sfa/trust/hierarchy.py

   1 ##
   2 # This module implements a hierarchy of authorities and performs a similar
   3 # function as the "tree" module of the original SFA prototype. An HRN
   4 # is assumed to be a string of authorities separated by dots. For example,
   5 # "planetlab.us.arizona.bakers". Each component of the HRN is a different
   6 # authority, with the last component being a leaf in the tree.
   7 #
   8 # Each authority is stored in a subdirectory on the registry. Inside this
   9 # subdirectory are several files:
  10 #      *.GID - GID file
  11 #      *.PKEY - private key file
  12 #      *.DBINFO - database info
  13 ##
  14
  15 import os
  16
  17 from sfa.util.faults import *
  18 from sfa.util.sfalogging import logger
  19 from sfa.util.xrn import get_leaf, get_authority, hrn_to_urn, urn_to_hrn
  20 from sfa.trust.certificate import Keypair
  21 from sfa.trust.credential import Credential
  22 from sfa.trust.gid import GID, create_uuid
  23 from sfa.util.config import Config
  24 from sfa.util.sfaticket import SfaTicket
  25
  26 ##
  27 # The AuthInfo class contains the information for an authority. This information
  28 # includes the GID, private key, and database connection information.
  29
  30 class AuthInfo:
  31     hrn = None
  32     gid_object = None
  33     gid_filename = None
  34     privkey_filename = None
  35     dbinfo_filename = None
  36     ##
  37     # Initialize and authority object.
  38     #
  39     # @param xrn the human readable name of the authority (urn will be converted to hrn)
  40     # @param gid_filename the filename containing the GID
  41     # @param privkey_filename the filename containing the private key
  42     # @param dbinfo_filename the filename containing the database info
  43
  44     def __init__(self, xrn, gid_filename, privkey_filename, dbinfo_filename):
  45         hrn, type = urn_to_hrn(xrn)
  46         self.hrn = hrn
  47         self.set_gid_filename(gid_filename)
  48         self.privkey_filename = privkey_filename
  49         self.dbinfo_filename = dbinfo_filename
  50
  51     ##
  52     # Set the filename of the GID
  53     #
  54     # @param fn filename of file containing GID
  55
  56     def set_gid_filename(self, fn):
  57         self.gid_filename = fn
  58         self.gid_object = None
  59
  60     def get_privkey_filename(self):
  61         return self.privkey_filename
  62
  63     def get_gid_filename(self):
  64         return self.gid_filename
  65
  66     ##
  67     # Get the GID in the form of a GID object
  68
  69     def get_gid_object(self):
  70         if not self.gid_object:
  71             self.gid_object = GID(filename = self.gid_filename)
  72         return self.gid_object
  73
  74     ##
  75     # Get the private key in the form of a Keypair object
  76
  77     def get_pkey_object(self):
  78         return Keypair(filename = self.privkey_filename)
  79
  80     ##
  81     # Get the dbinfo in the form of a dictionary
  82
  83     def get_dbinfo(self):
  84         f = file(self.dbinfo_filename)
  85         dict = eval(f.read())
  86         f.close()
  87         return dict
  88
  89     ##
  90     # Replace the GID with a new one. The file specified by gid_filename is
  91     # overwritten with the new GID object
  92     #
  93     # @param gid object containing new GID
  94
  95     def update_gid_object(self, gid):
  96         gid.save_to_file(self.gid_filename)
  97         self.gid_object = gid
  98
  99 ##
 100 # The Hierarchy class is responsible for managing the tree of authorities.
 101 # Each authority is a node in the tree and exists as an AuthInfo object.
 102 #
 103 # The tree is stored on disk in a hierarchical manner than reflects the
 104 # structure of the tree. Each authority is a subdirectory, and each subdirectory
 105 # contains the GID, pkey, and dbinfo files for that authority (as well as
 106 # subdirectories for each sub-authority)
 107
 108 class Hierarchy:
 109     ##
 110     # Create the hierarchy object.
 111     #
 112     # @param basedir the base directory to store the hierarchy in
 113
 114     def __init__(self, basedir = None):
 115         if not basedir:
 116             self.config = Config()
 117             basedir = os.path.join(self.config.SFA_DATA_DIR, "authorities")
 118         self.basedir = basedir
 119     ##
 120     # Given a hrn, return the filenames of the GID, private key, and dbinfo
 121     # files.
 122     #
 123     # @param xrn the human readable name of the authority (urn will be convertd to hrn)
 124
 125     def get_auth_filenames(self, xrn):
 126         hrn, type = urn_to_hrn(xrn)
 127         leaf = get_leaf(hrn)
 128         parent_hrn = get_authority(hrn)
 129         directory = os.path.join(self.basedir, hrn.replace(".", "/"))
 130
 131         gid_filename = os.path.join(directory, leaf+".gid")
 132         privkey_filename = os.path.join(directory, leaf+".pkey")
 133         dbinfo_filename = os.path.join(directory, leaf+".dbinfo")
 134
 135         return (directory, gid_filename, privkey_filename, dbinfo_filename)
 136
 137     ##
 138     # Check to see if an authority exists. An authority exists if it's disk
 139     # files exist.
