 /*
423  * given a ctx, unbind with its coupled key, if any.
424  * unbind could only be called once, so we don't worry the key be released
425  * by someone else.
426  */
427 static void unbind_ctx_kr(struct ptlrpc_cli_ctx *ctx)
428 {
429         struct key      *key = ctx2gctx_keyring(ctx)->gck_key;
430
431         if (key) {
432                 LASSERT(key_get_payload(key, 0) == ctx);
433
434                 key_get(key);
435                 down_write(&key->sem);
436                 unbind_key_ctx(key, ctx);
437                 up_write(&key->sem);
438                 key_put(key);
439         }
440 }
441
442 /*
443  * given a key, unbind with its coupled ctx, if any.
444  * caller must hold write lock, as well as a ref of the key.
445  */
446 static void unbind_key_locked(struct key *key)
447 {
448         struct ptlrpc_cli_ctx *ctx = key_get_payload(key, 0);
449
450         if (ctx)
451                 unbind_key_ctx(key, ctx);
452 }
453
454 /*
455  * unlist a ctx, and unbind from coupled key
456  */
457 static void kill_ctx_kr(struct ptlrpc_cli_ctx *ctx)
458 {
459         if (ctx_unlist_kr(ctx, 0))
460                 unbind_ctx_kr(ctx);
461 }
462
463 /*
464  * given a key, unlist and unbind with the coupled ctx (if any).
465  * caller must hold write lock, as well as a ref of the key.
466  */
467 static void kill_key_locked(struct key *key)
468 {
469         struct ptlrpc_cli_ctx *ctx = key_get_payload(key, 0);
470
471         if (ctx && ctx_unlist_kr(ctx, 0))
472                 unbind_key_locked(key);
473 }
474
475 /*
476  * caller should hold one ref on contexts in freelist.
477  */
478 static void dispose_ctx_list_kr(struct hlist_head *freelist)
479 {
480         struct hlist_node       __maybe_unused *pos, *next;
481         struct ptlrpc_cli_ctx   *ctx;
482         struct gss_cli_ctx      *gctx;
483
484         cfs_hlist_for_each_entry_safe(ctx, pos, next, freelist, cc_cache) {
485                 hlist_del_init(&ctx->cc_cache);
486
487                 /* reverse ctx: update current seq to buddy svcctx if exist.
488                  * ideally this should be done at gss_cli_ctx_finalize(), but
489                  * the ctx destroy could be delayed by:
490                  *  1) ctx still has reference;
491                  *  2) ctx destroy is asynchronous;
492                  * and reverse import call inval_all_ctx() require this be done
493                  * _immediately_ otherwise newly created reverse ctx might copy
494                  * the very old sequence number from svcctx. */
495                 gctx = ctx2gctx(ctx);
496                 if (!rawobj_empty(&gctx->gc_svc_handle) &&
497                     sec_is_reverse(gctx->gc_base.cc_sec)) {
498                         gss_svc_upcall_update_sequence(&gctx->gc_svc_handle,
499                                         (__u32) atomic_read(&gctx->gc_seq));
500                 }
501
502                 /* we need to wakeup waiting reqs here. the context might
503                  * be forced released before upcall finished, then the
504                  * late-arrived downcall can't find the ctx even. */
505                 sptlrpc_cli_ctx_wakeup(ctx);
506
507                 unbind_ctx_kr(ctx);
508                 ctx_put_kr(ctx, 0);
509         }
510 }
511
512 /*
513  * lookup a root context directly in a sec, return root ctx with a
514  * reference taken or NULL.
515  */
516 static
517 struct ptlrpc_cli_ctx * sec_lookup_root_ctx_kr(struct ptlrpc_sec *sec)
518 {
519         struct gss_sec_keyring  *gsec_kr = sec2gsec_keyring(sec);
520         struct ptlrpc_cli_ctx   *ctx = NULL;
521
522         spin_lock(&sec->ps_lock);
523
524         ctx = gsec_kr->gsk_root_ctx;
525
526         if (ctx == NULL && unlikely(sec_is_reverse(sec))) {
527                 struct hlist_node       __maybe_unused *node;
528                 struct ptlrpc_cli_ctx   *tmp;
529
530                 /* reverse ctx, search root ctx in list, choose the one
531                  * with shortest expire time, which is most possibly have
532                  * an established peer ctx at client side. */
533                 cfs_hlist_for_each_entry(tmp, node, &gsec_kr->gsk_clist,
534                                          cc_cache) {
535                         if (ctx == NULL || ctx->cc_expire == 0 ||
536                             ctx->cc_expire > tmp->cc_expire) {
537                                 ctx = tmp;
538                                 /* promote to be root_ctx */
539                                 gsec_kr->gsk_root_ctx = ctx;
540                         }
541                 }
542         }
543
544         if (ctx) {
545                 LASSERT(atomic_read(&ctx->cc_refcount) > 0);
546                 LASSERT(!hlist_empty(&gsec_kr->gsk_clist));
547                 atomic_inc(&ctx->cc_refcount);
548         }
549
550         spin_unlock(&sec->ps_lock);
551
552         return ctx;
553 }
554
555 #define RVS_CTX_EXPIRE_NICE    (10)
556
557 static
558 void rvs_sec_install_root_ctx_kr(struct ptlrpc_sec *sec,
559                                  struct ptlrpc_cli_ctx *new_ctx,
560                                  struct key *key)
561 {
562         struct gss_sec_keyring *gsec_kr = sec2gsec_keyring(sec);
563         struct hlist_node __maybe_unused *hnode;
564         struct ptlrpc_cli_ctx *ctx;
565         time64_t now;
566
567         ENTRY;
568         LASSERT(sec_is_reverse(sec));
569
570         spin_lock(&sec->ps_lock);
571
572         now = ktime_get_real_seconds();
573
574         /* set all existing ctxs short expiry */
575         cfs_hlist_for_each_entry(ctx, hnode, &gsec_kr->gsk_clist, cc_cache) {
576                 if (ctx->cc_expire > now + RVS_CTX_EXPIRE_NICE) {
577                         ctx->cc_early_expire = 1;
578                         ctx->cc_expire = now + RVS_CTX_EXPIRE_NICE;
579                 }
580         }
581
582         /* if there's root_ctx there, instead obsolete the current
583          * immediately, we leave it continue operating for a little while.
