47903d161bf95cae58b41ecd6da4671c036bc341
[ira/wip.git] / source4 / auth / ntlmssp / ntlmssp.c
1 /* 
2    Unix SMB/Netbios implementation.
3    Version 3.0
4    handle NLTMSSP, client server side parsing
5
6    Copyright (C) Andrew Tridgell      2001
7    Copyright (C) Andrew Bartlett <abartlet@samba.org> 2001-2005
8    Copyright (C) Stefan Metzmacher 2005
9
10    This program is free software; you can redistribute it and/or modify
11    it under the terms of the GNU General Public License as published by
12    the Free Software Foundation; either version 3 of the License, or
13    (at your option) any later version.
14    
15    This program is distributed in the hope that it will be useful,
16    but WITHOUT ANY WARRANTY; without even the implied warranty of
17    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
18    GNU General Public License for more details.
19    
20    You should have received a copy of the GNU General Public License
21    along with this program.  If not, see <http://www.gnu.org/licenses/>.
22 */
23
24 struct auth_session_info;
25
26 #include "includes.h"
27 #include "auth/ntlmssp/ntlmssp.h"
28 #include "source4/auth/ntlmssp/proto.h"
29 #include "../libcli/auth/libcli_auth.h"
30 #include "librpc/gen_ndr/ndr_dcerpc.h"
31 #include "auth/gensec/gensec.h"
32 #include "auth/gensec/gensec_proto.h"
33 #include "auth/gensec/gensec_toplevel_proto.h"
34
35 /**
36  * Callbacks for NTLMSSP - for both client and server operating modes
37  * 
38  */
39
40 static const struct ntlmssp_callbacks {
41         enum ntlmssp_role role;
42         enum ntlmssp_message_type command;
43         NTSTATUS (*sync_fn)(struct gensec_security *gensec_security,
44                             TALLOC_CTX *out_mem_ctx,
45                             DATA_BLOB in, DATA_BLOB *out);
46 } ntlmssp_callbacks[] = {
47         {
48                 .role           = NTLMSSP_CLIENT,
49                 .command        = NTLMSSP_INITIAL,
50                 .sync_fn        = ntlmssp_client_initial,
51         },{
52                 .role           = NTLMSSP_SERVER,
53                 .command        = NTLMSSP_NEGOTIATE,
54                 .sync_fn        = gensec_ntlmssp_server_negotiate,
55         },{
56                 .role           = NTLMSSP_CLIENT,
57                 .command        = NTLMSSP_CHALLENGE,
58                 .sync_fn        = ntlmssp_client_challenge,
59         },{
60                 .role           = NTLMSSP_SERVER,
61                 .command        = NTLMSSP_AUTH,
62                 .sync_fn        = gensec_ntlmssp_server_auth,
63         }
64 };
65
66
67 static NTSTATUS gensec_ntlmssp_update_find(struct ntlmssp_state *ntlmssp_state,
68                                            const DATA_BLOB input, uint32_t *idx)
69 {
70         struct gensec_ntlmssp_context *gensec_ntlmssp =
71                 talloc_get_type_abort(ntlmssp_state->callback_private,
72                                       struct gensec_ntlmssp_context);
73         struct gensec_security *gensec_security = gensec_ntlmssp->gensec_security;
74         uint32_t ntlmssp_command;
75         uint32_t i;
76
77         if (ntlmssp_state->expected_state == NTLMSSP_DONE) {
78                 /* We are strict here because other modules, which we
79                  * don't fully control (such as GSSAPI) are also
80                  * strict, but are tested less often */
81
82                 DEBUG(1, ("Called NTLMSSP after state machine was 'done'\n"));
83                 return NT_STATUS_INVALID_PARAMETER;
84         }
85
86         if (!input.length) {
87                 switch (ntlmssp_state->role) {
88                 case NTLMSSP_CLIENT:
89                         ntlmssp_command = NTLMSSP_INITIAL;
90                         break;
91                 case NTLMSSP_SERVER:
92                         if (gensec_security->want_features & GENSEC_FEATURE_DATAGRAM_MODE) {
93                                 /* 'datagram' mode - no neg packet */
94                                 ntlmssp_command = NTLMSSP_NEGOTIATE;
95                         } else {
96                                 /* This is normal in SPNEGO mech negotiation fallback */
97                                 DEBUG(2, ("Failed to parse NTLMSSP packet: zero length\n"));
98                                 return NT_STATUS_INVALID_PARAMETER;
99                         }
100                         break;
101                 }
102         } else {
103                 if (!msrpc_parse(ntlmssp_state,
104                                  &input, "Cd",
105                                  "NTLMSSP",
