Branch data Line data Source code
1 : : // SPDX-License-Identifier: GPL-2.0-only
2 : : /*
3 : : * linux/net/sunrpc/auth.c
4 : : *
5 : : * Generic RPC client authentication API.
6 : : *
7 : : * Copyright (C) 1996, Olaf Kirch <okir@monad.swb.de>
8 : : */
9 : :
10 : : #include <linux/types.h>
11 : : #include <linux/sched.h>
12 : : #include <linux/cred.h>
13 : : #include <linux/module.h>
14 : : #include <linux/slab.h>
15 : : #include <linux/errno.h>
16 : : #include <linux/hash.h>
17 : : #include <linux/sunrpc/clnt.h>
18 : : #include <linux/sunrpc/gss_api.h>
19 : : #include <linux/spinlock.h>
20 : :
21 : : #include <trace/events/sunrpc.h>
22 : :
23 : : #define RPC_CREDCACHE_DEFAULT_HASHBITS (4)
24 : : struct rpc_cred_cache {
25 : : struct hlist_head *hashtable;
26 : : unsigned int hashbits;
27 : : spinlock_t lock;
28 : : };
29 : :
30 : : static unsigned int auth_hashbits = RPC_CREDCACHE_DEFAULT_HASHBITS;
31 : :
32 : : static const struct rpc_authops __rcu *auth_flavors[RPC_AUTH_MAXFLAVOR] = {
33 : : [RPC_AUTH_NULL] = (const struct rpc_authops __force __rcu *)&authnull_ops,
34 : : [RPC_AUTH_UNIX] = (const struct rpc_authops __force __rcu *)&authunix_ops,
35 : : NULL, /* others can be loadable modules */
36 : : };
37 : :
38 : : static LIST_HEAD(cred_unused);
39 : : static unsigned long number_cred_unused;
40 : :
41 : : static struct cred machine_cred = {
42 : : .usage = ATOMIC_INIT(1),
43 : : #ifdef CONFIG_DEBUG_CREDENTIALS
44 : : .magic = CRED_MAGIC,
45 : : #endif
46 : : };
47 : :
48 : : /*
49 : : * Return the machine_cred pointer to be used whenever
50 : : * the a generic machine credential is needed.
51 : : */
52 : 0 : const struct cred *rpc_machine_cred(void)
53 : : {
54 : 0 : return &machine_cred;
55 : : }
56 : : EXPORT_SYMBOL_GPL(rpc_machine_cred);
57 : :
58 : : #define MAX_HASHTABLE_BITS (14)
59 : 0 : static int param_set_hashtbl_sz(const char *val, const struct kernel_param *kp)
60 : : {
61 : : unsigned long num;
62 : : unsigned int nbits;
63 : : int ret;
64 : :
65 [ # # ]: 0 : if (!val)
66 : : goto out_inval;
67 : : ret = kstrtoul(val, 0, &num);
68 [ # # ]: 0 : if (ret)
69 : : goto out_inval;
70 : 0 : nbits = fls(num - 1);
71 [ # # ]: 0 : if (nbits > MAX_HASHTABLE_BITS || nbits < 2)
72 : : goto out_inval;
73 : 0 : *(unsigned int *)kp->arg = nbits;
74 : 0 : return 0;
75 : : out_inval:
76 : : return -EINVAL;
77 : : }
78 : :
79 : 0 : static int param_get_hashtbl_sz(char *buffer, const struct kernel_param *kp)
80 : : {
81 : : unsigned int nbits;
82 : :
83 : 0 : nbits = *(unsigned int *)kp->arg;
84 : 0 : return sprintf(buffer, "%u", 1U << nbits);
85 : : }
86 : :
87 : : #define param_check_hashtbl_sz(name, p) __param_check(name, p, unsigned int);
88 : :
89 : : static const struct kernel_param_ops param_ops_hashtbl_sz = {
90 : : .set = param_set_hashtbl_sz,
91 : : .get = param_get_hashtbl_sz,
92 : : };
93 : :
94 : : module_param_named(auth_hashtable_size, auth_hashbits, hashtbl_sz, 0644);
95 : : MODULE_PARM_DESC(auth_hashtable_size, "RPC credential cache hashtable size");
96 : :
97 : : static unsigned long auth_max_cred_cachesize = ULONG_MAX;
98 : : module_param(auth_max_cred_cachesize, ulong, 0644);
99 : : MODULE_PARM_DESC(auth_max_cred_cachesize, "RPC credential maximum total cache size");
100 : :
101 : : static u32
102 : : pseudoflavor_to_flavor(u32 flavor) {
103 [ # # # # ]: 0 : if (flavor > RPC_AUTH_MAXFLAVOR)
104 : : return RPC_AUTH_GSS;
105 : : return flavor;
106 : : }
107 : :
108 : : int
109 : 404 : rpcauth_register(const struct rpc_authops *ops)
110 : : {
111 : : const struct rpc_authops *old;
112 : : rpc_authflavor_t flavor;
113 : :
114 [ + - ]: 404 : if ((flavor = ops->au_flavor) >= RPC_AUTH_MAXFLAVOR)
115 : : return -EINVAL;
116 : 404 : old = cmpxchg((const struct rpc_authops ** __force)&auth_flavors[flavor], NULL, ops);
117 [ - + ]: 404 : if (old == NULL || old == ops)