584          * hopefully when the first backward rpc with newest ctx send out,
585          * the client side already have the peer ctx well established. */
586         ctx_enlist_kr(new_ctx, gsec_kr->gsk_root_ctx ? 0 : 1, 1);
587
588         if (key)
589                 bind_key_ctx(key, new_ctx);
590
591         spin_unlock(&sec->ps_lock);
592 }
593
594 static void construct_key_desc(void *buf, int bufsize,
595                                struct ptlrpc_sec *sec, uid_t uid)
596 {
597         snprintf(buf, bufsize, "%d@%x", uid, sec->ps_id);
598         ((char *)buf)[bufsize - 1] = '\0';
599 }
600
601 /****************************************
602  * sec apis                             *
603  ****************************************/
604
605 static
606 struct ptlrpc_sec * gss_sec_create_kr(struct obd_import *imp,
607                                       struct ptlrpc_svc_ctx *svcctx,
608                                       struct sptlrpc_flavor *sf)
609 {
610         struct gss_sec_keyring  *gsec_kr;
611         ENTRY;
612
613         OBD_ALLOC(gsec_kr, sizeof(*gsec_kr));
614         if (gsec_kr == NULL)
615                 RETURN(NULL);
616
617         INIT_HLIST_HEAD(&gsec_kr->gsk_clist);
618         gsec_kr->gsk_root_ctx = NULL;
619         mutex_init(&gsec_kr->gsk_root_uc_lock);
620 #ifdef HAVE_KEYRING_UPCALL_SERIALIZED
621         mutex_init(&gsec_kr->gsk_uc_lock);
622 #endif
623
624         if (gss_sec_create_common(&gsec_kr->gsk_base, &gss_policy_keyring,
625                                   imp, svcctx, sf))
626                 goto err_free;
627
628         if (svcctx != NULL &&
629             sec_install_rctx_kr(&gsec_kr->gsk_base.gs_base, svcctx)) {
630                 gss_sec_destroy_common(&gsec_kr->gsk_base);
631                 goto err_free;
632         }
633
634         RETURN(&gsec_kr->gsk_base.gs_base);
635
636 err_free:
637         OBD_FREE(gsec_kr, sizeof(*gsec_kr));
638         RETURN(NULL);
639 }
640
641 static
642 void gss_sec_destroy_kr(struct ptlrpc_sec *sec)
643 {
644         struct gss_sec          *gsec = sec2gsec(sec);
645         struct gss_sec_keyring  *gsec_kr = sec2gsec_keyring(sec);
646
647         CDEBUG(D_SEC, "destroy %s@%p\n", sec->ps_policy->sp_name, sec);
648
649         LASSERT(hlist_empty(&gsec_kr->gsk_clist));
650         LASSERT(gsec_kr->gsk_root_ctx == NULL);
651
652         gss_sec_destroy_common(gsec);
653
654         OBD_FREE(gsec_kr, sizeof(*gsec_kr));
655 }
656
657 static inline int user_is_root(struct ptlrpc_sec *sec, struct vfs_cred *vcred)
658 {
659         /* except the ROOTONLY flag, treat it as root user only if real uid
660          * is 0, euid/fsuid being 0 are handled as setuid scenarios */
661         if (sec_is_rootonly(sec) || (vcred->vc_uid == 0))
662                 return 1;
663         else
664                 return 0;
665 }
666
667 /*
668  * unlink request key from it's ring, which is linked during request_key().
669  * sadly, we have to 'guess' which keyring it's linked to.
670  *
671  * FIXME this code is fragile, depend on how request_key_link() is implemented.
672  */
673 static void request_key_unlink(struct key *key)
674 {
675         struct task_struct *tsk = current;
676         struct key *ring;
677
678         switch (key_cred(tsk)->jit_keyring) {
679         case KEY_REQKEY_DEFL_DEFAULT:
680         case KEY_REQKEY_DEFL_THREAD_KEYRING:
681                 ring = key_get(key_cred(tsk)->thread_keyring);
682                 if (ring)
683                         break;
684         case KEY_REQKEY_DEFL_PROCESS_KEYRING:
685                 ring = key_get(key_tgcred(tsk)->process_keyring);
686                 if (ring)
687                         break;
688         case KEY_REQKEY_DEFL_SESSION_KEYRING:
689                 rcu_read_lock();
690                 ring = key_get(rcu_dereference(key_tgcred(tsk)
691                                                ->session_keyring));
692                 rcu_read_unlock();
693                 if (ring)
694                         break;
695         case KEY_REQKEY_DEFL_USER_SESSION_KEYRING:
696                 ring = key_get(key_cred(tsk)->user->session_keyring);
697                 break;
698         case KEY_REQKEY_DEFL_USER_KEYRING:
699                 ring = key_get(key_cred(tsk)->user->uid_keyring);
700                 break;
701         case KEY_REQKEY_DEFL_GROUP_KEYRING:
702         default:
703                 LBUG();
704         }
705
706         LASSERT(ring);
707         key_unlink(ring, key);
708         key_put(ring);
709 }
710
711 static
712 struct ptlrpc_cli_ctx * gss_sec_lookup_ctx_kr(struct ptlrpc_sec *sec,
713                                               struct vfs_cred *vcred,
714                                               int create, int remove_dead)
715 {
716         struct obd_import       *imp = sec->ps_import;
717         struct gss_sec_keyring  *gsec_kr = sec2gsec_keyring(sec);
718         struct ptlrpc_cli_ctx   *ctx = NULL;
719         unsigned int             is_root = 0, create_new = 0;
720         struct key              *key;
721         char                     desc[24];
722         char                    *coinfo;
723         int                      coinfo_size;
724         const char              *sec_part_flags = "";
725         char                     svc_flag = '-';
726         ENTRY;
727
728         LASSERT(imp != NULL);
729
730         is_root = user_is_root(sec, vcred);
731
732         /* a little bit optimization for root context */
733         if (is_root) {
734                 ctx = sec_lookup_root_ctx_kr(sec);
735                 /*
736                  * Only lookup directly for REVERSE sec, which should
737                  * always succeed.
