contrib/openpam/lib/pam_get_authtok.c

   1 /*-
   2  * Copyright (c) 2002-2003 Networks Associates Technology, Inc.
   3  * All rights reserved.
   4  *
   5  * This software was developed for the FreeBSD Project by ThinkSec AS and
   6  * Network Associates Laboratories, the Security Research Division of
   7  * Network Associates, Inc.  under DARPA/SPAWAR contract N66001-01-C-8035
   8  * ("CBOSS"), as part of the DARPA CHATS research program.
   9  *
  10  * Redistribution and use in source and binary forms, with or without
  11  * modification, are permitted provided that the following conditions
  12  * are met:
  13  * 1. Redistributions of source code must retain the above copyright
  14  *    notice, this list of conditions and the following disclaimer.
  15  * 2. Redistributions in binary form must reproduce the above copyright
  16  *    notice, this list of conditions and the following disclaimer in the
  17  *    documentation and/or other materials provided with the distribution.
  18  * 3. The name of the author may not be used to endorse or promote
  19  *    products derived from this software without specific prior written
  20  *    permission.
  21  *
  22  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
  23  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  24  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  25  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  26  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  27  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  28  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  29  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  30  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  31  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  32  * SUCH DAMAGE.
  33  *
  34  * $P4: //depot/projects/openpam/lib/pam_get_authtok.c#28 $
  35  */
  36
  37 #include <sys/param.h>
  38
  39 #include <stdlib.h>
  40 #include <string.h>
  41
  42 #include <security/pam_appl.h>
  43 #include <security/openpam.h>
  44
  45 #include "openpam_impl.h"
  46
  47 static const char authtok_prompt[] = "Password:";
  48 static const char oldauthtok_prompt[] = "Old Password:";
  49 static const char newauthtok_prompt[] = "New Password:";
  50
  51 /*
  52  * OpenPAM extension
  53  *
  54  * Retrieve authentication token
  55  */
  56
  57 int
  58 pam_get_authtok(pam_handle_t *pamh,
  59         int item,
  60         const char **authtok,
  61         const char *prompt)
  62 {
  63         const void *oldauthtok, *prevauthtok, *promptp;
  64         const char *default_prompt;
  65         char *resp, *resp2;
  66         int pitem, r, style, twice;
  67
  68         ENTER();
  69         if (pamh == NULL || authtok == NULL)
  70                 RETURNC(PAM_SYSTEM_ERR);
  71         *authtok = NULL;
  72         twice = 0;
  73         switch (item) {
  74         case PAM_AUTHTOK:
  75                 pitem = PAM_AUTHTOK_PROMPT;
  76                 default_prompt = authtok_prompt;
  77                 r = pam_get_item(pamh, PAM_OLDAUTHTOK, &oldauthtok);
  78                 if (r == PAM_SUCCESS && oldauthtok != NULL) {
  79                         default_prompt = newauthtok_prompt;
  80                         twice = 1;
  81                 }
  82                 break;
  83         case PAM_OLDAUTHTOK:
  84                 pitem = PAM_OLDAUTHTOK_PROMPT;
  85                 default_prompt = oldauthtok_prompt;
  86                 twice = 0;
  87                 break;
  88         default:
  89                 RETURNC(PAM_SYMBOL_ERR);
  90         }
  91         if (openpam_get_option(pamh, "try_first_pass") ||
  92             openpam_get_option(pamh, "use_first_pass")) {
  93                 r = pam_get_item(pamh, item, &prevauthtok);
  94                 if (r == PAM_SUCCESS && prevauthtok != NULL) {
  95                         *authtok = prevauthtok;
  96                         RETURNC(PAM_SUCCESS);
  97                 }
  98                 else if (openpam_get_option(pamh, "use_first_pass"))
  99                         RETURNC(r == PAM_SUCCESS ? PAM_AUTH_ERR : r);
 100         }
 101         if (prompt == NULL) {
 102                 r = pam_get_item(pamh, pitem, &promptp);
 103                 if (r != PAM_SUCCESS || promptp == NULL)
 104                         prompt = default_prompt;
 105                 else
 106                         prompt = promptp;
 107         }
 108         style = openpam_get_option(pamh, "echo_pass") ?
 109             PAM_PROMPT_ECHO_ON : PAM_PROMPT_ECHO_OFF;
 110         r = pam_prompt(pamh, style, &resp, "%s", prompt);
 111         if (r != PAM_SUCCESS)
 112                 RETURNC(r);
 113         if (twice) {
 114                 r = pam_prompt(pamh, style, &resp2, "Retype %s", prompt);
 115                 if (r != PAM_SUCCESS) {
 116                         FREE(resp);
 117                         RETURNC(r);
 118                 }
 119                 if (strcmp(resp, resp2) != 0)
 120                         FREE(resp);
 121                 FREE(resp2);
 122         }
 123         if (resp == NULL)
 124                 RETURNC(PAM_TRY_AGAIN);
 125         r = pam_set_item(pamh, item, resp);
 126         FREE(resp);
 127         if (r != PAM_SUCCESS)
 128                 RETURNC(r);
 129         r = pam_get_item(pamh, item, (const void **)authtok);
 130         RETURNC(r);
 131 }
 132
 133 /*
 134  * Error codes:
 135  *
 136  *      =pam_get_item
 137  *      =pam_prompt
 138  *      =pam_set_item
 139  *      !PAM_SYMBOL_ERR
 140  *      PAM_TRY_AGAIN
 141  */
 142
 143 /**
 144  * The =pam_get_authtok function returns the cached authentication token,
 145  * or prompts the user if no token is currently cached.
 146  * Either way, a pointer to the authentication token is stored in the
 147  * location pointed to by the =authtok argument.
 148  *
 149  * The =item argument must have one of the following values:
 150  *
 151  *      =PAM_AUTHTOK:
 152  *              Returns the current authentication token, or the new token
 153  *              when changing authentication tokens.
 154  *      =PAM_OLDAUTHTOK:
 155  *              Returns the previous authentication token when changing
 156  *              authentication tokens.
 157  *
 158  * The =prompt argument specifies a prompt to use if no token is cached.
 159  * If it is =NULL, the =PAM_AUTHTOK_PROMPT or =PAM_OLDAUTHTOK_PROMPT item,
 160  * as appropriate, will be used.
 161  * If that item is also =NULL, a hardcoded default prompt will be used.
 162  *
 163  * If =item is set to =PAM_AUTHTOK and there is a non-null =PAM_OLDAUTHTOK
 164  * item, =pam_get_authtok will ask the user to confirm the new token by
 165  * retyping it.
 166  * If there is a mismatch, =pam_get_authtok will return =PAM_TRY_AGAIN.
 167  *
 168  * >pam_get_item
 169  * >pam_get_user
 170  */