lib/controller/federation/conn.go

   1 // Copyright (C) The Arvados Authors. All rights reserved.
   2 //
   3 // SPDX-License-Identifier: AGPL-3.0
   4
   5 package federation
   6
   7 import (
   8         "bytes"
   9         "context"
  10         "encoding/json"
  11         "errors"
  12         "fmt"
  13         "net/http"
  14         "net/url"
  15         "regexp"
  16         "strings"
  17         "time"
  18
  19         "git.arvados.org/arvados.git/lib/config"
  20         "git.arvados.org/arvados.git/lib/controller/localdb"
  21         "git.arvados.org/arvados.git/lib/controller/rpc"
  22         "git.arvados.org/arvados.git/sdk/go/arvados"
  23         "git.arvados.org/arvados.git/sdk/go/auth"
  24         "git.arvados.org/arvados.git/sdk/go/ctxlog"
  25 )
  26
  27 type Conn struct {
  28         cluster *arvados.Cluster
  29         local   backend
  30         remotes map[string]backend
  31 }
  32
  33 func New(cluster *arvados.Cluster) *Conn {
  34         local := localdb.NewConn(cluster)
  35         remotes := map[string]backend{}
  36         for id, remote := range cluster.RemoteClusters {
  37                 if !remote.Proxy || id == cluster.ClusterID {
  38                         continue
  39                 }
  40                 conn := rpc.NewConn(id, &url.URL{Scheme: remote.Scheme, Host: remote.Host}, remote.Insecure, saltedTokenProvider(local, id))
  41                 // Older versions of controller rely on the Via header
  42                 // to detect loops.
  43                 conn.SendHeader = http.Header{"Via": {"HTTP/1.1 arvados-controller"}}
  44                 remotes[id] = conn
  45         }
  46
  47         return &Conn{
  48                 cluster: cluster,
  49                 local:   local,
  50                 remotes: remotes,
  51         }
  52 }
  53
  54 // Return a new rpc.TokenProvider that takes the client-provided
  55 // tokens from an incoming request context, determines whether they
  56 // should (and can) be salted for the given remoteID, and returns the
  57 // resulting tokens.
  58 func saltedTokenProvider(local backend, remoteID string) rpc.TokenProvider {
  59         return func(ctx context.Context) ([]string, error) {
  60                 var tokens []string
  61                 incoming, ok := auth.FromContext(ctx)
  62                 if !ok {
  63                         return nil, errors.New("no token provided")
  64                 }
  65                 for _, token := range incoming.Tokens {
  66                         salted, err := auth.SaltToken(token, remoteID)
  67                         switch err {
  68                         case nil:
  69                                 tokens = append(tokens, salted)
  70                         case auth.ErrSalted:
  71                                 tokens = append(tokens, token)
  72                         case auth.ErrTokenFormat:
  73                                 // pass through unmodified (assume it's an OIDC access token)
  74                                 tokens = append(tokens, token)
  75                         case auth.ErrObsoleteToken:
  76                                 ctx := auth.NewContext(ctx, &auth.Credentials{Tokens: []string{token}})
  77                                 aca, err := local.APIClientAuthorizationCurrent(ctx, arvados.GetOptions{})
  78                                 if errStatus(err) == http.StatusUnauthorized {
  79                                         // pass through unmodified
  80                                         tokens = append(tokens, token)
  81                                         continue
  82                                 } else if err != nil {
  83                                         return nil, err
  84                                 }
  85                                 if strings.HasPrefix(aca.UUID, remoteID) {
  86                                         // We have it cached here, but
  87                                         // the token belongs to the
  88                                         // remote target itself, so
  89                                         // pass it through unmodified.
