sfa/trust/hierarchy.py

   1 ##
   2 # This module implements a hierarchy of authorities and performs a similar
   3 # function as the "tree" module of the original SFA prototype. An HRN
   4 # is assumed to be a string of authorities separated by dots. For example,
   5 # "planetlab.us.arizona.bakers". Each component of the HRN is a different
   6 # authority, with the last component being a leaf in the tree.
   7 #
   8 # Each authority is stored in a subdirectory on the registry. Inside this
   9 # subdirectory are several files:
  10 #      *.GID - GID file
  11 #      *.PKEY - private key file
  12 #      *.DBINFO - database info
  13 ##
  14
  15 import os
  16
  17 from sfa.util.faults import MissingAuthority
  18 from sfa.util.sfalogging import logger
  19 from sfa.util.xrn import get_leaf, get_authority, hrn_to_urn, urn_to_hrn
  20 from sfa.trust.certificate import Keypair
  21 from sfa.trust.credential import Credential
  22 from sfa.trust.gid import GID, create_uuid
  23 from sfa.util.config import Config
  24 from sfa.trust.sfaticket import SfaTicket
  25
  26 ##
  27 # The AuthInfo class contains the information for an authority. This information
  28 # includes the GID, private key, and database connection information.
  29
  30 class AuthInfo:
  31     hrn = None
  32     gid_object = None
  33     gid_filename = None
  34     privkey_filename = None
  35     dbinfo_filename = None
  36     ##
  37     # Initialize and authority object.
  38     #
  39     # @param xrn the human readable name of the authority (urn will be converted to hrn)
  40     # @param gid_filename the filename containing the GID
  41     # @param privkey_filename the filename containing the private key
  42     # @param dbinfo_filename the filename containing the database info
  43
  44     def __init__(self, xrn, gid_filename, privkey_filename, dbinfo_filename):
  45         hrn, type = urn_to_hrn(xrn)
  46         self.hrn = hrn
  47         self.set_gid_filename(gid_filename)
  48         self.privkey_filename = privkey_filename
  49         self.dbinfo_filename = dbinfo_filename
  50
  51     ##
  52     # Set the filename of the GID
  53     #
  54     # @param fn filename of file containing GID
  55
  56     def set_gid_filename(self, fn):
  57         self.gid_filename = fn
  58         self.gid_object = None
  59
  60     def get_privkey_filename(self):
  61         return self.privkey_filename
  62
  63     def get_gid_filename(self):
  64         return self.gid_filename
  65
  66     ##
  67     # Get the GID in the form of a GID object
  68
  69     def get_gid_object(self):
  70         if not self.gid_object:
  71             self.gid_object = GID(filename = self.gid_filename)
  72         return self.gid_object
  73
  74     ##
  75     # Get the private key in the form of a Keypair object
  76
  77     def get_pkey_object(self):
  78         return Keypair(filename = self.privkey_filename)
  79
  80     ##
  81     # Get the dbinfo in the form of a dictionary
  82
  83     def get_dbinfo(self):
  84         f = file(self.dbinfo_filename)
  85         dict = eval(f.read())
  86         f.close()
  87         return dict
  88
  89     ##
  90     # Replace the GID with a new one. The file specified by gid_filename is
  91     # overwritten with the new GID object
  92     #
  93     # @param gid object containing new GID
  94
  95     def update_gid_object(self, gid):
  96         gid.save_to_file(self.gid_filename)
  97         self.gid_object = gid
  98
  99 ##
 100 # The Hierarchy class is responsible for managing the tree of authorities.
 101 # Each authority is a node in the tree and exists as an AuthInfo object.
 102 #
 103 # The tree is stored on disk in a hierarchical manner than reflects the
 104 # structure of the tree. Each authority is a subdirectory, and each subdirectory
 105 # contains the GID, pkey, and dbinfo files for that authority (as well as
 106 # subdirectories for each sub-authority)
 107
 108 class Hierarchy:
 109     ##
 110     # Create the hierarchy object.
