git://git.onelab.eu / sfa.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
leaning LDAP api.py
[sfa.git] / sfa / senslab / LDAPapi.py
diff --git a/sfa/senslab/LDAPapi.py b/sfa/senslab/LDAPapi.py
index 28b2b06..26b8167 100644 (file)
--- a/sfa/senslab/LDAPapi.py
+++ b/sfa/senslab/LDAPapi.py
@@ -1,12 +1,10 @@
-
-import string
 import random
 from passlib.hash import ldap_salted_sha1 as lssha
-from sfa.util.xrn import Xrn,get_authority 
+from sfa.util.xrn import get_authority 
 import ldap
 from sfa.util.config import Config
 from sfa.trust.hierarchy import Hierarchy
-from sfa.trust.certificate import *
+#from sfa.trust.certificate import *
 import ldap.modlist as modlist
 from sfa.util.sfalogging import logger
 import os.path
@@ -14,37 +12,37 @@ import os.path
 #API for OpenLDAP
 
 
-class ldap_config():
+class LdapConfig():
     def __init__(self, config_file =  '/etc/sfa/ldap_config.py'):
-        self.load(config_file)
-
-    def load(self, config_file):
         try:
             execfile(config_file, self.__dict__)
+       
             self.config_file = config_file
             # path to configuration data
             self.config_path = os.path.dirname(config_file)
-        except IOError, e:
-            raise IOError, "Could not find or load the configuration file: %s" % config_file
+        except IOError:
+            raise IOError, "Could not find or load the configuration file: %s" \
+                            % config_file
+  
         
 class ldap_co:
     """ Set admin login and server configuration variables."""
     
     def __init__(self):
-        #Senslab PROD LDAP parameters 
-        LdapConfig = ldap_config()
-        self.config = LdapConfig
-        self.ldapHost = LdapConfig.LDAP_IP_ADDRESS 
-       self.ldapPeopleDN = LdapConfig.LDAP_PEOPLE_DN
-       self.ldapGroupDN = LdapConfig.LDAP_GROUP_DN
-       self.ldapAdminDN = LdapConfig.LDAP_WEB_DN
-       self.ldapAdminPassword = LdapConfig.LDAP_WEB_PASSWORD
-        
-        
+        #Senslab PROD LDAP parameters
+        self.ldapserv = None
+        ldap_config = LdapConfig()
+        self.config = ldap_config
+        self.ldapHost = ldap_config.LDAP_IP_ADDRESS 
+        self.ldapPeopleDN = ldap_config.LDAP_PEOPLE_DN
+        self.ldapGroupDN = ldap_config.LDAP_GROUP_DN
+        self.ldapAdminDN = ldap_config.LDAP_WEB_DN
+        self.ldapAdminPassword = ldap_config.LDAP_WEB_PASSWORD
 
-       self.ldapPort = ldap.PORT
-       self.ldapVersion  = ldap.VERSION3
-       self.ldapSearchScope = ldap.SCOPE_SUBTREE
+
+        self.ldapPort = ldap.PORT
+        self.ldapVersion  = ldap.VERSION3
+        self.ldapSearchScope = ldap.SCOPE_SUBTREE
 
 
     def connect(self, bind = True):
@@ -56,8 +54,8 @@ class ldap_co:
         """
         try:
             self.ldapserv = ldap.open(self.ldapHost)
-        except ldap.LDAPError, e:
-            return {'bool' : False, 'message' : e }
+        except ldap.LDAPError, error:
+            return {'bool' : False, 'message' : error }
         
         # Bind with authentification
         if(bind): 
@@ -72,11 +70,13 @@ class ldap_co:
             # Opens a connection after a call to ldap.open in connect:
             self.ldapserv = ldap.initialize("ldap://" + self.ldapHost)
                 
-            # Bind/authenticate with a user with apropriate rights to add objects
-            self.ldapserv.simple_bind_s(self.ldapAdminDN, self.ldapAdminPassword)
+            # Bind/authenticate with a user with apropriate 
+            #rights to add objects
+            self.ldapserv.simple_bind_s(self.ldapAdminDN, \
+                                    self.ldapAdminPassword)
 
