git://git.onelab.eu / sfa.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Never use the 'PLC' api since we don't have one, but use the senslab's api version...
[sfa.git] / sfa / managers / registry_manager_slab.py
1 import types
2 import time 
3 import sys
4
5 from sfa.util.faults import *
6 from sfa.util.prefixTree import prefixTree
7 from sfa.util.record import SfaRecord
8 from sfa.senslab.table_slab import SfaTable
9 from sfa.util.record import SfaRecord
10 from sfa.trust.gid import GID 
11 from sfa.util.xrn import Xrn, get_leaf, get_authority, hrn_to_urn, urn_to_hrn
12 from sfa.util.plxrn import hrn_to_pl_login_base
13 from sfa.trust.credential import Credential
14 from sfa.trust.certificate import Certificate, Keypair
15 from sfa.trust.gid import create_uuid
16 from sfa.util.version import version_core
17 from sfa.senslab.api import *
18
19 myapi=SfaAPI()
20 # The GENI GetVersion call
21 def GetVersion(api):
22     
23     peers =dict ([ (peername,v._ServerProxy__host) for (peername,v) in myapi.registries.iteritems() 
24                    if peername != myapi.hrn])
25     xrn=Xrn(myapi.hrn)
26     return version_core({'interface':'registry',
27                          'hrn':xrn.get_hrn(),
28                          'urn':xrn.get_urn(),
29                          'peers':peers})
30
31 def get_credential(api, xrn, type, is_self=False):
32     # convert xrn to hrn     
33     if type:
34         hrn = urn_to_hrn(xrn)[0]
35     else:
36         hrn, type = urn_to_hrn(xrn)
37
38     # Is this a root or sub authority
39     auth_hrn = myapi.auth.get_authority(hrn)
40     print>> sys.stderr , " \r\n        REGISTRY get_credential auth_hrn:" , auth_hrn,"hrn : ", hrn, " Type : ", type, "is self : " , is_self,"<<"
41     if not auth_hrn or hrn == myapi.config.SFA_INTERFACE_HRN:
42         auth_hrn = hrn
43     # get record info
44     auth_info = myapi.auth.get_auth_info(auth_hrn)
45     table = SfaTable()
46     print >> sys.stderr , " findObject ", type, hrn
47     records = table.findObjects({'type': type, 'hrn': hrn})
48     print>> sys.stderr , " \r\n    ++    REGISTRY get_credential hrn %s records %s " %(hrn, records)      
49     if not records:
50         raise RecordNotFound(hrn)
51     record = records[0]
52
53     # verify_cancreate_credential requires that the member lists
54     # (researchers, pis, etc) be filled in
55     myapi.fill_record_info(record)
56     record['enabled'] = True
57     print>> sys.stderr , " \r\n    ++    REGISTRY get_credential hrn %s record['enabled'] %s is_self %s" %(hrn, record['enabled'], is_self)    
58     if record['type']=='user':
59        if not record['enabled']:
60           print>> sys.stderr , " \r\n    ++    REGISTRY get_credential hrn %s ACCOUNT Not enabled"
61           raise AccountNotEnabled(": PlanetLab account %s is not enabled. Please contact your site PI" %(record['email']))
62
63     # get the callers gid
64     # if this is a self cred the record's gid is the caller's gid
65     if is_self:
66         caller_hrn = hrn
67         caller_gid = record.get_gid_object()
68         print>>sys.stderr, " \r\n REGISTRY IS SELF OK caller_hrn %s--- \r\n caller_gid %s---------" %(caller_hrn,caller_gid)
69     else:
70         print>> sys.stderr , " \r\n    ++  ELSE   "     
