pamu2fcfg.c revision 1.1.1.1.2.2
1 1.1.1.1.2.2 martin /* 2 1.1.1.1.2.2 martin * Copyright (C) 2014-2018 Yubico AB - See COPYING 3 1.1.1.1.2.2 martin */ 4 1.1.1.1.2.2 martin 5 1.1.1.1.2.2 martin #define BUFSIZE 1024 6 1.1.1.1.2.2 martin #define PAM_PREFIX "pam://" 7 1.1.1.1.2.2 martin #define TIMEOUT 15 8 1.1.1.1.2.2 martin #define FREQUENCY 1 9 1.1.1.1.2.2 martin 10 1.1.1.1.2.2 martin #include <fido.h> 11 1.1.1.1.2.2 martin 12 1.1.1.1.2.2 martin #include <stdio.h> 13 1.1.1.1.2.2 martin #include <stdlib.h> 14 1.1.1.1.2.2 martin #include <string.h> 15 1.1.1.1.2.2 martin #include <getopt.h> 16 1.1.1.1.2.2 martin #include <unistd.h> 17 1.1.1.1.2.2 martin #include <sys/types.h> 18 1.1.1.1.2.2 martin #include <pwd.h> 19 1.1.1.1.2.2 martin 20 1.1.1.1.2.2 martin #include "b64.h" 21 1.1.1.1.2.2 martin #include "cmdline.h" 22 1.1.1.1.2.2 martin #include "util.h" 23 1.1.1.1.2.2 martin #ifndef HAVE_READPASSPHRASE 24 1.1.1.1.2.2 martin #include "_readpassphrase.h" 25 1.1.1.1.2.2 martin #else 26 1.1.1.1.2.2 martin #include <readpassphrase.h> 27 1.1.1.1.2.2 martin #endif 28 1.1.1.1.2.2 martin 29 1.1.1.1.2.2 martin int main(int argc, char *argv[]) { 30 1.1.1.1.2.2 martin int exit_code = EXIT_FAILURE; 31 1.1.1.1.2.2 martin struct gengetopt_args_info args_info; 32 1.1.1.1.2.2 martin char buf[BUFSIZE]; 33 1.1.1.1.2.2 martin char prompt[BUFSIZE]; 34 1.1.1.1.2.2 martin char pin[BUFSIZE]; 35 1.1.1.1.2.2 martin char *p; 36 1.1.1.1.2.2 martin char *response; 37 1.1.1.1.2.2 martin fido_cred_t *cred = NULL; 38 1.1.1.1.2.2 martin fido_dev_info_t *devlist = NULL; 39 1.1.1.1.2.2 martin fido_dev_t *dev = NULL; 40 1.1.1.1.2.2 martin const fido_dev_info_t *di = NULL; 41 1.1.1.1.2.2 martin size_t ndevs; 42 1.1.1.1.2.2 martin int cose_type; 43 1.1.1.1.2.2 martin int resident_key; 44 1.1.1.1.2.2 martin int user_presence; 45 1.1.1.1.2.2 martin int user_verification; 46 1.1.1.1.2.2 martin int pin_verification; 47 1.1.1.1.2.2 martin int r; 48 1.1.1.1.2.2 martin int n; 49 1.1.1.1.2.2 martin char *origin = NULL; 50 1.1.1.1.2.2 martin char *appid = NULL; 51 1.1.1.1.2.2 martin char *user = NULL; 52 1.1.1.1.2.2 martin char *b64_kh; 53 1.1.1.1.2.2 martin char *b64_pk; 54 1.1.1.1.2.2 martin struct passwd *passwd; 55 1.1.1.1.2.2 martin const unsigned char *kh = NULL; 56 1.1.1.1.2.2 martin size_t kh_len; 57 1.1.1.1.2.2 martin const unsigned char *pk = NULL; 58 1.1.1.1.2.2 martin size_t pk_len; 59 1.1.1.1.2.2 martin unsigned char userid[32]; 60 1.1.1.1.2.2 martin unsigned char challenge[32]; 61 1.1.1.1.2.2 martin unsigned i; 62 1.1.1.1.2.2 martin unsigned max_index = 0; 63 1.1.1.1.2.2 martin 64 1.1.1.1.2.2 martin if (cmdline_parser(argc, argv, &args_info) != 0) 65 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 66 1.1.1.1.2.2 martin 67 1.1.1.1.2.2 martin if (args_info.help_given) { 68 1.1.1.1.2.2 martin cmdline_parser_print_help(); 69 1.1.1.1.2.2 martin printf("\nReport bugs at <https://github.com/Yubico/pam-u2f>.