118 : : return 0;
119 : 0 : return -EPERM;
120 : : }
121 : : EXPORT_SYMBOL_GPL(rpcauth_register);
122 : :
123 : : int
124 : 0 : rpcauth_unregister(const struct rpc_authops *ops)
125 : : {
126 : : const struct rpc_authops *old;
127 : : rpc_authflavor_t flavor;
128 : :
129 [ # # ]: 0 : if ((flavor = ops->au_flavor) >= RPC_AUTH_MAXFLAVOR)
130 : : return -EINVAL;
131 : :
132 : 0 : old = cmpxchg((const struct rpc_authops ** __force)&auth_flavors[flavor], ops, NULL);
133 [ # # ]: 0 : if (old == ops || old == NULL)
134 : : return 0;
135 : 0 : return -EPERM;
136 : : }
137 : : EXPORT_SYMBOL_GPL(rpcauth_unregister);
138 : :
139 : : static const struct rpc_authops *
140 : 0 : rpcauth_get_authops(rpc_authflavor_t flavor)
141 : : {
142 : : const struct rpc_authops *ops;
143 : :
144 [ # # ]: 0 : if (flavor >= RPC_AUTH_MAXFLAVOR)
145 : : return NULL;
146 : :
147 : : rcu_read_lock();
148 : 0 : ops = rcu_dereference(auth_flavors[flavor]);
149 [ # # ]: 0 : if (ops == NULL) {
150 : : rcu_read_unlock();
151 : 0 : request_module("rpc-auth-%u", flavor);
152 : : rcu_read_lock();
153 : 0 : ops = rcu_dereference(auth_flavors[flavor]);
154 [ # # ]: 0 : if (ops == NULL)
155 : : goto out;
156 : : }
157 [ # # ]: 0 : if (!try_module_get(ops->owner))
158 : : ops = NULL;
159 : : out:
160 : : rcu_read_unlock();
161 : 0 : return ops;
162 : : }
163 : :
164 : : static void
165 : : rpcauth_put_authops(const struct rpc_authops *ops)
166 : : {
167 : 0 : module_put(ops->owner);
168 : : }
169 : :
170 : : /**
171 : : * rpcauth_get_pseudoflavor - check if security flavor is supported
172 : : * @flavor: a security flavor
173 : : * @info: a GSS mech OID, quality of protection, and service value
174 : : *
175 : : * Verifies that an appropriate kernel module is available or already loaded.
176 : : * Returns an equivalent pseudoflavor, or RPC_AUTH_MAXFLAVOR if "flavor" is
177 : : * not supported locally.
178 : : */
179 : : rpc_authflavor_t
180 : 0 : rpcauth_get_pseudoflavor(rpc_authflavor_t flavor, struct rpcsec_gss_info *info)
181 : : {
182 : 0 : const struct rpc_authops *ops = rpcauth_get_authops(flavor);
183 : : rpc_authflavor_t pseudoflavor;
184 : :
185 [ # # ]: 0 : if (!ops)
186 : : return RPC_AUTH_MAXFLAVOR;
187 : : pseudoflavor = flavor;
188 [ # # ]: 0 : if (ops->info2flavor != NULL)
189 : 0 : pseudoflavor = ops->info2flavor(info);
190 : :
191 : : rpcauth_put_authops(ops);
192 : 0 : return pseudoflavor;
193 : : }
194 : : EXPORT_SYMBOL_GPL(rpcauth_get_pseudoflavor);
195 : :
196 : : /**
197 : : * rpcauth_get_gssinfo - find GSS tuple matching a GSS pseudoflavor
198 : : * @pseudoflavor: GSS pseudoflavor to match
199 : : * @info: rpcsec_gss_info structure to fill in
200 : : *
201 : : * Returns zero and fills in "info" if pseudoflavor matches a
202 : : * supported mechanism.
203 : : */
204 : : int
205 : 0 : rpcauth_get_gssinfo(rpc_authflavor_t pseudoflavor, struct rpcsec_gss_info *info)
206 : : {
207 : : rpc_authflavor_t flavor = pseudoflavor_to_flavor(pseudoflavor);
208 : : const struct rpc_authops *ops;
209 : : int result;
210 : :
211 : 0 : ops = rpcauth_get_authops(flavor);
212 [ # # ]: 0 : if (ops == NULL)
213 : : return -ENOENT;
214 : :
215 : : result = -ENOENT;
216 [ # # ]: 0 : if (ops->flavor2info != NULL)
217 : 0 : result = ops->flavor2info(pseudoflavor, info);
218 : :
219 : : rpcauth_put_authops(ops);
220 : 0 : return result;
221 : : }
222 : : EXPORT_SYMBOL_GPL(rpcauth_get_gssinfo);
223 : :
224 : : /**
225 : : * rpcauth_list_flavors - discover registered flavors and pseudoflavors
226 : : * @array: array to fill in
227 : : * @size: size of "array"
228 : : *
229 : : * Returns the number of array items filled in, or a negative errno.
230 : : *
231 : : * The returned array is not sorted by any policy. Callers should not
232 : : * rely on the order of the items in the returned array.