  90                                         tokens = append(tokens, token)
  91                                         continue
  92                                 }
  93                                 salted, err := auth.SaltToken(aca.TokenV2(), remoteID)
  94                                 if err != nil {
  95                                         return nil, err
  96                                 }
  97                                 tokens = append(tokens, salted)
  98                         default:
  99                                 return nil, err
 100                         }
 101                 }
 102                 return tokens, nil
 103         }
 104 }
 105
 106 // Return suitable backend for a query about the given cluster ID
 107 // ("aaaaa") or object UUID ("aaaaa-dz642-abcdefghijklmno").
 108 func (conn *Conn) chooseBackend(id string) backend {
 109         if len(id) == 27 {
 110                 id = id[:5]
 111         } else if len(id) != 5 {
 112                 // PDH or bogus ID
 113                 return conn.local
 114         }
 115         if id == conn.cluster.ClusterID {
 116                 return conn.local
 117         } else if be, ok := conn.remotes[id]; ok {
 118                 return be
 119         } else {
 120                 // TODO: return an "always error" backend?
 121                 return conn.local
 122         }
 123 }
 124
 125 func (conn *Conn) localOrLoginCluster() backend {
 126         if conn.cluster.Login.LoginCluster != "" {
 127                 return conn.chooseBackend(conn.cluster.Login.LoginCluster)
 128         }
 129         return conn.local
 130 }
 131
 132 // Call fn with the local backend; then, if fn returned 404, call fn
 133 // on the available remote backends (possibly concurrently) until one
 134 // succeeds.
 135 //
 136 // The second argument to fn is the cluster ID of the remote backend,
 137 // or "" for the local backend.
 138 //
 139 // A non-nil error means all backends failed.
 140 func (conn *Conn) tryLocalThenRemotes(ctx context.Context, forwardedFor string, fn func(context.Context, string, backend) error) error {
 141         if err := fn(ctx, "", conn.local); err == nil || errStatus(err) != http.StatusNotFound || forwardedFor != "" {
 142                 // Note: forwardedFor != "" means this request came
 143                 // from a remote cluster, so we don't take a second
 144                 // hop. This avoids cycles, redundant calls to a
 145                 // mutually reachable remote, and use of double-salted
 146                 // tokens.
 147                 return err
 148         }
 149
 150         ctx, cancel := context.WithCancel(ctx)
 151         defer cancel()
 152         errchan := make(chan error, len(conn.remotes))
 153         for remoteID, be := range conn.remotes {
 154                 remoteID, be := remoteID, be
 155                 go func() {
 156                         errchan <- fn(ctx, remoteID, be)
 157                 }()
 158         }
 159         all404 := true
 160         var errs []error
 161         for i := 0; i < cap(errchan); i++ {
 162                 err := <-errchan
 163                 if err == nil {
 164                         return nil
 165                 }
 166                 all404 = all404 && errStatus(err) == http.StatusNotFound
 167                 errs = append(errs, err)
 168         }
 169         if all404 {
 170                 return notFoundError{}
 171         }
 172         return httpErrorf(http.StatusBadGateway, "errors: %v", errs)
 173 }
 174
 175 func (conn *Conn) CollectionCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Collection, error) {
 176         return conn.chooseBackend(options.ClusterID).CollectionCreate(ctx, options)
 177 }
 178
 179 func (conn *Conn) CollectionUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Collection, error) {
 180         return conn.chooseBackend(options.UUID).CollectionUpdate(ctx, options)
 181 }
 182
 183 func rewriteManifest(mt, remoteID string) string {
 184         return regexp.MustCompile(` [0-9a-f]{32}\+[^ ]*`).ReplaceAllStringFunc(mt, func(tok string) string {
 185                 return strings.Replace(tok, "+A", "+R"+remoteID+"-", -1)
 186         })
 187 }
 188