738                  */
739                 if (ctx || sec_is_reverse(sec))
740                         RETURN(ctx);
741         }
742
743         LASSERT(create != 0);
744
745         /* for root context, obtain lock and check again, this time hold
746          * the root upcall lock, make sure nobody else populated new root
747          * context after last check. */
748         if (is_root) {
749                 mutex_lock(&gsec_kr->gsk_root_uc_lock);
750
751                 ctx = sec_lookup_root_ctx_kr(sec);
752                 if (ctx)
753                         goto out;
754
755                 /* update reverse handle for root user */
756                 sec2gsec(sec)->gs_rvs_hdl = gss_get_next_ctx_index();
757
758                 switch (sec->ps_part) {
759                 case LUSTRE_SP_MDT:
760                         sec_part_flags = "m";
761                         break;
762                 case LUSTRE_SP_OST:
763                         sec_part_flags = "o";
764                         break;
765                 case LUSTRE_SP_MGC:
766                         sec_part_flags = "rmo";
767                         break;
768                 case LUSTRE_SP_CLI:
769                         sec_part_flags = "r";
770                         break;
771                 case LUSTRE_SP_MGS:
772                 default:
773                         LBUG();
774                 }
775
776                 switch (SPTLRPC_FLVR_SVC(sec->ps_flvr.sf_rpc)) {
777                 case SPTLRPC_SVC_NULL:
778                         svc_flag = 'n';
779                         break;
780                 case SPTLRPC_SVC_AUTH:
781                         svc_flag = 'a';
782                         break;
783                 case SPTLRPC_SVC_INTG:
784                         svc_flag = 'i';
785                         break;
786                 case SPTLRPC_SVC_PRIV:
787                         svc_flag = 'p';
788                         break;
789                 default:
790                         LBUG();
791                 }
792         }
793
794         /* in case of setuid, key will be constructed as owner of fsuid/fsgid,
795          * but we do authentication based on real uid/gid. the key permission
796          * bits will be exactly as POS_ALL, so only processes who subscribed
797          * this key could have the access, although the quota might be counted
798          * on others (fsuid/fsgid).
799          *
800          * keyring will use fsuid/fsgid as upcall parameters, so we have to
801          * encode real uid/gid into callout info.
802          */
803
804         /* But first we need to make sure the obd type is supported */
805         if (strcmp(imp->imp_obd->obd_type->typ_name, LUSTRE_MDC_NAME) &&
806             strcmp(imp->imp_obd->obd_type->typ_name, LUSTRE_OSC_NAME) &&
807             strcmp(imp->imp_obd->obd_type->typ_name, LUSTRE_MGC_NAME) &&
808             strcmp(imp->imp_obd->obd_type->typ_name, LUSTRE_LWP_NAME) &&
809             strcmp(imp->imp_obd->obd_type->typ_name, LUSTRE_OSP_NAME)) {
810                 CERROR("obd %s is not a supported device\n",
811                        imp->imp_obd->obd_name);
812                 GOTO(out, ctx = NULL);
813         }
814
815         construct_key_desc(desc, sizeof(desc), sec, vcred->vc_uid);
816
817         /* callout info format:
818          * secid:mech:uid:gid:sec_flags:svc_flag:svc_type:peer_nid:target_uuid:
819          * self_nid:pid
820          */
821         coinfo_size = sizeof(struct obd_uuid) + MAX_OBD_NAME + 64;
822         OBD_ALLOC(coinfo, coinfo_size);
823         if (coinfo == NULL)
824                 goto out;
825
826         /* Last callout parameter is pid of process whose namespace will be used
827          * for credentials' retrieval.
828          * For user's credentials (in which case sec_part_flags is empty), use
829          * current PID instead of import's reference PID to get reference
830          * namespace. */
831         snprintf(coinfo, coinfo_size, "%d:%s:%u:%u:%s:%c:%d:%#llx:%s:%#llx:%d",
832                  sec->ps_id, sec2gsec(sec)->gs_mech->gm_name,
833                  vcred->vc_uid, vcred->vc_gid,
834                  sec_part_flags, svc_flag, import_to_gss_svc(imp),
835                  imp->imp_connection->c_peer.nid, imp->imp_obd->obd_name,
836                  imp->imp_connection->c_self,
837                  sec_part_flags[0] == '\0' ?
