]> git.decadent.org.uk Git - dak.git/blob - dak/import_keyring.py
projects / dak.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
templates
[dak.git] / dak / import_keyring.py
1 #!/usr/bin/env python
2
3 """ Imports a keyring into the database """
4 # Copyright (C) 2007  Anthony Towns <aj@erisian.com.au>
5
6 # This program is free software; you can redistribute it and/or modify
7 # it under the terms of the GNU General Public License as published by
8 # the Free Software Foundation; either version 2 of the License, or
9 # (at your option) any later version.
10
11 # This program is distributed in the hope that it will be useful,
12 # but WITHOUT ANY WARRANTY; without even the implied warranty of
13 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14 # GNU General Public License for more details.
15
16 # You should have received a copy of the GNU General Public License
17 # along with this program; if not, write to the Free Software
18 # Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
19
20 ################################################################################
21
22 from daklib import database
23 from daklib import utils
24 import sys, os, re
25 import apt_pkg, pg, ldap, email.Utils
26
27 # Globals
28 Cnf = None
29 Options = None
30 projectB = None
31
32 ################################################################################
33
34 def get_uid_info():
35     byname = {}
36     byid = {}
37     q = projectB.query("SELECT id, uid, name FROM uid")
38     for (keyid, uid, name) in q.getresult():
39         byname[uid] = (keyid, name)
40         byid[keyid] = (uid, name)
41     return (byname, byid)
42
43 def get_fingerprint_info():
44     fins = {}
45     q = projectB.query("SELECT f.fingerprint, f.id, f.uid, f.keyring FROM fingerprint f")
46     for (fingerprint, fingerprint_id, uid, keyring) in q.getresult():
47         fins[fingerprint] = (uid, fingerprint_id, keyring)
48     return fins
49
50 ################################################################################
51
52 def get_ldap_name(entry):
53     name = []
54     for k in ["cn", "mn", "sn"]:
55         ret = entry.get(k)
56         if ret and ret[0] != "" and ret[0] != "-":
57             name.append(ret[0])
58     return " ".join(name)
59
60 ################################################################################
61
62 class Keyring:
63     gpg_invocation = "gpg --no-default-keyring --keyring %s" +\
64                      " --with-colons --fingerprint --fingerprint"
65     keys = {}
66     fpr_lookup = {}
67
68     def de_escape_gpg_str(self, str):
69         esclist = re.split(r'(\\x..)', str)
70         for x in range(1,len(esclist),2):
71             esclist[x] = "%c" % (int(esclist[x][2:],16))
72         return "".join(esclist)
73
74     def __init__(self, keyring):
75         k = os.popen(self.gpg_invocation % keyring, "r")
76         keys = self.keys
77         key = None
78         fpr_lookup = self.fpr_lookup
79         signingkey = False
80         for line in k.xreadlines():
81             field = line.split(":")
82             if field[0] == "pub":
83                 key = field[4]
84                 (name, addr) = email.Utils.parseaddr(field[9])
85                 name = re.sub(r"\s*[(].*[)]", "", name)
86                 if name == "" or addr == "" or "@" not in addr:
87                     name = field[9]
88                     addr = "invalid-uid"
89                 name = self.de_escape_gpg_str(name)
90                 keys[key] = {"email": addr}
91                 if name != "": keys[key]["name"] = name
92                 keys[key]["aliases"] = [name]
93                 keys[key]["fingerprints"] = []
94                 signingkey = True
95             elif key and field[0] == "sub" and len(field) >= 12:
96                 signingkey = ("s" in field[11])
97             elif key and field[0] == "uid":
98                 (name, addr) = email.Utils.parseaddr(field[9])
99                 if name and name not in keys[key]["aliases"]:
100                     keys[key]["aliases"].append(name)
101             elif signingkey and field[0] == "fpr":
102                 keys[key]["fingerprints"].append(field[9])
103                 fpr_lookup[field[9]] = key
104
105     def generate_desired_users(self):
106         if Options["Generate-Users"]:
107             format = Options["Generate-Users"]
108             return self.generate_users_from_keyring(format)
109         if Options["Import-Ldap-Users"]:
110             return self.import_users_from_ldap()
111         return ({}, {})
112
113     def import_users_from_ldap(self):
114         LDAPDn = Cnf["Import-LDAP-Fingerprints::LDAPDn"]
115         LDAPServer = Cnf["Import-LDAP-Fingerprints::LDAPServer"]
116         l = ldap.open(LDAPServer)
117         l.simple_bind_s("","")
118         Attrs = l.search_s(LDAPDn, ldap.SCOPE_ONELEVEL,
119                "(&(keyfingerprint=*)(gidnumber=%s))" % (Cnf["Import-Users-From-Passwd::ValidGID"]),