106                                  &ntlmssp_command)) {
107                         DEBUG(1, ("Failed to parse NTLMSSP packet, could not extract NTLMSSP command\n"));
108                         dump_data(2, input.data, input.length);
109                         return NT_STATUS_INVALID_PARAMETER;
110                 }
111         }
112
113         if (ntlmssp_command != ntlmssp_state->expected_state) {
114                 DEBUG(2, ("got NTLMSSP command %u, expected %u\n", ntlmssp_command, ntlmssp_state->expected_state));
115                 return NT_STATUS_INVALID_PARAMETER;
116         }
117
118         for (i=0; i < ARRAY_SIZE(ntlmssp_callbacks); i++) {
119                 if (ntlmssp_callbacks[i].role == ntlmssp_state->role &&
120                     ntlmssp_callbacks[i].command == ntlmssp_command) {
121                         *idx = i;
122                         return NT_STATUS_OK;
123                 }
124         }
125
126         DEBUG(1, ("failed to find NTLMSSP callback for NTLMSSP mode %u, command %u\n", 
127                   ntlmssp_state->role, ntlmssp_command));
128                 
129         return NT_STATUS_INVALID_PARAMETER;
130 }
131
132 /**
133  * Next state function for the wrapped NTLMSSP state machine
134  * 
135  * @param gensec_security GENSEC state, initialised to NTLMSSP
136  * @param out_mem_ctx The TALLOC_CTX for *out to be allocated on
137  * @param in The request, as a DATA_BLOB
138  * @param out The reply, as an talloc()ed DATA_BLOB, on *out_mem_ctx
139  * @return Error, MORE_PROCESSING_REQUIRED if a reply is sent, 
140  *                or NT_STATUS_OK if the user is authenticated. 
141  */
142
143 static NTSTATUS gensec_ntlmssp_update(struct gensec_security *gensec_security, 
144                                       TALLOC_CTX *out_mem_ctx, 
145                                       struct tevent_context *ev,
146                                       const DATA_BLOB input, DATA_BLOB *out)
147 {
148         struct gensec_ntlmssp_context *gensec_ntlmssp =
149                 talloc_get_type_abort(gensec_security->private_data,
150                                       struct gensec_ntlmssp_context);
151         struct ntlmssp_state *ntlmssp_state = gensec_ntlmssp->ntlmssp_state;
152         NTSTATUS status;
153         uint32_t i;
154
155         *out = data_blob(NULL, 0);
156
157         if (!out_mem_ctx) {
158                 /* if the caller doesn't want to manage/own the memory, 
159                    we can put it on our context */
160                 out_mem_ctx = ntlmssp_state;
161         }
162
163         status = gensec_ntlmssp_update_find(ntlmssp_state, input, &i);
164         NT_STATUS_NOT_OK_RETURN(status);
165
166         status = ntlmssp_callbacks[i].sync_fn(gensec_security, out_mem_ctx, input, out);
167         NT_STATUS_NOT_OK_RETURN(status);
168         
169         return NT_STATUS_OK;
170 }
171
172 static const char *gensec_ntlmssp_oids[] = { 
173         GENSEC_OID_NTLMSSP, 
174         NULL
175 };
176
177 static const struct gensec_security_ops gensec_ntlmssp_security_ops = {
178         .name           = "ntlmssp",
179         .sasl_name      = GENSEC_SASL_NAME_NTLMSSP, /* "NTLM" */
180         .auth_type      = DCERPC_AUTH_TYPE_NTLMSSP,
181         .oid            = gensec_ntlmssp_oids,
182         .client_start   = gensec_ntlmssp_client_start,
183         .server_start   = gensec_ntlmssp_server_start,
184         .magic          = gensec_ntlmssp_magic,
185         .update         = gensec_ntlmssp_update,
186         .sig_size       = gensec_ntlmssp_sig_size,
187         .sign_packet    = gensec_ntlmssp_sign_packet,
188         .check_packet   = gensec_ntlmssp_check_packet,
189         .seal_packet    = gensec_ntlmssp_seal_packet,
190         .unseal_packet  = gensec_ntlmssp_unseal_packet,
191         .wrap           = gensec_ntlmssp_wrap,
192         .unwrap         = gensec_ntlmssp_unwrap,
193         .session_key    = gensec_ntlmssp_session_key,
194         .session_info   = gensec_ntlmssp_session_info,
195         .have_feature   = gensec_ntlmssp_have_feature,
196         .enabled        = true,
197         .priority       = GENSEC_NTLMSSP
198 };
199
200
201 _PUBLIC_ NTSTATUS gensec_ntlmssp_init(void)
202 {
203         NTSTATUS ret;
204
205         ret = gensec_register(&gensec_ntlmssp_security_ops);
206         if (!NT_STATUS_IS_OK(ret)) {
207                 DEBUG(0,("Failed to register '%s' gensec backend!\n",
208                         gensec_ntlmssp_security_ops.name));
209                 return ret;
210         }
211
212         return ret;
213 }