233 : : */
234 : : int
235 : 0 : rpcauth_list_flavors(rpc_authflavor_t *array, int size)
236 : : {
237 : : const struct rpc_authops *ops;
238 : : rpc_authflavor_t flavor, pseudos[4];
239 : : int i, len, result = 0;
240 : :
241 : : rcu_read_lock();
242 [ # # ]: 0 : for (flavor = 0; flavor < RPC_AUTH_MAXFLAVOR; flavor++) {
243 : 0 : ops = rcu_dereference(auth_flavors[flavor]);
244 [ # # ]: 0 : if (result >= size) {
245 : : result = -ENOMEM;
246 : : break;
247 : : }
248 : :
249 [ # # ]: 0 : if (ops == NULL)
250 : 0 : continue;
251 [ # # ]: 0 : if (ops->list_pseudoflavors == NULL) {
252 : 0 : array[result++] = ops->au_flavor;
253 : 0 : continue;
254 : : }
255 : 0 : len = ops->list_pseudoflavors(pseudos, ARRAY_SIZE(pseudos));
256 [ # # ]: 0 : if (len < 0) {
257 : 0 : result = len;
258 : 0 : break;
259 : : }
260 [ # # ]: 0 : for (i = 0; i < len; i++) {
261 [ # # ]: 0 : if (result >= size) {
262 : : result = -ENOMEM;
263 : : break;
264 : : }
265 : 0 : array[result++] = pseudos[i];
266 : : }
267 : : }
268 : : rcu_read_unlock();
269 : 0 : return result;
270 : : }
271 : : EXPORT_SYMBOL_GPL(rpcauth_list_flavors);
272 : :
273 : : struct rpc_auth *
274 : 0 : rpcauth_create(const struct rpc_auth_create_args *args, struct rpc_clnt *clnt)
275 : : {
276 : : struct rpc_auth *auth = ERR_PTR(-EINVAL);
277 : : const struct rpc_authops *ops;
278 : 0 : u32 flavor = pseudoflavor_to_flavor(args->pseudoflavor);
279 : :
280 : 0 : ops = rpcauth_get_authops(flavor);
281 [ # # ]: 0 : if (ops == NULL)
282 : : goto out;
283 : :
284 : 0 : auth = ops->create(args, clnt);
285 : :
286 : : rpcauth_put_authops(ops);
287 [ # # ]: 0 : if (IS_ERR(auth))
288 : : return auth;
289 [ # # ]: 0 : if (clnt->cl_auth)
290 : 0 : rpcauth_release(clnt->cl_auth);
291 : 0 : clnt->cl_auth = auth;
292 : :
293 : : out:
294 : 0 : return auth;
295 : : }
296 : : EXPORT_SYMBOL_GPL(rpcauth_create);
297 : :
298 : : void
299 : 0 : rpcauth_release(struct rpc_auth *auth)
300 : : {
301 [ # # ]: 0 : if (!refcount_dec_and_test(&auth->au_count))
302 : 0 : return;
303 : 0 : auth->au_ops->destroy(auth);
304 : : }
305 : :
306 : : static DEFINE_SPINLOCK(rpc_credcache_lock);
307 : :
308 : : /*
309 : : * On success, the caller is responsible for freeing the reference
310 : : * held by the hashtable
311 : : */
312 : : static bool
313 : 0 : rpcauth_unhash_cred_locked(struct rpc_cred *cred)
314 : : {
315 [ # # ]: 0 : if (!test_and_clear_bit(RPCAUTH_CRED_HASHED, &cred->cr_flags))
316 : : return false;
317 : : hlist_del_rcu(&cred->cr_hash);
318 : 0 : return true;
319 : : }
320 : :
321 : : static bool
322 : 0 : rpcauth_unhash_cred(struct rpc_cred *cred)
323 : : {
324 : : spinlock_t *cache_lock;
325 : : bool ret;
326 : :
327 [ # # ]: 0 : if (!test_bit(RPCAUTH_CRED_HASHED, &cred->cr_flags))
328 : : return false;
329 : 0 : cache_lock = &cred->cr_auth->au_credcache->lock;
330 : : spin_lock(cache_lock);
331 : 0 : ret = rpcauth_unhash_cred_locked(cred);
332 : : spin_unlock(cache_lock);
333 : 0 : return ret;
334 : : }
335 : :
336 : : /*
337 : : * Initialize RPC credential cache
338 : : */
339 : : int
340 : 0 : rpcauth_init_credcache(struct rpc_auth *auth)
341 : : {
342 : : struct rpc_cred_cache *new;
343 : : unsigned int hashsize;
344 : :
345 : : new = kmalloc(sizeof(*new), GFP_KERNEL);
346 [ # # ]: 0 : if (!new)
347 : : goto out_nocache;
348 : 0 : new->hashbits = auth_hashbits;
349 : 0 : hashsize = 1U << new->hashbits;
350 : 0 : new->hashtable = kcalloc(hashsize, sizeof(new->hashtable[0]), GFP_KERNEL);
351 [ # # ]: 0 : if (!new->hashtable)
352 : : goto out_nohashtbl;
353 : 0 : spin_lock_init(&new->lock);