120                ["uid", "keyfingerprint", "cn", "mn", "sn"])
121
122         ldap_fin_uid_id = {}
123
124         byuid = {}
125         byname = {}
126         keys = self.keys
127         fpr_lookup = self.fpr_lookup
128
129         for i in Attrs:
130             entry = i[1]
131             uid = entry["uid"][0]
132             name = get_ldap_name(entry)
133             fingerprints = entry["keyFingerPrint"]
134             keyid = None
135             for f in fingerprints:
136                 key = fpr_lookup.get(f, None)
137                 if key not in keys: continue
138                 keys[key]["uid"] = uid
139
140                 if keyid != None: continue
141                 keyid = database.get_or_set_uid_id(uid)
142                 byuid[keyid] = (uid, name)
143                 byname[uid] = (keyid, name)
144
145         return (byname, byuid)
146
147     def generate_users_from_keyring(self, format):
148         byuid = {}
149         byname = {}
150         keys = self.keys
151         any_invalid = False
152         for x in keys.keys():
153             if keys[x]["email"] == "invalid-uid":
154                 any_invalid = True
155                 keys[x]["uid"] = format % "invalid-uid"
156             else:
157                 uid = format % keys[x]["email"]
158                 keyid = database.get_or_set_uid_id(uid)
159                 byuid[keyid] = (uid, keys[x]["name"])
160                 byname[uid] = (keyid, keys[x]["name"])
161                 keys[x]["uid"] = uid
162         if any_invalid:
163             uid = format % "invalid-uid"
164             keyid = database.get_or_set_uid_id(uid)
165             byuid[keyid] = (uid, "ungeneratable user id")
166             byname[uid] = (keyid, "ungeneratable user id")
167         return (byname, byuid)
168
169 ################################################################################
170
171 def usage (exit_code=0):
172     print """Usage: dak import-keyring [OPTION]... [KEYRING]
173   -h, --help                  show this help and exit.
174   -L, --import-ldap-users     generate uid entries for keyring from LDAP
175   -U, --generate-users FMT    generate uid entries from keyring as FMT"""
176     sys.exit(exit_code)
177
178
179 ################################################################################
180
181 def main():
182     global Cnf, projectB, Options
183
184     Cnf = utils.get_conf()
185     Arguments = [('h',"help","Import-Keyring::Options::Help"),
186                  ('L',"import-ldap-users","Import-Keyring::Options::Import-Ldap-Users"),
187                  ('U',"generate-users","Import-Keyring::Options::Generate-Users", "HasArg"),
188                 ]
189
190     for i in [ "help", "report-changes", "generate-users", "import-ldap-users" ]:
191         if not Cnf.has_key("Import-Keyring::Options::%s" % (i)):
192             Cnf["Import-Keyring::Options::%s" % (i)] = ""
193
194     keyring_names = apt_pkg.ParseCommandLine(Cnf, Arguments, sys.argv)
195
196     ### Parse options
197
198     Options = Cnf.SubTree("Import-Keyring::Options")
199     if Options["Help"]:
200         usage()
201
202     if len(keyring_names) != 1:
203         usage(1)
204
205     ### Keep track of changes made
206
207     changes = []   # (uid, changes strings)
208
209     ### Initialise
210
211     projectB = pg.connect(Cnf["DB::Name"], Cnf["DB::Host"], int(Cnf["DB::Port"]))
212     database.init(Cnf, projectB)
213
214     projectB.query("BEGIN WORK")
215
216     ### Cache all the existing fingerprint entries
217
218     db_fin_info = get_fingerprint_info()
219
220     ### Parse the keyring
221
222     keyringname = keyring_names[0]
223     keyring = Keyring(keyringname)
224
225     is_dm = "false"
226     if Cnf.has_key("Import-Keyring::"+keyringname+"::Debian-Maintainer"):
227         projectB.query("UPDATE keyrings SET debian_maintainer = '%s' WHERE name = '%s'" % (Cnf["Import-Keyring::"+keyringname+"::Debian-Maintainer"], keyringname.split("/")[-1]))
228         is_dm = Cnf["Import-Keyring::"+keyringname+"::Debian-Maintainer"]
229
230     keyring_id = database.get_or_set_keyring_id(
231                         keyringname.split("/")[-1])
232
233     ### Generate new uid entries if they're needed (from LDAP or the keyring)
234     (desuid_byname, desuid_byid) = keyring.generate_desired_users()
235
236     ### Cache all the existing uid entries
237     (db_uid_byname, db_uid_byid) = get_uid_info()
238
239     ### Update full names of applicable users
240     for keyid in desuid_byid.keys():
241         uid = (keyid, desuid_byid[keyid][0])
242         name = desuid_byid[keyid][1]
243         oname = db_uid_byid[keyid][1]
244         if name and oname != name:
245             changes.append((uid[1], "Full name: %s" % (name)))
246             projectB.query("UPDATE uid SET name = '%s' WHERE id = %s" %
247                 (pg.escape_string(name), keyid))
248
249     # The fingerprint table (fpr) points to a uid and a keyring.