\n"); 70 1.1.1.1.2.2 martin exit(EXIT_SUCCESS); 71 1.1.1.1.2.2 martin } 72 1.1.1.1.2.2 martin 73 1.1.1.1.2.2 martin fido_init(args_info.debug_flag ? FIDO_DEBUG : 0); 74 1.1.1.1.2.2 martin 75 1.1.1.1.2.2 martin cred = fido_cred_new(); 76 1.1.1.1.2.2 martin if (!cred) { 77 1.1.1.1.2.2 martin fprintf(stderr, "fido_cred_new failed\n"); 78 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 79 1.1.1.1.2.2 martin } 80 1.1.1.1.2.2 martin 81 1.1.1.1.2.2 martin if (!random_bytes(challenge, sizeof(challenge))) { 82 1.1.1.1.2.2 martin fprintf(stderr, "random_bytes failed\n"); 83 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 84 1.1.1.1.2.2 martin } 85 1.1.1.1.2.2 martin 86 1.1.1.1.2.2 martin if (args_info.type_given) { 87 1.1.1.1.2.2 martin if (!strcasecmp(args_info.type_arg, "es256")) 88 1.1.1.1.2.2 martin cose_type = COSE_ES256; 89 1.1.1.1.2.2 martin else if (!strcasecmp(args_info.type_arg, "rs256")) 90 1.1.1.1.2.2 martin cose_type = COSE_RS256; 91 1.1.1.1.2.2 martin else { 92 1.1.1.1.2.2 martin fprintf(stderr, "Unknown COSE type '%s'.\n", args_info.type_arg); 93 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 94 1.1.1.1.2.2 martin } 95 1.1.1.1.2.2 martin } else 96 1.1.1.1.2.2 martin cose_type = COSE_ES256; 97 1.1.1.1.2.2 martin 98 1.1.1.1.2.2 martin r = fido_cred_set_type(cred, cose_type); 99 1.1.1.1.2.2 martin if (r != FIDO_OK) { 100 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_set_type (%d): %s\n", r, fido_strerr(r)); 101 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 102 1.1.1.1.2.2 martin } 103 1.1.1.1.2.2 martin 104 1.1.1.1.2.2 martin r = fido_cred_set_clientdata_hash(cred, challenge, sizeof(challenge)); 105 1.1.1.1.2.2 martin if (r != FIDO_OK) { 106 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_set_clientdata_hash (%d): %s\n", r, 107 1.1.1.1.2.2 martin fido_strerr(r)); 108 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 109 1.1.1.1.2.2 martin } 110 1.1.1.1.2.2 martin 111 1.1.1.1.2.2 martin if (args_info.origin_given) 112 1.1.1.1.2.2 martin origin = args_info.origin_arg; 113 1.1.1.1.2.2 martin else { 114 1.1.1.1.2.2 martin if (!strcpy(buf, PAM_PREFIX)) { 115 1.1.1.1.2.2 martin fprintf(stderr, "strcpy failed\n"); 116 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 117 1.1.1.1.2.2 martin } 118 1.1.1.1.2.2 martin if (gethostname(buf + strlen(PAM_PREFIX), BUFSIZE - strlen(PAM_PREFIX)) == 119 1.1.1.1.2.2 martin -1) { 120 1.1.1.1.2.2 martin perror("gethostname"); 121 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 122 1.1.1.1.2.2 martin } 123 1.1.1.1.2.2 martin origin = buf; 124 1.1.1.1.2.2 martin } 125 1.1.1.1.2.2 martin 126 1.1.1.1.2.2 martin if (args_info.verbose_given) 127 1.1.1.1.2.2 martin fprintf(stderr, "Setting origin to %s\n", origin); 128 1.1.1.1.2.2 martin 129 1.1.1.1.2.2 martin if (args_info.appid_given) 130 1.1.1.1.2.2 martin appid = args_info.appid_arg; 131 1.1.1.1.2.2 martin else { 132 1.1.1.1.2.2 martin appid = origin; 133 1.1.1.1.2.2 martin } 134 1.1.1.1.2.2 martin 135 1.1.1.1.2.2 martin if (args_info.verbose_given) 136 1.1.1.1.2.2 martin fprintf(stderr, "Setting appid to %s\n", appid); 137 1.1.1.1.2.2 martin 138 1.1.1.1.2.2 martin r = fido_cred_set_rp(cred, origin, appid); 139 1.1.1.1.2.2 martin if (r != FIDO_OK) { 140 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_set_rp (%d) %s\n", r, fido_strerr(r)); 141 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 142 1.1.1.1.2.2 martin } 143 1.1.1.1.2.2 martin 144 1.1.1.1.2.2 martin if (args_info.username_given) 145 1.1.1.1.2.2 martin user = args_info.username_arg; 146 1.1.1.1.2.2 martin else { 147 1.1.1.1.2.2 martin passwd = getpwuid(getuid()); 148 1.1.1.1.2.2 martin if (passwd == NULL) { 149 1.1.1.1.2.2 martin perror("getpwuid"); 150 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 151 1.1.1.1.2.2 martin } 152 1.1.1.1.2.2 martin user = passwd->pw_name; 153 1.1.1.1.2.2 martin } 154 1.1.1.1.2.2 martin 155 1.1.1.1.2.2 martin if (!random_bytes(userid, sizeof(userid))) { 156 1.1.1.1.2.2 martin fprintf(stderr, "random_bytes failed\n"); 157 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 158 1.1.1.1.2.2 martin } 159 1.1.1.1.2.2 martin 160 1.1.1.1.2.2 martin if (args_info.verbose_given) { 161 1.1.1.1.2.2 martin fprintf(stderr, "Setting user to %s\n", user); 162 1.1.1.1.2.2 martin fprintf(stderr, "Setting user id to "); 163 1.1.1.1.2.2 martin for (size_t i = 0; i < sizeof(userid); i++) 164 1.1.1.1.2.2 martin fprintf(stderr, "%02x", userid[i]); 165 1.1.1.1.2.2 martin fprintf(stderr, "\n"); 166 1.1.1.1.2.2 martin } 167 1.1.1.1.2.2 martin 168 1.1.1.1.2.2 martin r = fido_cred_set_user(cred, userid, sizeof(userid), user, NULL, NULL); 169 1.1.1.1.2.2 martin if (r != FIDO_OK) { 170 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_set_user (%d) %s\n", r, fido_strerr(r)); 171 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 172 1.1.1.1.2.2 martin } 173 1.1.1.1.2.2 martin 174 1.1.1.1.2.2 martin if (args_info.resident_given) 175 1.1.1.1.2.2 martin resident_key = 1; 176 1.1.1.1.2.2 martin else 177 1.1.1.1.2.2 martin resident_key = 0; 178 1.1.1.1.2.2 martin 179 1.1.1.1.2.2 martin if (args_info.no_user_presence_given) 180 1.1.1.1.2.2 martin user_presence = 0; 181 1.1.1.1.2.2 martin else 182 1.1.1.1.2.2 martin user_presence = 1; 183 1.1.1.1.2.2 martin 184 1.1.1.1.2.2 martin if (args_info.user_verification_given) 185 1.1.1.1.2.2 martin user_verification = 1; 186 1.1.1.1.2.2 martin else 187 1.1.1.1.2.2 martin user_verification = 0; 188 1.1.1.1.2.2 martin 189 1.1.1.1.2.2 martin if (args_info.pin_verification_given) 190 1.1.1.1.2.2 martin pin_verification = 1; 191 1.1.1.1.2.2 martin else 192 1.1.1.1.2.2 martin pin_verification = 0; 193 1.1.1.1.2.2 martin 194 1.1.1.1.2.2 martin r = fido_cred_set_rk(cred, resident_key); 195 1.1.1.1.2.2 martin if (r != FIDO_OK) { 196 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_set_rk (%d) %s\n", r, fido_strerr(r)); 197 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 198 1.1.1.1.2.2 martin } 199 1.1.1.1.2.2 martin 200 1.1.1.1.2.2 martin r = fido_cred_set_uv(cred, false); 201 1.1.1.1.2.2 martin if (r != FIDO_OK) { 202 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_set_uv (%d) %s\n", r, fido_strerr(r)); 203 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 204 1.1.1.1.2.2 martin } 205 1.1.1.1.2.2 martin 206 1.1.1.1.2.2 martin devlist = fido_dev_info_new(64); 207 1.1.1.1.2.2 martin if (!devlist) { 208 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_dev_info_new failed\n"); 209 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 210 1.1.1.1.2.2 martin } 211 1.1.1.1.2.2 martin 212 1.1.1.1.2.2 martin r = fido_dev_info_manifest(devlist, 64, &ndevs); 213 1.1.1.1.2.2 martin