354 : 0 : auth->au_credcache = new;
355 : 0 : return 0;
356 : : out_nohashtbl:
357 : 0 : kfree(new);
358 : : out_nocache:
359 : : return -ENOMEM;
360 : : }
361 : : EXPORT_SYMBOL_GPL(rpcauth_init_credcache);
362 : :
363 : : char *
364 : 0 : rpcauth_stringify_acceptor(struct rpc_cred *cred)
365 : : {
366 [ # # ]: 0 : if (!cred->cr_ops->crstringify_acceptor)
367 : : return NULL;
368 : 0 : return cred->cr_ops->crstringify_acceptor(cred);
369 : : }
370 : : EXPORT_SYMBOL_GPL(rpcauth_stringify_acceptor);
371 : :
372 : : /*
373 : : * Destroy a list of credentials
374 : : */
375 : : static inline
376 : 0 : void rpcauth_destroy_credlist(struct list_head *head)
377 : : {
378 : : struct rpc_cred *cred;
379 : :
380 [ # # ]: 0 : while (!list_empty(head)) {
381 : 0 : cred = list_entry(head->next, struct rpc_cred, cr_lru);
382 : 0 : list_del_init(&cred->cr_lru);
383 : 0 : put_rpccred(cred);
384 : : }
385 : 0 : }
386 : :
387 : : static void
388 : : rpcauth_lru_add_locked(struct rpc_cred *cred)
389 : : {
390 [ # # ]: 0 : if (!list_empty(&cred->cr_lru))
391 : : return;
392 : 0 : number_cred_unused++;
393 : : list_add_tail(&cred->cr_lru, &cred_unused);
394 : : }
395 : :
396 : : static void
397 : 0 : rpcauth_lru_add(struct rpc_cred *cred)
398 : : {
399 [ # # ]: 0 : if (!list_empty(&cred->cr_lru))
400 : 0 : return;
401 : : spin_lock(&rpc_credcache_lock);
402 : : rpcauth_lru_add_locked(cred);
403 : : spin_unlock(&rpc_credcache_lock);
404 : : }
405 : :
406 : : static void
407 : : rpcauth_lru_remove_locked(struct rpc_cred *cred)
408 : : {
409 [ # # # # : 0 : if (list_empty(&cred->cr_lru))
# # # # ]
410 : : return;
411 : 0 : number_cred_unused--;
412 : : list_del_init(&cred->cr_lru);
413 : : }
414 : :
415 : : static void
416 : 0 : rpcauth_lru_remove(struct rpc_cred *cred)
417 : : {
418 [ # # ]: 0 : if (list_empty(&cred->cr_lru))
419 : 0 : return;
420 : : spin_lock(&rpc_credcache_lock);
421 : : rpcauth_lru_remove_locked(cred);
422 : : spin_unlock(&rpc_credcache_lock);
423 : : }
424 : :
425 : : /*
426 : : * Clear the RPC credential cache, and delete those credentials
427 : : * that are not referenced.
428 : : */
429 : : void
430 : 0 : rpcauth_clear_credcache(struct rpc_cred_cache *cache)
431 : : {
432 : 0 : LIST_HEAD(free);
433 : : struct hlist_head *head;
434 : : struct rpc_cred *cred;
435 : 0 : unsigned int hashsize = 1U << cache->hashbits;
436 : : int i;
437 : :
438 : : spin_lock(&rpc_credcache_lock);
439 : : spin_lock(&cache->lock);
440 [ # # ]: 0 : for (i = 0; i < hashsize; i++) {
441 : 0 : head = &cache->hashtable[i];
442 [ # # ]: 0 : while (!hlist_empty(head)) {
443 : 0 : cred = hlist_entry(head->first, struct rpc_cred, cr_hash);
444 : 0 : rpcauth_unhash_cred_locked(cred);
445 : : /* Note: We now hold a reference to cred */
446 : : rpcauth_lru_remove_locked(cred);
447 : : list_add_tail(&cred->cr_lru, &free);
448 : : }
449 : : }
450 : : spin_unlock(&cache->lock);
451 : : spin_unlock(&rpc_credcache_lock);
452 : 0 : rpcauth_destroy_credlist(&free);
453 : 0 : }
454 : :
455 : : /*
456 : : * Destroy the RPC credential cache
457 : : */
458 : : void
459 : 0 : rpcauth_destroy_credcache(struct rpc_auth *auth)
460 : : {
461 : 0 : struct rpc_cred_cache *cache = auth->au_credcache;
462 : :
463 [ # # ]: 0 : if (cache) {
464 : 0 : auth->au_credcache = NULL;
465 : 0 : rpcauth_clear_credcache(cache);
466 : 0 : kfree(cache->hashtable);
467 : 0 : kfree(cache);
468 : : }
469 : 0 : }
470 : : EXPORT_SYMBOL_GPL(rpcauth_destroy_credcache);
471 : :
472 : :
473 : : #define RPC_AUTH_EXPIRY_MORATORIUM (60 * HZ)
474 : :
475 : : /*
476 : : * Remove stale credentials. Avoid sleeping inside the loop.
