lustre/utils/gss/lgss_utils.c

   1 /* -*- mode: c; c-basic-offset: 8; indent-tabs-mode: nil; -*-
   2  * vim:expandtab:shiftwidth=8:tabstop=8:
   3  *
   4  * Modifications for Lustre
   5  * Copyright 2007, Cluster File Systems, Inc.
   6  * All rights reserved
   7  * Author: Eric Mei <ericm@clusterfs.com>
   8  */
   9
  10 /*
  11  *  Adapted in part from MIT Kerberos 5-1.2.1 slave/kprop.c and from
  12  *  http://docs.sun.com/?p=/doc/816-1331/6m7oo9sms&a=view
  13  *
  14  *  Copyright (c) 2002 The Regents of the University of Michigan.
  15  *  All rights reserved.
  16  *
  17  *  Andy Adamson <andros@umich.edu>
  18  *  J. Bruce Fields <bfields@umich.edu>
  19  *  Marius Aamodt Eriksen <marius@umich.edu>
  20  */
  21
  22 /*
  23  * slave/kprop.c
  24  *
  25  * Copyright 1990,1991 by the Massachusetts Institute of Technology.
  26  * All Rights Reserved.
  27  *
  28  * Export of this software from the United States of America may
  29  *   require a specific license from the United States Government.
  30  *   It is the responsibility of any person or organization contemplating
  31  *   export to obtain such a license before exporting.
  32  *
  33  * WITHIN THAT CONSTRAINT, permission to use, copy, modify, and
  34  * distribute this software and its documentation for any purpose and
  35  * without fee is hereby granted, provided that the above copyright
  36  * notice appear in all copies and that both that copyright notice and
  37  * this permission notice appear in supporting documentation, and that
  38  * the name of M.I.T. not be used in advertising or publicity pertaining
  39  * to distribution of the software without specific, written prior
  40  * permission.  Furthermore if you modify this software you must label
  41  * your software as modified software and not distribute it in such a
  42  * fashion that it might be confused with the original M.I.T. software.
  43  * M.I.T. makes no representations about the suitability of
  44  * this software for any purpose.  It is provided "as is" without express
  45  * or implied warranty.
  46  */
  47
  48 /*
  49  * Copyright 1994 by OpenVision Technologies, Inc.
  50  *
  51  * Permission to use, copy, modify, distribute, and sell this software
  52  * and its documentation for any purpose is hereby granted without fee,
  53  * provided that the above copyright notice appears in all copies and
  54  * that both that copyright notice and this permission notice appear in
  55  * supporting documentation, and that the name of OpenVision not be used
  56  * in advertising or publicity pertaining to distribution of the software
  57  * without specific, written prior permission. OpenVision makes no
  58  * representations about the suitability of this software for any
  59  * purpose.  It is provided "as is" without express or implied warranty.
  60  *
  61  * OPENVISION DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,
  62  * INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO
  63  * EVENT SHALL OPENVISION BE LIABLE FOR ANY SPECIAL, INDIRECT OR
  64  * CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF
  65  * USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR
  66  * OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
  67  * PERFORMANCE OF THIS SOFTWARE.
