services/login-sync/bin/arvados-login-sync

   1 #!/usr/bin/env ruby
   2 # Copyright (C) The Arvados Authors. All rights reserved.
   3 #
   4 # SPDX-License-Identifier: AGPL-3.0
   5
   6 require 'rubygems'
   7 require 'pp'
   8 require 'arvados'
   9 require 'etc'
  10 require 'fileutils'
  11 require 'yaml'
  12
  13 req_envs = %w(ARVADOS_API_HOST ARVADOS_API_TOKEN ARVADOS_VIRTUAL_MACHINE_UUID)
  14 req_envs.each do |k|
  15   unless ENV[k]
  16     abort "Fatal: These environment vars must be set: #{req_envs}"
  17   end
  18 end
  19
  20 exclusive_mode = ARGV.index("--exclusive")
  21 exclusive_banner = "#######################################################################################
  22 #  THIS FILE IS MANAGED BY #{$0} -- CHANGES WILL BE OVERWRITTEN  #
  23 #######################################################################################\n\n"
  24 start_banner = "### BEGIN Arvados-managed keys -- changes between markers will be overwritten\n"
  25 end_banner = "### END Arvados-managed keys -- changes between markers will be overwritten\n"
  26
  27 # Don't try to create any local accounts
  28 skip_missing_users = ARGV.index("--skip-missing-users")
  29
  30 keys = ''
  31
  32 begin
  33   arv = Arvados.new({ :suppress_ssl_warnings => false })
  34
  35   vm_uuid = ENV['ARVADOS_VIRTUAL_MACHINE_UUID']
  36
  37   logins = arv.virtual_machine.logins(:uuid => vm_uuid)[:items]
  38   logins = [] if logins.nil?
  39   logins = logins.reject { |l| l[:username].nil? or l[:hostname].nil? or l[:public_key].nil? or l[:virtual_machine_uuid] != vm_uuid }
  40
  41   # No system users
  42   uid_min = 1000
  43   open("/etc/login.defs", encoding: "utf-8") do |login_defs|
  44     login_defs.each_line do |line|
  45       next unless match = /^UID_MIN\s+(\S+)$/.match(line)
  46       if match[1].start_with?("0x")
  47         base = 16
  48       elsif match[1].start_with?("0")
  49         base = 8
  50       else
  51         base = 10
  52       end
  53       new_uid_min = match[1].to_i(base)
  54       uid_min = new_uid_min if (new_uid_min > 0)
  55     end
  56   end
  57
  58   pwnam = Hash.new()
  59   logins.reject! do |l|
  60     if pwnam[l[:username]]
  61       false
  62     else
  63       begin
  64         pwnam[l[:username]] = Etc.getpwnam(l[:username])
  65       rescue
  66         if skip_missing_users
  67           STDERR.puts "Account #{l[:username]} not found. Skipping"
  68           true
  69         end
  70       else
  71         if pwnam[l[:username]].uid < uid_min
  72           STDERR.puts "Account #{l[:username]} uid #{pwnam[l[:username]].uid} < uid_min #{uid_min}. Skipping"
  73           true
  74         end
  75       end
  76     end
  77   end
  78   keys = Hash.new()
  79
  80   # Collect all keys
  81   logins.each do |l|
  82     keys[l[:username]] = Array.new() if not keys.has_key?(l[:username])
  83     key = l[:public_key]
  84     # Handle putty-style ssh public keys
  85     key.sub!(/^(Comment: "r[^\n]*\n)(.*)$/m,'ssh-rsa \2 \1')
  86     key.sub!(/^(Comment: "d[^\n]*\n)(.*)$/m,'ssh-dss \2 \1')
  87     key.gsub!(/\n/,'')
  88     key.strip
  89
  90     keys[l[:username]].push(key) if not keys[l[:username]].include?(key)
  91   end
  92
  93   seen = Hash.new()
  94   devnull = open("/dev/null", "w")
  95
  96   logins.each do |l|
  97     next if seen[l[:username]]
  98     seen[l[:username]] = true
  99
 100     unless pwnam[l[:username]]
 101       STDERR.puts "Creating account #{l[:username]}"
 102       groups = l[:groups] || []
 103       # Adding users to the FUSE group has long been hardcoded behavior.
 104       groups << "fuse"
 105       groups.select! { |g| Etc.getgrnam(g) rescue false }
 106       # Create new user
 107       unless system("useradd", "-m",
 108                 "-c", l[:username],
 109                 "-s", "/bin/bash",
 110                 "-G", groups.join(","),
 111                 l[:username],
 112                 out: devnull)
 113         STDERR.puts "Account creation failed for #{l[:username]}: $?"
 114         next
 115       end
 116       begin
 117         pwnam[l[:username]] = Etc.getpwnam(l[:username])
 118       rescue => e
 119         STDERR.puts "Created account but then getpwnam() failed for #{l[:username]}: #{e}"
 120         raise
 121       end
 122     end
 123
 124     @homedir = pwnam[l[:username]].dir
 125     userdotssh = File.join(@homedir, ".ssh")
 126     Dir.mkdir(userdotssh) if !File.exists?(userdotssh)
 127
 128     newkeys = "###\n###\n" + keys[l[:username]].join("\n") + "\n###\n###\n"
 129
 130     keysfile = File.join(userdotssh, "authorized_keys")
 131
 132     if File.exists?(keysfile)
 133       oldkeys = IO::read(keysfile)
 134     else
 135       oldkeys = ""
 136     end
 137
 138     if exclusive_mode
 139       newkeys = exclusive_banner + newkeys
 140     elsif oldkeys.start_with?(exclusive_banner)
 141       newkeys = start_banner + newkeys + end_banner
 142     elsif (m = /^(.*?\n|)#{start_banner}(.*?\n|)#{end_banner}(.*)/m.match(oldkeys))
 143       newkeys = m[1] + start_banner + newkeys + end_banner + m[3]
 144     else
 145       newkeys = start_banner + newkeys + end_banner + oldkeys
 146     end
 147
 148     if oldkeys != newkeys then
 149       f = File.new(keysfile, 'w')
 150       f.write(newkeys)
 151       f.close()
 152     end
 153     FileUtils.chown_R(l[:username], nil, userdotssh)
 154     File.chmod(0700, userdotssh)
 155     File.chmod(0750, @homedir)
 156     File.chmod(0600, keysfile)
 157   end
 158
 159   devnull.close
 160 rescue Exception => bang
 161   puts "Error: " + bang.to_s
 162   puts bang.backtrace.join("\n")
 163   exit 1
 164 end