-        except ldap.LDAPError, e:
-            return {'bool' : False, 'message' : e }
+        except ldap.LDAPError, error:
+            return {'bool' : False, 'message' : error }
 
         return {'bool': True}
     
@@ -84,18 +84,18 @@ class ldap_co:
         """ Close the LDAP connection """
         try:
             self.ldapserv.unbind_s()
-        except ldap.LDAPError, e:
-            return {'bool' : False, 'message' : e }
+        except ldap.LDAPError, error:
+            return {'bool' : False, 'message' : error }
             
         
 class LDAPapi :
     def __init__(self):
-        #logger.setLevelDebug() 
+        logger.setLevelDebug() 
         #SFA related config
-        self.senslabauth=Hierarchy()
-        config=Config()
+        self.senslabauth = Hierarchy()
+        config = Config()
         
-        self.authname=config.SFA_REGISTRY_ROOT_AUTH
+        self.authname = config.SFA_REGISTRY_ROOT_AUTH
 
         self.conn =  ldap_co() 
         self.ldapUserQuotaNFS = self.conn.config.LDAP_USER_QUOTA_NFS 
@@ -103,18 +103,18 @@ class LDAPapi :
         self.ldapUserGidNumber = self.conn.config.LDAP_USER_GID_NUMBER 
         self.ldapUserHomePath = self.conn.config.LDAP_USER_HOME_PATH 
         
-        self.lengthPassword = 8
+        self.lengthPassword = 8
         self.baseDN = self.conn.ldapPeopleDN
         #authinfo=self.senslabauth.get_auth_info(self.authname)
         
         
-        self.charsPassword = [ '!','$','(',')','*','+',',','-','.',\
-                                '0','1','2','3','4','5','6','7','8','9',\
-                                'A','B','C','D','E','F','G','H','I','J',\
-                                'K','L','M','N','O','P','Q','R','S','T',\
-                                'U','V','W','X','Y','Z','_','a','b','c',\
-                                'd','e','f','g','h','i','j','k','l','m',\
-                                'n','o','p','q','r','s','t','u','v','w',\
+        self.charsPassword = [ '!','$','(',')','*','+',',','-','.', \
+                                '0','1','2','3','4','5','6','7','8','9', \
+                                'A','B','C','D','E','F','G','H','I','J', \
+                                'K','L','M','N','O','P','Q','R','S','T', \
+                                'U','V','W','X','Y','Z','_','a','b','c', \
+                                'd','e','f','g','h','i','j','k','l','m', \
+                                'n','o','p','q','r','s','t','u','v','w', \
                                 'x','y','z','\'']
         
         self.ldapShell = '/bin/bash'
@@ -142,21 +142,21 @@ class LDAPapi :
         getAttrs = ['uid']
         if length_last_name >= login_max_length :
             login = lower_last_name[0:login_max_length]
-            index = 0;
-            logger.debug("login : %s index : %s" %(login,index))
+            index = 0
+            logger.debug("login : %s index : %s" %(login, index))
         elif length_last_name >= 4 :
             login = lower_last_name
             index = 0
-            logger.debug("login : %s index : %s" %(login,index))
+            logger.debug("login : %s index : %s" %(login, index))
         elif length_last_name == 3 :
             login = lower_first_name[0:1] + lower_last_name
             index = 1
-            logger.debug("login : %s index : %s" %(login,index))
+            logger.debug("login : %s index : %s" %(login, index))
         elif length_last_name == 2:
             if len ( lower_first_name) >=2:
                 login = lower_first_name[0:2] + lower_last_name
                 index = 2
-                logger.debug("login : %s index : %s" %(login,index))
+                logger.debug("login : %s index : %s" %(login, index))
             else:
                 logger.error("LoginException : \
                             Generation login error with \
@@ -168,11 +168,11 @@ class LDAPapi :
                             impossible to generate unique login for %s %s" \
                             %(lower_first_name,lower_last_name))
             
-        filter = '(uid=' + login + ')'
+        login_filter = '(uid=' + login + ')'
         
         try :
             #Check if login already in use
-            while (len(self.LdapSearch(filter, getAttrs)) is not 0 ):
+            while (len(self.LdapSearch(login_filter, getAttrs)) is not 0 ):
             
                 index += 1
                 if index >= 9:
@@ -182,15 +182,15 @@ class LDAPapi :
                     try:
                         login = lower_first_name[0:index] + \
                                     lower_last_name[0:login_max_length-index]
-                        filter = '(uid='+ login+ ')'
+                        login_filter = '(uid='+ login+ ')'
                     except KeyError:
                         print "lower_first_name - lower_last_name too short"
                         
             logger.debug("LDAP.API \t generate_login login %s" %(login))
             return login
                     
