projects / platform / upstream / curl.git / blob
? search:


1381d5292d97d6ce63e009a467dbb629d0249f70
[platform/upstream/curl.git] / lib / http_negotiate_sspi.c
1 /***************************************************************************
2  *                                  _   _ ____  _
3  *  Project                     ___| | | |  _ \| |
4  *                             / __| | | | |_) | |
5  *                            | (__| |_| |  _ <| |___
6  *                             \___|\___/|_| \_\_____|
7  *
8  * Copyright (C) 1998 - 2012, Daniel Stenberg, <daniel@haxx.se>, et al.
9  *
10  * This software is licensed as described in the file COPYING, which
11  * you should have received as part of this distribution. The terms
12  * are also available at http://curl.haxx.se/docs/copyright.html.
13  *
14  * You may opt to use, copy, modify, merge, publish, distribute and/or sell
15  * copies of the Software, and permit persons to whom the Software is
16  * furnished to do so, under the terms of the COPYING file.
17  *
18  * This software is distributed on an "AS IS" basis, WITHOUT WARRANTY OF ANY
19  * KIND, either express or implied.
20  *
21  ***************************************************************************/
22
23 #include "curl_setup.h"
24
25 #ifdef USE_WINDOWS_SSPI
26
27 #ifndef CURL_DISABLE_HTTP
28
29 #include "urldata.h"
30 #include "sendf.h"
31 #include "rawstr.h"
32 #include "warnless.h"
33 #include "curl_base64.h"
34 #include "http_negotiate.h"
35 #include "curl_memory.h"
36 #include "curl_multibyte.h"
37
38 #define _MPRINTF_REPLACE /* use our functions only */
39 #include <curl/mprintf.h>
40
41 /* The last #include file should be: */
42 #include "memdebug.h"
43
44 static int
45 get_gss_name(struct connectdata *conn, bool proxy,
46              struct negotiatedata *neg_ctx)
47 {
48   const char* service;
49   size_t length;
50
51   if(proxy && !conn->proxy.name)
52     /* proxy auth requested but no given proxy name, error out! */
53     return -1;
54
55   /* GSSAPI implementation by Globus (known as GSI) requires the name to be
56      of form "<service>/<fqdn>" instead of <service>@<fqdn> (ie. slash instead
57      of at-sign). Also GSI servers are often identified as 'host' not 'khttp'.
58      Change following lines if you want to use GSI */
59
60   /* IIS uses the <service>@<fqdn> form but uses 'http' as the service name,
61      and SSPI then generates an NTLM token. When using <service>/<fqdn> a
62      Kerberos token is generated. */
63
64   if(neg_ctx->gss)
65     service = "KHTTP";
66   else
67     service = "HTTP";
68
69   length = strlen(service) + 1 + strlen(proxy ? conn->proxy.name :
70                                         conn->host.name) + 1;
71   if(length + 1 > sizeof(neg_ctx->server_name))
72     return EMSGSIZE;
73
74   snprintf(neg_ctx->server_name, sizeof(neg_ctx->server_name), "%s/%s",
75            service, proxy ? conn->proxy.name : conn->host.name);
76
77   return 0;
78 }
79
80 /* returning zero (0) means success, everything else is treated as "failure"
81    with no care exactly what the failure was */
82 int Curl_input_negotiate(struct connectdata *conn, bool proxy,
83                          const char *header)
84 {
85   struct negotiatedata *neg_ctx = proxy?&conn->data->state.proxyneg:
86     &conn->data->state.negotiate;
87   BYTE              *input_token = 0;
88   SecBufferDesc     out_buff_desc;
89   SecBuffer         out_sec_buff;
90   SecBufferDesc     in_buff_desc;
91   SecBuffer         in_sec_buff;
92   unsigned long     context_attributes;
93   TimeStamp         lifetime;
94   TCHAR             *sname;
95   int ret;
96   size_t len = 0, input_token_len = 0;
97   bool gss = FALSE;
98   const char* protocol;
99   CURLcode error;
100
101   while(*header && ISSPACE(*header))
102     header++;
103
104   if(checkprefix("GSS-Negotiate", header)) {
105     protocol = "GSS-Negotiate";
106     gss = TRUE;
107   }
108   else if(checkprefix("Negotiate", header)) {
109     protocol = "Negotiate";
110     gss = FALSE;
111   }
112   else
113     return -1;
114
115   if(neg_ctx->context) {
116     if(neg_ctx->gss != gss) {
117       return -1;
118     }
119   }
120   else {
121     neg_ctx->protocol = protocol;
122     neg_ctx->gss = gss;
123   }
124
125   if(neg_ctx->context && neg_ctx->status == SEC_E_OK) {
126     /* We finished successfully our part of authentication, but server
127      * rejected it (since we're again here). Exit with an error since we
128      * can't invent anything better */
129     Curl_cleanup_negotiate(conn->data);
130     return -1;
131   }
132
133   if(0 == strlen(neg_ctx->server_name)) {
134     ret = get_gss_name(conn, proxy, neg_ctx);
135     if(ret)
136       return ret;
137   }
138
139   if(!neg_ctx->output_token) {
140     PSecPkgInfo SecurityPackage;
141     ret = s_pSecFn->QuerySecurityPackageInfo((TCHAR *) TEXT("Negotiate"),
142                                              &SecurityPackage);
143     if(ret != SEC_E_OK)
144       return -1;
145
146     /* Allocate input and output buffers according to the max token size