 189 func (conn *Conn) ConfigGet(ctx context.Context) (json.RawMessage, error) {
 190         var buf bytes.Buffer
 191         err := config.ExportJSON(&buf, conn.cluster)
 192         return json.RawMessage(buf.Bytes()), err
 193 }
 194
 195 func (conn *Conn) Login(ctx context.Context, options arvados.LoginOptions) (arvados.LoginResponse, error) {
 196         if id := conn.cluster.Login.LoginCluster; id != "" && id != conn.cluster.ClusterID {
 197                 // defer entire login procedure to designated cluster
 198                 remote, ok := conn.remotes[id]
 199                 if !ok {
 200                         return arvados.LoginResponse{}, fmt.Errorf("configuration problem: designated login cluster %q is not defined", id)
 201                 }
 202                 baseURL := remote.BaseURL()
 203                 target, err := baseURL.Parse(arvados.EndpointLogin.Path)
 204                 if err != nil {
 205                         return arvados.LoginResponse{}, fmt.Errorf("internal error getting redirect target: %s", err)
 206                 }
 207                 params := url.Values{
 208                         "return_to": []string{options.ReturnTo},
 209                 }
 210                 if options.Remote != "" {
 211                         params.Set("remote", options.Remote)
 212                 }
 213                 target.RawQuery = params.Encode()
 214                 return arvados.LoginResponse{
 215                         RedirectLocation: target.String(),
 216                 }, nil
 217         }
 218         return conn.local.Login(ctx, options)
 219 }
 220
 221 func (conn *Conn) Logout(ctx context.Context, options arvados.LogoutOptions) (arvados.LogoutResponse, error) {
 222         // If the logout request comes with an API token from a known
 223         // remote cluster, redirect to that cluster's logout handler
 224         // so it has an opportunity to clear sessions, expire tokens,
 225         // etc. Otherwise use the local endpoint.
 226         reqauth, ok := auth.FromContext(ctx)
 227         if !ok || len(reqauth.Tokens) == 0 || len(reqauth.Tokens[0]) < 8 || !strings.HasPrefix(reqauth.Tokens[0], "v2/") {
 228                 return conn.local.Logout(ctx, options)
 229         }
 230         id := reqauth.Tokens[0][3:8]
 231         if id == conn.cluster.ClusterID {
 232                 return conn.local.Logout(ctx, options)
 233         }
 234         remote, ok := conn.remotes[id]
 235         if !ok {
 236                 return conn.local.Logout(ctx, options)
 237         }
 238         baseURL := remote.BaseURL()
 239         target, err := baseURL.Parse(arvados.EndpointLogout.Path)
 240         if err != nil {
 241                 return arvados.LogoutResponse{}, fmt.Errorf("internal error getting redirect target: %s", err)
 242         }
 243         target.RawQuery = url.Values{"return_to": {options.ReturnTo}}.Encode()
 244         return arvados.LogoutResponse{RedirectLocation: target.String()}, nil
 245 }
 246
 247 func (conn *Conn) CollectionGet(ctx context.Context, options arvados.GetOptions) (arvados.Collection, error) {
 248         if len(options.UUID) == 27 {
 249                 // UUID is really a UUID
 250                 c, err := conn.chooseBackend(options.UUID).CollectionGet(ctx, options)
 251                 if err == nil && options.UUID[:5] != conn.cluster.ClusterID {
 252                         c.ManifestText = rewriteManifest(c.ManifestText, options.UUID[:5])
 253                 }
 254                 return c, err
 255         }
 256         // UUID is a PDH
 257         first := make(chan arvados.Collection, 1)
 258         err := conn.tryLocalThenRemotes(ctx, options.ForwardedFor, func(ctx context.Context, remoteID string, be backend) error {
 259                 remoteOpts := options
 260                 remoteOpts.ForwardedFor = conn.cluster.ClusterID + "-" + options.ForwardedFor
 261                 c, err := be.CollectionGet(ctx, remoteOpts)
 262                 if err != nil {
 263                         return err
 264                 }
 265                 // options.UUID is either hash+size or
 266                 // hash+size+hints; only hash+size need to
 267                 // match the computed PDH.