838                        current_pid() : imp->imp_sec_refpid);
839
840         CDEBUG(D_SEC, "requesting key for %s\n", desc);
841
842         keyring_upcall_lock(gsec_kr);
843         key = request_key(&gss_key_type, desc, coinfo);
844         keyring_upcall_unlock(gsec_kr);
845
846         OBD_FREE(coinfo, coinfo_size);
847
848         if (IS_ERR(key)) {
849                 CERROR("failed request key: %ld\n", PTR_ERR(key));
850                 goto out;
851         }
852         CDEBUG(D_SEC, "obtained key %08x for %s\n", key->serial, desc);
853
854         /* once payload.data was pointed to a ctx, it never changes until
855          * we de-associate them; but parallel request_key() may return
856          * a key with payload.data == NULL at the same time. so we still
857          * need wirtelock of key->sem to serialize them. */
858         down_write(&key->sem);
859
860         ctx = key_get_payload(key, 0);
861         if (likely(ctx)) {
862                 LASSERT(atomic_read(&ctx->cc_refcount) >= 1);
863                 LASSERT(ctx2gctx_keyring(ctx)->gck_key == key);
864                 LASSERT(ll_read_key_usage(key) >= 2);
865
866                 /* simply take a ref and return. it's upper layer's
867                  * responsibility to detect & replace dead ctx. */
868                 atomic_inc(&ctx->cc_refcount);
869         } else {
870                 /* pre initialization with a cli_ctx. this can't be done in
871                  * key_instantiate() because we'v no enough information
872                  * there. */
873                 ctx = ctx_create_kr(sec, vcred);
874                 if (ctx != NULL) {
875                         ctx_enlist_kr(ctx, is_root, 0);
876                         bind_key_ctx(key, ctx);
877
878                         ctx_start_timer_kr(ctx, KEYRING_UPCALL_TIMEOUT);
879
880                         CDEBUG(D_SEC, "installed key %p <-> ctx %p (sec %p)\n",
881                                key, ctx, sec);
882                 } else {
883                         /* we'd prefer to call key_revoke(), but we more like
884                          * to revoke it within this key->sem locked period. */
885                         key_revoke_locked(key);
886                 }
887
888                 create_new = 1;
889         }
890
891         up_write(&key->sem);
892
893         if (is_root && create_new)
894                 request_key_unlink(key);
895
896         key_put(key);
897 out:
898         if (is_root)
899                 mutex_unlock(&gsec_kr->gsk_root_uc_lock);
900         RETURN(ctx);
901 }
902
903 static
904 void gss_sec_release_ctx_kr(struct ptlrpc_sec *sec,
905                             struct ptlrpc_cli_ctx *ctx,
906                             int sync)
907 {
908         LASSERT(atomic_read(&sec->ps_refcount) > 0);
909         LASSERT(atomic_read(&ctx->cc_refcount) == 0);
910         ctx_release_kr(ctx, sync);
911 }
912
913 /*
914  * flush context of normal user, we must resort to keyring itself to find out
915  * contexts which belong to me.
916  *
917  * Note here we suppose only to flush _my_ context, the "uid" will
918  * be ignored in the search.
919  */
920 static
921 void flush_user_ctx_cache_kr(struct ptlrpc_sec *sec,
922                              uid_t uid,
923                              int grace, int force)
924 {
925         struct key              *key;
926         char                     desc[24];
927
928         /* nothing to do for reverse or rootonly sec */
929         if (sec_is_reverse(sec) || sec_is_rootonly(sec))
930                 return;
931
932         construct_key_desc(desc, sizeof(desc), sec, uid);
933
934         /* there should be only one valid key, but we put it in the
935          * loop in case of any weird cases */
936         for (;;) {
937                 key = request_key(&gss_key_type, desc, NULL);
938                 if (IS_ERR(key)) {
939                         CDEBUG(D_SEC, "No more key found for current user\n");
940                         break;
941                 }
942
943                 down_write(&key->sem);
944
945                 kill_key_locked(key);
946
947                 /* kill_key_locked() should usually revoke the key, but we
948                  * revoke it again to make sure, e.g. some case the key may
949                  * not well coupled with a context. */
950                 key_revoke_locked(key);
951
952                 up_write(&key->sem);
953
954                 request_key_unlink(key);
955
956                 key_put(key);
957         }
958 }
959
960 /*
961  * flush context of root or all, we iterate through the list.
962  */
963 static
964 void flush_spec_ctx_cache_kr(struct ptlrpc_sec *sec, uid_t uid, int grace,
965                              int force)
966 {
967         struct gss_sec_keyring  *gsec_kr;
968         struct hlist_head        freelist = HLIST_HEAD_INIT;
969         struct hlist_node       __maybe_unused *pos, *next;
970         struct ptlrpc_cli_ctx   *ctx;
971         ENTRY;
972
973         gsec_kr = sec2gsec_keyring(sec);
974
975         spin_lock(&sec->ps_lock);
976         cfs_hlist_for_each_entry_safe(ctx, pos, next,
977                                       &gsec_kr->gsk_clist, cc_cache) {
978                 LASSERT(atomic_read(&ctx->cc_refcount) > 0);
979
980                 if (uid != -1 && uid != ctx->cc_vcred.vc_uid)
981                         continue;
982
983                 /* at this moment there's at least 2 base reference:
984                  * key association and in-list. */
985                 if (atomic_read(&ctx->cc_refcount) > 2) {
986                         if (!force)
987                                 continue;
988                         CWARN("flush busy ctx %p(%u->%s, extra ref %d)\n",
989                               ctx, ctx->cc_vcred.vc_uid,
990                               sec2target_str(ctx->cc_sec),
991                               atomic_read(&ctx->cc_refcount) - 2);
992                 }
993
994                 set_bit(PTLRPC_CTX_DEAD_BIT, &ctx->cc_flags);