71         caller_gid = myapi.auth.client_cred.get_gid_caller() 
72         print>> sys.stderr , " \r\n    ++  ELSE  caller_gid %s record %s" %(caller_gid, record) 
73         caller_hrn = caller_gid.get_hrn()
74         print>> sys.stderr , " \r\n    ++  ELSE  caller_hrn %s " %(caller_hrn)
75                   
76     object_hrn = record.get_gid_object().get_hrn()
77     print>> sys.stderr , " \r\n    ++  ELSE object_hrn  %s " %(object_hrn)
78         
79     rights = myapi.auth.determine_user_rights(caller_hrn, record)
80     print>> sys.stderr , " \r\n    ++  After rights record: %s \r\n ====RIGHTS %s  " %(record , rights)
81      
82     # make sure caller has rights to this object
83     if rights.is_empty():
84         raise PermissionError(caller_hrn + " has no rights to " + record['name'])
85
86     object_gid = GID(string=record['gid'])
87     new_cred = Credential(subject = object_gid.get_subject())
88     new_cred.set_gid_caller(caller_gid)
89     new_cred.set_gid_object(object_gid)
90     new_cred.set_issuer_keys(auth_info.get_privkey_filename(), auth_info.get_gid_filename())
91     #new_cred.set_pubkey(object_gid.get_pubkey())
92     new_cred.set_privileges(rights)
93     new_cred.get_privileges().delegate_all_privileges(True)
94     if 'expires' in record:
95         new_cred.set_expiration(int(record['expires']))
96     auth_kind = "authority,ma,sa"
97     # Parent not necessary, verify with certs
98     #new_cred.set_parent(myapi.auth.hierarchy.get_auth_cred(auth_hrn, kind=auth_kind))
99     new_cred.encode()
100     new_cred.sign()
101
102     return new_cred.save_to_string(save_parents=True)
103
104
105 def resolve(api, xrns, type=None, full=True):
106
107     # load all known registry names into a prefix tree and attempt to find
108     # the longest matching prefix 
109     print >>sys.stderr , '\t\t REGISTRY MANAGER : resolve=========xrns ', xrns
110     if not isinstance(xrns, types.ListType):
111         if not type:
112             type = Xrn(xrns).get_type()
113         xrns = [xrns]
114     hrns = [urn_to_hrn(xrn)[0] for xrn in xrns] 
115     print >>sys.stderr , '\t\t =========hrns ', hrns
116     # create a dict where key is a registry hrn and its value is a
117     # hrns at that registry (determined by the known prefix tree).  
118     xrn_dict = {}
119     print >>sys.stderr, '\r\n REGISTRY MANAGER : resolve xrns '  , xrns #api.__dict__.keys()
120     registries = myapi.registries
121     tree = prefixTree()
122     registry_hrns = registries.keys()
123     print >>sys.stderr, '\r\n \t\t REGISTRY MANAGER registry_hrns'  , registry_hrns
124     tree.load(registry_hrns)
125     for xrn in xrns:
126         registry_hrn = tree.best_match(urn_to_hrn(xrn)[0])
127         print >>sys.stderr, '\t\tREGISTRY MANAGER  *****tree.best_match ', registry_hrn
128         if registry_hrn not in xrn_dict:
129             xrn_dict[registry_hrn] = []
130         xrn_dict[registry_hrn].append(xrn)
131         print >>sys.stderr, '\t\tREGISTRY MANAGER  *****xrn_dict[registry_hrn] ',xrn_dict[registry_hrn]
132     records = [] 
133
134     for registry_hrn in xrn_dict:
135         # skip the hrn without a registry hrn
136         # XX should we let the user know the authority is unknown?   