477 : : */
478 : : static long
479 : 0 : rpcauth_prune_expired(struct list_head *free, int nr_to_scan)
480 : : {
481 : : struct rpc_cred *cred, *next;
482 : 0 : unsigned long expired = jiffies - RPC_AUTH_EXPIRY_MORATORIUM;
483 : : long freed = 0;
484 : :
485 [ # # ]: 0 : list_for_each_entry_safe(cred, next, &cred_unused, cr_lru) {
486 : :
487 [ # # ]: 0 : if (nr_to_scan-- == 0)
488 : : break;
489 [ # # ]: 0 : if (refcount_read(&cred->cr_count) > 1) {
490 : : rpcauth_lru_remove_locked(cred);
491 : 0 : continue;
492 : : }
493 : : /*
494 : : * Enforce a 60 second garbage collection moratorium
495 : : * Note that the cred_unused list must be time-ordered.
496 : : */
497 [ # # # # ]: 0 : if (!time_in_range(cred->cr_expire, expired, jiffies))
498 : 0 : continue;
499 [ # # ]: 0 : if (!rpcauth_unhash_cred(cred))
500 : 0 : continue;
501 : :
502 : : rpcauth_lru_remove_locked(cred);
503 : 0 : freed++;
504 : : list_add_tail(&cred->cr_lru, free);
505 : : }
506 [ # # ]: 0 : return freed ? freed : SHRINK_STOP;
507 : : }
508 : :
509 : : static unsigned long
510 : 0 : rpcauth_cache_do_shrink(int nr_to_scan)
511 : : {
512 : 0 : LIST_HEAD(free);
513 : : unsigned long freed;
514 : :
515 : : spin_lock(&rpc_credcache_lock);
516 : 0 : freed = rpcauth_prune_expired(&free, nr_to_scan);
517 : : spin_unlock(&rpc_credcache_lock);
518 : 0 : rpcauth_destroy_credlist(&free);
519 : :
520 : 0 : return freed;
521 : : }
522 : :
523 : : /*
524 : : * Run memory cache shrinker.
525 : : */
526 : : static unsigned long
527 : 0 : rpcauth_cache_shrink_scan(struct shrinker *shrink, struct shrink_control *sc)
528 : :
529 : : {
530 [ # # ]: 0 : if ((sc->gfp_mask & GFP_KERNEL) != GFP_KERNEL)
531 : : return SHRINK_STOP;
532 : :
533 : : /* nothing left, don't come back */
534 [ # # ]: 0 : if (list_empty(&cred_unused))
535 : : return SHRINK_STOP;
536 : :
537 : 0 : return rpcauth_cache_do_shrink(sc->nr_to_scan);
538 : : }
539 : :
540 : : static unsigned long
541 : 0 : rpcauth_cache_shrink_count(struct shrinker *shrink, struct shrink_control *sc)
542 : :
543 : : {
544 : 0 : return number_cred_unused * sysctl_vfs_cache_pressure / 100;
545 : : }
546 : :
547 : : static void
548 : 0 : rpcauth_cache_enforce_limit(void)
549 : : {
550 : : unsigned long diff;
551 : : unsigned int nr_to_scan;
552 : :
553 [ # # ]: 0 : if (number_cred_unused <= auth_max_cred_cachesize)
554 : 0 : return;
555 : 0 : diff = number_cred_unused - auth_max_cred_cachesize;
556 : : nr_to_scan = 100;
557 [ # # ]: 0 : if (diff < nr_to_scan)
558 : : nr_to_scan = diff;
559 : 0 : rpcauth_cache_do_shrink(nr_to_scan);
560 : : }
561 : :
562 : : /*
563 : : * Look up a process' credentials in the authentication cache
564 : : */
565 : : struct rpc_cred *
566 : 0 : rpcauth_lookup_credcache(struct rpc_auth *auth, struct auth_cred * acred,
567 : : int flags, gfp_t gfp)
568 : : {
569 : 0 : LIST_HEAD(free);
570 : 0 : struct rpc_cred_cache *cache = auth->au_credcache;
571 : : struct rpc_cred *cred = NULL,
572 : : *entry, *new;
573 : : unsigned int nr;
574 : :
575 : 0 : nr = auth->au_ops->hash_cred(acred, cache->hashbits);
576 : :
577 : : rcu_read_lock();
578 [ # # # # : 0 : hlist_for_each_entry_rcu(entry, &cache->hashtable[nr], cr_hash) {
# # ]
579 [ # # ]: 0 : if (!entry->cr_ops->crmatch(acred, entry, flags))
580 : 0 : continue;
581 : : cred = get_rpccred(entry);
582 [ # # ]: 0 : if (cred)
583 : : break;
584 : : }
585 : : rcu_read_unlock();
586 : :
587 [ # # ]: 0 : if (cred != NULL)
588 : : goto found;
589 : :
590 : 0 : new = auth->au_ops->crcreate(auth, acred, flags, gfp);
591 [ # # ]: 0 : if (IS_ERR(new)) {
592 : : cred = new;
593 : : goto out;
594 : : }
595 : :
596 : : spin_lock(&cache->lock);
597 [ # # # # : 0 : hlist_for_each_entry(entry, &cache->hashtable[nr], cr_hash) {
# # ]
598 [ # # ]: 0 : if (!entry->cr_ops->crmatch(acred, entry, flags))
599 : 0 : continue;
600 : : cred = get_rpccred(entry);
601 [ # # ]: 0 : if (cred)
602 : : break;
