vici: Default to certificate subject for identity
authorTimo Teräs <timo.teras@iki.fi>
Wed, 29 Apr 2015 15:13:19 +0000 (18:13 +0300)
committerMartin Willi <martin@revosec.ch>
Mon, 4 May 2015 11:42:51 +0000 (13:42 +0200)
If id is not specified and certificate authentication is used, use the
certificate subject name as identity. Simplifies configuration as in most cases
this is the right thing to do.

Signed-off-by: Timo Teräs <timo.teras@iki.fi>
src/libcharon/plugins/vici/vici_config.c

index 6491610..d232599 100644 (file)
  * for more details.
  */
 
+/*
+ * Copyright (C) 2014 Timo Teräs <timo.teras@iki.fi>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining a copy
+ * of this software and associated documentation files (the "Software"), to deal
+ * in the Software without restriction, including without limitation the rights
+ * to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+ * copies of the Software, and to permit persons to whom the Software is
+ * furnished to do so, subject to the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be included in
+ * all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+ * IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+ * FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+ * AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+ * LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+ * OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
+ * THE SOFTWARE.
+ */
+
 #define _GNU_SOURCE
 
 #include "vici_config.h"
@@ -1460,6 +1482,21 @@ CALLBACK(peer_sn, bool,
                        return FALSE;
                }
 
+               if (!auth.cfg->get(auth.cfg, AUTH_RULE_IDENTITY))
+               {
+                       identification_t *id;
+                       certificate_t *cert;
+
+                       cert = auth.cfg->get(auth.cfg, AUTH_RULE_SUBJECT_CERT);
+                       if (cert)
+                       {
+                               id = cert->get_subject(cert);
+                               DBG1(DBG_CFG, "  id not specified, defaulting to cert id '%Y'",
+                                        id);
+                               auth.cfg->add(auth.cfg, AUTH_RULE_IDENTITY, id->clone(id));
+                       }
+               }
+
                if (strcasepfx(name, "local"))
                {
                        peer->local->insert_last(peer->local, auth.cfg);