projects / cascardo / ipsilon.git / blob
? search:


6fc0c534479285c23cdf26bcceb395041c7f0305
[cascardo/ipsilon.git] / ipsilon / login / authkrb.py
1 # Copyright (C) 2014  Simo Sorce <simo@redhat.com>
2 #
3 # see file 'COPYING' for use and warranty information
4 #
5 # This program is free software; you can redistribute it and/or modify
6 # it under the terms of the GNU General Public License as published by
7 # the Free Software Foundation, either version 3 of the License, or
8 # (at your option) any later version.
9 #
10 # This program is distributed in the hope that it will be useful,
11 # but WITHOUT ANY WARRANTY; without even the implied warranty of
12 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 # GNU General Public License for more details.
14 #
15 # You should have received a copy of the GNU General Public License
16 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
17
18 from ipsilon.login.common import LoginPageBase, LoginManagerBase, \
19     LoginManagerInstaller
20 from ipsilon.util.plugin import PluginObject
21 from ipsilon.util.user import UserSession
22 from string import Template
23 import cherrypy
24 import os
25
26
27 class Krb(LoginPageBase):
28
29     def root(self, *args, **kwargs):
30         # Someone typed manually or a robot is walking th tree.
31         # Redirect to default page
32         return self.lm.redirect_to_path(self.lm.path)
33
34
35 class KrbAuth(LoginPageBase):
36
37     def root(self, *args, **kwargs):
38         trans = self.get_valid_transaction('login', **kwargs)
39         # If we can get here, we must be authenticated and remote_user
40         # was set. Check the session has a user set already or error.
41         us = UserSession()
42         us.remote_login()
43         self.user = us.get_user()
44         if not self.user.is_anonymous:
45             userdata = {'krb_principal_name': self.user.name}
46             return self.lm.auth_successful(trans, self.user.name,
47                                            'krb', userdata)
48         else:
49             return self.lm.auth_failed(trans)
50
51
52 class KrbError(LoginPageBase):
53
54     def root(self, *args, **kwargs):
55         cherrypy.log.error('REQUEST: %s' % cherrypy.request.headers)
56         # If we have no negotiate header return whatever mod_auth_gssapi
57         # generated and wait for the next request
58
59         if 'WWW-Authenticate' not in cherrypy.request.headers:
60             cherrypy.response.status = 401
61
62             next_login = self.lm.next_login()
63             if next_login:
64                 return next_login.page.root(*args, **kwargs)
65
66             conturl = '%s/login' % self.basepath
67             return self._template('login/krb.html',
68                                   title='Kerberos Login',
69                                   cont=conturl)
70
71         # If we get here, negotiate failed
72         trans = self.get_valid_transaction('login', **kwargs)
73         return self.lm.auth_failed(trans)
74
75
76 class LoginManager(LoginManagerBase):
77
78     def __init__(self, *args, **kwargs):
79         super(LoginManager, self).__init__(*args, **kwargs)
80         self.name = 'krb'
81         self.path = 'krb/negotiate'
82         self.page = None
83         self.description = """
84 Kerberos Negotiate authentication plugin. Relies on the mod_auth_gssapi
85 apache plugin for actual authentication. """
86         self.new_config(self.name)
87
88     def get_tree(self, site):
89         self.page = Krb(site, self)
90         self.page.__dict__['negotiate'] = KrbAuth(site, self)
91         self.page.__dict__['unauthorized'] = KrbError(site, self)
92         self.page.__dict__['failed'] = KrbError(site, self)
93         return self.page
94
95
96 CONF_TEMPLATE = """
97
98 <Location /${instance}/login/krb/negotiate>
99   AuthType GSSAPI
100   AuthName "GSSAPI Single Sign On Login"
101   $keytab
102   GssapiSSLonly $gssapisslonly
103   GssapiLocalName on
104   Require valid-user
105
106   ErrorDocument 401 /${instance}/login/krb/unauthorized
107   ErrorDocument 500 /${instance}/login/krb/failed
108 </Location>
109 """
110
111
112 class Installer(LoginManagerInstaller):
113
114     def __init__(self, *pargs):
115         super(Installer, self).__init__()
116         self.name = 'krb'
117         self.pargs = pargs
118
119     def install_args(self, group):
120         group.add_argument('--krb', choices=['yes', 'no'], default='no',
121                            help='Configure Kerberos authentication')
122         group.add_argument('--krb-httpd-keytab',
123                            default='/etc/httpd/conf/http.keytab',
124                            help='Kerberos keytab location for HTTPD')
125
126     def configure(self, opts):
127         if opts['krb'] != 'yes':
128             return
129
130         confopts = {'instance': opts['instance']}
131
132         if os.path.exists(opts['krb_httpd_keytab']):
133             confopts['keytab'] = 'GssapiCredStore keytab:%s' % (
134                 opts['krb_httpd_keytab'])
135         else:
136             raise Exception('Keytab not found')
137
138         if opts['secure'] == 'no':
139             confopts['gssapisslonly'] = 'Off'
140         else:
141             confopts['gssapisslonly'] = 'On'
142
143         tmpl = Template(CONF_TEMPLATE)
144         hunk = tmpl.substitute(**confopts)  # pylint: disable=star-args
145         with open(opts['httpd_conf'], 'a') as httpd_conf:
146             httpd_conf.write(hunk)
147
148         # Add configuration data to database
149         po = PluginObject(*self.pargs)
150         po.name = 'krb'
151         po.wipe_data()
152
153         # Update global config, put 'krb' always first
154         ph = self.pargs[0]
155         ph.refresh_enabled()
156         if 'krb' not in ph.enabled:
157             enabled = []
158             enabled.extend(ph.enabled)
159             enabled.insert(0, 'krb')
160             ph.save_enabled(enabled)
Unnamed repository; edit this file 'description' to name the repository.