995                 if (!grace)
996                         clear_bit(PTLRPC_CTX_UPTODATE_BIT, &ctx->cc_flags);
997
998                 atomic_inc(&ctx->cc_refcount);
999
1000                 if (ctx_unlist_kr(ctx, 1)) {
1001                         hlist_add_head(&ctx->cc_cache, &freelist);
1002                 } else {
1003                         LASSERT(atomic_read(&ctx->cc_refcount) >= 2);
1004                         atomic_dec(&ctx->cc_refcount);
1005                 }
1006         }
1007         spin_unlock(&sec->ps_lock);
1008
1009         dispose_ctx_list_kr(&freelist);
1010         EXIT;
1011 }
1012
1013 static
1014 int gss_sec_flush_ctx_cache_kr(struct ptlrpc_sec *sec,
1015                                uid_t uid, int grace, int force)
1016 {
1017         ENTRY;
1018
1019         CDEBUG(D_SEC, "sec %p(%d, nctx %d), uid %d, grace %d, force %d\n",
1020                sec, atomic_read(&sec->ps_refcount),
1021                atomic_read(&sec->ps_nctx),
1022                uid, grace, force);
1023
1024         if (uid != -1 && uid != 0)
1025                 flush_user_ctx_cache_kr(sec, uid, grace, force);
1026         else
1027                 flush_spec_ctx_cache_kr(sec, uid, grace, force);
1028
1029         RETURN(0);
1030 }
1031
1032 static
1033 void gss_sec_gc_ctx_kr(struct ptlrpc_sec *sec)
1034 {
1035         struct gss_sec_keyring  *gsec_kr = sec2gsec_keyring(sec);
1036         struct hlist_head       freelist = HLIST_HEAD_INIT;
1037         struct hlist_node       __maybe_unused *pos, *next;
1038         struct ptlrpc_cli_ctx   *ctx;
1039         ENTRY;
1040
1041         CWARN("running gc\n");
1042
1043         spin_lock(&sec->ps_lock);
1044         cfs_hlist_for_each_entry_safe(ctx, pos, next,
1045                                       &gsec_kr->gsk_clist, cc_cache) {
1046                 LASSERT(atomic_read(&ctx->cc_refcount) > 0);
1047
1048                 atomic_inc(&ctx->cc_refcount);
1049
1050                 if (cli_ctx_check_death(ctx) && ctx_unlist_kr(ctx, 1)) {
1051                         hlist_add_head(&ctx->cc_cache, &freelist);
1052                         CWARN("unhashed ctx %p\n", ctx);
1053                 } else {
1054                         LASSERT(atomic_read(&ctx->cc_refcount) >= 2);
1055                         atomic_dec(&ctx->cc_refcount);
1056                 }
1057         }
1058         spin_unlock(&sec->ps_lock);
1059
1060         dispose_ctx_list_kr(&freelist);
1061         EXIT;
1062         return;
1063 }
1064
1065 static
1066 int gss_sec_display_kr(struct ptlrpc_sec *sec, struct seq_file *seq)
1067 {
1068         struct gss_sec_keyring *gsec_kr = sec2gsec_keyring(sec);
1069         struct hlist_node __maybe_unused *pos, *next;
1070         struct ptlrpc_cli_ctx *ctx;
1071         struct gss_cli_ctx *gctx;
1072         time64_t now = ktime_get_real_seconds();
1073
1074         ENTRY;
1075         spin_lock(&sec->ps_lock);
1076         cfs_hlist_for_each_entry_safe(ctx, pos, next,
1077                                       &gsec_kr->gsk_clist, cc_cache) {
1078                 struct key             *key;
1079                 char                    flags_str[40];
1080                 char                    mech[40];
1081
1082                 gctx = ctx2gctx(ctx);
1083                 key = ctx2gctx_keyring(ctx)->gck_key;
1084
1085                 gss_cli_ctx_flags2str(ctx->cc_flags,
1086                                       flags_str, sizeof(flags_str));
1087
1088                 if (gctx->gc_mechctx)
1089                         lgss_display(gctx->gc_mechctx, mech, sizeof(mech));
1090                 else
1091                         snprintf(mech, sizeof(mech), "N/A");
1092                 mech[sizeof(mech) - 1] = '\0';
1093
1094                 seq_printf(seq,
1095                            "%p: uid %u, ref %d, expire %lld(%+lld), fl %s, seq %d, win %u, key %08x(ref %d), hdl %#llx:%#llx, mech: %s\n",
1096                            ctx, ctx->cc_vcred.vc_uid,
1097                            atomic_read(&ctx->cc_refcount),
1098                            ctx->cc_expire,
1099                            ctx->cc_expire ?  ctx->cc_expire - now : 0,
1100                            flags_str,
1101                            atomic_read(&gctx->gc_seq),
1102                            gctx->gc_win,
1103                            key ? key->serial : 0,
1104                            key ? ll_read_key_usage(key) : 0,
1105                            gss_handle_to_u64(&gctx->gc_handle),
1106                            gss_handle_to_u64(&gctx->gc_svc_handle),
1107                            mech);
1108         }
1109         spin_unlock(&sec->ps_lock);
1110
1111         RETURN(0);
1112 }
1113
1114 /****************************************
1115  * cli_ctx apis                         *
1116  ****************************************/
1117
1118 static
1119 int gss_cli_ctx_refresh_kr(struct ptlrpc_cli_ctx *ctx)
1120 {
1121         /* upcall is already on the way */
1122         return 0;
1123 }
1124
1125 static
1126 int gss_cli_ctx_validate_kr(struct ptlrpc_cli_ctx *ctx)
1127 {
1128         LASSERT(atomic_read(&ctx->cc_refcount) > 0);
1129         LASSERT(ctx->cc_sec);
1130
1131         if (cli_ctx_check_death(ctx)) {
1132                 kill_ctx_kr(ctx);
1133                 return 1;
1134         }
1135
1136         if (cli_ctx_is_ready(ctx))
1137                 return 0;
1138         return 1;
1139 }
1140
1141 static
1142 void gss_cli_ctx_die_kr(struct ptlrpc_cli_ctx *ctx, int grace)
1143 {
1144         LASSERT(atomic_read(&ctx->cc_refcount) > 0);
1145         LASSERT(ctx->cc_sec);
1146
1147         cli_ctx_expire(ctx);
1148         kill_ctx_kr(ctx);
1149 }
1150
1151 /****************************************
1152  * (reverse) service                    *
1153  ****************************************/
1154
1155 /*
1156  * reverse context could have nothing to do with keyrings. here we still keep
1157  * the version which bind to a key, for future reference.
