#include "jsmn/jsmn.h"
#include <curl/curl.h>
#include <security/pam_ext.h>
#include <security/pam_modules.h>
#include <stdlib.h>
#include <string.h>
#include <syslog.h>
// #define LOG_INTO_SYSLOG
// #define LOG_INTO_FILE
// #define DISABLE_SSL_CHECKS // Полезно для дебага если у вас кривые сертификаты
// Для логгирования в файл надо создать файл /1/1.log с правами на запись для всех
struct response
{
char* ptr;
size_t len;
};
struct check_tokens
{
const char* key;
int key_len;
const char* value;
int value_len;
int match;
};
static void log_into_file( const char* message, ... )
{
va_list args;
va_start( args, message );
FILE* fptr;
fptr = fopen( "/1/1.log", "a" );
fprintf( fptr, message, args );
fclose( fptr );
va_end( args );
}
static void omp_log( const char* message, ... )
{
va_list args;
va_start( args, message );
va_list args2;
va_copy( args2, args );
#ifdef LOG_INTO_SYSLOG
syslog( LOG_AUTH | LOG_DEBUG, message, args );
#endif
#ifdef LOG_INTO_FILE
log_into_file( message, args2 );
#endif
va_end( args );
va_end( args2 );
}
static size_t writefunc( void* ptr, size_t size, size_t nmemb, struct response* r )
{
size_t data_size = size * nmemb;
size_t new_len = r->len + data_size;
char* new_ptr = realloc( r->ptr, new_len + 1 );
if( new_ptr == NULL )
{
omp_log( "OmegaOAuth2Pam: memory allocation failed" );
return 0;
}
r->ptr = new_ptr;
memcpy( r->ptr + r->len, ptr, data_size );
r->ptr[ r->len = new_len ] = '\0';
return data_size;
}
static int skip_object( const jsmntok_t* t, const int count )
{
int i;
if( count <= 0 )
return 0; /* should not happen */
if( t->type == JSMN_PRIMITIVE || t->type == JSMN_STRING )
{
return 1;
}
else if( t->type == JSMN_OBJECT )
{
int ret = 1;
for( i = 0; i < t->size; ++i )
{
ret += skip_object( t + ret, count - ret );
ret += skip_object( t + ret, count - ret );
}
return ret;
}
else if( t->type == JSMN_ARRAY )
{
int ret = 1;
for( i = 0; i < t->size; ++i )
ret += skip_object( t + ret, count - ret );
return ret;
}
else
return 0;
}
static int check_response( const struct response token_info, struct check_tokens* ct )
{
const char* const response_data = token_info.ptr;
struct check_tokens* cti;
int r, i = 1;
jsmn_parser p;
jsmntok_t t[ 128 ]; /* We expect no more than 128 tokens */
jsmn_init( &p );
if( ( r = jsmn_parse( &p, response_data, token_info.len, t, sizeof( t ) / sizeof( t[ 0 ] ) ) ) < 0 )
{
omp_log( "OmegaOAuth2Pam: Failed to parse tokeninfo JSON response" );
return PAM_AUTHINFO_UNAVAIL;
}
/* Assume the top-level element is an object */
if( r-- < 1 || t[ 0 ].type != JSMN_OBJECT )
{
omp_log( "OmegaOAuth2Pam: tokeninfo response: JSON Object expected" );
return PAM_AUTHINFO_UNAVAIL;
}
while( r > 0 )
{
if( t[ i ].type == JSMN_STRING )
{
--r;
/* try to find "interesting" keys in the top-level element object */
for( cti = ct; cti->key != NULL; ++cti )
{
if( cti->key_len == t[ i ].end - t[ i ].start &&
strncmp( response_data + t[ i ].start, cti->key, cti->key_len ) == 0 )
{
++i;
if( t[ i ].type == JSMN_STRING && cti->value_len == t[ i ].end - t[ i ].start &&
strncmp( response_data + t[ i ].start, cti->value, cti->value_len ) == 0 )
{
++i;
--r;
cti->match = 1;
break;
}
else
{
omp_log( "OmegaOAuth2Pam: '%.*s' value doesn't meet expectation: '%.*s' != '%.*s'",
cti->key_len, cti->key, t[ i ].end - t[ i ].start, response_data + t[ i ].start, cti->value_len, cti->value );
return PAM_AUTH_ERR;
}
}
}
/* skip value, because key was not interesting for us */
