ipsilon/login/authform.py

   1 #!/usr/bin/python
   2 #
   3 # Copyright (C) 2014  Simo Sorce <simo@redhat.com>
   4 #
   5 # see file 'COPYING' for use and warranty information
   6 #
   7 # This program is free software; you can redistribute it and/or modify
   8 # it under the terms of the GNU General Public License as published by
   9 # the Free Software Foundation, either version 3 of the License, or
  10 # (at your option) any later version.
  11 #
  12 # This program is distributed in the hope that it will be useful,
  13 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  14 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15 # GNU General Public License for more details.
  16 #
  17 # You should have received a copy of the GNU General Public License
  18 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
  19
  20 from ipsilon.login.common import LoginFormBase, LoginManagerBase
  21 from ipsilon.login.common import FACILITY
  22 from ipsilon.util.plugin import PluginObject
  23 from ipsilon.util.user import UserSession
  24 from string import Template
  25 import cherrypy
  26 import subprocess
  27
  28
  29 class Form(LoginFormBase):
  30
  31     def POST(self, *args, **kwargs):
  32         us = UserSession()
  33         us.remote_login()
  34         user = us.get_user()
  35         if not user.is_anonymous:
  36             return self.lm.auth_successful(user.name, 'password')
  37         else:
  38             try:
  39                 error = cherrypy.request.headers['EXTERNAL_AUTH_ERROR']
  40             except KeyError:
  41                 error = "Unknown error using external authentication"
  42                 cherrypy.log.error("Error: %s" % error)
  43             return self.lm.auth_failed()
  44
  45
  46 class LoginManager(LoginManagerBase):
  47
  48     def __init__(self, *args, **kwargs):
  49         super(LoginManager, self).__init__(*args, **kwargs)
  50         self.name = 'form'
  51         self.path = 'form'
  52         self.page = None
  53         self.service_name = 'form'
  54         self.description = """
  55 Form based login Manager. Relies on mod_intercept_form_submit plugin for
  56  actual authentication. """
  57         self._options = {
  58             'help text': [
  59                 """ The text shown to guide the user at login time. """,
  60                 'string',
  61                 'Insert your Username and Password and then submit.'
  62             ],
  63             'username text': [
  64                 """ The text shown to ask for the username in the form. """,
  65                 'string',
  66                 'Username'
  67             ],
  68             'password text': [
  69                 """ The text shown to ask for the password in the form. """,
  70                 'string',
  71                 'Password'
  72             ],
  73         }
  74
  75     @property
  76     def help_text(self):
  77         return self.get_config_value('help text')
  78
  79     @property
  80     def username_text(self):
  81         return self.get_config_value('username text')
  82
  83     @property
  84     def password_text(self):
  85         return self.get_config_value('password text')
  86
  87     def get_tree(self, site):
  88         self.page = Form(site, self, 'login/form')
  89         return self.page
  90
  91
  92 CONF_TEMPLATE = """
  93 LoadModule intercept_form_submit_module modules/mod_intercept_form_submit.so
  94 LoadModule authnz_pam_module modules/mod_authnz_pam.so
  95
  96 <Location /${instance}/login/form>
  97   InterceptFormPAMService ${service}
  98   InterceptFormLogin login_name
  99   InterceptFormPassword login_password
 100   # InterceptFormLoginSkip admin
 101   # InterceptFormClearRemoteUserForSkipped on
 102   InterceptFormPasswordRedact on
 103 </Location>
 104 """
 105
 106
 107 class Installer(object):
 108
 109     def __init__(self):
 110         self.name = 'form'
 111         self.ptype = 'login'
 112
 113     def install_args(self, group):
 114         group.add_argument('--form', choices=['yes', 'no'], default='no',
 115                            help='Configure External Form authentication')
 116         group.add_argument('--form-service', action='store', default='remote',
 117                            help='PAM service name to use for authentication')
 118
 119     def configure(self, opts):
 120         if opts['form'] != 'yes':
 121             return
 122
 123         confopts = {'instance': opts['instance'],
 124                     'service': opts['form_service']}
 125
 126         tmpl = Template(CONF_TEMPLATE)
 127         hunk = tmpl.substitute(**confopts)  # pylint: disable=star-args
 128         with open(opts['httpd_conf'], 'a') as httpd_conf:
 129             httpd_conf.write(hunk)
 130
 131         # Add configuration data to database
 132         po = PluginObject()
 133         po.name = 'form'
 134         po.wipe_data()
 135         po.wipe_config_values(FACILITY)
 136
 137         # Update global config, put 'krb' always first
 138         po.name = 'global'
 139         globalconf = po.get_plugin_config(FACILITY)
 140         if 'order' in globalconf:
 141             order = globalconf['order'].split(',')
 142         else:
 143             order = []
 144         order.append('form')
 145         globalconf['order'] = ','.join(order)
 146         po.set_config(globalconf)
 147         po.save_plugin_config(FACILITY)
 148
 149         # for selinux enabled platforms, ignore if it fails just report
 150         try:
 151             subprocess.call(['/usr/sbin/setsebool', '-P',
 152                              'httpd_mod_auth_pam=on'])
 153         except Exception:  # pylint: disable=broad-except
 154             pass