dak/import_keyring.py

   1 #!/usr/bin/env python
   2
   3 # Imports a keyring into the database
   4 # Copyright (C) 2007  Anthony Towns <aj@erisian.com.au>
   5
   6 # This program is free software; you can redistribute it and/or modify
   7 # it under the terms of the GNU General Public License as published by
   8 # the Free Software Foundation; either version 2 of the License, or
   9 # (at your option) any later version.
  10
  11 # This program is distributed in the hope that it will be useful,
  12 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  13 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14 # GNU General Public License for more details.
  15
  16 # You should have received a copy of the GNU General Public License
  17 # along with this program; if not, write to the Free Software
  18 # Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
  19
  20 ################################################################################
  21
  22 from daklib import database
  23 from daklib import utils
  24 import sys, os, re
  25 import apt_pkg, pg, ldap, email.Utils
  26
  27 # Globals
  28 Cnf = None
  29 Options = None
  30 projectB = None
  31
  32 ################################################################################
  33
  34 def get_uid_info():
  35     byname = {}
  36     byid = {}
  37     q = projectB.query("SELECT id, uid, name FROM uid")
  38     for (id, uid, name) in q.getresult():
  39         byname[uid] = (id, name)
  40         byid[id] = (uid, name)
  41     return (byname, byid)
  42
  43 def get_fingerprint_info():
  44     fins = {}
  45     q = projectB.query("SELECT f.fingerprint, f.id, f.uid, f.keyring FROM fingerprint f")
  46     for (fingerprint, fingerprint_id, uid, keyring) in q.getresult():
  47         fins[fingerprint] = (uid, fingerprint_id, keyring)
  48     return fins
  49
  50 ################################################################################
  51
  52 def get_ldap_name(entry):
  53     name = []
  54     for k in ["cn", "mn", "sn"]:
  55         ret = entry.get(k)
  56         if ret and ret[0] != "" and ret[0] != "-":
  57             name.append(ret[0])
  58     return " ".join(name)
  59
  60 ################################################################################
  61
  62 class Keyring:
  63     gpg_invocation = "gpg --no-default-keyring --keyring %s" +\
  64                      " --with-colons --fingerprint --fingerprint"
  65     keys = {}
  66     fpr_lookup = {}
  67
  68     def de_escape_gpg_str(self, str):
  69         esclist = re.split(r'(\\x..)', str)
  70         for x in range(1,len(esclist),2):
  71             esclist[x] = "%c" % (int(esclist[x][2:],16))
  72         return "".join(esclist)
  73
  74     def __init__(self, keyring):
  75         k = os.popen(self.gpg_invocation % keyring, "r")
  76         keys = self.keys
  77         key = None
  78         fpr_lookup = self.fpr_lookup
  79         signingkey = False
  80         for line in k.xreadlines():
  81             field = line.split(":")
  82             if field[0] == "pub":
  83                 key = field[4]
  84                 (name, addr) = email.Utils.parseaddr(field[9])
  85                 name = re.sub(r"\s*[(].*[)]", "", name)
  86                 if name == "" or addr == "" or "@" not in addr:
  87                     name = field[9]
  88                     addr = "invalid-uid"
  89                 name = self.de_escape_gpg_str(name)
  90                 keys[key] = {"email": addr}
  91                 if name != "": keys[key]["name"] = name
  92                 keys[key]["aliases"] = [name]
  93                 keys[key]["fingerprints"] = []
  94                 signingkey = True
  95             elif key and field[0] == "sub" and len(field) >= 12:
  96                 signingkey = ("s" in field[11])
  97             elif key and field[0] == "uid":
  98                 (name, addr) = email.Utils.parseaddr(field[9])
  99                 if name and name not in keys[key]["aliases"]:
 100                     keys[key]["aliases"].append(name)
 101             elif signingkey and field[0] == "fpr":
 102                 keys[key]["fingerprints"].append(field[9])
 103                 fpr_lookup[field[9]] = key
 104
 105     def generate_desired_users(self):
 106         if Options["Generate-Users"]:
 107             format = Options["Generate-Users"]
 108             return self.generate_users_from_keyring(format)
 109         if Options["Import-Ldap-Users"]:
 110             return self.import_users_from_ldap()
 111         return ({}, {})
 112
 113     def import_users_from_ldap(self):
 114         LDAPDn = Cnf["Import-LDAP-Fingerprints::LDAPDn"]
 115         LDAPServer = Cnf["Import-LDAP-Fingerprints::LDAPServer"]
 116         l = ldap.open(LDAPServer)
 117         l.simple_bind_s("","")