137         print >>sys.stderr, '\t\t registry_hrn in xrn_dict ', registry_hrn    
138         if not registry_hrn:
139             continue
140
141         # if the best match (longest matching hrn) is not the local registry,
142         # forward the request
143         xrns = xrn_dict[registry_hrn]
144         if registry_hrn != myapi.hrn:
145             credential = myapi.getCredential()
146             peer_records = registries[registry_hrn].Resolve(xrns, credential)
147             print >>sys.stderr , '\t\t peer_records ', peer_records
148             records.extend([SfaRecord(dict=record).as_dict() for record in peer_records])
149
150     print >>sys.stderr,'\t\t hrns ' , hrns
151     # try resolving the remaining unfound records at the local registry
152     remaining_hrns = set(hrns).difference([record['hrn'] for record in records])
153
154     # convert set to list
155     remaining_hrns = [hrn for hrn in remaining_hrns] 
156     print >>sys.stderr, '\t\t remaining_hrns', remaining_hrns
157     table = SfaTable()
158     local_records = table.findObjects({'hrn': remaining_hrns})
159
160     print >>sys.stderr, '\t\t LOCAL REC !', local_records  
161     for rec in local_records:
162         print >>sys.stderr, '\t\t resolve regmanager : rec ', rec    
163                    
164     if full:
165         print >>sys.stderr, '\r\n \r\n REGISTRY:_FULL', myapi     
166         myapi.fill_record_info(local_records)
167         
168   
169     # convert local record objects to dicts
170     records.extend([dict(record) for record in local_records])
171     print >>sys.stderr, "\r\n \t\t records extends %s" %(records)      
172     if not records:
173         raise RecordNotFound(str(hrns))
174
175     if type:
176         records = filter(lambda rec: rec['type'] in [type], records)
177
178     return records
179
180 def list(api, xrn, origin_hrn=None):
181     hrn, type = urn_to_hrn(xrn)
182     # load all know registry names into a prefix tree and attempt to find
183     # the longest matching prefix
184     records = []
185     registries = myapi.registries
186     registry_hrns = registries.keys()
187     tree = prefixTree()
188     tree.load(registry_hrns)
189     registry_hrn = tree.best_match(hrn)
190    
191     #if there was no match then this record belongs to an unknow registry
192     if not registry_hrn:
193         raise MissingAuthority(xrn)
194     
195     # if the best match (longest matching hrn) is not the local registry,
196     # forward the request
197     records = []    
198     if registry_hrn != myapi.hrn:
199         credential = myapi.getCredential()
200         record_list = registries[registry_hrn].List(xrn, credential)
201         records = [SfaRecord(dict=record).as_dict() for record in record_list]
202     
203     # if we still have not found the record yet, try the local registry
204     if not records:
205         if not myapi.auth.hierarchy.auth_exists(hrn):
206             raise MissingAuthority(hrn)
207
208         table = SfaTable()
209         records = table.find({'authority': hrn})
210
211     return records
212
213
214 def register(api, record):
215
216
217     hrn, type = record['hrn'], record['type']
218     urn = hrn_to_urn(hrn,type)
219     # validate the type
220     print>>sys.stderr, " \r\n \r\n ----------- registry_manager_sl  register hrn %s"%(hrn)
221     if type not in ['authority', 'slice', 'node', 'user']:
222         raise UnknownSfaType(type) 
223     
224     # check if record already exists
225     table = SfaTable()
226     existing_records = table.find({'type': type, 'hrn': hrn})
227     if existing_records:
228         raise ExistingRecord(hrn)
229        
230     record = SfaRecord(dict = record)
231     record['authority'] = get_authority(record['hrn'])
232     type = record['type']
233     hrn = record['hrn']
234     myapi.auth.verify_object_permission(hrn)
235     auth_info = myapi.auth.get_auth_info(record['authority'])
236     pub_key = None
237     # make sure record has a gid
238     if 'gid' not in record:
239         uuid = create_uuid()
240         pkey = Keypair(create=True)
241         if 'key' in record and record['key']:
242             if isinstance(record['key'], types.ListType):
243                 pub_key = record['key'][0]
244             else:
245                 pub_key = record['key']
246             pkey = convert_public_key(pub_key)
247
248         gid_object = myapi.auth.hierarchy.create_gid(urn, uuid, pkey)
249         gid = gid_object.save_to_string(save_parents=True)
250         record['gid'] = gid
251         record.set_gid(gid)
252
253     if type in ["authority"]:
254         # update the tree
255         if not myapi.auth.hierarchy.auth_exists(hrn):
