97066d03e2221051dec846d7f714852540dba76a
[mirror/userdir-ldap.git] / ud-useradd
1 #!/usr/bin/env python
2 # -*- mode: python -*-
3
4 #   Copyright (c) 1999-2000  Jason Gunthorpe <jgg@debian.org>
5 #   Copyright (c) 2001-2003  James Troup <troup@debian.org>
6 #   Copyright (c) 2004  Joey Schulze <joey@infodrom.org>
7 #
8 #   This program is free software; you can redistribute it and/or modify
9 #   it under the terms of the GNU General Public License as published by
10 #   the Free Software Foundation; either version 2 of the License, or
11 #   (at your option) any later version.
12 #
13 #   This program is distributed in the hope that it will be useful,
14 #   but WITHOUT ANY WARRANTY; without even the implied warranty of
15 #   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16 #   GNU General Public License for more details.
17 #
18 #   You should have received a copy of the GNU General Public License
19 #   along with this program; if not, write to the Free Software
20 #   Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
21
22 import string, re, time, ldap, getopt, sys, os, pwd;
23 from userdir_ldap import *;
24 from userdir_gpg import *;
25
26 # This tries to search for a free UID. There are two possible ways to do
27 # this, one is to fetch all the entires and pick the highest, the other
28 # is to randomly guess uids until one is free. This uses the former.
29 # Regrettably ldap doesn't have an integer attribute comparision function
30 # so we can only cut the search down slightly
31
32 # [JT] This is broken with Woody LDAP and the Schema; for now just
33 #      search through all UIDs.
34 def GetFreeID(l):
35    Attrs = l.search_s(BaseDn,ldap.SCOPE_ONELEVEL,
36                       "uidNumber=*",["uidNumber"]);
37    HighestUID = 0;
38    for I in Attrs:
39       ID = int(GetAttr(I,"uidNumber","0"));
40       if ID > HighestUID:
41          HighestUID = ID;
42    return HighestUID + 1;
43
44 # Main starts here
45 AdminUser = pwd.getpwuid(os.getuid())[0];
46
47 # Process options
48 ForceMail = 0;
49 OldGPGKeyRings = GPGKeyRings;
50 userdir_gpg.GPGKeyRings = [];
51 (options, arguments) = getopt.getopt(sys.argv[1:], "u:ma")
52 for (switch, val) in options:
53    if (switch == '-u'):
54       AdminUser = val;
55    elif (switch == '-m'):
56       ForceMail = 1;
57    elif (switch == '-a'):
58       userdir_gpg.GPGKeyRings = OldGPGKeyRings;
59
60 print "Accessing LDAP directory as '" + AdminUser + "'";
61 while (1):
62    Password = getpass(AdminUser + "'s password: ");
63
64    if len(Password) == 0:
65       sys.exit(0)
66
67    l = ldap.open(LDAPServer);
68    UserDn = "uid=" + AdminUser + "," + BaseDn;
69
70    # Connect to the ldap server
71    try:
72       l.simple_bind_s(UserDn,Password);
73    except ldap.INVALID_CREDENTIALS:
74       continue
75    break
76
77 # Locate the key of the user we are adding
78 SetKeyrings(["/org/keyring.debian.org/keyrings/debian-keyring.gpg"])
79 while (1):
80    Foo = raw_input("Who are you going to add (for a GPG search)? ");
81    if Foo == "":
82       sys.exit(0);
83
84    Keys = GPGKeySearch(Foo);
85
86    if len(Keys) == 0:
87       print "Sorry, that search did not turn up any keys."
88       print "Has it been added to the Debian keyring already?"