1158  */
1159 #define HAVE_REVERSE_CTX_NOKEY
1160
1161 #ifdef HAVE_REVERSE_CTX_NOKEY
1162
1163 static
1164 int sec_install_rctx_kr(struct ptlrpc_sec *sec,
1165                         struct ptlrpc_svc_ctx *svc_ctx)
1166 {
1167         struct ptlrpc_cli_ctx *cli_ctx;
1168         struct vfs_cred vcred = { .vc_uid = 0 };
1169         int rc;
1170
1171         LASSERT(sec);
1172         LASSERT(svc_ctx);
1173
1174         cli_ctx = ctx_create_kr(sec, &vcred);
1175         if (cli_ctx == NULL)
1176                 return -ENOMEM;
1177
1178         rc = gss_copy_rvc_cli_ctx(cli_ctx, svc_ctx);
1179         if (rc) {
1180                 CERROR("failed copy reverse cli ctx: %d\n", rc);
1181
1182                 ctx_put_kr(cli_ctx, 1);
1183                 return rc;
1184         }
1185
1186         rvs_sec_install_root_ctx_kr(sec, cli_ctx, NULL);
1187
1188         ctx_put_kr(cli_ctx, 1);
1189
1190         return 0;
1191 }
1192
1193 #else /* ! HAVE_REVERSE_CTX_NOKEY */
1194
1195 static
1196 int sec_install_rctx_kr(struct ptlrpc_sec *sec,
1197                         struct ptlrpc_svc_ctx *svc_ctx)
1198 {
1199         struct ptlrpc_cli_ctx *cli_ctx = NULL;
1200         struct key *key;
1201         struct vfs_cred vcred = { .vc_uid = 0 };
1202         char desc[64];
1203         int rc;
1204
1205         LASSERT(sec);
1206         LASSERT(svc_ctx);
1207         CWARN("called\n");
1208
1209         construct_key_desc(desc, sizeof(desc), sec, 0);
1210
1211         key = key_alloc(&gss_key_type, desc, 0, 0,
1212                         KEY_POS_ALL | KEY_USR_ALL, 1);
1213         if (IS_ERR(key)) {
1214                 CERROR("failed to alloc key: %ld\n", PTR_ERR(key));
1215                 return PTR_ERR(key);
1216         }
1217
1218         rc = key_instantiate_and_link(key, NULL, 0, NULL, NULL);
1219         if (rc) {
1220                 CERROR("failed to instantiate key: %d\n", rc);
1221                 goto err_revoke;
1222         }
1223
1224         down_write(&key->sem);
1225
1226         LASSERT(!key_get_payload(key, 0));
1227
1228         cli_ctx = ctx_create_kr(sec, &vcred);
1229         if (cli_ctx == NULL) {
1230                 rc = -ENOMEM;
1231                 goto err_up;
1232         }
1233
1234         rc = gss_copy_rvc_cli_ctx(cli_ctx, svc_ctx);
1235         if (rc) {
1236                 CERROR("failed copy reverse cli ctx: %d\n", rc);
1237                 goto err_put;
1238         }
1239
1240         rvs_sec_install_root_ctx_kr(sec, cli_ctx, key);
1241
1242         ctx_put_kr(cli_ctx, 1);
1243         up_write(&key->sem);
1244
1245         rc = 0;
1246         CWARN("ok!\n");
1247 out:
1248         key_put(key);
1249         return rc;
1250
1251 err_put:
1252         ctx_put_kr(cli_ctx, 1);
1253 err_up:
1254         up_write(&key->sem);
1255 err_revoke:
1256         key_revoke(key);
1257         goto out;
1258 }
1259
1260 #endif /* HAVE_REVERSE_CTX_NOKEY */
1261
1262 /****************************************
1263  * service apis                         *
1264  ****************************************/
1265
1266 static
1267 int gss_svc_accept_kr(struct ptlrpc_request *req)
1268 {
1269         return gss_svc_accept(&gss_policy_keyring, req);
1270 }
1271
1272 static
1273 int gss_svc_install_rctx_kr(struct obd_import *imp,
1274                             struct ptlrpc_svc_ctx *svc_ctx)
1275 {
1276         struct ptlrpc_sec *sec;
1277         int                rc;
1278
1279         sec = sptlrpc_import_sec_ref(imp);
1280         LASSERT(sec);
1281
1282         rc = sec_install_rctx_kr(sec, svc_ctx);
1283         sptlrpc_sec_put(sec);
1284
1285         return rc;
1286 }
1287
1288 /****************************************
1289  * key apis                             *
1290  ****************************************/
1291
1292 static
1293 #ifdef HAVE_KEY_TYPE_INSTANTIATE_2ARGS
1294 int gss_kt_instantiate(struct key *key, struct key_preparsed_payload *prep)
1295 {
1296         const void     *data = prep->data;
1297         size_t          datalen = prep->datalen;
1298 #else
1299 int gss_kt_instantiate(struct key *key, const void *data, size_t datalen)
1300 {
1301 #endif
1302         int             rc;
1303         ENTRY;
1304
1305         if (data != NULL || datalen != 0) {
1306                 CERROR("invalid: data %p, len %lu\n", data, (long)datalen);
1307                 RETURN(-EINVAL);
1308         }
1309
1310         if (key_get_payload(key, 0)) {
1311                 CERROR("key already have payload\n");
1312                 RETURN(-EINVAL);
1313         }
1314
1315         /* link the key to session keyring, so following context negotiation
1316          * rpc fired from user space could find this key. This will be unlinked
1317          * automatically when upcall processes die.
1318          *
1319          * we can't do this through keyctl from userspace, because the upcall
1320          * might be neither possessor nor owner of the key (setuid).
1321          *
1322          * the session keyring is created upon upcall, and don't change all
1323          * the way until upcall finished, so rcu lock is not needed here.