 111     #
 112     # @param basedir the base directory to store the hierarchy in
 113
 114     def __init__(self, basedir = None):
 115         self.config = Config()
 116         if not basedir:
 117             basedir = os.path.join(self.config.SFA_DATA_DIR, "authorities")
 118         self.basedir = basedir
 119     ##
 120     # Given a hrn, return the filenames of the GID, private key, and dbinfo
 121     # files.
 122     #
 123     # @param xrn the human readable name of the authority (urn will be convertd to hrn)
 124
 125     def get_auth_filenames(self, xrn):
 126         hrn, type = urn_to_hrn(xrn)
 127         leaf = get_leaf(hrn)
 128         parent_hrn = get_authority(hrn)
 129         directory = os.path.join(self.basedir, hrn.replace(".", "/"))
 130
 131         gid_filename = os.path.join(directory, leaf+".gid")
 132         privkey_filename = os.path.join(directory, leaf+".pkey")
 133         dbinfo_filename = os.path.join(directory, leaf+".dbinfo")
 134
 135         return (directory, gid_filename, privkey_filename, dbinfo_filename)
 136
 137     ##
 138     # Check to see if an authority exists. An authority exists if it's disk
 139     # files exist.
 140     #
 141     # @param the human readable name of the authority to check
 142
 143     def auth_exists(self, xrn):
 144         hrn, type = urn_to_hrn(xrn)
 145         (directory, gid_filename, privkey_filename, dbinfo_filename) = \
 146             self.get_auth_filenames(hrn)
 147
 148         return os.path.exists(gid_filename) and \
 149                os.path.exists(privkey_filename) and \
 150                os.path.exists(dbinfo_filename)
 151
 152     ##
 153     # Create an authority. A private key for the authority and the associated
 154     # GID are created and signed by the parent authority.
 155     #
 156     # @param xrn the human readable name of the authority to create (urn will be converted to hrn)
 157     # @param create_parents if true, also create the parents if they do not exist
 158
 159     def create_auth(self, xrn, create_parents=False):
 160         hrn, type = urn_to_hrn(xrn)
 161         logger.debug("Hierarchy: creating authority: %s"% hrn)
 162
 163         # create the parent authority if necessary
 164         parent_hrn = get_authority(hrn)
 165         parent_urn = hrn_to_urn(parent_hrn, 'authority')
 166         if (parent_hrn) and (not self.auth_exists(parent_urn)) and (create_parents):
 167             self.create_auth(parent_urn, create_parents)
 168
 169         (directory, gid_filename, privkey_filename, dbinfo_filename) = \
 170             self.get_auth_filenames(hrn)
 171
 172         # create the directory to hold the files
 173         try:
 174             os.makedirs(directory)
 175         # if the path already exists then pass
 176         except OSError, (errno, strerr):
 177             if errno == 17:
 178                 pass
 179
 180         if os.path.exists(privkey_filename):
 181             logger.debug("using existing key %r for authority %r"%(privkey_filename,hrn))
 182             pkey = Keypair(filename = privkey_filename)
 183         else:
 184             pkey = Keypair(create = True)
 185             pkey.save_to_file(privkey_filename)
 186
 187         gid = self.create_gid(xrn, create_uuid(), pkey)
 188         gid.save_to_file(gid_filename, save_parents=True)
 189
 190         # XXX TODO: think up a better way for the dbinfo to work
 191
 192         dbinfo = Config().get_plc_dbinfo()
 193         dbinfo_file = file(dbinfo_filename, "w")
 194         dbinfo_file.write(str(dbinfo))
 195         dbinfo_file.close()
 196
 197     def create_top_level_auth(self, hrn=None):
 198         """
 199         Create top level records (includes root and sub authorities (local/remote)
 200         """
 201         if not hrn:
 202             hrn = self.config.SFA_INTERFACE_HRN
 203
 204         # make sure parent exists
 205         parent_hrn = get_authority(hrn)
 206         if not parent_hrn:
 207             parent_hrn = hrn
 208         if not parent_hrn == hrn:
 209             self.create_top_level_auth(parent_hrn)
 210
 211         # create the authority if it doesnt alrady exist
 212         if not self.auth_exists(hrn):
 213             self.create_auth(hrn)
 214
 215
 216     def get_interface_auth_info(self, create=True):
 217         hrn = self.config.SFA_INTERFACE_HRN
 218         if not self.auth_exists(hrn):
 219             if create==True:
 220                 self.create_top_level_auth(hrn)
 221             else:
 222                 raise MissingAuthority(hrn)
 223         return self.get_auth_info(hrn)
 224     ##
 225     # Return the AuthInfo object for the specified authority. If the authority
 226     # does not exist, then an exception is thrown. As a side effect, disk files
 227     # and a subdirectory may be created to store the authority.