 268                 if pdh := arvados.PortableDataHash(c.ManifestText); pdh != options.UUID && !strings.HasPrefix(options.UUID, pdh+"+") {
 269                         err = httpErrorf(http.StatusBadGateway, "bad portable data hash %q received from remote %q (expected %q)", pdh, remoteID, options.UUID)
 270                         ctxlog.FromContext(ctx).Warn(err)
 271                         return err
 272                 }
 273                 if remoteID != "" {
 274                         c.ManifestText = rewriteManifest(c.ManifestText, remoteID)
 275                 }
 276                 select {
 277                 case first <- c:
 278                         return nil
 279                 default:
 280                         // lost race, return value doesn't matter
 281                         return nil
 282                 }
 283         })
 284         if err != nil {
 285                 return arvados.Collection{}, err
 286         }
 287         return <-first, nil
 288 }
 289
 290 func (conn *Conn) CollectionList(ctx context.Context, options arvados.ListOptions) (arvados.CollectionList, error) {
 291         return conn.generated_CollectionList(ctx, options)
 292 }
 293
 294 func (conn *Conn) CollectionProvenance(ctx context.Context, options arvados.GetOptions) (map[string]interface{}, error) {
 295         return conn.chooseBackend(options.UUID).CollectionProvenance(ctx, options)
 296 }
 297
 298 func (conn *Conn) CollectionUsedBy(ctx context.Context, options arvados.GetOptions) (map[string]interface{}, error) {
 299         return conn.chooseBackend(options.UUID).CollectionUsedBy(ctx, options)
 300 }
 301
 302 func (conn *Conn) CollectionDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Collection, error) {
 303         return conn.chooseBackend(options.UUID).CollectionDelete(ctx, options)
 304 }
 305
 306 func (conn *Conn) CollectionTrash(ctx context.Context, options arvados.DeleteOptions) (arvados.Collection, error) {
 307         return conn.chooseBackend(options.UUID).CollectionTrash(ctx, options)
 308 }
 309
 310 func (conn *Conn) CollectionUntrash(ctx context.Context, options arvados.UntrashOptions) (arvados.Collection, error) {
 311         return conn.chooseBackend(options.UUID).CollectionUntrash(ctx, options)
 312 }
 313
 314 func (conn *Conn) ContainerList(ctx context.Context, options arvados.ListOptions) (arvados.ContainerList, error) {
 315         return conn.generated_ContainerList(ctx, options)
 316 }
 317
 318 func (conn *Conn) ContainerCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Container, error) {
 319         return conn.chooseBackend(options.ClusterID).ContainerCreate(ctx, options)
 320 }
 321
 322 func (conn *Conn) ContainerUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Container, error) {
 323         return conn.chooseBackend(options.UUID).ContainerUpdate(ctx, options)
 324 }
 325
 326 func (conn *Conn) ContainerGet(ctx context.Context, options arvados.GetOptions) (arvados.Container, error) {
 327         return conn.chooseBackend(options.UUID).ContainerGet(ctx, options)
 328 }
 329
 330 func (conn *Conn) ContainerDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Container, error) {
 331         return conn.chooseBackend(options.UUID).ContainerDelete(ctx, options)
 332 }
 333
 334 func (conn *Conn) ContainerLock(ctx context.Context, options arvados.GetOptions) (arvados.Container, error) {
 335         return conn.chooseBackend(options.UUID).ContainerLock(ctx, options)