if( cti->key == NULL )
{
int skipped = skip_object( t + ++i, r );
r -= skipped;
i += skipped;
}
}
else
{
int skipped = skip_object( t + i, r );
r -= skipped;
i += skipped;
skipped = skip_object( t + i, r );
r -= skipped;
i += skipped;
}
}
r = PAM_SUCCESS;
for( cti = ct; cti->key != NULL; ++cti )
{
if( cti->match == 0 )
{
omp_log( "OmegaOAuth2Pam: can't find '%.*s' field in the tokeninfo JSON response object",
cti->key_len, cti->key );
if( cti == ct )
{ /* login token field always come first */
r = PAM_USER_UNKNOWN;
}
else if( r != PAM_USER_UNKNOWN )
{
r = PAM_AUTH_ERR;
}
}
}
if( r == PAM_SUCCESS )
{
omp_log( "OmegaOAuth2Pam: successfully authenticated '%.*s'", ct->value_len, ct->value );
}
else
{
omp_log( "OmegaOAuth2Pam: unsuccessfully authenticated '%.*s'", ct->value_len, ct->value );
}
return r;
}
static int query_token_info( const char* const tokeninfo_url, const char* const authtok, long* response_code, struct response* token_info )
{
int ret = 1;
struct curl_slist* headers = NULL;
char* authorization_header;
if( ( authorization_header = malloc( strlen( "Authorization: Bearer " ) + strlen( authtok ) + 1 ) ) )
{
strcpy( authorization_header, "Authorization: Bearer " );
strcat( authorization_header, authtok );
}
else
{
omp_log( "OmegaOAuth2Pam: authorization : memory allocation failed" );
return ret;
}
headers = curl_slist_append( headers, "Cache-Control: no-cache" );
if( !headers )
{
curl_slist_free_all( headers );
free( authorization_header );
return ret;
}
headers = curl_slist_append( headers, authorization_header );
if( !headers )
{
curl_slist_free_all( headers );
free( authorization_header );
return ret;
}
CURL* session = curl_easy_init();
if( !session )
{
omp_log( "OmegaOAuth2Pam: can't initialize curl" );
curl_slist_free_all( headers );
free( authorization_header );
return ret;
}
curl_easy_setopt( session, CURLOPT_URL, tokeninfo_url );
curl_easy_setopt( session, CURLOPT_HTTPHEADER, headers );
omp_log( tokeninfo_url );
curl_easy_setopt( session, CURLOPT_WRITEFUNCTION, writefunc );
curl_easy_setopt( session, CURLOPT_WRITEDATA, token_info );
// Полезно для дебага если у вас кривые сертификаты
#ifdef DISABLE_SSL_CHECKS
curl_easy_setopt( session, CURLOPT_SSL_VERIFYPEER, 0 );
curl_easy_setopt( session, CURLOPT_SSL_VERIFYHOST, 0 );
#endif
if( curl_easy_perform( session ) == CURLE_OK &&
curl_easy_getinfo( session, CURLINFO_RESPONSE_CODE, response_code ) == CURLE_OK )
{
ret = 0;
}
else
{
omp_log( "OmegaOAuth2Pam: failed to perform curl request" );
}
free( authorization_header );
curl_easy_cleanup( session );
return ret;
}
static int oauth2_authenticate( const char* const tokeninfo_url, const char* const authtok, struct check_tokens* ct )
{
struct response token_info;
long response_code = 0;
int ret;
if( ( token_info.ptr = malloc( 1 ) ) == NULL )
{
omp_log( "OmegaOAuth2Pam: memory allocation failed" );
return PAM_AUTHINFO_UNAVAIL;
}
token_info.ptr[ token_info.len = 0 ] = '\0';
if( query_token_info( tokeninfo_url, authtok, &response_code, &token_info ) != 0 )
{
ret = PAM_AUTHINFO_UNAVAIL;
}
else if( response_code == 200 )
{
ret = check_response( token_info, ct );
}
else
{
omp_log( "OmegaOAuth2Pam: authentication failed with response_code=%li", response_code );
ret = PAM_AUTH_ERR;
}
free( token_info.ptr );
return ret;
}
/// <summary>
/// Данная функция принимает логин и токен, проверяет на внешнем сервере и одобряет или не одобряет аутентификацию.