256             myapi.auth.hierarchy.create_auth(hrn_to_urn(hrn,'authority'))
257
258         # get the GID from the newly created authority
259         gid = auth_info.get_gid_object()
260         record.set_gid(gid.save_to_string(save_parents=True))
261         pl_record = myapi.sfa_fields_to_pl_fields(type, hrn, record)
262         sites = myapi.oar.GetSites( [pl_record['login_base']])
263         if not sites:
264             pointer = myapi.oar.AddSite( pl_record)
265         else:
266             pointer = sites[0]['site_id']
267
268         record.set_pointer(pointer)
269         record['pointer'] = pointer
270
271     elif (type == "slice"):
272         acceptable_fields=['url', 'instantiation', 'name', 'description']
273         pl_record = myapi.sfa_fields_to_pl_fields(type, hrn, record)
274         print>>sys.stderr, " \r\n \r\n ----------- registry_manager_slab register  slice pl_record %s"%(pl_record)
275         for key in pl_record.keys():
276             if key not in acceptable_fields:
277                 pl_record.pop(key)
278         slices = myapi.users.GetSlices( [pl_record['name']])
279         if not slices:
280              pointer = myapi.users.AddSlice(pl_record)
281         else:
282              pointer = slices[0]['slice_id']
283         record.set_pointer(pointer)
284         record['pointer'] = pointer
285
286     elif  (type == "user"):
287         persons = myapi.users.GetPersons( [record['email']]) 
288         if not persons:
289            print>>sys.stderr, "  \r\n \r\n ----------- registry_manager_slab  register NO PERSON ADD TO LDAP?"
290       
291         #if not persons:
292             #pointer = myapi.users.AddPerson( dict(record))
293         #else:
294             #pointer = persons[0]['person_id']
295
296         if 'enabled' in record and record['enabled']:
297             myapi.users.UpdatePerson( pointer, {'enabled': record['enabled']})
298         # add this persons to the site only if he is being added for the first
299         # time by sfa and doesont already exist in plc
300         if not persons or not persons[0]['site_ids']:
301             login_base = get_leaf(record['authority'])
302             myapi.users.AddPersonToSite( pointer, login_base)
303
304         # What roles should this user have?
305         myapi.users.AddRoleToPerson( 'user', pointer)
306         # Add the user's key
307         if pub_key:
308             myapi.users.AddPersonKey( pointer, {'key_type' : 'ssh', 'key' : pub_key})
309
310     #elif (type == "node"):
311         #pl_record = myapi.sfa_fields_to_pl_fields(type, hrn, record)
312         #login_base = hrn_to_pl_login_base(record['authority'])
313         #nodes = myapi.oar.GetNodes( [pl_record['hostname']])
314         #if not nodes:
315             #pointer = myapi.oar.AddNode(login_base, pl_record)
316         #else:
317             #pointer = nodes[0]['node_id']
318
319     ##record['pointer'] = pointer
320     ##record.set_pointer(pointer)
321     record_id = table.insert(record)
322     record['record_id'] = record_id
323
324     # update membership for researchers, pis, owners, operators
325     myapi.update_membership(None, record)
326
327     return record.get_gid_object().save_to_string(save_parents=True)
328
329 def update(api, record_dict):
330     new_record = SfaRecord(dict = record_dict)
331     type = new_record['type']
332     hrn = new_record['hrn']
333     urn = hrn_to_urn(hrn,type)
334     myapi.auth.verify_object_permission(hrn)
335     table = SfaTable()
336     # make sure the record exists
337     records = table.findObjects({'type': type, 'hrn': hrn})
338     if not records:
339         raise RecordNotFound(hrn)
340     record = records[0]
341     record['last_updated'] = time.gmtime()
342
343     # Update_membership needs the membership lists in the existing record
344     # filled in, so it can see if members were added or removed
345     myapi.fill_record_info(record)
346
347     # Use the pointer from the existing record, not the one that the user
348     # gave us. This prevents the user from inserting a forged pointer
349     pointer = record['pointer']
350     # update the PLC information that was specified with the record
351
352     if (type == "authority"):
353         myapi.oar.UpdateSite( pointer, new_record)
354
355     elif type == "slice":
356         pl_record=myapi.sfa_fields_to_pl_fields(type, hrn, new_record)
357         if 'name' in pl_record:
358             pl_record.pop('name')
359             myapi.users.UpdateSlice( pointer, pl_record)
360
361     elif type == "user":
362         # SMBAKER: UpdatePerson only allows a limited set of fields to be
363         #    updated. Ideally we should have a more generic way of doing
364         #    this. I copied the field names from UpdatePerson.py...