 140     #
 141     # @param the human readable name of the authority to check
 142
 143     def auth_exists(self, xrn):
 144         hrn, type = urn_to_hrn(xrn)
 145         (directory, gid_filename, privkey_filename, dbinfo_filename) = \
 146             self.get_auth_filenames(hrn)
 147
 148         return os.path.exists(gid_filename) and \
 149                os.path.exists(privkey_filename) and \
 150                os.path.exists(dbinfo_filename)
 151
 152     ##
 153     # Create an authority. A private key for the authority and the associated
 154     # GID are created and signed by the parent authority.
 155     #
 156     # @param xrn the human readable name of the authority to create (urn will be converted to hrn)
 157     # @param create_parents if true, also create the parents if they do not exist
 158
 159     def create_auth(self, xrn, create_parents=False):
 160         hrn, type = urn_to_hrn(xrn)
 161         logger.debug("Hierarchy: creating authority: %s"% hrn)
 162
 163         # create the parent authority if necessary
 164         parent_hrn = get_authority(hrn)
 165         parent_urn = hrn_to_urn(parent_hrn, 'authority')
 166         if (parent_hrn) and (not self.auth_exists(parent_urn)) and (create_parents):
 167             self.create_auth(parent_urn, create_parents)
 168
 169         (directory, gid_filename, privkey_filename, dbinfo_filename) = \
 170             self.get_auth_filenames(hrn)
 171
 172         # create the directory to hold the files
 173         try:
 174             os.makedirs(directory)
 175         # if the path already exists then pass
 176         except OSError, (errno, strerr):
 177             if errno == 17:
 178                 pass
 179
 180         if os.path.exists(privkey_filename):
 181             logger.debug("using existing key %r for authority %r"%(privkey_filename,hrn))
 182             pkey = Keypair(filename = privkey_filename)
 183         else:
 184             pkey = Keypair(create = True)
 185             pkey.save_to_file(privkey_filename)
 186
 187         gid = self.create_gid(xrn, create_uuid(), pkey)
 188         gid.save_to_file(gid_filename, save_parents=True)
 189
 190         # XXX TODO: think up a better way for the dbinfo to work
 191
 192         dbinfo = Config().get_plc_dbinfo()
 193         dbinfo_file = file(dbinfo_filename, "w")
 194         dbinfo_file.write(str(dbinfo))
 195         dbinfo_file.close()
 196
 197     ##
 198     # Return the AuthInfo object for the specified authority. If the authority
 199     # does not exist, then an exception is thrown. As a side effect, disk files
 200     # and a subdirectory may be created to store the authority.
 201     #
 202     # @param xrn the human readable name of the authority to create (urn will be converted to hrn).
 203
 204     def get_auth_info(self, xrn):
 205         hrn, type = urn_to_hrn(xrn)
 206         if not self.auth_exists(hrn):
 207             logger.warning("Hierarchy: mising authority - xrn=%s, hrn=%s"%(xrn,hrn))
 208             raise MissingAuthority(hrn)
 209
 210         (directory, gid_filename, privkey_filename, dbinfo_filename) = \
 211             self.get_auth_filenames(hrn)
 212
 213         auth_info = AuthInfo(hrn, gid_filename, privkey_filename, dbinfo_filename)
 214
 215         # check the GID and see if it needs to be refreshed
 216         gid = auth_info.get_gid_object()
 217         gid_refreshed = self.refresh_gid(gid)
 218         if gid != gid_refreshed:
 219             auth_info.update_gid_object(gid_refreshed)
 220
 221         return auth_info
 222
 223     ##
 224     # Create a new GID. The GID will be signed by the authority that is it's
 225     # immediate parent in the hierarchy (and recursively, the parents' GID
 226     # will be signed by its parent)
 227     #
 228     # @param hrn the human readable name to store in the GID
 229     # @param uuid the unique identifier to store in the GID
 230     # @param pkey the public key to store in the GID
 231
 232     def create_gid(self, xrn, uuid, pkey):
 233         hrn, type = urn_to_hrn(xrn)
 234         parent_hrn = get_authority(hrn)
 235         # Using hrn_to_urn() here to make sure the urn is in the right format
 236         # If xrn was a hrn instead of a urn, then the gid's urn will be
 237         # of type None
 238         urn = hrn_to_urn(hrn, type)
 239         gid = GID(subject=hrn, uuid=uuid, hrn=hrn, urn=urn)
 240
 241         # is this a CA cert
 242         if hrn == self.config.SFA_INTERFACE_HRN or not parent_hrn:
 243             # root or sub authority
 244             gid.set_intermediate_ca(True)
 245         elif type and 'authority' in type:
 246             # authority type
 247             gid.set_intermediate_ca(True)
 248
 249         # set issuer
 250         if not parent_hrn or hrn == self.config.SFA_INTERFACE_HRN:
 251             # if there is no parent hrn, then it must be self-signed. this
 252             # is where we terminate the recursion
 253             gid.set_issuer(pkey, hrn)
 254         else:
 255             # we need the parent's private key in order to sign this GID
 256             parent_auth_info = self.get_auth_info(parent_hrn)
 257             gid.set_issuer(parent_auth_info.get_pkey_object(), parent_auth_info.hrn)
 258             gid.set_parent(parent_auth_info.get_gid_object())
 259
 260         gid.set_pubkey(pkey)
 261         gid.encode()
 262         gid.sign()
 263
 264         return gid
 265
 266     ##
 267     # Refresh a GID. The primary use of this function is to refresh the
 268     # the expiration time of the GID. It may also be used to change the HRN,
 269     # UUID, or Public key of the GID.
