]> git.proxmox.com Git - pve-access-control.git/blobdiff - PVE/AccessControl.pm
projects / pve-access-control.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
fix access of possibly undefined variable
[pve-access-control.git] / PVE / AccessControl.pm
diff --git a/PVE/AccessControl.pm b/PVE/AccessControl.pm
index 5a74a8e5f7855b61c14f7767b347b278b97ba2e6..bfee816f05b59fb48b677148320044c466b4ad7a 100644 (file)
--- a/PVE/AccessControl.pm
+++ b/PVE/AccessControl.pm
@@ -6,6 +6,7 @@ use Encode;
 use Crypt::OpenSSL::Random;
 use Crypt::OpenSSL::RSA;
 use Net::SSLeay;
+use Net::IP;
 use MIME::Base64;
 use Digest::SHA;
 use Digest::HMAC_SHA1;
@@ -317,6 +318,7 @@ sub remote_viewer_config {
     my $cacert = PVE::Tools::file_get_contents("/etc/pve/pve-root-ca.pem", 8192);
     $cacert =~ s/\n/\\n/g;
 
+    $proxy = "[$proxy]" if Net::IP::ip_is_ipv6($proxy);
     my $config = {
        'secure-attention' => "Ctrl+Alt+Ins",
        'toggle-fullscreen' => "Shift+F11",
@@ -356,8 +358,6 @@ sub check_user_enabled {
 
     return 1 if $data->{enable};
 
-    return 1 if $username eq 'root@pam'; # root is always enabled
-
     die "user '$username' is disabled\n" if !$noerr;
  
     return undef;
@@ -378,7 +378,7 @@ sub verify_one_time_pw {
        yubico_verify_otp($otp, $keys, $tfa_cfg->{url}, $tfa_cfg->{id}, $tfa_cfg->{key}, $proxy);
     } elsif ($type eq 'oath') {
        my $keys = $usercfg->{users}->{$username}->{keys};
-       oath_verify_otp($otp, $keys);
+       oath_verify_otp($otp, $keys, $tfa_cfg->{step}, $tfa_cfg->{digits});
     } else {
        die "unknown tfa type '$type'\n";
     }
@@ -695,10 +695,10 @@ sub userconfig_force_defaults {
        $cfg->{roles}->{$r} = $special_roles->{$r};
     }
 
-    # fixme: remove 'root' group (not required)?
-
-    # add root user 
-    $cfg->{users}->{'root@pam'}->{enable} = 1;
+    # add root user if not exists
+    if (!$cfg->{users}->{'root@pam'}) {
+       $cfg->{users}->{'root@pam'}->{enable} = 1; 
+    }
 }
 
 sub parse_user_config {
@@ -708,11 +708,9 @@ sub parse_user_config {
 
     userconfig_force_defaults($cfg);
 
-    while ($raw && $raw =~ s/^(.*?)(\n|$)//) {
+    $raw = '' if !defined($raw);
+    while ($raw =~ /^\s*(.+?)\s*$/gm) {
        my $line = $1;
-
-       next if $line =~ m/^\s*$/; # skip empty lines
-
        my @data;
 
        foreach my $d (split (/:/, $line)) {
@@ -1229,12 +1227,13 @@ sub yubico_verify_otp {
 }
 
 sub oath_verify_otp {
-    my ($otp, $keys) = @_;
+    my ($otp, $keys, $step, $digits) = @_;
 
     die "oath: missing password\n" if !defined($otp);
     die "oath: no associated oath keys\n" if $keys =~ m/^\s+$/; 
 
-    my $step = 30;
+    $step = 30 if !$step;
+    $digits = 6 if !$digits;
 
     my $found;
 
@@ -1242,7 +1241,6 @@ sub oath_verify_otp {
        my $line = shift;
 
        if ($line =~ m/^\d{6}$/) {
-           print "GOT:$line\n";
            $found = 1 if $otp eq $line;
        }
     };
@@ -1250,7 +1248,7 @@ sub oath_verify_otp {
     foreach my $k (PVE::Tools::split_list($keys)) {
        # Note: we generate 3 values to allow small time drift
        my $now = localtime(time() - $step);
-       my $cmd = ['oathtool', '--totp', '-N', $now, '-s', $step, '-w', '2', '-b', $k];
+       my $cmd = ['oathtool', '--totp', '--digits', $digits, '-N', $now, '-s', $step, '-w', '2', '-b', $k];
        eval { run_command($cmd, outfunc => $parser, errfunc => sub {}); };
        last if $found;
     }
Access control framework