-        except  ldap.LDAPError,e :
-            logger.log_exc("LDAP generate_login Error %s" %e)
+        except  ldap.LDAPError, error :
+            logger.log_exc("LDAP generate_login Error %s" %error)
             return None
 
         
@@ -204,19 +204,19 @@ class LDAPapi :
         password = str()
         length = len(self.charsPassword)
         for index in range(self.lengthPassword):
-            char_index = random.randint(0,length-1)
+            char_index = random.randint(0, length-1)
             password += self.charsPassword[char_index]
 
         return password
 
     def encrypt_password(self, password):
-       """ Use passlib library to make a RFC2307 LDAP encrypted password
-       salt size = 8, use sha-1 algorithm. Returns encrypted password.
-       
-       """
-       #Keep consistency with Java Senslab's LDAP API 
-       #RFC2307SSHAPasswordEncryptor so set the salt size to 8 bytres
-       return lssha.encrypt(password,salt_size = 8)
+        """ Use passlib library to make a RFC2307 LDAP encrypted password
+        salt size = 8, use sha-1 algorithm. Returns encrypted password.
+        
+        """
+        #Keep consistency with Java Senslab's LDAP API 
+        #RFC2307SSHAPasswordEncryptor so set the salt size to 8 bytres
+        return lssha.encrypt(password,salt_size = 8)
     
 
 
@@ -229,9 +229,9 @@ class LDAPapi :
         """
         #First, get all the users in the LDAP
         getAttrs = "(uidNumber=*)"
-        filter = ['uidNumber']
+        login_filter = ['uidNumber']
 
-        result_data = self.LdapSearch(getAttrs, filter) 
+        result_data = self.LdapSearch(getAttrs, login_filter) 
         #It there is no user in LDAP yet, First LDAP user
         if result_data == []:
             max_uidnumber = self.ldapUserUidNumberMin
@@ -244,19 +244,21 @@ class LDAPapi :
             max_uidnumber = max(uidNumberList) + 1
             
         return str(max_uidnumber)
-        
-    #TODO ; Get ssh public key from sfa record   
-    #To be filled by N. Turro                
-    def get_ssh_pkey(self, record):
-        return 'A REMPLIR '
          
          
-    #TODO Handle OR filtering in the ldap query when 
-    #dealing with a list of records instead of doing a for loop in GetPersons   
-    def make_ldap_filters_from_record(self, record=None):
+    def get_ssh_pkey(self, record):
+        """TODO ; Get ssh public key from sfa record  
+        To be filled by N. Turro ? or using GID pl way?
+        
         """
+        return 'A REMPLIR '
+
+    def make_ldap_filters_from_record(self, record=None):
+        """TODO Handle OR filtering in the ldap query when 
+        dealing with a list of records instead of doing a for loop in GetPersons   
         Helper function to make LDAP filter requests out of SFA records.
         """
+        req_ldap = ''
         req_ldapdict = {}
         if record :
             if 'first_name' in record  and 'last_name' in record:
@@ -266,6 +268,11 @@ class LDAPapi :
                 req_ldapdict['mail'] = record['email']
             if 'mail' in record:
                 req_ldapdict['mail'] = record['mail']
+            if 'enabled' in record:
+                if record['enabled'] == True :
+                    req_ldapdict['shadowExpire'] = '-1'
+                else:
+                    req_ldapdict['shadowExpire'] = '0'
                 
             #Hrn should not be part of the filter because the hrn 
             #presented by a certificate of a SFA user not imported in 
@@ -284,17 +291,17 @@ class LDAPapi :
                 #login=splited_hrn[1]
                 #req_ldapdict['uid'] = login
             
-            req_ldap=''
+
             logger.debug("\r\n \t LDAP.PY make_ldap_filters_from_record \
                                 record %s req_ldapdict %s" \
                                 %(record, req_ldapdict))
             
             for k in req_ldapdict:
-                req_ldap += '('+str(k)+'='+str(req_ldapdict[k])+')'
+                req_ldap += '('+ str(k)+ '=' + str(req_ldapdict[k]) + ')'
             if  len(req_ldapdict.keys()) >1 :
                 req_ldap = req_ldap[:0]+"(&"+req_ldap[0:]
                 size = len(req_ldap)
-                req_ldap= req_ldap[:(size-1)] +')'+ req_ldap[(size-1):]
+                req_ldap = req_ldap[:(size-1)] +')'+ req_ldap[(size-1):]
         else:
             req_ldap = "(cn=*)"
         