 336 }
 337
 338 func (conn *Conn) ContainerUnlock(ctx context.Context, options arvados.GetOptions) (arvados.Container, error) {
 339         return conn.chooseBackend(options.UUID).ContainerUnlock(ctx, options)
 340 }
 341
 342 func (conn *Conn) ContainerSSH(ctx context.Context, options arvados.ContainerSSHOptions) (arvados.ContainerSSHConnection, error) {
 343         return conn.chooseBackend(options.UUID).ContainerSSH(ctx, options)
 344 }
 345
 346 func (conn *Conn) ContainerRequestList(ctx context.Context, options arvados.ListOptions) (arvados.ContainerRequestList, error) {
 347         return conn.generated_ContainerRequestList(ctx, options)
 348 }
 349
 350 func (conn *Conn) ContainerRequestCreate(ctx context.Context, options arvados.CreateOptions) (arvados.ContainerRequest, error) {
 351         be := conn.chooseBackend(options.ClusterID)
 352         if be == conn.local {
 353                 return be.ContainerRequestCreate(ctx, options)
 354         }
 355         if _, ok := options.Attrs["runtime_token"]; !ok {
 356                 // If runtime_token is not set, create a new token
 357                 aca, err := conn.local.APIClientAuthorizationCurrent(ctx, arvados.GetOptions{})
 358                 if err != nil {
 359                         // This should probably be StatusUnauthorized
 360                         // (need to update test in
 361                         // lib/controller/federation_test.go):
 362                         // When RoR is out of the picture this should be:
 363                         // return arvados.ContainerRequest{}, httpErrorf(http.StatusUnauthorized, "%w", err)
 364                         return arvados.ContainerRequest{}, httpErrorf(http.StatusForbidden, "%s", "invalid API token")
 365                 }
 366                 user, err := conn.local.UserGetCurrent(ctx, arvados.GetOptions{})
 367                 if err != nil {
 368                         return arvados.ContainerRequest{}, err
 369                 }
 370                 if len(aca.Scopes) == 0 || aca.Scopes[0] != "all" {
 371                         return arvados.ContainerRequest{}, httpErrorf(http.StatusForbidden, "token scope is not [all]")
 372                 }
 373                 if strings.HasPrefix(aca.UUID, conn.cluster.ClusterID) {
 374                         // Local user, submitting to a remote cluster.
 375                         // Create a new time-limited token.
 376                         local, ok := conn.local.(*localdb.Conn)
 377                         if !ok {
 378                                 return arvados.ContainerRequest{}, httpErrorf(http.StatusInternalServerError, "bug: local backend is a %T, not a *localdb.Conn", conn.local)
 379                         }
 380                         aca, err = local.CreateAPIClientAuthorization(ctx, conn.cluster.SystemRootToken, rpc.UserSessionAuthInfo{UserUUID: user.UUID,
 381                                 ExpiresAt: time.Now().UTC().Add(conn.cluster.Collections.BlobSigningTTL.Duration())})
 382                         if err != nil {
 383                                 return arvados.ContainerRequest{}, err
 384                         }
 385                         options.Attrs["runtime_token"] = aca.TokenV2()
 386                 } else {
 387                         // Remote user. Container request will use the
 388                         // current token, minus the trailing portion
 389                         // (optional container uuid).