1324          */
1325         LASSERT(key_tgcred(current)->session_keyring);
1326
1327         lockdep_off();
1328         rc = key_link(key_tgcred(current)->session_keyring, key);
1329         lockdep_on();
1330         if (unlikely(rc)) {
1331                 CERROR("failed to link key %08x to keyring %08x: %d\n",
1332                        key->serial,
1333                        key_tgcred(current)->session_keyring->serial, rc);
1334                 RETURN(rc);
1335         }
1336
1337         CDEBUG(D_SEC, "key %p instantiated, ctx %p\n", key,
1338                key_get_payload(key, 0));
1339         RETURN(0);
1340 }
1341
1342 /*
1343  * called with key semaphore write locked. it means we can operate
1344  * on the context without fear of loosing refcount.
1345  */
1346 static
1347 #ifdef HAVE_KEY_TYPE_INSTANTIATE_2ARGS
1348 int gss_kt_update(struct key *key, struct key_preparsed_payload *prep)
1349 {
1350         const void              *data = prep->data;
1351         __u32                    datalen32 = (__u32) prep->datalen;
1352 #else
1353 int gss_kt_update(struct key *key, const void *data, size_t datalen)
1354 {
1355         __u32                    datalen32 = (__u32) datalen;
1356 #endif
1357         struct ptlrpc_cli_ctx *ctx = key_get_payload(key, 0);
1358         struct gss_cli_ctx      *gctx;
1359         rawobj_t                 tmpobj = RAWOBJ_EMPTY;
1360         int                      rc;
1361         ENTRY;
1362
1363         if (data == NULL || datalen32 == 0) {
1364                 CWARN("invalid: data %p, len %lu\n", data, (long)datalen32);
1365                 RETURN(-EINVAL);
1366         }
1367
1368         /* if upcall finished negotiation too fast (mostly likely because
1369          * of local error happened) and call kt_update(), the ctx
1370          * might be still NULL. but the key will finally be associate
1371          * with a context, or be revoked. if key status is fine, return
1372          * -EAGAIN to allow userspace sleep a while and call again. */
1373         if (ctx == NULL) {
1374                 CDEBUG(D_SEC, "update too soon: key %p(%x) flags %lx\n",
1375                       key, key->serial, key->flags);
1376
1377                 rc = key_validate(key);
1378                 if (rc == 0)
1379                         RETURN(-EAGAIN);
1380                 else
1381                         RETURN(rc);
1382         }
1383
1384         LASSERT(atomic_read(&ctx->cc_refcount) > 0);
1385         LASSERT(ctx->cc_sec);
1386
1387         ctx_clear_timer_kr(ctx);
1388
1389         /* don't proceed if already refreshed */
1390         if (cli_ctx_is_refreshed(ctx)) {
1391                 CWARN("ctx already done refresh\n");
1392                 RETURN(0);
1393         }
1394
1395         sptlrpc_cli_ctx_get(ctx);
1396         gctx = ctx2gctx(ctx);
1397
1398         rc = buffer_extract_bytes(&data, &datalen32, &gctx->gc_win,
1399                                   sizeof(gctx->gc_win));
1400         if (rc) {
1401                 CERROR("failed extract seq_win\n");
1402                 goto out;
1403         }
1404
1405         if (gctx->gc_win == 0) {
1406                 __u32   nego_rpc_err, nego_gss_err;
1407
1408                 rc = buffer_extract_bytes(&data, &datalen32, &nego_rpc_err,
1409                                           sizeof(nego_rpc_err));
1410                 if (rc) {
1411                         CERROR("cannot extract RPC: rc = %d\n", rc);
1412                         goto out;
1413                 }
1414
1415                 rc = buffer_extract_bytes(&data, &datalen32, &nego_gss_err,
1416                                           sizeof(nego_gss_err));
1417                 if (rc) {
1418                         CERROR("failed to extract gss rc = %d\n", rc);
1419                         goto out;
1420                 }
1421
1422                 CERROR("negotiation: rpc err %d, gss err %x\n",
1423                        nego_rpc_err, nego_gss_err);
1424
1425                 rc = nego_rpc_err ? nego_rpc_err : -EACCES;
1426         } else {
1427                 rc = rawobj_extract_local_alloc(&gctx->gc_handle,
1428                                                 (__u32 **) &data, &datalen32);
1429                 if (rc) {
1430                         CERROR("failed extract handle\n");
1431                         goto out;
1432                 }
1433
1434                 rc = rawobj_extract_local(&tmpobj,
1435                                           (__u32 **) &data, &datalen32);
1436                 if (rc) {
1437                         CERROR("failed extract mech\n");
1438                         goto out;
1439                 }
1440
1441                 rc = lgss_import_sec_context(&tmpobj,
1442                                              sec2gsec(ctx->cc_sec)->gs_mech,
1443                                              &gctx->gc_mechctx);
1444                 if (rc != GSS_S_COMPLETE)
1445                         CERROR("failed import context\n");
1446                 else
1447                         rc = 0;
1448         }
1449 out:
1450         /* we don't care what current status of this ctx, even someone else
1451          * is operating on the ctx at the same time. we just add up our own
1452          * opinions here. */
1453         if (rc == 0) {
1454                 gss_cli_ctx_uptodate(gctx);
1455         } else {
1456                 /* this will also revoke the key. has to be done before
1457                  * wakeup waiters otherwise they can find the stale key */
1458                 kill_key_locked(key);
1459
1460                 cli_ctx_expire(ctx);
1461
1462                 if (rc != -ERESTART)
1463                         set_bit(PTLRPC_CTX_ERROR_BIT, &ctx->cc_flags);
1464         }
1465
1466         /* let user space think it's a success */
1467         sptlrpc_cli_ctx_put(ctx, 1);
1468         RETURN(0);
1469 }
1470
1471 #ifndef HAVE_KEY_MATCH_DATA
1472 static int
1473 gss_kt_match(const struct key *key, const void *desc)
1474 {
1475         return strcmp(key->description, (const char *) desc) == 0 &&
1476                 !test_bit(KEY_FLAG_REVOKED, &key->flags);
1477 }
1478 #else /* ! HAVE_KEY_MATCH_DATA */
1479 static bool
1480 gss_kt_match(const struct key *key, const struct key_match_data *match_data)
1481 {
1482         const char *desc = match_data->raw_data;
1483
1484         return strcmp(key->description, desc) == 0 &&
1485                 !test_bit(KEY_FLAG_REVOKED, &key->flags);
1486 }
1487
1488 /*
1489  * Preparse the match criterion.