147        as indicated by the security package */
148     neg_ctx->max_token_length = SecurityPackage->cbMaxToken;
149     neg_ctx->output_token = malloc(neg_ctx->max_token_length);
150     s_pSecFn->FreeContextBuffer(SecurityPackage);
151   }
152
153   /* Obtain the input token, if any */
154   header += strlen(neg_ctx->protocol);
155   while(*header && ISSPACE(*header))
156     header++;
157
158   len = strlen(header);
159   if(!len) {
160     /* first call in a new negotation, we have to acquire credentials,
161        and allocate memory for the context */
162
163     neg_ctx->credentials = malloc(sizeof(CredHandle));
164     neg_ctx->context = malloc(sizeof(CtxtHandle));
165
166     if(!neg_ctx->credentials || !neg_ctx->context)
167       return -1;
168
169     neg_ctx->status =
170       s_pSecFn->AcquireCredentialsHandle(NULL,
171                                          (TCHAR *) TEXT("Negotiate"),
172                                          SECPKG_CRED_OUTBOUND, NULL, NULL,
173                                          NULL, NULL, neg_ctx->credentials,
174                                          &lifetime);
175     if(neg_ctx->status != SEC_E_OK)
176       return -1;
177   }
178   else {
179     input_token = malloc(neg_ctx->max_token_length);
180     if(!input_token)
181       return -1;
182
183     error = Curl_base64_decode(header,
184                                (unsigned char **)&input_token,
185                                &input_token_len);
186     if(error || input_token_len == 0)
187       return -1;
188   }
189
190   /* prepare the output buffers, and input buffers if present */
191   out_buff_desc.ulVersion = 0;
192   out_buff_desc.cBuffers  = 1;
193   out_buff_desc.pBuffers  = &out_sec_buff;
194
195   out_sec_buff.cbBuffer   = curlx_uztoul(neg_ctx->max_token_length);
196   out_sec_buff.BufferType = SECBUFFER_TOKEN;
197   out_sec_buff.pvBuffer   = neg_ctx->output_token;
198
199
200   if(input_token) {
201     in_buff_desc.ulVersion = 0;
202     in_buff_desc.cBuffers  = 1;
203     in_buff_desc.pBuffers  = &in_sec_buff;
204
205     in_sec_buff.cbBuffer   = curlx_uztoul(input_token_len);
206     in_sec_buff.BufferType = SECBUFFER_TOKEN;
207     in_sec_buff.pvBuffer   = input_token;
208   }
209
210   sname = Curl_convert_UTF8_to_tchar(neg_ctx->server_name);
211   if(!sname)
212     return CURLE_OUT_OF_MEMORY;
213
214   neg_ctx->status = s_pSecFn->InitializeSecurityContext(
215     neg_ctx->credentials,
216     input_token ? neg_ctx->context : 0,
217     sname,
218     ISC_REQ_CONFIDENTIALITY,
219     0,
220     SECURITY_NATIVE_DREP,
221     input_token ? &in_buff_desc : 0,
222     0,
223     neg_ctx->context,
224     &out_buff_desc,
225     &context_attributes,
226     &lifetime);
227
228   Curl_unicodefree(sname);
229
230   if(GSS_ERROR(neg_ctx->status))
231     return -1;
232
233   if(neg_ctx->status == SEC_I_COMPLETE_NEEDED ||
234      neg_ctx->status == SEC_I_COMPLETE_AND_CONTINUE) {
235     neg_ctx->status = s_pSecFn->CompleteAuthToken(neg_ctx->context,
236                                                   &out_buff_desc);
237     if(GSS_ERROR(neg_ctx->status))
238       return -1;
239   }
240
241   neg_ctx->output_token_length = out_sec_buff.cbBuffer;
242
243   return 0;
244 }
245
246
247 CURLcode Curl_output_negotiate(struct connectdata *conn, bool proxy)
248 {
249   struct negotiatedata *neg_ctx = proxy?&conn->data->state.proxyneg:
250     &conn->data->state.negotiate;
251   char *encoded = NULL;
252   size_t len = 0;
253   char *userp;
254   CURLcode error;
255
256   error = Curl_base64_encode(conn->data,
257                              (const char*)neg_ctx->output_token,
258                              neg_ctx->output_token_length,
259                              &encoded, &len);
260   if(error)
261     return error;
262
263   if(len == 0)
264     return CURLE_REMOTE_ACCESS_DENIED;
265
266   userp = aprintf("%sAuthorization: %s %s\r\n", proxy ? "Proxy-" : "",
267                   neg_ctx->protocol, encoded);
268
269   if(proxy)
270     conn->allocptr.proxyuserpwd = userp;
271   else
272     conn->allocptr.userpwd = userp;
273   free(encoded);
274   Curl_cleanup_negotiate (conn->data);
275   return (userp == NULL) ? CURLE_OUT_OF_MEMORY : CURLE_OK;
276 }
277
278 static void cleanup(struct negotiatedata *neg_ctx)
279 {
280   if(neg_ctx->context) {
281     s_pSecFn->DeleteSecurityContext(neg_ctx->context);
282     free(neg_ctx->context);
283     neg_ctx->context = 0;
284   }
285
286   if(neg_ctx->credentials) {
287     s_pSecFn->FreeCredentialsHandle(neg_ctx->credentials);
288     free(neg_ctx->credentials);
289     neg_ctx->credentials = 0;
290   }
291
292   if(neg_ctx->output_token) {
293     free(neg_ctx->output_token);
294     neg_ctx->output_token = 0;
295   }
296
297   neg_ctx->max_token_length = 0;
298 }
299
300 void Curl_cleanup_negotiate(struct SessionHandle *data)
301 {
302   cleanup(&data->state.negotiate);
303   cleanup(&data->state.proxyneg);
304 }
305
306
307 #endif
308 #endif
Domain: Network & Connectivity / Data Network;