 390                         options.Attrs["runtime_token"] = aca.TokenV2()
 391                 }
 392         }
 393         return be.ContainerRequestCreate(ctx, options)
 394 }
 395
 396 func (conn *Conn) ContainerRequestUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.ContainerRequest, error) {
 397         return conn.chooseBackend(options.UUID).ContainerRequestUpdate(ctx, options)
 398 }
 399
 400 func (conn *Conn) ContainerRequestGet(ctx context.Context, options arvados.GetOptions) (arvados.ContainerRequest, error) {
 401         return conn.chooseBackend(options.UUID).ContainerRequestGet(ctx, options)
 402 }
 403
 404 func (conn *Conn) ContainerRequestDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.ContainerRequest, error) {
 405         return conn.chooseBackend(options.UUID).ContainerRequestDelete(ctx, options)
 406 }
 407
 408 func (conn *Conn) GroupCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Group, error) {
 409         return conn.chooseBackend(options.ClusterID).GroupCreate(ctx, options)
 410 }
 411
 412 func (conn *Conn) GroupUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Group, error) {
 413         return conn.chooseBackend(options.UUID).GroupUpdate(ctx, options)
 414 }
 415
 416 func (conn *Conn) GroupGet(ctx context.Context, options arvados.GetOptions) (arvados.Group, error) {
 417         return conn.chooseBackend(options.UUID).GroupGet(ctx, options)
 418 }
 419
 420 func (conn *Conn) GroupList(ctx context.Context, options arvados.ListOptions) (arvados.GroupList, error) {
 421         return conn.generated_GroupList(ctx, options)
 422 }
 423
 424 func (conn *Conn) GroupContents(ctx context.Context, options arvados.GroupContentsOptions) (arvados.ObjectList, error) {
 425         return conn.chooseBackend(options.UUID).GroupContents(ctx, options)
 426 }
 427
 428 func (conn *Conn) GroupShared(ctx context.Context, options arvados.ListOptions) (arvados.GroupList, error) {
 429         return conn.chooseBackend(options.ClusterID).GroupShared(ctx, options)
 430 }
 431
 432 func (conn *Conn) GroupDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Group, error) {
 433         return conn.chooseBackend(options.UUID).GroupDelete(ctx, options)
 434 }
 435
 436 func (conn *Conn) GroupUntrash(ctx context.Context, options arvados.UntrashOptions) (arvados.Group, error) {
 437         return conn.chooseBackend(options.UUID).GroupUntrash(ctx, options)
 438 }
 439
 440 func (conn *Conn) SpecimenList(ctx context.Context, options arvados.ListOptions) (arvados.SpecimenList, error) {
 441         return conn.generated_SpecimenList(ctx, options)
 442 }
 443
 444 func (conn *Conn) SpecimenCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Specimen, error) {
 445         return conn.chooseBackend(options.ClusterID).SpecimenCreate(ctx, options)
 446 }
 447
 448 func (conn *Conn) SpecimenUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Specimen, error) {
 449         return conn.chooseBackend(options.UUID).SpecimenUpdate(ctx, options)
 450 }
 451
 452 func (conn *Conn) SpecimenGet(ctx context.Context, options arvados.GetOptions) (arvados.Specimen, error) {
 453         return conn.chooseBackend(options.UUID).SpecimenGet(ctx, options)
 454 }
 455
 456 func (conn *Conn) SpecimenDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Specimen, error) {
 457         return conn.chooseBackend(options.UUID).SpecimenDelete(ctx, options)
 458 }
 459
 460 var userAttrsCachedFromLoginCluster = map[string]bool{
 461         "created_at":  true,
 462         "email":       true,
 463         "first_name":  true,
 464         "is_active":   true,
 465         "is_admin":    true,
 466         "last_name":   true,
 467         "modified_at": true,
 468         "prefs":       true,
 469         "username":    true,
 470         "kind":        true,
 471
 472         "etag":                    false,
 473         "full_name":               false,
 474         "identity_url":            false,
 475         "is_invited":              false,
 476         "modified_by_client_uuid": false,
 477         "modified_by_user_uuid":   false,
 478         "owner_uuid":              false,
 479         "uuid":                    false,
 480         "writable_by":             false,
 481 }
 482
 483 func (conn *Conn) batchUpdateUsers(ctx context.Context,
 484         options arvados.ListOptions,
 485         items []arvados.User) (err error) {
 486
 487         id := conn.cluster.Login.LoginCluster
 488         logger := ctxlog.FromContext(ctx)
 489         batchOpts := arvados.UserBatchUpdateOptions{Updates: map[string]map[string]interface{}{}}
 490         for _, user := range items {
 491                 if !strings.HasPrefix(user.UUID, id) {
 492                         continue
 493                 }
 494                 logger.Debugf("cache user info for uuid %q", user.UUID)
 495
 496                 // If the remote cluster has null timestamps
 497                 // (e.g., test server with incomplete
 498                 // fixtures) use dummy timestamps (instead of
 499                 // the zero time, which causes a Rails API
 500                 // error "year too big to marshal: 1 UTC").