  68  */
  69 #ifndef _GNU_SOURCE
  70 #define _GNU_SOURCE
  71 #endif
  72 #include "config.h"
  73 #include <sys/types.h>
  74 #include <sys/time.h>
  75 #include <sys/stat.h>
  76 #include <sys/ipc.h>
  77 #include <sys/sem.h>
  78 #include <errno.h>
  79 #include <stdio.h>
  80 #include <ctype.h>
  81 #include <signal.h>
  82 #include <string.h>
  83 #include <fcntl.h>
  84 #include <stdarg.h>
  85 #include <syslog.h>
  86 #include <gssapi/gssapi.h>
  87 #if defined(HAVE_KRB5) && !defined(GSS_C_NT_HOSTBASED_SERVICE)
  88 #include <gssapi/gssapi_generic.h>
  89 #define GSS_C_NT_HOSTBASED_SERVICE gss_nt_service_name
  90 #endif
  91 #ifdef HAVE_UNISTD_H
  92 #include <unistd.h>
  93 #endif
  94 #include <stdlib.h>
  95 #ifdef HAVE_COM_ERR_H
  96 #include <com_err.h>
  97 #endif
  98
  99 #include "lsupport.h"
 100 #include "lgss_utils.h"
 101 #include "lgss_krb5_utils.h"
 102
 103 const char *lgss_svc_str[LGSS_SVC_MAX] = {
 104         [LGSS_SVC_MDS] = LGSS_SVC_MDS_STR,
 105         [LGSS_SVC_OSS] = LGSS_SVC_OST_STR,
 106         [LGSS_SVC_MGS] = LGSS_SVC_MGS_STR,
 107 };
 108
 109 /****************************************
 110  * inter-process locking                *
 111  ****************************************/
 112
 113 static struct lgss_mutex_s {
 114         char           *sem_name;
 115         key_t           sem_key;
 116         int             sem_id;
 117 } lgss_mutexes[LGSS_MUTEX_MAX] = {
 118         [LGSS_MUTEX_KRB5]       = { "keyring",  0x4292d473, 0 },
 119 };
 120
 121 int lgss_mutex_lock(lgss_mutex_id_t mid)
 122 {
 123         struct lgss_mutex_s     *sem = &lgss_mutexes[mid];
 124         struct sembuf            sembuf;
 125
 126         lassert(mid < LGSS_MUTEX_MAX);
 127
 128         logmsg(LL_TRACE, "locking mutex %x for %s\n",
 129                sem->sem_key, sem->sem_name);
 130 again:
 131         sem->sem_id = semget(sem->sem_key, 1, IPC_CREAT | IPC_EXCL | 0700);
 132         if (sem->sem_id == -1) {
 133                 if (errno != EEXIST) {
 134                         logmsg(LL_ERR, "create sem %x: %s\n",
 135                                sem->sem_key, strerror(errno));
 136                         return -1;
 137                 }
 138
 139                 /* already exist. Note there's still a small window of racing
 140                  * with other processes, due to the stupid semaphore semantics.
 141                  */
 142                 sem->sem_id = semget(sem->sem_key, 0, 0700);
 143                 if (sem->sem_id == -1) {
 144                         if (errno == ENOENT) {
 145                                 logmsg(LL_WARN, "sem %x just disappeared "
 146                                        "under us, try again\n", sem->sem_key);
 147                                 goto again;
 148                         }
 149
 150                         logmsg(LL_ERR, "get sem %x: %s\n", sem->sem_key,
 151                                strerror(errno));
 152                         return -1;
 153                 }
 154         } else {
 155                 int val = 1;
 156
 157                 logmsg(LL_DEBUG, "created sem %x for %s, initialize to 1\n",
 158                        sem->sem_key, sem->sem_name);
 159                 if (semctl(sem->sem_id, 0, SETVAL, val) == -1) {
 160                         logmsg(LL_ERR, "initialize sem %x: %s\n",
 161                                sem->sem_key, strerror(errno));
 162                         return -1;
 163                 }
 164         }
 165         logmsg(LL_TRACE, "got sem %x id %d for %s\n",
 166                sem->sem_key, sem->sem_id, sem->sem_name);
 167
 168         sembuf.sem_num = 0;
 169         sembuf.sem_op = -1;
 170         sembuf.sem_flg = SEM_UNDO;
 171
 172         if (semop(sem->sem_id, &sembuf, 1) != 0) {
 173                 logmsg(LL_ERR, "lock mutex %x: %s\n", sem->sem_key,
 174                        strerror(errno));
 175                 return -1;
 176         }
 177
 178         logmsg(LL_DEBUG, "locked mutex %x for %s\n",
 179                sem->sem_key, sem->sem_name);
 180         return 0;
 181 }
 182
 183 int lgss_mutex_unlock(lgss_mutex_id_t mid)
 184 {
 185         struct lgss_mutex_s     *sem = &lgss_mutexes[mid];
 186         struct sembuf            sembuf;
 187
 188         lassert(mid < LGSS_MUTEX_MAX);
 189         lassert(sem->sem_id != 0);
 190
 191         logmsg(LL_TRACE, "unlocking mutex %x for %s\n",
 192                sem->sem_key, sem->sem_name);
 193
 194         sembuf.sem_num = 0;
 195         sembuf.sem_op = 1;
 196         sembuf.sem_flg = SEM_UNDO;
 197
 198         if (semop(sem->sem_id, &sembuf, 1) != 0) {
 199                 logmsg(LL_ERR, "unlock mutex %x: %s\n", sem->sem_key,
 200                        strerror(errno));
 201                 return -1;
 202         }
 203
 204         logmsg(LL_DEBUG, "unlocked mutex %x for %s\n",
 205                sem->sem_key, sem->sem_name);
 206         return 0;
 207 }
 208
 209 /****************************************
 210  * GSS OIDs, MECH                       *
 211  ****************************************/
 212
 213 /* from kerberos source, gssapi_krb5.c */
 214 gss_OID_desc krb5oid =
 215         {9, "\052\206\110\206\367\022\001\002\002"};
 216
 217 gss_OID_desc spkm3oid =
 218         {7, "\053\006\001\005\005\001\003"};
 219
 220 /****************************************
 221  * log facilities                       *
 222  ****************************************/
 223
 224 loglevel_t g_log_level = LL_WARN;
 225
 226 static const char *log_prefix[] = {
 227         [LL_ERR]        = "ERROR",
 228         [LL_WARN]       = "WARNING",
 229         [LL_INFO]       = "INFO",
 230         [LL_DEBUG]      = "DEBUG",
 231         [LL_TRACE]      = "TRACE",
 232 };
 233
 234 void lgss_set_loglevel(loglevel_t level)
 235 {
 236         lassert(level < LL_MAX);
 237         g_log_level = level;
 238 }
 239
 240 void __logmsg(loglevel_t level, const char *func, const char *format, ...)