 270     #
 271     # @param gid the GID to refresh
 272     # @param hrn if !=None, change the hrn
 273     # @param uuid if !=None, change the uuid
 274     # @param pubkey if !=None, change the public key
 275
 276     def refresh_gid(self, gid, xrn=None, uuid=None, pubkey=None):
 277         # TODO: compute expiration time of GID, refresh it if necessary
 278         gid_is_expired = False
 279
 280         # update the gid if we need to
 281         if gid_is_expired or xrn or uuid or pubkey:
 282
 283             if not xrn:
 284                 xrn = gid.get_urn()
 285             if not uuid:
 286                 uuid = gid.get_uuid()
 287             if not pubkey:
 288                 pubkey = gid.get_pubkey()
 289
 290             gid = self.create_gid(xrn, uuid, pubkey)
 291
 292         return gid
 293
 294     ##
 295     # Retrieve an authority credential for an authority. The authority
 296     # credential will contain the authority privilege and will be signed by
 297     # the authority's parent.
 298     #
 299     # @param hrn the human readable name of the authority (urn is converted to hrn)
 300     # @param authority type of credential to return (authority | sa | ma)
 301
 302     def get_auth_cred(self, xrn, kind="authority"):
 303         hrn, type = urn_to_hrn(xrn)
 304         auth_info = self.get_auth_info(hrn)
 305         gid = auth_info.get_gid_object()
 306
 307         cred = Credential(subject=hrn)
 308         cred.set_gid_caller(gid)
 309         cred.set_gid_object(gid)
 310         cred.set_privileges(kind)
 311         cred.get_privileges().delegate_all_privileges(True)
 312         #cred.set_pubkey(auth_info.get_gid_object().get_pubkey())
 313
 314         parent_hrn = get_authority(hrn)
 315         if not parent_hrn or hrn == self.config.SFA_INTERFACE_HRN:
 316             # if there is no parent hrn, then it must be self-signed. this
 317             # is where we terminate the recursion
 318             cred.set_issuer_keys(auth_info.get_privkey_filename(), auth_info.get_gid_filename())
 319         else:
 320             # we need the parent's private key in order to sign this GID
 321             parent_auth_info = self.get_auth_info(parent_hrn)
 322             cred.set_issuer_keys(parent_auth_info.get_privkey_filename(), parent_auth_info.get_gid_filename())
 323
 324
 325             cred.set_parent(self.get_auth_cred(parent_hrn, kind))
 326
 327         cred.encode()
 328         cred.sign()
 329
 330         return cred
 331     ##
 332     # Retrieve an authority ticket. An authority ticket is not actually a
 333     # redeemable ticket, but only serves the purpose of being included as the
 334     # parent of another ticket, in order to provide a chain of authentication
 335     # for a ticket.
 336     #
 337     # This looks almost the same as get_auth_cred, but works for tickets
 338     # XXX does similarity imply there should be more code re-use?
 339     #
 340     # @param xrn the human readable name of the authority (urn is converted to hrn)
 341
 342     def get_auth_ticket(self, xrn):
 343         hrn, type = urn_to_hrn(xrn)
 344         auth_info = self.get_auth_info(hrn)
 345         gid = auth_info.get_gid_object()
 346
 347         ticket = SfaTicket(subject=hrn)
 348         ticket.set_gid_caller(gid)
 349         ticket.set_gid_object(gid)
 350         ticket.set_delegate(True)
 351         ticket.set_pubkey(auth_info.get_gid_object().get_pubkey())
 352
 353         parent_hrn = get_authority(hrn)
 354         if not parent_hrn:
 355             # if there is no parent hrn, then it must be self-signed. this
 356             # is where we terminate the recursion
 357             ticket.set_issuer(auth_info.get_pkey_object(), hrn)
 358         else:
 359             # we need the parent's private key in order to sign this GID
 360             parent_auth_info = self.get_auth_info(parent_hrn)
 361             ticket.set_issuer(parent_auth_info.get_pkey_object(), parent_auth_info.hrn)
 362             ticket.set_parent(self.get_auth_cred(parent_hrn))
 363
 364         ticket.encode()
 365         ticket.sign()
 366
 367         return ticket
 368