@@ -307,9 +314,9 @@ class LDAPapi :
         """
 
         attrs = {}
-        attrs['objectClass'] = ["top", "person", "inetOrgPerson",\
-                                    "organizationalPerson", "posixAccount",\
-                                    "shadowAccount", "systemQuotas",\
+        attrs['objectClass'] = ["top", "person", "inetOrgPerson", \
+                                    "organizationalPerson", "posixAccount", \
+                                    "shadowAccount", "systemQuotas", \
                                     "ldapPublicKey"]
         
         attrs['givenName'] = str(record['first_name']).lower().capitalize()
@@ -324,8 +331,10 @@ class LDAPapi :
         attrs['gidNumber'] = self.ldapUserGidNumber
         attrs['uidNumber'] = self.find_max_uidNumber()
         attrs['mail'] = record['mail'].lower()
-        
-        attrs['sshPublicKey'] = self.get_ssh_pkey(record) 
+        try:
+            attrs['sshPublicKey'] = record['pkey']
+        except KeyError:
+            attrs['sshPublicKey'] = self.get_ssh_pkey(record) 
         
 
         #Password is automatically generated because SFA user don't go 
@@ -353,7 +362,7 @@ class LDAPapi :
 
 
 
-    def LdapAddUser(self, record = None) :
+    def LdapAddUser(self, record) :
         """Add SFA user to LDAP if it is not in LDAP  yet. """
         
         user_ldap_attrs = self.make_ldap_attributes_from_record(record)
@@ -363,8 +372,9 @@ class LDAPapi :
         filter_by = self.make_ldap_filters_from_record(user_ldap_attrs)
         user_exist = self.LdapSearch(filter_by)
         if user_exist:
-            logger.warning(" \r\n \t LDAP LdapAddUser user %s %s already exists" \
-                            %(user_ldap_attrs['sn'],user_ldap_attrs['mail'])) 
+            logger.warning(" \r\n \t LDAP LdapAddUser user %s %s \
+                        already exists" %(user_ldap_attrs['sn'], \
+                        user_ldap_attrs['mail'])) 
             return {'bool': False}
         
         #Bind to the server
@@ -389,9 +399,9 @@ class LDAPapi :
                         %(user_ldap_attrs['cn'] ,user_ldap_attrs['uid']))
                         
                         
-            except ldap.LDAPError, e:
-                logger.log_exc("LDAP Add Error %s" %e)
-                return {'bool' : False, 'message' : e }
+            except ldap.LDAPError, error:
+                logger.log_exc("LDAP Add Error %s" %error)
+                return {'bool' : False, 'message' : error }
         
             self.conn.close()
             return {'bool': True}  
@@ -411,8 +421,8 @@ class LDAPapi :
                 self.conn.close()
                 return {'bool': True}
             
-            except ldap.LDAPError, e:
-                logger.log_exc("LDAP Delete Error %s" %e)
+            except ldap.LDAPError, error:
+                logger.log_exc("LDAP Delete Error %s" %error)
                 return {'bool': False}
         
     
@@ -423,7 +433,7 @@ class LDAPapi :
         #Find uid of the  person 
         person = self.LdapFindUser(record_filter,[])
         logger.debug("LDAPapi.py \t LdapDeleteUser record %s person %s" \
-        %(record_filter,person))
+        %(record_filter, person))
 
         if person:
             dn = 'uid=' + person['uid'] + "," +self.baseDN 
@@ -445,8 +455,8 @@ class LDAPapi :
                 self.conn.ldapserv.modify_s(dn,ldif)
                 self.conn.close()
                 return {'bool' : True }
-            except ldap.LDAPError, e:
-                logger.log_exc("LDAP LdapModify Error %s" %e)
+            except ldap.LDAPError, error:
+                logger.log_exc("LDAP LdapModify Error %s" %error)
                 return {'bool' : False }
     
         
@@ -465,13 +475,14 @@ class LDAPapi :
         #person = self.LdapFindUser(record_filter,[])
         req_ldap = self.make_ldap_filters_from_record(user_record)
         person_list = self.LdapSearch(req_ldap,[])
-        logger.debug("LDAPapi.py \t LdapModifyUser person_list : %s" %(person_list))
+        logger.debug("LDAPapi.py \t LdapModifyUser person_list : %s" \
+                                                        %(person_list))
         if person_list and len(person_list) > 1 :
             logger.error("LDAP \t LdapModifyUser Too many users returned")
             return {'bool': False}
         if person_list is None :
             logger.error("LDAP \t LdapModifyUser  User %s doesn't exist "\
-                        %(user_uid_login))
+                        %(user_record))
             return {'bool': False} 
         