603 : : }
604 [ # # ]: 0 : if (cred == NULL) {
605 : : cred = new;
606 : 0 : set_bit(RPCAUTH_CRED_HASHED, &cred->cr_flags);
607 : 0 : refcount_inc(&cred->cr_count);
608 : 0 : hlist_add_head_rcu(&cred->cr_hash, &cache->hashtable[nr]);
609 : : } else
610 : 0 : list_add_tail(&new->cr_lru, &free);
611 : : spin_unlock(&cache->lock);
612 : 0 : rpcauth_cache_enforce_limit();
613 : : found:
614 [ # # # # ]: 0 : if (test_bit(RPCAUTH_CRED_NEW, &cred->cr_flags) &&
615 [ # # ]: 0 : cred->cr_ops->cr_init != NULL &&
616 : 0 : !(flags & RPCAUTH_LOOKUP_NEW)) {
617 : 0 : int res = cred->cr_ops->cr_init(auth, cred);
618 [ # # ]: 0 : if (res < 0) {
619 : 0 : put_rpccred(cred);
620 : : cred = ERR_PTR(res);
621 : : }
622 : : }
623 : 0 : rpcauth_destroy_credlist(&free);
624 : : out:
625 : 0 : return cred;
626 : : }
627 : : EXPORT_SYMBOL_GPL(rpcauth_lookup_credcache);
628 : :
629 : : struct rpc_cred *
630 : 0 : rpcauth_lookupcred(struct rpc_auth *auth, int flags)
631 : : {
632 : : struct auth_cred acred;
633 : : struct rpc_cred *ret;
634 : 0 : const struct cred *cred = current_cred();
635 : :
636 : 0 : memset(&acred, 0, sizeof(acred));
637 : 0 : acred.cred = cred;
638 : 0 : ret = auth->au_ops->lookup_cred(auth, &acred, flags);
639 : 0 : return ret;
640 : : }
641 : : EXPORT_SYMBOL_GPL(rpcauth_lookupcred);
642 : :
643 : : void
644 : 0 : rpcauth_init_cred(struct rpc_cred *cred, const struct auth_cred *acred,
645 : : struct rpc_auth *auth, const struct rpc_credops *ops)
646 : : {
647 : : INIT_HLIST_NODE(&cred->cr_hash);
648 : 0 : INIT_LIST_HEAD(&cred->cr_lru);
649 : : refcount_set(&cred->cr_count, 1);
650 : 0 : cred->cr_auth = auth;
651 : 0 : cred->cr_flags = 0;
652 : 0 : cred->cr_ops = ops;
653 : 0 : cred->cr_expire = jiffies;
654 : 0 : cred->cr_cred = get_cred(acred->cred);
655 : 0 : }
656 : : EXPORT_SYMBOL_GPL(rpcauth_init_cred);
657 : :
658 : : static struct rpc_cred *
659 : 0 : rpcauth_bind_root_cred(struct rpc_task *task, int lookupflags)
660 : : {
661 : 0 : struct rpc_auth *auth = task->tk_client->cl_auth;
662 : 0 : struct auth_cred acred = {
663 : 0 : .cred = get_task_cred(&init_task),
664 : : };
665 : : struct rpc_cred *ret;
666 : :
667 : 0 : ret = auth->au_ops->lookup_cred(auth, &acred, lookupflags);
668 : 0 : put_cred(acred.cred);
669 : 0 : return ret;
670 : : }
671 : :
672 : : static struct rpc_cred *
673 : 0 : rpcauth_bind_machine_cred(struct rpc_task *task, int lookupflags)
674 : : {
675 : 0 : struct rpc_auth *auth = task->tk_client->cl_auth;
676 : 0 : struct auth_cred acred = {
677 : 0 : .principal = task->tk_client->cl_principal,
678 : 0 : .cred = init_task.cred,
679 : : };
680 : :
681 [ # # ]: 0 : if (!acred.principal)
682 : : return NULL;
683 : 0 : return auth->au_ops->lookup_cred(auth, &acred, lookupflags);
684 : : }
685 : :
686 : : static struct rpc_cred *
687 : : rpcauth_bind_new_cred(struct rpc_task *task, int lookupflags)
688 : : {
689 : 0 : struct rpc_auth *auth = task->tk_client->cl_auth;
690 : :
691 : 0 : return rpcauth_lookupcred(auth, lookupflags);
692 : : }
693 : :
694 : : static int
695 : 0 : rpcauth_bindcred(struct rpc_task *task, const struct cred *cred, int flags)
696 : : {
697 : 0 : struct rpc_rqst *req = task->tk_rqstp;
698 : : struct rpc_cred *new = NULL;
699 : : int lookupflags = 0;
700 : 0 : struct rpc_auth *auth = task->tk_client->cl_auth;
701 : 0 : struct auth_cred acred = {
702 : : .cred = cred,
703 : : };
704 : :
705 [ # # ]: 0 : if (flags & RPC_TASK_ASYNC)
706 : : lookupflags |= RPCAUTH_LOOKUP_NEW;
707 [ # # ]: 0 : if (task->tk_op_cred)
708 : : /* Task must use exactly this rpc_cred */
709 : : new = get_rpccred(task->tk_op_cred);
710 [ # # # # ]: 0 : else if (cred != NULL && cred != &machine_cred)
711 : 0 : new = auth->au_ops->lookup_cred(auth, &acred, lookupflags);
712 [ # # ]: 0 : else if (cred == &machine_cred)
713 : 0 : new = rpcauth_bind_machine_cred(task, lookupflags);
714 : :
715 : : /* If machine cred couldn't be bound, try a root cred */