 501                 if user.ModifiedAt.IsZero() {
 502                         user.ModifiedAt = time.Now()
 503                 }
 504                 if user.CreatedAt.IsZero() {
 505                         user.CreatedAt = time.Now()
 506                 }
 507
 508                 var allFields map[string]interface{}
 509                 buf, err := json.Marshal(user)
 510                 if err != nil {
 511                         return fmt.Errorf("error encoding user record from remote response: %s", err)
 512                 }
 513                 err = json.Unmarshal(buf, &allFields)
 514                 if err != nil {
 515                         return fmt.Errorf("error transcoding user record from remote response: %s", err)
 516                 }
 517                 updates := allFields
 518                 if len(options.Select) > 0 {
 519                         updates = map[string]interface{}{}
 520                         for _, k := range options.Select {
 521                                 if v, ok := allFields[k]; ok && userAttrsCachedFromLoginCluster[k] {
 522                                         updates[k] = v
 523                                 }
 524                         }
 525                 } else {
 526                         for k := range updates {
 527                                 if !userAttrsCachedFromLoginCluster[k] {
 528                                         delete(updates, k)
 529                                 }
 530                         }
 531                 }
 532                 batchOpts.Updates[user.UUID] = updates
 533         }
 534         if len(batchOpts.Updates) > 0 {
 535                 ctxRoot := auth.NewContext(ctx, &auth.Credentials{Tokens: []string{conn.cluster.SystemRootToken}})
 536                 _, err = conn.local.UserBatchUpdate(ctxRoot, batchOpts)
 537                 if err != nil {
 538                         return fmt.Errorf("error updating local user records: %s", err)
 539                 }
 540         }
 541         return nil
 542 }
 543
 544 func (conn *Conn) UserList(ctx context.Context, options arvados.ListOptions) (arvados.UserList, error) {
 545         if id := conn.cluster.Login.LoginCluster; id != "" && id != conn.cluster.ClusterID && !options.BypassFederation {
 546                 resp, err := conn.chooseBackend(id).UserList(ctx, options)
 547                 if err != nil {
 548                         return resp, err
 549                 }
 550                 err = conn.batchUpdateUsers(ctx, options, resp.Items)
 551                 if err != nil {
 552                         return arvados.UserList{}, err
 553                 }
 554                 return resp, nil
 555         }
 556         return conn.generated_UserList(ctx, options)
 557 }
 558
 559 func (conn *Conn) UserCreate(ctx context.Context, options arvados.CreateOptions) (arvados.User, error) {
 560         return conn.chooseBackend(options.ClusterID).UserCreate(ctx, options)
 561 }
 562
 563 func (conn *Conn) UserUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.User, error) {
 564         if options.BypassFederation {
 565                 return conn.local.UserUpdate(ctx, options)
 566         }
 567         resp, err := conn.chooseBackend(options.UUID).UserUpdate(ctx, options)
 568         if err != nil {
 569                 return resp, err
 570         }
 571         if !strings.HasPrefix(options.UUID, conn.cluster.ClusterID) {
 572                 // Copy the updated user record to the local cluster
 573                 err = conn.batchUpdateUsers(ctx, arvados.ListOptions{}, []arvados.User{resp})
 574                 if err != nil {
 575                         return arvados.User{}, err
 576                 }
 577         }
 578         return resp, err
 579 }
 580
 581 func (conn *Conn) UserUpdateUUID(ctx context.Context, options arvados.UpdateUUIDOptions) (arvados.User, error) {
 582         return conn.local.UserUpdateUUID(ctx, options)
 583 }
 584
 585 func (conn *Conn) UserMerge(ctx context.Context, options arvados.UserMergeOptions) (arvados.User, error) {
 586         return conn.local.UserMerge(ctx, options)
 587 }
 588
 589 func (conn *Conn) UserActivate(ctx context.Context, options arvados.UserActivateOptions) (arvados.User, error) {
 590         return conn.localOrLoginCluster().UserActivate(ctx, options)
 591 }
 592
 593 func (conn *Conn) UserSetup(ctx context.Context, options arvados.UserSetupOptions) (map[string]interface{}, error) {
 594         upstream := conn.localOrLoginCluster()
 595         if upstream != conn.local {
 596                 // When LoginCluster is in effect, and we're setting
 597                 // up a remote user, and we want to give that user
 598                 // access to a local VM, we can't include the VM in
 599                 // the setup call, because the remote cluster won't
 600                 // recognize it.