 118         Attrs = l.search_s(LDAPDn, ldap.SCOPE_ONELEVEL,
 119                "(&(keyfingerprint=*)(gidnumber=%s))" % (Cnf["Import-Users-From-Passwd::ValidGID"]),
 120                ["uid", "keyfingerprint", "cn", "mn", "sn"])
 121
 122         ldap_fin_uid_id = {}
 123
 124         byuid = {}
 125         byname = {}
 126         keys = self.keys
 127         fpr_lookup = self.fpr_lookup
 128
 129         for i in Attrs:
 130             entry = i[1]
 131             uid = entry["uid"][0]
 132             name = get_ldap_name(entry)
 133             fingerprints = entry["keyFingerPrint"]
 134             id = None
 135             for f in fingerprints:
 136                 key = fpr_lookup.get(f, None)
 137                 if key not in keys: continue
 138                 keys[key]["uid"] = uid
 139
 140                 if id != None: continue
 141                 id = database.get_or_set_uid_id(uid)
 142                 byuid[id] = (uid, name)
 143                 byname[uid] = (id, name)
 144
 145         return (byname, byuid)
 146
 147     def generate_users_from_keyring(self, format):
 148         byuid = {}
 149         byname = {}
 150         keys = self.keys
 151         any_invalid = False
 152         for x in keys.keys():
 153             if keys[x]["email"] == "invalid-uid":
 154                 any_invalid = True
 155                 keys[x]["uid"] = format % "invalid-uid"
 156             else:
 157                 uid = format % keys[x]["email"]
 158                 id = database.get_or_set_uid_id(uid)
 159                 byuid[id] = (uid, keys[x]["name"])
 160                 byname[uid] = (id, keys[x]["name"])
 161                 keys[x]["uid"] = uid
 162         if any_invalid:
 163             uid = format % "invalid-uid"
 164             id = database.get_or_set_uid_id(uid)
 165             byuid[id] = (uid, "ungeneratable user id")
 166             byname[uid] = (id, "ungeneratable user id")
 167         return (byname, byuid)
 168
 169 ################################################################################
 170
 171 def usage (exit_code=0):
 172     print """Usage: dak import-keyring [OPTION]... [KEYRING]
 173   -h, --help                  show this help and exit.
 174   -L, --import-ldap-users     generate uid entries for keyring from LDAP
 175   -U, --generate-users FMT    generate uid entries from keyring as FMT"""
 176     sys.exit(exit_code)
 177
 178
 179 ################################################################################
 180
 181 def main():
 182     global Cnf, projectB, Options
 183
 184     Cnf = utils.get_conf()
 185     Arguments = [('h',"help","Import-Keyring::Options::Help"),
 186                  ('L',"import-ldap-users","Import-Keyring::Options::Import-Ldap-Users"),
 187                  ('U',"generate-users","Import-Keyring::Options::Generate-Users", "HasArg"),
 188                 ]
 189
 190     for i in [ "help", "report-changes", "generate-users", "import-ldap-users" ]:
 191         if not Cnf.has_key("Import-Keyring::Options::%s" % (i)):
 192             Cnf["Import-Keyring::Options::%s" % (i)] = ""
 193
 194     keyring_names = apt_pkg.ParseCommandLine(Cnf, Arguments, sys.argv)
 195
 196     ### Parse options
 197
 198     Options = Cnf.SubTree("Import-Keyring::Options")
 199     if Options["Help"]:
 200         usage()
 201
 202     if len(keyring_names) != 1:
 203         usage(1)
 204
 205     ### Keep track of changes made
 206
 207     changes = []   # (uid, changes strings)
 208
 209     ### Initialise
 210
 211     projectB = pg.connect(Cnf["DB::Name"], Cnf["DB::Host"], int(Cnf["DB::Port"]))
 212     database.init(Cnf, projectB)
 213
 214     projectB.query("BEGIN WORK")
 215
 216     ### Cache all the existing fingerprint entries
 217
 218     db_fin_info = get_fingerprint_info()
 219
 220     ### Parse the keyring
 221
 222     keyringname = keyring_names[0]
 223     keyring = Keyring(keyringname)
 224
 225     keyring_id = database.get_or_set_keyring_id(
 226                         keyringname.split("/")[-1])
 227
 228     ### Generate new uid entries if they're needed (from LDAP or the keyring)
 229     (desuid_byname, desuid_byid) = keyring.generate_desired_users()
 230
 231     ### Cache all the existing uid entries
 232     (db_uid_byname, db_uid_byid) = get_uid_info()
 233
 234     ### Update full names of applicable users
 235     for id in desuid_byid.keys():
 236         uid = (id, desuid_byid[id][0])
 237         name = desuid_byid[id][1]
 238         oname = db_uid_byid[id][1]
 239         if name and oname != name:
 240             changes.append((uid[1], "Full name: %s" % (name)))
 241             projectB.query("UPDATE uid SET name = '%s' WHERE id = %s" %
 242                 (pg.escape_string(name), id))
 243
 244     # The fingerprint table (fpr) points to a uid and a keyring.