716 [ # # ]: 0 : if (new)
717 : : ;
718 [ # # # # ]: 0 : else if (cred == &machine_cred || (flags & RPC_TASK_ROOTCREDS))
719 : 0 : new = rpcauth_bind_root_cred(task, lookupflags);
720 [ # # ]: 0 : else if (flags & RPC_TASK_NULLCREDS)
721 : 0 : new = authnull_ops.lookup_cred(NULL, NULL, 0);
722 : : else
723 : : new = rpcauth_bind_new_cred(task, lookupflags);
724 [ # # ]: 0 : if (IS_ERR(new))
725 : 0 : return PTR_ERR(new);
726 : 0 : put_rpccred(req->rq_cred);
727 : 0 : req->rq_cred = new;
728 : 0 : return 0;
729 : : }
730 : :
731 : : void
732 : 0 : put_rpccred(struct rpc_cred *cred)
733 : : {
734 [ # # ]: 0 : if (cred == NULL)
735 : : return;
736 : : rcu_read_lock();
737 [ # # ]: 0 : if (refcount_dec_and_test(&cred->cr_count))
738 : : goto destroy;
739 [ # # # # ]: 0 : if (refcount_read(&cred->cr_count) != 1 ||
740 : : !test_bit(RPCAUTH_CRED_HASHED, &cred->cr_flags))
741 : : goto out;
742 [ # # ]: 0 : if (test_bit(RPCAUTH_CRED_UPTODATE, &cred->cr_flags) != 0) {
743 : 0 : cred->cr_expire = jiffies;
744 : 0 : rpcauth_lru_add(cred);
745 : : /* Race breaker */
746 [ # # ]: 0 : if (unlikely(!test_bit(RPCAUTH_CRED_HASHED, &cred->cr_flags)))
747 : 0 : rpcauth_lru_remove(cred);
748 [ # # ]: 0 : } else if (rpcauth_unhash_cred(cred)) {
749 : 0 : rpcauth_lru_remove(cred);
750 [ # # ]: 0 : if (refcount_dec_and_test(&cred->cr_count))
751 : : goto destroy;
752 : : }
753 : : out:
754 : : rcu_read_unlock();
755 : : return;
756 : : destroy:
757 : : rcu_read_unlock();
758 : 0 : cred->cr_ops->crdestroy(cred);
759 : : }
760 : : EXPORT_SYMBOL_GPL(put_rpccred);
761 : :
762 : : /**
763 : : * rpcauth_marshcred - Append RPC credential to end of @xdr
764 : : * @task: controlling RPC task
765 : : * @xdr: xdr_stream containing initial portion of RPC Call header
766 : : *
767 : : * On success, an appropriate verifier is added to @xdr, @xdr is
768 : : * updated to point past the verifier, and zero is returned.
769 : : * Otherwise, @xdr is in an undefined state and a negative errno
770 : : * is returned.
771 : : */
772 : 0 : int rpcauth_marshcred(struct rpc_task *task, struct xdr_stream *xdr)
773 : : {
774 : 0 : const struct rpc_credops *ops = task->tk_rqstp->rq_cred->cr_ops;
775 : :
776 : 0 : return ops->crmarshal(task, xdr);
777 : : }
778 : :
779 : : /**
780 : : * rpcauth_wrap_req_encode - XDR encode the RPC procedure
781 : : * @task: controlling RPC task
782 : : * @xdr: stream where on-the-wire bytes are to be marshalled
783 : : *
784 : : * On success, @xdr contains the encoded and wrapped message.
785 : : * Otherwise, @xdr is in an undefined state.
786 : : */
787 : 0 : int rpcauth_wrap_req_encode(struct rpc_task *task, struct xdr_stream *xdr)
788 : : {
789 : 0 : kxdreproc_t encode = task->tk_msg.rpc_proc->p_encode;
790 : :
791 : 0 : encode(task->tk_rqstp, xdr, task->tk_msg.rpc_argp);
792 : 0 : return 0;
793 : : }
794 : : EXPORT_SYMBOL_GPL(rpcauth_wrap_req_encode);
795 : :
796 : : /**
797 : : * rpcauth_wrap_req - XDR encode and wrap the RPC procedure
798 : : * @task: controlling RPC task
799 : : * @xdr: stream where on-the-wire bytes are to be marshalled
800 : : *
801 : : * On success, @xdr contains the encoded and wrapped message,
802 : : * and zero is returned. Otherwise, @xdr is in an undefined
803 : : * state and a negative errno is returned.
804 : : */
805 : 0 : int rpcauth_wrap_req(struct rpc_task *task, struct xdr_stream *xdr)
806 : : {
807 : 0 : const struct rpc_credops *ops = task->tk_rqstp->rq_cred->cr_ops;
808 : :
809 : 0 : return ops->crwrap_req(task, xdr);
810 : : }
811 : :
812 : : /**
813 : : * rpcauth_checkverf - Validate verifier in RPC Reply header
814 : : * @task: controlling RPC task
815 : : * @xdr: xdr_stream containing RPC Reply header
816 : : *
817 : : * On success, @xdr is updated to point past the verifier and
818 : : * zero is returned. Otherwise, @xdr is in an undefined state
819 : : * and a negative errno is returned.