if (r != FIDO_OK) { 214 1.1.1.1.2.2 martin fprintf(stderr, "Unable to discover device(s), %s (%d)\n", fido_strerr(r), 215 1.1.1.1.2.2 martin r); 216 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 217 1.1.1.1.2.2 martin } 218 1.1.1.1.2.2 martin 219 1.1.1.1.2.2 martin if (ndevs == 0) { 220 1.1.1.1.2.2 martin for (i = 0; i < TIMEOUT; i += FREQUENCY) { 221 1.1.1.1.2.2 martin fprintf(stderr, 222 1.1.1.1.2.2 martin "\rNo U2F device available, please insert one now, you " 223 1.1.1.1.2.2 martin "have %2d seconds", 224 1.1.1.1.2.2 martin TIMEOUT - i); 225 1.1.1.1.2.2 martin fflush(stderr); 226 1.1.1.1.2.2 martin sleep(FREQUENCY); 227 1.1.1.1.2.2 martin 228 1.1.1.1.2.2 martin r = fido_dev_info_manifest(devlist, 64, &ndevs); 229 1.1.1.1.2.2 martin if (r != FIDO_OK) { 230 1.1.1.1.2.2 martin fprintf(stderr, "\nUnable to discover device(s), %s (%d)", 231 1.1.1.1.2.2 martin fido_strerr(r), r); 232 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 233 1.1.1.1.2.2 martin } 234 1.1.1.1.2.2 martin 235 1.1.1.1.2.2 martin if (ndevs != 0) { 236 1.1.1.1.2.2 martin fprintf(stderr, "\nDevice found!\n"); 237 1.1.1.1.2.2 martin break; 238 1.1.1.1.2.2 martin } 239 1.1.1.1.2.2 martin } 240 1.1.1.1.2.2 martin } 241 1.1.1.1.2.2 martin 242 1.1.1.1.2.2 martin if (ndevs == 0) { 243 1.1.1.1.2.2 martin fprintf(stderr, "\rNo device found. Aborting. " 244 1.1.1.1.2.2 martin " \n"); 245 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 246 1.1.1.1.2.2 martin } 247 1.1.1.1.2.2 martin 248 1.1.1.1.2.2 martin /* XXX loop over every device? */ 249 1.1.1.1.2.2 martin dev = fido_dev_new(); 250 1.1.1.1.2.2 martin if (!dev) { 251 1.1.1.1.2.2 martin fprintf(stderr, "fido_dev_new failed\n"); 252 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 253 1.1.1.1.2.2 martin } 254 1.1.1.1.2.2 martin 255 1.1.1.1.2.2 martin di = fido_dev_info_ptr(devlist, 0); 256 1.1.1.1.2.2 martin if (!di) { 257 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_dev_info_ptr returned NULL\n"); 258 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 259 1.1.1.1.2.2 martin } 260 1.1.1.1.2.2 martin 261 1.1.1.1.2.2 martin r = fido_dev_open(dev, fido_dev_info_path(di)); 262 1.1.1.1.2.2 martin if (r != FIDO_OK) { 263 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_dev_open (%d) %s\n", r, fido_strerr(r)); 264 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 265 1.1.1.1.2.2 martin } 266 1.1.1.1.2.2 martin 267 1.1.1.1.2.2 martin r = fido_dev_make_cred(dev, cred, NULL); 268 1.1.1.1.2.2 martin if (r == FIDO_ERR_PIN_REQUIRED) { 269 1.1.1.1.2.2 martin n = snprintf(prompt, sizeof(prompt), 270 1.1.1.1.2.2 martin "Enter PIN for %s: ", fido_dev_info_path(di)); 271 1.1.1.1.2.2 martin if (n < 0 || (size_t) n >= sizeof(prompt)) { 272 1.1.1.1.2.2 martin fprintf(stderr, "error: snprintf prompt"); 273 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 274 1.1.1.1.2.2 martin } 275 1.1.1.1.2.2 martin if (!readpassphrase(prompt, pin, sizeof(pin), RPP_ECHO_OFF)) { 276 1.1.1.1.2.2 martin fprintf(stderr, "error: failed to read pin"); 277 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 278 1.1.1.1.2.2 martin } 279 1.1.1.1.2.2 martin r = fido_dev_make_cred(dev, cred, pin); 280 1.1.1.1.2.2 martin } 281 