ipsilon/login/authkrb.py

   1 #!/usr/bin/python
   2 #
   3 # Copyright (C) 2014  Simo Sorce <simo@redhat.com>
   4 #
   5 # see file 'COPYING' for use and warranty information
   6 #
   7 # This program is free software; you can redistribute it and/or modify
   8 # it under the terms of the GNU General Public License as published by
   9 # the Free Software Foundation, either version 3 of the License, or
  10 # (at your option) any later version.
  11 #
  12 # This program is distributed in the hope that it will be useful,
  13 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  14 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15 # GNU General Public License for more details.
  16 #
  17 # You should have received a copy of the GNU General Public License
  18 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
  19
  20 from ipsilon.login.common import LoginPageBase, LoginManagerBase
  21 import cherrypy
  22
  23
  24 class Krb(LoginPageBase):
  25
  26     def root(self, *args, **kwargs):
  27         # Someone typed manually or a robot is walking th tree.
  28         # Redirect to default page
  29         return self.lm.redirect_to_path(self.lm.path)
  30
  31
  32 class KrbAuth(LoginPageBase):
  33
  34     def root(self, *args, **kwargs):
  35         # If we can get here, we must be authenticated and remote_user
  36         # was set. Check the session has a use set already or error.
  37         if self.user and self.user.name:
  38             return self.lm.auth_successful(self.user.name)
  39         else:
  40             return self.lm.auth_failed()
  41
  42
  43 class KrbError(LoginPageBase):
  44
  45     def root(self, *args, **kwargs):
  46         cherrypy.log.error('REQUEST: %s' % cherrypy.request.headers)
  47         # If we have no negotiate header return whatever mod_auth_kerb
  48         # generated and wait for the next request
  49
  50         if not 'WWW-Authenticate' in cherrypy.request.headers:
  51             cherrypy.response.status = 401
  52
  53             if self.lm.next_login:
  54                 return self.lm.next_login.page.root(*args, **kwargs)
  55
  56             conturl = '%s/login' % self.basepath
  57             return self._template('login/krb.html',
  58                                   title='Kerberos Login',
  59                                   cont=conturl)
  60
  61         # If we get here, negotiate failed
  62         return self.lm.auth_failed()
  63
  64
  65 class LoginManager(LoginManagerBase):
  66
  67     def __init__(self, *args, **kwargs):
  68         super(LoginManager, self).__init__(*args, **kwargs)
  69         self.name = 'krb'
  70         self.path = 'krb/negotiate'
  71         self.page = None
  72         self.description = """
  73 Kereros Negotiate authentication plugin. Relies on the mod_auth_kerb apache
  74 plugin for actual authentication. """
  75
  76     def get_tree(self, site):
  77         self.page = Krb(site, self)
  78         self.page.__dict__['negotiate'] = KrbAuth(site, self)
  79         self.page.__dict__['unauthorized'] = KrbError(site, self)
  80         return self.page