git://git.onelab.eu / plcapi.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
remove support for boot_nonce and old boot CDs
[plcapi.git] / PLC / Auth.py
diff --git a/PLC/Auth.py b/PLC/Auth.py
index b519b1b..89e5ca1 100644 (file)
--- a/PLC/Auth.py
+++ b/PLC/Auth.py
@@ -139,12 +139,12 @@ class SessionAuth(Auth):
             elif session['person_id'] is not None and session['expires'] > time.time():
                 persons = Persons(method.api, {'person_id': session['person_id'], 'enabled': True, 'peer_id': None})
                 if not persons:
-                    raise PLCAuthenticationFailure, "SessionAuth: No such account"
+                    raise PLCAuthenticationFailure, "SessionAuth: No such enabled account"
                 person = persons[0]
 
                 if not set(person['roles']).intersection(method.roles):
                     method_message="method %s has roles [%s]"%(method.name,','.join(method.roles))
-                    person_message="caller has roles [%s]"%','.join(person['roles'])
+                    person_message="caller %s has roles [%s]"%(person['email'],','.join(person['roles']))
                     # not PLCAuthenticationFailure b/c that would end the session..
                     raise PLCPermissionDenied, "SessionAuth: missing role, %s -- %s"%(method_message,person_message)
 
@@ -210,37 +210,12 @@ class BootAuth(Auth):
                 raise PLCAuthenticationFailure, "BootAuth: No such node"
             node = nodes[0]
 
+            # Jan 2011 : removing support for old boot CDs
             if node['key']:
                 key = node['key']
-            elif node['boot_nonce']:
-                # Allow very old nodes that do not have a node key in
-                # their configuration files to use their "boot nonce"
-                # instead. The boot nonce is a random value generated
-                # by the node itself and POSTed by the Boot CD when it
-                # requests the Boot Manager. This is obviously not
-                # very secure, so we only allow it to be used if the
-                # requestor IP is the same as the IP address we have
-                # on record for the node.
-                key = node['boot_nonce']
-
-                interface = None
-                if node['interface_ids']:
-                    interfaces = Interfaces(method.api, node['interface_ids'])
-                    for interface in interfaces:
-                        if interface['is_primary']:
-                            break
-
-                if not interface or not interface['is_primary']:
-                    raise PLCAuthenticationFailure, "BootAuth: No primary network interface on record"
-
-                if method.source is None:
-                    raise PLCAuthenticationFailure, "BootAuth: Cannot determine IP address of requestor"
-
-                if interface['ip'] != method.source[0]:
-                    raise PLCAuthenticationFailure, "BootAuth: Requestor IP %s does not match node IP %s" % \
-                          (method.source[0], interface['ip'])
             else:
-                raise PLCAuthenticationFailure, "BootAuth: No node key or boot nonce"
+                write_debug_line("BootAuth.check: could not get key")
+                raise PLCAuthenticationFailure, "BootAuth: No node key"
 
             # Yes, this is the "canonicalization" method used.
             args = self.canonicalize(args)
@@ -328,7 +303,7 @@ class PasswordAuth(Auth):
 
         if not set(person['roles']).intersection(method.roles):
             method_message="method %s has roles [%s]"%(method.name,','.join(method.roles))
-            person_message="caller has roles [%s]"%','.join(person['roles'])
+            person_message="caller %s has roles [%s]"%(person['email'],','.join(person['roles']))
             raise PLCAuthenticationFailure, "PasswordAuth: missing role, %s -- %s"%(method_message,person_message)
 
         method.caller = person
plcapi