 241 {
 242         va_list         ap;
 243         int             offset;
 244         char            buf[1024];
 245
 246         offset = snprintf(buf, sizeof(buf), "[%d]:%s:%s(): ",
 247                           getpid(), log_prefix[level], func);
 248
 249         va_start(ap, format);
 250         vsnprintf(buf + offset, sizeof(buf) - offset, format, ap);
 251         va_end(ap);
 252
 253         syslog(LOG_INFO, "%s", buf);
 254 }
 255
 256 void __logmsg_gss(loglevel_t level, const char *func, const gss_OID mech,
 257                   uint32_t major, uint32_t minor, const char *format, ...)
 258 {
 259         va_list         ap;
 260         u_int32_t       maj_stat1, min_stat1;
 261         u_int32_t       maj_stat2, min_stat2;
 262         gss_buffer_desc maj_gss_buf = GSS_C_EMPTY_BUFFER;
 263         gss_buffer_desc min_gss_buf = GSS_C_EMPTY_BUFFER;
 264         char            buf[1024];
 265         char            maj_buf[30], min_buf[30];
 266         char           *maj_msg, *min_msg;
 267         int             offset;
 268         uint32_t        msg_ctx = 0;
 269
 270         /* Get major status message */
 271         maj_stat1 = gss_display_status(&min_stat1, major, GSS_C_GSS_CODE,
 272                                        mech, &msg_ctx, &maj_gss_buf);
 273         if (maj_stat1 != GSS_S_COMPLETE) {
 274                 snprintf(maj_buf, sizeof(maj_buf), "(0x%08x)", major);
 275                 maj_msg = &maj_buf[0];
 276         } else {
 277                 maj_msg = maj_gss_buf.value;
 278         }
 279
 280         /* Get minor status message */
 281         maj_stat2 = gss_display_status(&min_stat2, minor, GSS_C_MECH_CODE,
 282                                        mech, &msg_ctx, &min_gss_buf);
 283         if (maj_stat2 != GSS_S_COMPLETE) {
 284                 snprintf(min_buf, sizeof(min_buf), "(0x%08x)", minor);
 285                 min_msg = &min_buf[0];
 286         } else {
 287                 min_msg = min_gss_buf.value;
 288         }
 289
 290         /* arrange & log message */
 291         offset = snprintf(buf, sizeof(buf), "[%d]:%s:%s(): ",
 292                           getpid(), log_prefix[level], func);
 293
 294         va_start(ap, format);
 295         offset += vsnprintf(buf + offset, sizeof(buf) - offset, format, ap);
 296         va_end(ap);
 297
 298         snprintf(buf + offset, sizeof(buf) - offset, ": GSSAPI: %s - %s\n",
 299                  maj_msg, min_msg);
 300
 301         syslog(LOG_INFO, "%s", buf);
 302
 303         /* release buffers */
 304         if (maj_gss_buf.length != 0)
 305                 gss_release_buffer(&min_stat1, &maj_gss_buf);
 306         if (min_gss_buf.length != 0)
 307                 gss_release_buffer(&min_stat2, &min_gss_buf);
 308 }
 309
 310 /****************************************
 311  * client credentials                   *
 312  ****************************************/
 313
 314 struct lgss_mech_type *lgss_name2mech(const char *mech_name)
 315 {
 316         if (strcmp(mech_name, "krb5") == 0)
 317                 return &lgss_mech_krb5;
 318         return NULL;
 319 }
 320
 321 int lgss_mech_initialize(struct lgss_mech_type *mech)
 322 {
 323         logmsg(LL_TRACE, "initialize mech %s\n", mech->lmt_name);
 324         if (mech->lmt_init)
 325                 return mech->lmt_init();
 326         return 0;
 327 }
 328