 228     #
 229     # @param xrn the human readable name of the authority to create (urn will be converted to hrn).
 230
 231     def get_auth_info(self, xrn):
 232         hrn, type = urn_to_hrn(xrn)
 233         if not self.auth_exists(hrn):
 234             logger.warning("Hierarchy: missing authority - xrn=%s, hrn=%s"%(xrn,hrn))
 235             raise MissingAuthority(hrn)
 236
 237         (directory, gid_filename, privkey_filename, dbinfo_filename) = \
 238             self.get_auth_filenames(hrn)
 239
 240         auth_info = AuthInfo(hrn, gid_filename, privkey_filename, dbinfo_filename)
 241
 242         # check the GID and see if it needs to be refreshed
 243         gid = auth_info.get_gid_object()
 244         gid_refreshed = self.refresh_gid(gid)
 245         if gid != gid_refreshed:
 246             auth_info.update_gid_object(gid_refreshed)
 247
 248         return auth_info
 249
 250     ##
 251     # Create a new GID. The GID will be signed by the authority that is it's
 252     # immediate parent in the hierarchy (and recursively, the parents' GID
 253     # will be signed by its parent)
 254     #
 255     # @param hrn the human readable name to store in the GID
 256     # @param uuid the unique identifier to store in the GID
 257     # @param pkey the public key to store in the GID
 258
 259     def create_gid(self, xrn, uuid, pkey, CA=False):
 260         hrn, type = urn_to_hrn(xrn)
 261         parent_hrn = get_authority(hrn)
 262         # Using hrn_to_urn() here to make sure the urn is in the right format
 263         # If xrn was a hrn instead of a urn, then the gid's urn will be
 264         # of type None
 265         urn = hrn_to_urn(hrn, type)
 266         gid = GID(subject=hrn, uuid=uuid, hrn=hrn, urn=urn)
 267
 268         # is this a CA cert
 269         if hrn == self.config.SFA_INTERFACE_HRN or not parent_hrn:
 270             # root or sub authority
 271             gid.set_intermediate_ca(True)
 272         elif type and 'authority' in type:
 273             # authority type
 274             gid.set_intermediate_ca(True)
 275         elif CA:
 276             gid.set_intermediate_ca(True)
 277         else:
 278             gid.set_intermediate_ca(False)
 279
 280         # set issuer
 281         if not parent_hrn or hrn == self.config.SFA_INTERFACE_HRN:
 282             # if there is no parent hrn, then it must be self-signed. this
 283             # is where we terminate the recursion
 284             gid.set_issuer(pkey, hrn)
 285         else:
 286             # we need the parent's private key in order to sign this GID
 287             parent_auth_info = self.get_auth_info(parent_hrn)
 288             gid.set_issuer(parent_auth_info.get_pkey_object(), parent_auth_info.hrn)
 289             gid.set_parent(parent_auth_info.get_gid_object())
 290
 291         gid.set_pubkey(pkey)
 292         gid.encode()
 293         gid.sign()
 294
 295         return gid
 296
 297     ##
 298     # Refresh a GID. The primary use of this function is to refresh the
 299     # the expiration time of the GID. It may also be used to change the HRN,
 300     # UUID, or Public key of the GID.
