Merge branch '10232-non-exclusive-keys' refs #10232
[arvados.git] / services / login-sync / bin / arvados-login-sync
1 #!/usr/bin/env ruby
2
3 require 'rubygems'
4 require 'pp'
5 require 'arvados'
6 require 'etc'
7 require 'fileutils'
8 require 'yaml'
9
10 req_envs = %w(ARVADOS_API_HOST ARVADOS_API_TOKEN ARVADOS_VIRTUAL_MACHINE_UUID)
11 req_envs.each do |k|
12   unless ENV[k]
13     abort "Fatal: These environment vars must be set: #{req_envs}"
14   end
15 end
16
17 exclusive_mode = ARGV.index("--exclusive")
18 exclusive_banner = "#######################################################################################
19 #  THIS FILE IS MANAGED BY #{$0} -- CHANGES WILL BE OVERWRITTEN  #
20 #######################################################################################\n\n"
21 start_banner = "### BEGIN Arvados-managed keys -- changes between markers will be overwritten\n"
22 end_banner = "### END Arvados-managed keys -- changes between markers will be overwritten\n"
23
24 # Don't try to create any local accounts
25 skip_missing_users = ARGV.index("--skip-missing-users")
26
27 keys = ''
28
29 begin
30   arv = Arvados.new({ :suppress_ssl_warnings => false })
31
32   vm_uuid = ENV['ARVADOS_VIRTUAL_MACHINE_UUID']
33
34   logins = arv.virtual_machine.logins(:uuid => vm_uuid)[:items]
35   logins = [] if logins.nil?
36   logins = logins.reject { |l| l[:username].nil? or l[:hostname].nil? or l[:public_key].nil? or l[:virtual_machine_uuid] != vm_uuid }
37
38   # No system users
39   uid_min = 1000
40   open("/etc/login.defs", encoding: "utf-8") do |login_defs|
41     login_defs.each_line do |line|
42       next unless match = /^UID_MIN\s+(\S+)$/.match(line)
43       if match[1].start_with?("0x")
44         base = 16
45       elsif match[1].start_with?("0")
46         base = 8
47       else
48         base = 10
49       end
50       new_uid_min = match[1].to_i(base)
51       uid_min = new_uid_min if (new_uid_min > 0)
52     end
53   end
54
55   pwnam = Hash.new()
56   logins.reject! do |l|
57     return false if pwnam[l[:username]]
58     begin
59       pwnam[l[:username]] = Etc.getpwnam(l[:username])
60     rescue
61       if skip_missing_users
62         STDERR.puts "Account #{l[:username]} not found. Skipping"
63         true
64       end
65     else
66       if pwnam[l[:username]].uid < uid_min
67         STDERR.puts "Account #{l[:username]} uid #{pwnam[l[:username]].uid} < uid_min #{uid_min}. Skipping"
68         true
69       end
70     end
71   end
72   keys = Hash.new()
73
74   # Collect all keys
75   logins.each do |l|
76     keys[l[:username]] = Array.new() if not keys.has_key?(l[:username])
77     key = l[:public_key]
78     # Handle putty-style ssh public keys
79     key.sub!(/^(Comment: "r[^\n]*\n)(.*)$/m,'ssh-rsa \2 \1')
80     key.sub!(/^(Comment: "d[^\n]*\n)(.*)$/m,'ssh-dss \2 \1')
81     key.gsub!(/\n/,'')
82     key.strip
83
84     keys[l[:username]].push(key) if not keys[l[:username]].include?(key)
85   end
86
87   seen = Hash.new()
88   devnull = open("/dev/null", "w")
89
90   logins.each do |l|
91     next if seen[l[:username]]
92     seen[l[:username]] = true
93
94     unless pwnam[l[:username]]
95       STDERR.puts "Creating account #{l[:username]}"
96       groups = l[:groups] || []
97       # Adding users to the FUSE group has long been hardcoded behavior.
98       groups << "fuse"
99       groups.select! { |g| Etc.getgrnam(g) rescue false }
100       # Create new user
101       unless system("useradd", "-m",
102                 "-c", l[:username],
103                 "-s", "/bin/bash",
104                 "-G", groups.join(","),
105                 l[:username],
106                 out: devnull)
107         STDERR.puts "Account creation failed for #{l[:username]}: $?"
108         next
109       end
110       begin
111         pwnam[l[:username]] = Etc.getpwnam(l[:username])
112       rescue => e
113         STDERR.puts "Created account but then getpwnam() failed for #{l[:username]}: #{e}"
114         raise
115       end
116     end
117
118     @homedir = pwnam[l[:username]].dir
119     userdotssh = File.join(@homedir, ".ssh")
120     Dir.mkdir(userdotssh) if !File.exists?(userdotssh)
121
122     newkeys = "###\n###\n" + keys[l[:username]].join("\n") + "\n###\n###\n"
123
124     keysfile = File.join(userdotssh, "authorized_keys")
125
126     if File.exists?(keysfile)
127       oldkeys = IO::read(keysfile)
128     else
129       oldkeys = ""
130     end
131
132     if exclusive_mode
133       newkeys = exclusive_banner + newkeys
134     elsif oldkeys.start_with?(exclusive_banner)
135       newkeys = start_banner + newkeys + end_banner
136     elsif (m = /^(.*?\n|)#{start_banner}(.*?\n|)#{end_banner}(.*)/m.match(oldkeys))
137       newkeys = m[1] + start_banner + newkeys + end_banner + m[3]
138     else
139       newkeys = start_banner + newkeys + end_banner + oldkeys
140     end
141
142     if oldkeys != newkeys then
143       f = File.new(keysfile, 'w')
144       f.write(newkeys)
145       f.close()
146     end
147     FileUtils.chown_R(l[:username], nil, userdotssh)
148     File.chmod(0700, userdotssh)
149     File.chmod(0750, @homedir)
150     File.chmod(0600, keysfile)
151   end
152
153   devnull.close
154 rescue Exception => bang
155   puts "Error: " + bang.to_s
156   puts bang.backtrace.join("\n")
157   exit 1
158 end