820 : : */
821 : : int
822 : 0 : rpcauth_checkverf(struct rpc_task *task, struct xdr_stream *xdr)
823 : : {
824 : 0 : const struct rpc_credops *ops = task->tk_rqstp->rq_cred->cr_ops;
825 : :
826 : 0 : return ops->crvalidate(task, xdr);
827 : : }
828 : :
829 : : /**
830 : : * rpcauth_unwrap_resp_decode - Invoke XDR decode function
831 : : * @task: controlling RPC task
832 : : * @xdr: stream where the Reply message resides
833 : : *
834 : : * Returns zero on success; otherwise a negative errno is returned.
835 : : */
836 : : int
837 : 0 : rpcauth_unwrap_resp_decode(struct rpc_task *task, struct xdr_stream *xdr)
838 : : {
839 : 0 : kxdrdproc_t decode = task->tk_msg.rpc_proc->p_decode;
840 : :
841 : 0 : return decode(task->tk_rqstp, xdr, task->tk_msg.rpc_resp);
842 : : }
843 : : EXPORT_SYMBOL_GPL(rpcauth_unwrap_resp_decode);
844 : :
845 : : /**
846 : : * rpcauth_unwrap_resp - Invoke unwrap and decode function for the cred
847 : : * @task: controlling RPC task
848 : : * @xdr: stream where the Reply message resides
849 : : *
850 : : * Returns zero on success; otherwise a negative errno is returned.
851 : : */
852 : : int
853 : 0 : rpcauth_unwrap_resp(struct rpc_task *task, struct xdr_stream *xdr)
854 : : {
855 : 0 : const struct rpc_credops *ops = task->tk_rqstp->rq_cred->cr_ops;
856 : :
857 : 0 : return ops->crunwrap_resp(task, xdr);
858 : : }
859 : :
860 : : bool
861 : 0 : rpcauth_xmit_need_reencode(struct rpc_task *task)
862 : : {
863 : 0 : struct rpc_cred *cred = task->tk_rqstp->rq_cred;
864 : :
865 [ # # # # ]: 0 : if (!cred || !cred->cr_ops->crneed_reencode)
866 : : return false;
867 : 0 : return cred->cr_ops->crneed_reencode(task);
868 : : }
869 : :
870 : : int
871 : 0 : rpcauth_refreshcred(struct rpc_task *task)
872 : : {
873 : : struct rpc_cred *cred;
874 : : int err;
875 : :
876 : 0 : cred = task->tk_rqstp->rq_cred;
877 [ # # ]: 0 : if (cred == NULL) {
878 : 0 : err = rpcauth_bindcred(task, task->tk_msg.rpc_cred, task->tk_flags);
879 [ # # ]: 0 : if (err < 0)
880 : : goto out;
881 : 0 : cred = task->tk_rqstp->rq_cred;
882 : : }
883 : :
884 : 0 : err = cred->cr_ops->crrefresh(task);
885 : : out:
886 [ # # ]: 0 : if (err < 0)
887 : 0 : task->tk_status = err;
888 : 0 : return err;
889 : : }
890 : :
891 : : void
892 : 0 : rpcauth_invalcred(struct rpc_task *task)
893 : : {
894 : 0 : struct rpc_cred *cred = task->tk_rqstp->rq_cred;
895 : :
896 [ # # ]: 0 : if (cred)
897 : 0 : clear_bit(RPCAUTH_CRED_UPTODATE, &cred->cr_flags);
898 : 0 : }
899 : :
900 : : int
901 : 0 : rpcauth_uptodatecred(struct rpc_task *task)
902 : : {
903 : 0 : struct rpc_cred *cred = task->tk_rqstp->rq_cred;
904 : :
905 [ # # # # ]: 0 : return cred == NULL ||
906 : : test_bit(RPCAUTH_CRED_UPTODATE, &cred->cr_flags) != 0;
907 : : }
908 : :
909 : : static struct shrinker rpc_cred_shrinker = {
910 : : .count_objects = rpcauth_cache_shrink_count,
911 : : .scan_objects = rpcauth_cache_shrink_scan,
912 : : .seeks = DEFAULT_SEEKS,
913 : : };
914 : :
915 : 404 : int __init rpcauth_init_module(void)
916 : : {
917 : : int err;
918 : :
919 : 404 : err = rpc_init_authunix();
920 [ + - ]: 404 : if (err < 0)
921 : : goto out1;
922 : 404 : err = register_shrinker(&rpc_cred_shrinker);
923 [ - + ]: 404 : if (err < 0)
924 : : goto out2;
925 : : return 0;
926 : : out2:
927 : 0 : rpc_destroy_authunix();
928 : : out1:
929 : 0 : return err;
930 : : }
931 : :
932 : 0 : void rpcauth_remove_module(void)
933 : : {
934 : 0 : rpc_destroy_authunix();
935 : 0 : unregister_shrinker(&rpc_cred_shrinker);
936 : 0 : }
|