 245     #   If the uid is being decided here (ldap/generate) we set it to it.
 246     #   Otherwise, if the fingerprint table already has a uid (which we've
 247     #     cached earlier), we preserve it.
 248     #   Otherwise we leave it as None
 249
 250     fpr = {}
 251     for z in keyring.keys.keys():
 252         id = db_uid_byname.get(keyring.keys[z].get("uid", None), [None])[0]
 253         if id == None:
 254             id = db_fin_info.get(keyring.keys[z]["fingerprints"][0], [None])[0]
 255         for y in keyring.keys[z]["fingerprints"]:
 256             fpr[y] = (id,keyring_id)
 257
 258     # For any keys that used to be in this keyring, disassociate them.
 259     # We don't change the uid, leaving that for historical info; if
 260     # the id should change, it'll be set when importing another keyring.
 261
 262     for f,(u,fid,kr) in db_fin_info.iteritems():
 263         if kr != keyring_id: continue
 264         if f in fpr: continue
 265         changes.append((db_uid_byid.get(u, [None])[0], "Removed key: %s" % (f)))
 266         projectB.query("UPDATE fingerprint SET keyring = NULL WHERE id = %d" % (fid))
 267
 268     # For the keys in this keyring, add/update any fingerprints that've
 269     # changed.
 270
 271     for f in fpr:
 272         newuid = fpr[f][0]
 273         newuiduid = db_uid_byid.get(newuid, [None])[0]
 274         (olduid, oldfid, oldkid) = db_fin_info.get(f, [-1,-1,-1])
 275         if olduid == None: olduid = -1
 276         if oldkid == None: oldkid = -1
 277         if oldfid == -1:
 278             changes.append((newuiduid, "Added key: %s" % (f)))
 279             if newuid:
 280                 projectB.query("INSERT INTO fingerprint (fingerprint, uid, keyring) VALUES ('%s', %d, %d)" % (f, newuid, keyring_id))
 281             else:
 282                 projectB.query("INSERT INTO fingerprint (fingerprint, keyring) VALUES ('%s', %d)" % (f, keyring_id))
 283         else:
 284             if newuid and olduid != newuid:
 285                 if olduid != -1:
 286                     changes.append((newuiduid, "Linked key: %s" % f))
 287                     changes.append((newuiduid, "  (formerly belonging to %s)" % (db_uid_byid[olduid][0])))
 288                 else:
 289                     changes.append((newuiduid, "Linked key: %s" % f))
 290                     changes.append((newuiduid, "  (formerly unowned)"))
 291                 projectB.query("UPDATE fingerprint SET uid = %d WHERE id = %d" % (newuid, oldfid))
 292
 293             if oldkid != keyring_id:
 294                 projectB.query("UPDATE fingerprint SET keyring = %d WHERE id = %d" % (keyring_id, oldfid))
 295
 296     # All done!
 297
 298     projectB.query("COMMIT WORK")
 299
 300     changesd = {}
 301     for (k, v) in changes:
 302         if k not in changesd: changesd[k] = ""
 303         changesd[k] += "    %s\n" % (v)
 304
 305     keys = changesd.keys()
 306     keys.sort()
 307     for k in keys:
 308         print "%s\n%s\n" % (k, changesd[k])
 309
 310 ################################################################################
 311
 312 if __name__ == '__main__':
 313     main()