365         update_fields = {}
366         all_fields = new_record
367         for key in all_fields.keys():
368             if key in ['first_name', 'last_name', 'title', 'email',
369                        'password', 'phone', 'url', 'bio', 'accepted_aup',
370                        'enabled']:
371                 update_fields[key] = all_fields[key]
372         myapi.users.UpdatePerson( pointer, update_fields)
373
374         if 'key' in new_record and new_record['key']:
375             # must check this key against the previous one if it exists
376             persons = myapi.users.GetPersons( [pointer], ['key_ids'])
377             person = persons[0]
378             keys = person['key_ids']
379             keys = myapi.users.GetKeys( person['key_ids'])
380             key_exists = False
381             if isinstance(new_record['key'], types.ListType):
382                 new_key = new_record['key'][0]
383             else:
384                 new_key = new_record['key']
385             
386             # Delete all stale keys
387             for key in keys:
388                 if new_record['key'] != key['key']:
389                     myapi.users.DeleteKey( key['key_id'])
390                 else:
391                     key_exists = True
392             if not key_exists:
393                 myapi.users.AddPersonKey( pointer, {'key_type': 'ssh', 'key': new_key})
394
395             # update the openssl key and gid
396             pkey = convert_public_key(new_key)
397             uuid = create_uuid()
398             gid_object = myapi.auth.hierarchy.create_gid(urn, uuid, pkey)
399             gid = gid_object.save_to_string(save_parents=True)
400             record['gid'] = gid
401             record = SfaRecord(dict=record)
402             table.update(record)
403
404     elif type == "node":
405         myapi.oar.UpdateNode( pointer, new_record)
406
407     else:
408         raise UnknownSfaType(type)
409
410     # update membership for researchers, pis, owners, operators
411     myapi.update_membership(record, new_record)
412     
413     return 1 
414
415 # expecting an Xrn instance
416 def remove(api, xrn, origin_hrn=None):
417
418     table = SfaTable()
419     filter = {'hrn': xrn.get_hrn()}
420     hrn=xrn.get_hrn()
421     type=xrn.get_type()
422     if type and type not in ['all', '*']:
423         filter['type'] = type
424
425     records = table.find(filter)
426     if not records: raise RecordNotFound(hrn)
427     record = records[0]
428     type = record['type']
429
430     credential = myapi.getCredential()
431     registries = myapi.registries
432
433     # Try to remove the object from the PLCDB of federated agg.
434     # This is attempted before removing the object from the local agg's PLCDB and sfa table
435     if hrn.startswith(myapi.hrn) and type in ['user', 'slice', 'authority']:
436         for registry in registries:
437             if registry not in [myapi.hrn]:
438                 try:
439                     result=registries[registry].remove_peer_object(credential, record, origin_hrn)
440                 except:
441                     pass
442     if type == "user":
443         persons = myapi.users.GetPersons(record['pointer'])
444         # only delete this person if he has site ids. if he doesnt, it probably means
445         # he was just removed from a site, not actually deleted
446         if persons and persons[0]['site_ids']:
447             myapi.users.DeletePerson(record['pointer'])
448     elif type == "slice":
449         if myapi.users.GetSlices( record['pointer']):
450             myapi.users.DeleteSlice( record['pointer'])
451     elif type == "node":
452         if myapi.oar.GetNodes( record['pointer']):
453             myapi.oar.DeleteNode( record['pointer'])
454     elif type == "authority":
455         if myapi.oar.GetSites( record['pointer']):
456             myapi.oar.DeleteSite( record['pointer'])
457     else:
458         raise UnknownSfaType(type)
459
460     table.remove(record)
461
462     return 1
463
464 def remove_peer_object(api, record, origin_hrn=None):
465     pass
466
467 def register_peer_object(api, record, origin_hrn=None):
468     pass
sfa