         # The dn of our existing entry/object
@@ -495,6 +506,19 @@ class LDAPapi :
             return {'bool': False} 
             
             
+            
+            
+    def LdapMarkUserAsDeleted(self, record): 
+
+        
+        new_attrs = {}
+        #Disable account
+        new_attrs['shadowExpire'] = '0'
+        logger.debug(" LDAPapi.py \t LdapMarkUserAsDeleted ")
+        ret = self.LdapModifyUser(record, new_attrs)
+        return ret
+
+            
     def LdapResetPassword(self,record):
         """
         Resets password for the user whose record is the parameter and changes
@@ -522,20 +546,22 @@ class LDAPapi :
             
             return_fields_list = []
             if expected_fields == None : 
-                return_fields_list = ['mail','givenName', 'sn', 'uid','sshPublicKey']
+                return_fields_list = ['mail','givenName', 'sn', 'uid', \
+                                        'sshPublicKey', 'shadowExpire']
             else : 
                 return_fields_list = expected_fields
-            #No specifc request specified, gert the whole LDAP    
+            #No specifc request specified, get the whole LDAP    
             if req_ldap == None:
-               req_ldap = '(cn=*)'
+                req_ldap = '(cn=*)'
                
             logger.debug("LDAP.PY \t LdapSearch  req_ldap %s \
-                            return_fields_list %s" %(req_ldap,return_fields_list))
+                                    return_fields_list %s" \
+                                    %(req_ldap, return_fields_list))
 
             try:
                 msg_id = self.conn.ldapserv.search(
                                             self.baseDN,ldap.SCOPE_SUBTREE,\
-                                            req_ldap,return_fields_list)     
+                                            req_ldap, return_fields_list)     
                 #Get all the results matching the search from ldap in one 
                 #shot (1 value)
                 result_type, result_data = \
@@ -548,30 +574,38 @@ class LDAPapi :
 
                 return result_data
             
-            except  ldap.LDAPError,e :
-                logger.log_exc("LDAP LdapSearch Error %s" %e)
+            except  ldap.LDAPError,error :
+                logger.log_exc("LDAP LdapSearch Error %s" %error)
                 return []
             
             else:
                 logger.error("LDAP.PY \t Connection Failed" )
                 return 
-            
-
-    def LdapFindUser(self,record = None, expected_fields = None):
+        
+    def LdapFindUser(self, record = None, is_user_enabled=None, \
+            expected_fields = None):
         """
         Search a SFA user with a hrn. User should be already registered 
         in Senslab LDAP. 
         Returns one matching entry 
         """   
+        custom_record = {}
+        if is_user_enabled: 
+          
+            custom_record['enabled'] = is_user_enabled
+        if record:  
+            custom_record.update(record)
+
 
-        req_ldap = self.make_ldap_filters_from_record(record) 
+        req_ldap = self.make_ldap_filters_from_record(custom_record)     
         return_fields_list = []
         if expected_fields == None : 
-            return_fields_list = ['mail','givenName', 'sn', 'uid','sshPublicKey']
+            return_fields_list = ['mail','givenName', 'sn', 'uid', \
+                                    'sshPublicKey']
         else : 
             return_fields_list = expected_fields
             
-        result_data = self.LdapSearch(req_ldap,  return_fields_list )
+        result_data = self.LdapSearch(req_ldap, return_fields_list )
         logger.debug("LDAP.PY \t LdapFindUser  result_data %s" %(result_data))
            
         if len(result_data) is 0:
@@ -615,9 +649,9 @@ class LDAPapi :
                             'pointer' : -1,
                             'hrn': hrn,
                             }
-            except KeyError,e:
+            except KeyError,error:
                 logger.log_exc("LDAPapi \t LdaFindUser KEyError %s" \
-                                %e )
+                                %error )
                 return
         else:
         #Asked for all users in ldap
@@ -652,8 +686,9 @@ class LDAPapi :
                             'pointer' : -1,
                             'hrn': hrn,
                             } ) 
-                except KeyError,e:
-                    logger.log_exc("LDAPapi.PY \t LdapFindUser EXCEPTION %s" %(e))
+                except KeyError,error:
+                    logger.log_exc("LDAPapi.PY \t LdapFindUser EXCEPTION %s" \
+                                                %(error))
                     return
         return results   
             
sfa