services/login-sync/bin/arvados-login-sync

   1 #!/usr/bin/env ruby
   2 # Copyright (C) The Arvados Authors. All rights reserved.
   3 #
   4 # SPDX-License-Identifier: AGPL-3.0
   5
   6 require 'rubygems'
   7 require 'pp'
   8 require 'arvados'
   9 require 'etc'
  10 require 'fileutils'
  11 require 'yaml'
  12
  13 req_envs = %w(ARVADOS_API_HOST ARVADOS_API_TOKEN ARVADOS_VIRTUAL_MACHINE_UUID)
  14 req_envs.each do |k|
  15   unless ENV[k]
  16     abort "Fatal: These environment vars must be set: #{req_envs}"
  17   end
  18 end
  19
  20 exclusive_mode = ARGV.index("--exclusive")
  21 exclusive_banner = "#######################################################################################
  22 #  THIS FILE IS MANAGED BY #{$0} -- CHANGES WILL BE OVERWRITTEN  #
  23 #######################################################################################\n\n"
  24 start_banner = "### BEGIN Arvados-managed keys -- changes between markers will be overwritten\n"
  25 end_banner = "### END Arvados-managed keys -- changes between markers will be overwritten\n"
  26
  27 # Don't try to create any local accounts
  28 skip_missing_users = ARGV.index("--skip-missing-users")
  29
  30 keys = ''
  31
  32 begin
  33   arv = Arvados.new({ :suppress_ssl_warnings => false })
  34
  35   vm_uuid = ENV['ARVADOS_VIRTUAL_MACHINE_UUID']
  36
  37   logins = arv.virtual_machine.logins(:uuid => vm_uuid)[:items]
  38   logins = [] if logins.nil?
  39   logins = logins.reject { |l| l[:username].nil? or l[:hostname].nil? or l[:public_key].nil? or l[:virtual_machine_uuid] != vm_uuid }
  40
  41   # No system users
  42   uid_min = 1000
  43   open("/etc/login.defs", encoding: "utf-8") do |login_defs|
  44     login_defs.each_line do |line|
  45       next unless match = /^UID_MIN\s+(\S+)$/.match(line)
  46       if match[1].start_with?("0x")
  47         base = 16
  48       elsif match[1].start_with?("0")
  49         base = 8
  50       else
  51         base = 10
  52       end
  53       new_uid_min = match[1].to_i(base)
  54       uid_min = new_uid_min if (new_uid_min > 0)
  55     end
  56   end
  57
  58   pwnam = Hash.new()
  59   logins.reject! do |l|
  60     return false if pwnam[l[:username]]
  61     begin
  62       pwnam[l[:username]] = Etc.getpwnam(l[:username])
  63     rescue
  64       if skip_missing_users
  65         STDERR.puts "Account #{l[:username]} not found. Skipping"
  66         true
  67       end
  68     else
  69       if pwnam[l[:username]].uid < uid_min
  70         STDERR.puts "Account #{l[:username]} uid #{pwnam[l[:username]].uid} < uid_min #{uid_min}. Skipping"
  71         true
  72       end
  73     end
  74   end
  75   keys = Hash.new()
  76
  77   # Collect all keys
  78   logins.each do |l|
  79     keys[l[:username]] = Array.new() if not keys.has_key?(l[:username])
  80     key = l[:public_key]
  81     # Handle putty-style ssh public keys
  82     key.sub!(/^(Comment: "r[^\n]*\n)(.*)$/m,'ssh-rsa \2 \1')
  83     key.sub!(/^(Comment: "d[^\n]*\n)(.*)$/m,'ssh-dss \2 \1')
  84     key.gsub!(/\n/,'')
  85     key.strip
  86
  87     keys[l[:username]].push(key) if not keys[l[:username]].include?(key)
  88   end
  89
  90   seen = Hash.new()
  91   devnull = open("/dev/null", "w")
  92
  93   logins.each do |l|
  94     next if seen[l[:username]]
  95     seen[l[:username]] = true
  96
  97     unless pwnam[l[:username]]
  98       STDERR.puts "Creating account #{l[:username]}"
  99       groups = l[:groups] || []
 100       # Adding users to the FUSE group has long been hardcoded behavior.
 101       groups << "fuse"
 102       groups.select! { |g| Etc.getgrnam(g) rescue false }
 103       # Create new user
 104       unless system("useradd", "-m",
 105                 "-c", l[:username],
 106                 "-s", "/bin/bash",
 107                 "-G", groups.join(","),
 108                 l[:username],
 109                 out: devnull)
 110         STDERR.puts "Account creation failed for #{l[:username]}: $?"
 111         next
 112       end
 113       begin
 114         pwnam[l[:username]] = Etc.getpwnam(l[:username])
 115       rescue => e
 116         STDERR.puts "Created account but then getpwnam() failed for #{l[:username]}: #{e}"
 117         raise
 118       end
 119     end
 120
 121     @homedir = pwnam[l[:username]].dir
 122     userdotssh = File.join(@homedir, ".ssh")
 123     Dir.mkdir(userdotssh) if !File.exists?(userdotssh)
 124
 125     newkeys = "###\n###\n" + keys[l[:username]].join("\n") + "\n###\n###\n"
 126
 127     keysfile = File.join(userdotssh, "authorized_keys")
 128
 129     if File.exists?(keysfile)
 130       oldkeys = IO::read(keysfile)
 131     else
 132       oldkeys = ""
 133     end
 134
 135     if exclusive_mode
 136       newkeys = exclusive_banner + newkeys
 137     elsif oldkeys.start_with?(exclusive_banner)
 138       newkeys = start_banner + newkeys + end_banner
 139     elsif (m = /^(.*?\n|)#{start_banner}(.*?\n|)#{end_banner}(.*)/m.match(oldkeys))
 140       newkeys = m[1] + start_banner + newkeys + end_banner + m[3]
 141     else
 142       newkeys = start_banner + newkeys + end_banner + oldkeys
 143     end
 144
 145     if oldkeys != newkeys then
 146       f = File.new(keysfile, 'w')
 147       f.write(newkeys)
 148       f.close()
 149     end
 150     FileUtils.chown_R(l[:username], nil, userdotssh)
 151     File.chmod(0700, userdotssh)
 152     File.chmod(0750, @homedir)
 153     File.chmod(0600, keysfile)
 154   end
 155
 156   devnull.close
 157 rescue Exception => bang
 158   puts "Error: " + bang.to_s
 159   puts bang.backtrace.join("\n")
 160   exit 1
 161 end