 329 void lgss_mech_finalize(struct lgss_mech_type *mech)
 330 {
 331         logmsg(LL_TRACE, "finalize mech %s\n", mech->lmt_name);
 332         if (mech->lmt_fini)
 333                 mech->lmt_fini();
 334 }
 335
 336 struct lgss_cred * lgss_create_cred(struct lgss_mech_type *mech)
 337 {
 338         struct lgss_cred       *cred;
 339
 340         cred = malloc(sizeof(*cred));
 341         if (cred) {
 342                 memset(cred, 0, sizeof(*cred));
 343                 cred->lc_mech = mech;
 344         }
 345
 346         logmsg(LL_TRACE, "create a %s cred at %p\n", mech->lmt_name, cred);
 347         return cred;
 348 }
 349
 350 void lgss_destroy_cred(struct lgss_cred *cred)
 351 {
 352         lassert(cred->lc_mech);
 353         lassert(cred->lc_mech_cred == NULL);
 354
 355         logmsg(LL_TRACE, "destroying a %s cred at %p\n",
 356                cred->lc_mech->lmt_name, cred);
 357         free(cred);
 358 }
 359
 360 int lgss_prepare_cred(struct lgss_cred *cred)
 361 {
 362         struct lgss_mech_type   *mech = cred->lc_mech;
 363
 364         lassert(mech);
 365
 366         logmsg(LL_TRACE, "preparing %s cred %p\n", mech->lmt_name, cred);
 367
 368         if (mech->lmt_prepare_cred)
 369                 return mech->lmt_prepare_cred(cred);
 370         return 0;
 371 }
 372
 373 void lgss_release_cred(struct lgss_cred *cred)
 374 {
 375         struct lgss_mech_type   *mech = cred->lc_mech;
 376
 377         lassert(mech);
 378
 379         logmsg(LL_TRACE, "releasing %s cred %p\n", mech->lmt_name, cred);
 380
 381         if (cred->lc_mech_cred) {
 382                 lassert(cred->lc_mech != NULL);
 383                 lassert(cred->lc_mech->lmt_release_cred);
 384
 385                 cred->lc_mech->lmt_release_cred(cred);
 386         }
 387 }
 388
 389 int lgss_using_cred(struct lgss_cred *cred)
 390 {
 391         struct lgss_mech_type   *mech = cred->lc_mech;
 392
 393         lassert(mech);
 394
 395         logmsg(LL_TRACE, "using %s cred %p\n", mech->lmt_name, cred);
 396
 397         if (mech->lmt_using_cred)
 398                 return mech->lmt_using_cred(cred);
 399         return 0;
 400 }
 401
 402 /****************************************
 403  * helper functions                     *
 404  ****************************************/
 405
 406 int lgss_get_service_str(char **string, uint32_t lsvc, uint64_t tgt_nid)
 407 {
 408         const int       max_namelen = 512;
 409         char            namebuf[max_namelen];
 410         int             alloc_size;
 411
 412         lassert(*string == NULL);
 413
 414         if (lsvc >= LGSS_SVC_MAX) {
 415                 logmsg(LL_ERR, "invalid lgss service %d\n", lsvc);
 416                 return -1;
 417         }
 418
 419         if (lnet_nid2hostname(tgt_nid, namebuf, max_namelen)) {
 420                 logmsg(LL_ERR, "can't resolve hostname from nid %Lx\n",tgt_nid);
 421                 return -1;
 422         }
 423
 424         alloc_size = 32 + strlen(namebuf);
 425
 426         *string = malloc(alloc_size);
 427         if (*string == NULL) {
 428                 logmsg(LL_ERR, "can't malloc %d bytes\n", alloc_size);
 429                 return 1;
 430         }
 431
 432         snprintf(*string, alloc_size, "%s@%s",
 433                  lgss_svc_str[lsvc], namebuf);
 434
 435         logmsg(LL_DEBUG, "constructed service string: %s\n", *string);
 436         return 0;
 437 }
 438