/// Url сервера должен приходить как argv[ 0 ].
/// В ответе сервера должно содержаться поле логина для проверки соответствия логина юзера пришедшего на проверку и логина юзера пришедшего из ответа сервера по токену.
/// Наименование поля логина берётся из argv[ 1 ].
/// Функции pam_get_user и pam_get_authtok выдают нам логин и токен на проверку.
/// Агрументы с идексом более 1 (argv[2, 3, 4, ...]) используются для проверки полей ответа сервера например если argv[2] = "role=user" то в json ответе сервера по Url из argv[ 0 ] должно содержаться поле "role" = "user".
/// Принцип работы: из агрументов получаюся url, login_field и поля на проверку, из pam_get_user и pam_get_authtok получаються логин и пароль.
/// РР· этих данных формируется check_tokens ct РёР· полей РЅР° проверку, ct[0] соответствует login_field Рё user_login РёР· pam_get_user, последующие check_tokens это поля РЅР° проверку.
/// Формируется curl get запрос на url с auth_token из pam_get_authtok в header-е запроса.
/// Если ответ пришёл он анализируется на наличие всех полей из check_tokens ct и соответствия их значениям.
/// Если все поля соответствуют то авторизация успешна.
/// </summary>
/// <param name="pamh"></param>
/// <param name="flags"></param>
/// <param name="argc"></param>
/// <param name="argv"></param>
/// <returns></returns>
PAM_EXTERN int pam_sm_authenticate( pam_handle_t* pamh, int flags, int argc, const char** argv )
{
const char * tokeninfo_url = NULL, *authtok = NULL;
struct check_tokens ct[ argc ];
int i, ct_len = 1;
ct->key = ct->value = NULL;
if( argc > 0 )
tokeninfo_url = argv[ 0 ];
if( argc > 1 )
ct[ 0 ].key = argv[ 1 ];
if( tokeninfo_url == NULL || *tokeninfo_url == '\0' )
{
omp_log( "OmegaOAuth2Pam: tokeninfo_url is not defined or invalid" );
return PAM_AUTHINFO_UNAVAIL;
}
if( ct->key == NULL || *ct->key == '\0' )
{
omp_log( "OmegaOAuth2Pam: login_field is not defined or empty" );
return PAM_AUTHINFO_UNAVAIL;
}
if( pam_get_user( pamh, &ct->value, NULL ) != PAM_SUCCESS || ct->value == NULL || *ct->value == '\0' )
{
omp_log( "OmegaOAuth2Pam: can't get user login" );
return PAM_AUTHINFO_UNAVAIL;
}
if( pam_get_authtok( pamh, PAM_AUTHTOK, &authtok, NULL ) != PAM_SUCCESS || authtok == NULL || *authtok == '\0' )
{
omp_log( "OmegaOAuth2Pam: can't get authtok" );
return PAM_AUTHINFO_UNAVAIL;
}
ct->key_len = strlen( ct->key );
ct->value_len = strlen( ct->value );
ct->match = 0;
for( i = 2; i < argc; ++i )
{
const char* value = strchr( argv[ i ], '=' );
if( value != NULL )
{
ct[ ct_len ].key = argv[ i ];
ct[ ct_len ].key_len = value - argv[ i ];
ct[ ct_len ].value = value + 1;
ct[ ct_len ].value_len = strlen( value + 1 );
ct[ ct_len++ ].match = 0;
}
}
ct[ ct_len ].key = NULL;
return oauth2_authenticate( tokeninfo_url, authtok, ct );
}
PAM_EXTERN int pam_sm_chauthtok( pam_handle_t* pamh, int flags, int argc, const char** argv )
{
return PAM_SUCCESS;
}
PAM_EXTERN int pam_sm_open_session( pam_handle_t* pamh, int flags, int argc, const char** argv )
{
return PAM_SUCCESS;
}
PAM_EXTERN int pam_sm_close_session( pam_handle_t* pamh, int flags, int argc, const char** argv )
{
return PAM_SUCCESS;
}
PAM_EXTERN int pam_sm_setcred( pam_handle_t* pamh, int flags, int argc, const char** argv )
{
return PAM_CRED_UNAVAIL;
}
PAM_EXTERN int pam_sm_acct_mgmt( pam_handle_t* pamh, int flags, int argc, const char** argv )
{
return PAM_SUCCESS;
}