250     #   If the uid is being decided here (ldap/generate) we set it to it.
251     #   Otherwise, if the fingerprint table already has a uid (which we've
252     #     cached earlier), we preserve it.
253     #   Otherwise we leave it as None
254
255     fpr = {}
256     for z in keyring.keys.keys():
257         keyid = db_uid_byname.get(keyring.keys[z].get("uid", None), [None])[0]
258         if keyid == None:
259             keyid = db_fin_info.get(keyring.keys[z]["fingerprints"][0], [None])[0]
260         for y in keyring.keys[z]["fingerprints"]:
261             fpr[y] = (keyid,keyring_id)
262
263     # For any keys that used to be in this keyring, disassociate them.
264     # We don't change the uid, leaving that for historical info; if
265     # the id should change, it'll be set when importing another keyring.
266
267     for f,(u,fid,kr) in db_fin_info.iteritems():
268         if kr != keyring_id: continue
269         if f in fpr: continue
270         changes.append((db_uid_byid.get(u, [None])[0], "Removed key: %s" % (f)))
271         projectB.query("UPDATE fingerprint SET keyring = NULL WHERE id = %d" % (fid))
272
273     # For the keys in this keyring, add/update any fingerprints that've
274     # changed.
275
276     for f in fpr:
277         newuid = fpr[f][0]
278         newuiduid = db_uid_byid.get(newuid, [None])[0]
279         (olduid, oldfid, oldkid) = db_fin_info.get(f, [-1,-1,-1])
280         if olduid == None: olduid = -1
281         if oldkid == None: oldkid = -1
282         if oldfid == -1:
283             changes.append((newuiduid, "Added key: %s" % (f)))
284             if newuid:
285                 projectB.query("INSERT INTO fingerprint (fingerprint, uid, keyring) VALUES ('%s', %d, %d)" % (f, newuid, keyring_id))
286             else:
287                 projectB.query("INSERT INTO fingerprint (fingerprint, keyring) VALUES ('%s', %d)" % (f, keyring_id))
288         else:
289             if newuid and olduid != newuid:
290                 if olduid != -1:
291                     changes.append((newuiduid, "Linked key: %s" % f))
292                     changes.append((newuiduid, "  (formerly belonging to %s)" % (db_uid_byid[olduid][0])))
293                 else:
294                     changes.append((newuiduid, "Linked key: %s" % f))
295                     changes.append((newuiduid, "  (formerly unowned)"))
296                 projectB.query("UPDATE fingerprint SET uid = %d WHERE id = %d" % (newuid, oldfid))
297
298             if oldkid != keyring_id:
299                 # Only change the keyring if it won't result in a loss of permissions
300                 q = projectB.query("SELECT debian_maintainer FROM keyrings WHERE id = '%d'" % (keyring_id))
301                 if is_dm == "false" and q.getresult()[0][0] == 'f':
302                     projectB.query("UPDATE fingerprint SET keyring = %d WHERE id = %d" % (keyring_id, oldfid))
303                 else:
304                     print "Key %s exists in both DM and DD keyrings. Not demoting." % (f)
305
306     # All done!
307
308     projectB.query("COMMIT WORK")
309
310     changesd = {}
311     for (k, v) in changes:
312         if k not in changesd: changesd[k] = ""
313         changesd[k] += "    %s\n" % (v)
314
315     keys = changesd.keys()
316     keys.sort()
317     for k in keys:
318         print "%s\n%s\n" % (k, changesd[k])
319
320 ################################################################################
321
322 if __name__ == '__main__':
323     main()
dak changes to support and test code signing