fix bug #85: implement vnc tickets

[pve-access-control.git] / PVE / AccessControl.pm
diff --git a/PVE/AccessControl.pm b/PVE/AccessControl.pm

index 9396537d411bf908c5b7ff07571362d165d1d07c..9bb32ef3818e3b6c54f4085730ffcc22972ba1b1 100644 (file)
--- a/PVE/AccessControl.pm
+++ b/PVE/AccessControl.pm
@@ -150,7 +150,7 @@ sub assemble_ticket {
  sub verify_ticket {
      my ($ticket, $noerr) = @_;
  
-    if ($ticket && $ticket =~ m/^(\S+)::([^:\s]+)$/) {
+    if ($ticket && $ticket =~ m/^(PVE:\S+)::([^:\s]+)$/) {
         my $plain = $1;
         my $sig = $2;
  
@@ -175,6 +175,56 @@ sub verify_ticket {
      return undef;
  }
  
+# VNC tickets
+# - they do not contain the username in plain text
+# - they are restricted to a specific resource path (example: '/vms/100')
+sub assemble_vnc_ticket {
+    my ($username, $path) = @_;
+
+    my $rsa_priv = get_privkey();
+
+    my $timestamp = sprintf("%08X", time());
+
+    my $plain = "PVEVNC:$timestamp";
+
+    $path = normalize_path($path);
+
+    my $full = "$plain:$username:$path";
+
+    my $ticket = $plain . "::" . encode_base64($rsa_priv->sign($full), '');
+
+    return $ticket;
+}
+
+sub verify_vnc_ticket {
+    my ($ticket, $username, $path, $noerr) = @_;
+
+    if ($ticket && $ticket =~ m/^(PVEVNC:\S+)::([^:\s]+)$/) {
+       my $plain = $1;
+       my $sig = $2;
+       my $full = "$plain:$username:$path";
+
+       my $rsa_pub = get_pubkey();
+       # Note: sign only match if $username and  $path is correct
+       if ($rsa_pub->verify($full, decode_base64($sig))) {
+           if ($plain =~ m/^PVEVNC:([A-Z0-9]{8})$/) {
+               my $ttime = hex($1);
+
+               my $age = time() - $ttime;
+
+               if (($age > -20) && ($age < 40)) {
+                   return 1;
+               }
+           }
+       }
+    }
+
+    die "permission denied - invalid vnc ticket\n" if !$noerr;
+
+    return undef;
+}
+
+
  sub authenticate_user_shadow {
      my ($userid, $password) = @_;
  
@@ -323,10 +373,10 @@ sub authenticate_user_domain {
      }
  }
  
-sub user_enabled {
-    my ($usercfg, $username) = @_;
+sub check_user_enabled {
+    my ($usercfg, $username, $noerr) = @_;
  
-    $username = verify_username($username, 1);
+    $username = verify_username($username, $noerr);
      return undef if !$username;
   
      return 1 if $usercfg && $usercfg->{users}->{$username} &&
@@ -334,7 +384,9 @@ sub user_enabled {
  
      return 1 if $username eq 'root@pam'; # root is always enabled
  
-    return 0;
+    die "no such user ('$username')\n" if !$noerr;
+ 
+    return undef;
  }
  
  # password should be utf8 encoded
@@ -349,9 +401,10 @@ sub authenticate_user {
  
      my $usercfg = cfs_read_file('user.cfg');
  
-    if (!user_enabled($usercfg, $username)) {
+    eval { check_user_enabled($usercfg, $username); };
+    if (my $err = $@) {
         sleep(2);
-       die "no such user ('$username')\n";
+       die $err;
      }
  
      my $ctime = time();