1490  */
1491 static int gss_kt_match_preparse(struct key_match_data *match_data)
1492 {
1493         match_data->lookup_type = KEYRING_SEARCH_LOOKUP_DIRECT;
1494         match_data->cmp = gss_kt_match;
1495         return 0;
1496 }
1497 #endif /* HAVE_KEY_MATCH_DATA */
1498
1499 static
1500 void gss_kt_destroy(struct key *key)
1501 {
1502         ENTRY;
1503         LASSERT(!key_get_payload(key, 0));
1504         CDEBUG(D_SEC, "destroy key %p\n", key);
1505         EXIT;
1506 }
1507
1508 static
1509 void gss_kt_describe(const struct key *key, struct seq_file *s)
1510 {
1511         if (key->description == NULL)
1512                 seq_puts(s, "[null]");
1513         else
1514                 seq_puts(s, key->description);
1515 }
1516
1517 static struct key_type gss_key_type =
1518 {
1519         .name           = "lgssc",
1520         .def_datalen    = 0,
1521         .instantiate    = gss_kt_instantiate,
1522         .update         = gss_kt_update,
1523 #ifdef HAVE_KEY_MATCH_DATA
1524         .match_preparse = gss_kt_match_preparse,
1525 #else
1526         .match          = gss_kt_match,
1527 #endif
1528         .destroy        = gss_kt_destroy,
1529         .describe       = gss_kt_describe,
1530 };
1531
1532 /****************************************
1533  * lustre gss keyring policy            *
1534  ****************************************/
1535
1536 static struct ptlrpc_ctx_ops gss_keyring_ctxops = {
1537         .match                  = gss_cli_ctx_match,
1538         .refresh                = gss_cli_ctx_refresh_kr,
1539         .validate               = gss_cli_ctx_validate_kr,
1540         .die                    = gss_cli_ctx_die_kr,
1541         .sign                   = gss_cli_ctx_sign,
1542         .verify                 = gss_cli_ctx_verify,
1543         .seal                   = gss_cli_ctx_seal,
1544         .unseal                 = gss_cli_ctx_unseal,
1545         .wrap_bulk              = gss_cli_ctx_wrap_bulk,
1546         .unwrap_bulk            = gss_cli_ctx_unwrap_bulk,
1547 };
1548
1549 static struct ptlrpc_sec_cops gss_sec_keyring_cops = {
1550         .create_sec             = gss_sec_create_kr,
1551         .destroy_sec            = gss_sec_destroy_kr,
1552         .kill_sec               = gss_sec_kill,
1553         .lookup_ctx             = gss_sec_lookup_ctx_kr,
1554         .release_ctx            = gss_sec_release_ctx_kr,
1555         .flush_ctx_cache        = gss_sec_flush_ctx_cache_kr,
1556         .gc_ctx                 = gss_sec_gc_ctx_kr,
1557         .install_rctx           = gss_sec_install_rctx,
1558         .alloc_reqbuf           = gss_alloc_reqbuf,
1559         .free_reqbuf            = gss_free_reqbuf,
1560         .alloc_repbuf           = gss_alloc_repbuf,
1561         .free_repbuf            = gss_free_repbuf,
1562         .enlarge_reqbuf         = gss_enlarge_reqbuf,
1563         .display                = gss_sec_display_kr,
1564 };
1565
1566 static struct ptlrpc_sec_sops gss_sec_keyring_sops = {
1567         .accept                 = gss_svc_accept_kr,
1568         .invalidate_ctx         = gss_svc_invalidate_ctx,
1569         .alloc_rs               = gss_svc_alloc_rs,
1570         .authorize              = gss_svc_authorize,
1571         .free_rs                = gss_svc_free_rs,
1572         .free_ctx               = gss_svc_free_ctx,
1573         .prep_bulk              = gss_svc_prep_bulk,
1574         .unwrap_bulk            = gss_svc_unwrap_bulk,
1575         .wrap_bulk              = gss_svc_wrap_bulk,
1576         .install_rctx           = gss_svc_install_rctx_kr,
1577 };
1578
1579 static struct ptlrpc_sec_policy gss_policy_keyring = {
1580         .sp_owner               = THIS_MODULE,
1581         .sp_name                = "gss.keyring",
1582         .sp_policy              = SPTLRPC_POLICY_GSS,
1583         .sp_cops                = &gss_sec_keyring_cops,
1584         .sp_sops                = &gss_sec_keyring_sops,
1585 };
1586
1587
1588 int __init gss_init_keyring(void)
1589 {
1590         int rc;
1591
1592         rc = register_key_type(&gss_key_type);
1593         if (rc) {
1594                 CERROR("failed to register keyring type: %d\n", rc);
1595                 return rc;
1596         }
1597
1598         rc = sptlrpc_register_policy(&gss_policy_keyring);
1599         if (rc) {
1600                 unregister_key_type(&gss_key_type);
1601                 return rc;
1602         }
1603
1604         return 0;
1605 }
1606
1607 void __exit gss_exit_keyring(void)
1608 {
1609         unregister_key_type(&gss_key_type);
1610         sptlrpc_unregister_policy(&gss_policy_keyring);
1611 }