 601
 602                 // Similarly, if we want to create a git repo,
 603                 // it should be created on the local cluster,
 604                 // not the remote one.
 605
 606                 upstreamOptions := options
 607                 upstreamOptions.VMUUID = ""
 608                 upstreamOptions.RepoName = ""
 609
 610                 ret, err := upstream.UserSetup(ctx, upstreamOptions)
 611                 if err != nil {
 612                         return ret, err
 613                 }
 614         }
 615
 616         return conn.local.UserSetup(ctx, options)
 617 }
 618
 619 func (conn *Conn) UserUnsetup(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 620         return conn.localOrLoginCluster().UserUnsetup(ctx, options)
 621 }
 622
 623 func (conn *Conn) UserGet(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 624         resp, err := conn.chooseBackend(options.UUID).UserGet(ctx, options)
 625         if err != nil {
 626                 return resp, err
 627         }
 628         if options.UUID != resp.UUID {
 629                 return arvados.User{}, httpErrorf(http.StatusBadGateway, "Had requested %v but response was for %v", options.UUID, resp.UUID)
 630         }
 631         if options.UUID[:5] != conn.cluster.ClusterID {
 632                 err = conn.batchUpdateUsers(ctx, arvados.ListOptions{Select: options.Select}, []arvados.User{resp})
 633                 if err != nil {
 634                         return arvados.User{}, err
 635                 }
 636         }
 637         return resp, nil
 638 }
 639
 640 func (conn *Conn) UserGetCurrent(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 641         return conn.local.UserGetCurrent(ctx, options)
 642 }
 643
 644 func (conn *Conn) UserGetSystem(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 645         return conn.chooseBackend(options.UUID).UserGetSystem(ctx, options)
 646 }
 647
 648 func (conn *Conn) UserDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.User, error) {
 649         return conn.chooseBackend(options.UUID).UserDelete(ctx, options)
 650 }
 651
 652 func (conn *Conn) UserBatchUpdate(ctx context.Context, options arvados.UserBatchUpdateOptions) (arvados.UserList, error) {
 653         return conn.local.UserBatchUpdate(ctx, options)
 654 }
 655
 656 func (conn *Conn) UserAuthenticate(ctx context.Context, options arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error) {
 657         return conn.local.UserAuthenticate(ctx, options)
 658 }
 659
 660 func (conn *Conn) APIClientAuthorizationCurrent(ctx context.Context, options arvados.GetOptions) (arvados.APIClientAuthorization, error) {
 661         return conn.chooseBackend(options.UUID).APIClientAuthorizationCurrent(ctx, options)
 662 }
 663
 664 type backend interface {
 665         arvados.API
 666         BaseURL() url.URL
 667 }
 668
 669 type notFoundError struct{}
 670
 671 func (notFoundError) HTTPStatus() int { return http.StatusNotFound }
 672 func (notFoundError) Error() string   { return "not found" }
 673
 674 func errStatus(err error) int {
 675         if httpErr, ok := err.(interface{ HTTPStatus() int }); ok {
 676                 return httpErr.HTTPStatus()
 677         }
 678         return http.StatusInternalServerError
 679 }