1.1.1.1.2.2 martin explicit_bzero(pin, sizeof(pin)); 282 1.1.1.1.2.2 martin 283 1.1.1.1.2.2 martin if (r != FIDO_OK) { 284 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_dev_make_cred (%d) %s\n", r, fido_strerr(r)); 285 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 286 1.1.1.1.2.2 martin } 287 1.1.1.1.2.2 martin 288 1.1.1.1.2.2 martin r = fido_cred_verify(cred); 289 1.1.1.1.2.2 martin if (r != FIDO_OK) { 290 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_verify (%d) %s\n", r, fido_strerr(r)); 291 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 292 1.1.1.1.2.2 martin } 293 1.1.1.1.2.2 martin 294 1.1.1.1.2.2 martin kh = fido_cred_id_ptr(cred); 295 1.1.1.1.2.2 martin if (!kh) { 296 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_id_ptr returned NULL\n"); 297 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 298 1.1.1.1.2.2 martin } 299 1.1.1.1.2.2 martin 300 1.1.1.1.2.2 martin kh_len = fido_cred_id_len(cred); 301 1.1.1.1.2.2 martin if (kh_len == 0) { 302 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_id_len returned 0\n"); 303 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 304 1.1.1.1.2.2 martin } 305 1.1.1.1.2.2 martin 306 1.1.1.1.2.2 martin pk = (const unsigned char *) fido_cred_pubkey_ptr(cred); 307 1.1.1.1.2.2 martin if (!pk) { 308 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_pubkey_ptr returned NULL\n"); 309 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 310 1.1.1.1.2.2 martin } 311 1.1.1.1.2.2 martin 312 1.1.1.1.2.2 martin pk_len = fido_cred_pubkey_len(cred); 313 1.1.1.1.2.2 martin if (pk_len == 0) { 314 1.1.1.1.2.2 martin fprintf(stderr, "error: fido_cred_pubkey_len returned 0\n"); 315 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 316 1.1.1.1.2.2 martin } 317 1.1.1.1.2.2 martin 318 1.1.1.1.2.2 martin if (!b64_encode(kh, kh_len, &b64_kh)) { 319 1.1.1.1.2.2 martin fprintf(stderr, "error: failed to encode key handle\n"); 320 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 321 1.1.1.1.2.2 martin } 322 1.1.1.1.2.2 martin 323 1.1.1.1.2.2 martin if (!b64_encode(pk, pk_len, &b64_pk)) { 324 1.1.1.1.2.2 martin fprintf(stderr, "error: failed to encode public key\n"); 325 1.1.1.1.2.2 martin exit(EXIT_FAILURE); 326 1.1.1.1.2.2 martin } 327 1.1.1.1.2.2 martin 328 1.1.1.1.2.2 martin if (!args_info.nouser_given) 329 1.1.1.1.2.2 martin printf("%s", user); 330 1.1.1.1.2.2 martin 331 1.1.1.1.2.2 martin printf(":%s,%s,%s,%s%s%s", resident_key ? "*" : b64_kh, b64_pk, 332 1.1.1.1.2.2 martin cose_type == COSE_ES256 ? "es256" : "rs256", 333 1.1.1.1.2.2 martin user_presence ? "+presence" : "", 334 1.1.1.1.2.2 martin user_verification ? "+verification" : "", 335 1.1.1.1.2.2 martin pin_verification ? "+pin" : ""); 336 1.1.1.1.2.2 martin 337 1.1.1.1.2.2 martin exit_code = EXIT_SUCCESS; 338 1.1.1.1.2.2 martin 339 1.1.1.1.2.2 martin fido_dev_info_free(&devlist, ndevs); 340 1.1.1.1.2.2 martin fido_cred_free(&cred); 341 1.1.1.1.2.2 martin fido_dev_free(&dev); 342 1.1.1.1.2.2 martin 343 1.1.1.1.2.2 martin free(b64_kh); 344 1.1.1.1.2.2 martin free(b64_pk); 345 1.1.1.1.2.2 martin 346 1.1.1.1.2.2 martin exit(exit_code); 347 1.1.1.1.2.2 martin } 348
Indexes created Sun Apr 19 00:22:55 UTC 2026