 301     #
 302     # @param gid the GID to refresh
 303     # @param hrn if !=None, change the hrn
 304     # @param uuid if !=None, change the uuid
 305     # @param pubkey if !=None, change the public key
 306
 307     def refresh_gid(self, gid, xrn=None, uuid=None, pubkey=None):
 308         # TODO: compute expiration time of GID, refresh it if necessary
 309         gid_is_expired = False
 310
 311         # update the gid if we need to
 312         if gid_is_expired or xrn or uuid or pubkey:
 313
 314             if not xrn:
 315                 xrn = gid.get_urn()
 316             if not uuid:
 317                 uuid = gid.get_uuid()
 318             if not pubkey:
 319                 pubkey = gid.get_pubkey()
 320
 321             gid = self.create_gid(xrn, uuid, pubkey)
 322
 323         return gid
 324
 325     ##
 326     # Retrieve an authority credential for an authority. The authority
 327     # credential will contain the authority privilege and will be signed by
 328     # the authority's parent.
 329     #
 330     # @param hrn the human readable name of the authority (urn is converted to hrn)
 331     # @param authority type of credential to return (authority | sa | ma)
 332
 333     def get_auth_cred(self, xrn, kind="authority"):
 334         hrn, type = urn_to_hrn(xrn)
 335         auth_info = self.get_auth_info(hrn)
 336         gid = auth_info.get_gid_object()
 337
 338         cred = Credential(subject=hrn)
 339         cred.set_gid_caller(gid)
 340         cred.set_gid_object(gid)
 341         cred.set_privileges(kind)
 342         cred.get_privileges().delegate_all_privileges(True)
 343         #cred.set_pubkey(auth_info.get_gid_object().get_pubkey())
 344
 345         parent_hrn = get_authority(hrn)
 346         if not parent_hrn or hrn == self.config.SFA_INTERFACE_HRN:
 347             # if there is no parent hrn, then it must be self-signed. this
 348             # is where we terminate the recursion
 349             cred.set_issuer_keys(auth_info.get_privkey_filename(), auth_info.get_gid_filename())
 350         else:
 351             # we need the parent's private key in order to sign this GID
 352             parent_auth_info = self.get_auth_info(parent_hrn)
 353             cred.set_issuer_keys(parent_auth_info.get_privkey_filename(), parent_auth_info.get_gid_filename())
 354
 355
 356             cred.set_parent(self.get_auth_cred(parent_hrn, kind))
 357
 358         cred.encode()
 359         cred.sign()
 360
 361         return cred
 362     ##
 363     # Retrieve an authority ticket. An authority ticket is not actually a
 364     # redeemable ticket, but only serves the purpose of being included as the
 365     # parent of another ticket, in order to provide a chain of authentication
 366     # for a ticket.
 367     #
 368     # This looks almost the same as get_auth_cred, but works for tickets
 369     # XXX does similarity imply there should be more code re-use?
 370     #
 371     # @param xrn the human readable name of the authority (urn is converted to hrn)
 372
 373     def get_auth_ticket(self, xrn):
 374         hrn, type = urn_to_hrn(xrn)
 375         auth_info = self.get_auth_info(hrn)
 376         gid = auth_info.get_gid_object()
 377
 378         ticket = SfaTicket(subject=hrn)
 379         ticket.set_gid_caller(gid)
 380         ticket.set_gid_object(gid)
 381         ticket.set_delegate(True)
 382         ticket.set_pubkey(auth_info.get_gid_object().get_pubkey())
 383
 384         parent_hrn = get_authority(hrn)
 385         if not parent_hrn:
 386             # if there is no parent hrn, then it must be self-signed. this
 387             # is where we terminate the recursion
 388             ticket.set_issuer(auth_info.get_pkey_object(), hrn)
 389         else:
 390             # we need the parent's private key in order to sign this GID
 391             parent_auth_info = self.get_auth_info(parent_hrn)
 392             ticket.set_issuer(parent_auth_info.get_pkey_object(), parent_auth_info.hrn)
 393             ticket.set_parent(self.get_auth_cred(parent_hrn))
 394
 395         ticket.encode()
 396         ticket.sign()
 397
 398         return ticket
 399