Merge remote-tracking branch 'upstream/master'
[arvados.git] / services / login-sync / bin / arvados-login-sync
1 #!/usr/bin/env ruby
2 # Copyright (C) The Arvados Authors. All rights reserved.
3 #
4 # SPDX-License-Identifier: AGPL-3.0
5
6 require 'rubygems'
7 require 'pp'
8 require 'arvados'
9 require 'etc'
10 require 'fileutils'
11 require 'yaml'
12
13 req_envs = %w(ARVADOS_API_HOST ARVADOS_API_TOKEN ARVADOS_VIRTUAL_MACHINE_UUID)
14 req_envs.each do |k|
15   unless ENV[k]
16     abort "Fatal: These environment vars must be set: #{req_envs}"
17   end
18 end
19
20 exclusive_mode = ARGV.index("--exclusive")
21 exclusive_banner = "#######################################################################################
22 #  THIS FILE IS MANAGED BY #{$0} -- CHANGES WILL BE OVERWRITTEN  #
23 #######################################################################################\n\n"
24 start_banner = "### BEGIN Arvados-managed keys -- changes between markers will be overwritten\n"
25 end_banner = "### END Arvados-managed keys -- changes between markers will be overwritten\n"
26
27 # Don't try to create any local accounts
28 skip_missing_users = ARGV.index("--skip-missing-users")
29
30 keys = ''
31
32 begin
33   arv = Arvados.new({ :suppress_ssl_warnings => false })
34
35   vm_uuid = ENV['ARVADOS_VIRTUAL_MACHINE_UUID']
36
37   logins = arv.virtual_machine.logins(:uuid => vm_uuid)[:items]
38   logins = [] if logins.nil?
39   logins = logins.reject { |l| l[:username].nil? or l[:hostname].nil? or l[:public_key].nil? or l[:virtual_machine_uuid] != vm_uuid }
40
41   # No system users
42   uid_min = 1000
43   open("/etc/login.defs", encoding: "utf-8") do |login_defs|
44     login_defs.each_line do |line|
45       next unless match = /^UID_MIN\s+(\S+)$/.match(line)
46       if match[1].start_with?("0x")
47         base = 16
48       elsif match[1].start_with?("0")
49         base = 8
50       else
51         base = 10
52       end
53       new_uid_min = match[1].to_i(base)
54       uid_min = new_uid_min if (new_uid_min > 0)
55     end
56   end
57
58   pwnam = Hash.new()
59   logins.reject! do |l|
60     if pwnam[l[:username]]
61       false
62     else
63       begin
64         pwnam[l[:username]] = Etc.getpwnam(l[:username])
65       rescue
66         if skip_missing_users
67           STDERR.puts "Account #{l[:username]} not found. Skipping"
68           true
69         end
70       else
71         if pwnam[l[:username]].uid < uid_min
72           STDERR.puts "Account #{l[:username]} uid #{pwnam[l[:username]].uid} < uid_min #{uid_min}. Skipping"
73           true
74         end
75       end
76     end
77   end
78   keys = Hash.new()
79
80   # Collect all keys
81   logins.each do |l|
82     keys[l[:username]] = Array.new() if not keys.has_key?(l[:username])
83     key = l[:public_key]
84     # Handle putty-style ssh public keys
85     key.sub!(/^(Comment: "r[^\n]*\n)(.*)$/m,'ssh-rsa \2 \1')
86     key.sub!(/^(Comment: "d[^\n]*\n)(.*)$/m,'ssh-dss \2 \1')
87     key.gsub!(/\n/,'')
88     key.strip
89
90     keys[l[:username]].push(key) if not keys[l[:username]].include?(key)
91   end
92
93   seen = Hash.new()
94   devnull = open("/dev/null", "w")
95
96   logins.each do |l|
97     next if seen[l[:username]]
98     seen[l[:username]] = true
99
100     unless pwnam[l[:username]]
101       STDERR.puts "Creating account #{l[:username]}"
102       groups = l[:groups] || []
103       # Adding users to the FUSE group has long been hardcoded behavior.
104       groups << "fuse"
105       groups.select! { |g| Etc.getgrnam(g) rescue false }
106       # Create new user
107       unless system("useradd", "-m",
108                 "-c", l[:username],
109                 "-s", "/bin/bash",
110                 "-G", groups.join(","),
111                 l[:username],
112                 out: devnull)
113         STDERR.puts "Account creation failed for #{l[:username]}: $?"
114         next
115       end
116       begin
117         pwnam[l[:username]] = Etc.getpwnam(l[:username])
118       rescue => e
119         STDERR.puts "Created account but then getpwnam() failed for #{l[:username]}: #{e}"
120         raise
121       end
122     end
123
124     @homedir = pwnam[l[:username]].dir
125     userdotssh = File.join(@homedir, ".ssh")
126     Dir.mkdir(userdotssh) if !File.exists?(userdotssh)
127
128     newkeys = "###\n###\n" + keys[l[:username]].join("\n") + "\n###\n###\n"
129
130     keysfile = File.join(userdotssh, "authorized_keys")
131
132     if File.exists?(keysfile)
133       oldkeys = IO::read(keysfile)
134     else
135       oldkeys = ""
136     end
137
138     if exclusive_mode
139       newkeys = exclusive_banner + newkeys
140     elsif oldkeys.start_with?(exclusive_banner)
141       newkeys = start_banner + newkeys + end_banner
142     elsif (m = /^(.*?\n|)#{start_banner}(.*?\n|)#{end_banner}(.*)/m.match(oldkeys))
143       newkeys = m[1] + start_banner + newkeys + end_banner + m[3]
144     else
145       newkeys = start_banner + newkeys + end_banner + oldkeys
146     end
147
148     if oldkeys != newkeys then
149       f = File.new(keysfile, 'w')
150       f.write(newkeys)
151       f.close()
152     end
153     FileUtils.chown_R(l[:username], nil, userdotssh)
154     File.chmod(0700, userdotssh)
155     File.chmod(0750, @homedir)
156     File.chmod(0600, keysfile)
157   end
158
159   devnull.close
160 rescue Exception => bang
161   puts "Error: " + bang.to_s
162   puts bang.backtrace.join("\n")
163   exit 1
164 end