services/login-sync/bin/arvados-login-sync

   1 #!/usr/bin/env ruby
   2
   3 require 'rubygems'
   4 require 'pp'
   5 require 'arvados'
   6 require 'etc'
   7 require 'fileutils'
   8 require 'yaml'
   9
  10 req_envs = %w(ARVADOS_API_HOST ARVADOS_API_TOKEN ARVADOS_VIRTUAL_MACHINE_UUID)
  11 req_envs.each do |k|
  12   unless ENV[k]
  13     abort "Fatal: These environment vars must be set: #{req_envs}"
  14   end
  15 end
  16
  17 exclusive_mode = ARGV.index("--exclusive")
  18 exclusive_banner = "#######################################################################################
  19 #  THIS FILE IS MANAGED BY #{$0} -- CHANGES WILL BE OVERWRITTEN  #
  20 #######################################################################################\n\n"
  21 start_banner = "### BEGIN Arvados-managed keys -- changes between markers will be overwritten\n"
  22 end_banner = "### END Arvados-managed keys -- changes between markers will be overwritten\n"
  23
  24 keys = ''
  25
  26 seen = Hash.new
  27
  28 begin
  29   uids = Hash[Etc.to_enum(:passwd).map { |ent| [ent.name, ent.uid] }]
  30   gids = Hash[Etc.to_enum(:group).map { |ent| [ent.name, ent.gid] }]
  31   arv = Arvados.new({ :suppress_ssl_warnings => false })
  32
  33   vm_uuid = ENV['ARVADOS_VIRTUAL_MACHINE_UUID']
  34
  35   logins = arv.virtual_machine.logins(:uuid => vm_uuid)[:items]
  36   logins = [] if logins.nil?
  37   logins = logins.reject { |l| l[:username].nil? or l[:hostname].nil? or l[:public_key].nil? or l[:virtual_machine_uuid] != vm_uuid }
  38
  39   # No system users
  40   uid_min = 1000
  41   open("/etc/login.defs", encoding: "utf-8") do |login_defs|
  42     login_defs.each_line do |line|
  43       next unless match = /^UID_MIN\s+(\S+)$/.match(line)
  44       if match[1].start_with?("0x")
  45         base = 16
  46       elsif match[1].start_with?("0")
  47         base = 8
  48       else
  49         base = 10
  50       end
  51       new_uid_min = match[1].to_i(base)
  52       uid_min = new_uid_min if (new_uid_min > 0)
  53     end
  54   end
  55   logins.reject! { |l| (uids[l[:username]] || 65535) < uid_min }
  56
  57   keys = Hash.new()
  58
  59   # Collect all keys
  60   logins.each do |l|
  61     keys[l[:username]] = Array.new() if not keys.has_key?(l[:username])
  62     key = l[:public_key]
  63     # Handle putty-style ssh public keys
  64     key.sub!(/^(Comment: "r[^\n]*\n)(.*)$/m,'ssh-rsa \2 \1')
  65     key.sub!(/^(Comment: "d[^\n]*\n)(.*)$/m,'ssh-dss \2 \1')
  66     key.gsub!(/\n/,'')
  67     key.strip
  68
  69     keys[l[:username]].push(key) if not keys[l[:username]].include?(key)
  70   end
  71
  72   seen = Hash.new()
  73   devnull = open("/dev/null", "w")
  74
  75   logins.each do |l|
  76     next if seen[l[:username]]
  77     seen[l[:username]] = true if not seen.has_key?(l[:username])
  78
  79     unless uids[l[:username]]
  80       STDERR.puts "Creating account #{l[:username]}"
  81       groups = l[:groups] || []
  82       # Adding users to the FUSE group has long been hardcoded behavior.
  83       groups << "fuse"
  84       groups.select! { |name| gids[name] }
  85       # Create new user
  86       next unless system("useradd", "-m",
  87                          "-c", l[:username],
  88                          "-s", "/bin/bash",
  89                          "-G", groups.join(","),
  90                          l[:username],
  91                          out: devnull)
  92     end
  93     # Create .ssh directory if necessary
  94     @homedir = Etc.getpwnam(l[:username]).dir
  95     userdotssh = File.join(@homedir, ".ssh")
  96     Dir.mkdir(userdotssh) if !File.exists?(userdotssh)
  97
  98     newkeys = "###\n###\n" + keys[l[:username]].join("\n") + "\n###\n###\n"
  99
 100     keysfile = File.join(userdotssh, "authorized_keys")
 101
 102     if File.exists?(keysfile)
 103       oldkeys = IO::read(keysfile)
 104     else
 105       oldkeys = ""
 106     end
 107
 108     if exclusive_mode
 109       newkeys = exclusive_banner + newkeys
 110     elsif oldkeys.start_with?(exclusive_banner)
 111       newkeys = start_banner + newkeys + end_banner
 112     elsif (m = /^(.*?\n|)#{start_banner}(.*?\n|)#{end_banner}(.*)/m.match(oldkeys))
 113       newkeys = m[1] + start_banner + newkeys + end_banner + m[3]
 114     else
 115       newkeys = start_banner + newkeys + end_banner + oldkeys
 116     end
 117
 118     if oldkeys != newkeys then
 119       f = File.new(keysfile, 'w')
 120       f.write(newkeys)
 121       f.close()
 122     end
 123     FileUtils.chown_R(l[:username], nil, userdotssh)
 124     File.chmod(0700, userdotssh)
 125     File.chmod(0750, @homedir)
 126     File.chmod(0600, keysfile)
 127   end
 128
 129   devnull.close
 130 rescue Exception => bang
 131   puts "Error: " + bang.to_s
 132   puts bang.backtrace.join("\n")
 133   exit 1
 134 end