|
Patrick Uiterwijk |
6e47de |
#!/usr/bin/env python
|
|
Patrick Uiterwijk |
6e47de |
# -*- coding: utf-8 -*-
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
"""
|
|
Patrick Uiterwijk |
6e47de |
(c) 2014-2018 - Copyright Red Hat Inc
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
Authors:
|
|
Patrick Uiterwijk |
6e47de |
Patrick Uiterwijk <puiterwijk@redhat.com></puiterwijk@redhat.com>
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
"""
|
|
Patrick Uiterwijk |
6e47de |
|
|
Pierre-Yves Chibon |
67d1cc |
from __future__ import unicode_literals, print_function, absolute_import
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
import sys
|
|
Patrick Uiterwijk |
6e47de |
import os
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
9b237b |
import requests
|
|
Patrick Uiterwijk |
9b237b |
|
|
Patrick Uiterwijk |
6e47de |
# Since this is run by sshd, we don't have a way to set environment
|
|
Patrick Uiterwijk |
6e47de |
# variables ahead of time
|
|
Patrick Uiterwijk |
6e47de |
if "PAGURE_CONFIG" not in os.environ and os.path.exists(
|
|
Patrick Uiterwijk |
6e47de |
"/etc/pagure/pagure.cfg"
|
|
Patrick Uiterwijk |
6e47de |
):
|
|
Patrick Uiterwijk |
6e47de |
os.environ["PAGURE_CONFIG"] = "/etc/pagure/pagure.cfg"
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
# Here starts the code
|
|
Patrick Uiterwijk |
6e47de |
from pagure.config import config as pagure_config
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
# Get the arguments
|
|
Patrick Uiterwijk |
6e47de |
# Expect sshd config:
|
|
Patrick Uiterwijk |
6e47de |
# AuthorizedKeysCommand: <scriptpath> "%u" "%h" "%t" "%f"</scriptpath>
|
|
Patrick Uiterwijk |
6e47de |
# <us> <username> <homedir> <keytype> <fingerprint></fingerprint></keytype></homedir></username></us>
|
|
Patrick Uiterwijk |
6e47de |
# At this moment, we ignore the homedir and fingerprint, since looking
|
|
Patrick Uiterwijk |
6e47de |
# up a key by fingerprint would require some model changes (ssh keys would
|
|
Patrick Uiterwijk |
6e47de |
# need to be stored in a fashion like DeployKeys).
|
|
Patrick Uiterwijk |
6e47de |
# But to not break installations in the future, we should ask installations
|
|
Patrick Uiterwijk |
6e47de |
# to set up sshd in a way that it will work if we use them in the future.
|
|
Patrick Uiterwijk |
6e47de |
if len(sys.argv) < 5:
|
|
Patrick Uiterwijk |
6e47de |
print("Invalid call, too few arguments", file=sys.stderr)
|
|
Patrick Uiterwijk |
6e47de |
sys.exit(1)
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
username, userhome, keytype, fingerprint = sys.argv[1:5]
|
|
Patrick Uiterwijk |
6e47de |
username_lookup = pagure_config["SSH_KEYS_USERNAME_LOOKUP"]
|
|
Patrick Uiterwijk |
6e47de |
expect_username = pagure_config["SSH_KEYS_USERNAME_EXPECT"]
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
e95068 |
if username in pagure_config["SSH_KEYS_USERNAME_FORBIDDEN"]:
|
|
Patrick Uiterwijk |
e95068 |
print("User is forbidden for keyhelper.", file=sys.stderr)
|
|
Patrick Uiterwijk |
e95068 |
sys.exit(1)
|
|
Patrick Uiterwijk |
e95068 |
|
|
Patrick Uiterwijk |
e95068 |
|
|
Patrick Uiterwijk |
6e47de |
if not username_lookup:
|
|
Patrick Uiterwijk |
6e47de |
if not expect_username:
|
|
Patrick Uiterwijk |
6e47de |
print("Pagure keyhelper configured incorrectly", file=sys.stderr)
|
|
Patrick Uiterwijk |
6e47de |
sys.exit(1)
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
if username != expect_username:
|
|
Patrick Uiterwijk |
6e47de |
# Nothing to look up, this user is not git-related
|
|
Patrick Uiterwijk |
6e47de |
sys.exit(0)
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
9b237b |
url = "%s/pv/ssh/lookupkey/" % pagure_config["APP_URL"]
|
|
Patrick Uiterwijk |
9b237b |
data = {"search_key": fingerprint}
|
|
Patrick Uiterwijk |
9b237b |
if username_lookup:
|
|
Patrick Uiterwijk |
9b237b |
data["username"] = username
|
|
Slavek Kabrda |
984d0f |
headers = {}
|
|
Slavek Kabrda |
984d0f |
if pagure_config.get("SSH_ADMIN_TOKEN"):
|
|
Slavek Kabrda |
984d0f |
headers["Authorization"] = "token %s" % pagure_config["SSH_ADMIN_TOKEN"]
|
|
Slavek Kabrda |
984d0f |
resp = requests.post(url, data=data, headers=headers)
|
|
Patrick Uiterwijk |
9b237b |
if not resp.status_code == 200:
|
|
Patrick Uiterwijk |
9b237b |
print(
|
|
Patrick Uiterwijk |
9b237b |
"Error during lookup request: status: %s" % resp.status_code,
|
|
Patrick Uiterwijk |
9b237b |
file=sys.stderr,
|
|
Patrick Uiterwijk |
9b237b |
)
|
|
Patrick Uiterwijk |
6e47de |
sys.exit(1)
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
9b237b |
result = resp.json()
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
9b237b |
if not result["found"]:
|
|
Patrick Uiterwijk |
9b237b |
# Everything OK, key just didn't exist.
|
|
Patrick Uiterwijk |
6e47de |
sys.exit(0)
|
|
Patrick Uiterwijk |
6e47de |
|
|
Patrick Uiterwijk |
9b237b |
print(
|
|
Patrick Uiterwijk |
aa8643 |
"%s %s"
|
|
Patrick Uiterwijk |
aa8643 |
% (pagure_config["SSH_KEYS_OPTIONS"] % result, result["public_key"])
|
|
Patrick Uiterwijk |
9b237b |
)
|