89       continue;
90    if len(Keys) > 1:
91       print "Sorry, more than one key was found, please specify the key to use by\nfingerprint:";
92       for i in Keys:
93          GPGPrintKeyInfo(i);
94       continue;
95
96    print
97    print "A matching key was found:"
98    GPGPrintKeyInfo(Keys[0]);
99    break;
100
101 # Crack up the email address from the key into a best guess
102 # first/middle/last name
103 Addr = SplitEmail(Keys[0][2]);
104 (cn,mn,sn) = NameSplit(re.sub('["]','',Addr[0]))
105 email = Addr[1] + '@' + Addr[2];
106 account = Addr[1];
107
108 privsub = email;
109 gidNumber = str(DefaultGID);
110 uidNumber = 0;
111
112 # Decide if we should use IDEA encryption
113 UsePGP2 = 0;
114 while len(Keys[0][1]) < 40:
115    Res = raw_input("Use PGP2.x compatibility [no]? ");
116    if Res == "yes":
117       UsePGP2 = 1;
118       break;
119    if Res == "":
120       break;
121
122 Attrs = l.search_s(BaseDn,ldap.SCOPE_ONELEVEL,"keyFingerPrint=" + Keys[0][1]);
123 if len(Attrs) != 0:
124    print "*** This key already belongs to",GetAttr(Attrs[0],"uid");
125    account = GetAttr(Attrs[0],"uid");
126
127 # Try to get a uniq account name
128 Update=0
129 while 1:
130    Res = raw_input("Login account [" + account + "]? ");
131    if Res != "":
132       account = Res;
133    Attrs = l.search_s(BaseDn,ldap.SCOPE_ONELEVEL,"uid=" + account);
134    if len(Attrs) == 0:
135       privsub = "%s@debian.org"%(account);
136       break;
137    Res = raw_input("That account already exists, update [No/yes]? ");
138    if Res == "yes":
139       # Update mode, fetch the default values from the directory
140       Update = 1;
141       privsub = GetAttr(Attrs[0],"privateSub");
142       gidNumber = GetAttr(Attrs[0],"gidNumber");
143       uidNumber = GetAttr(Attrs[0],"uidNumber");
144       email = GetAttr(Attrs[0],"emailForward");
145       cn = GetAttr(Attrs[0],"cn");
146       sn = GetAttr(Attrs[0],"sn");
147       mn = GetAttr(Attrs[0],"mn");
148       if privsub == None or privsub == "":
149          privsub = " ";
150       break;
151
152 # Prompt for the first/last name and email address
153 Res = raw_input("First name [" + cn + "]? ");
154 if Res != "":
155    cn = Res;
156 Res = raw_input("Middle name [" + mn + "]? ");
157 if Res != "":
158    mn = Res;
159 Res = raw_input("Last name [" + sn + "]? ");
160 if Res != "":
161    sn = Res;
162 Res = raw_input("Email forwarding address [" + email + "]? ");
163 if Res != "":
164    email = Res;
165
166 # Debian-Private subscription
167 Res = raw_input("Subscribe to debian-private (space is none) [" + privsub + "]? ");
168 if Res != "":
169    privsub = Res;
170
171 # GID
172 Res = raw_input("Group ID Number [" + gidNumber + "]? ");
173 if Res != "":
174    gidNumber = Group2GID(Res);
175
176 # UID
177 if uidNumber == 0:
178    uidNumber = GetFreeID(l);
179
180 # Generate a random password
181 if Update == 0 or ForceMail == 1:
182    Password = raw_input("User's Password (Enter for random)? ");
183
184    if Password == "":
185       print "Randomizing and encrypting password"
186       Password = GenPass();
187       Pass = HashPass(Password);
188
189       # Use GPG to encrypt it, pass the fingerprint to ID it
190       CryptedPass = GPGEncrypt("Your new password is '" + Password + "'\n",\
191                                "0x"+Keys[0][1],UsePGP2);
192       Password = None;
193       if CryptedPass == None:
194         raise "Error","Password Encryption failed"
195    else:
196       Pass = HashPass(Password);
197       CryptedPass = "Your password has been set to the previously agreed value.";
198 else:
199    CryptedPass = "";
200    Pass = None;
201
202 # Now we have all the bits of information.
203 if mn != "":
204    FullName = "%s %s %s" % (cn,mn,sn);
205 else:
206    FullName = "%s %s" % (cn,sn);
207 print "------------";
208 print "Final information collected:"
209 print " %s <%s@%s>:" % (FullName,account,EmailAppend);
210 print "   Assigned UID:",uidNumber," GID:", gidNumber;
211 print "   Email forwarded to:",email;
212 print "   Private Subscription:",privsub;
213 print "   GECOS Field: \"%s,,,,\"" % (FullName);
214 print "   Login Shell: /bin/bash";
215 print "   Key Fingerprint:",Keys[0][1];
216 Res = raw_input("Continue [No/yes]? ");
217 if Res != "yes":
218    sys.exit(1);
219
220 # Initialize the substitution Map
221 Subst = {}
222 Subst["__REALNAME__"] = FullName;
223 Subst["__WHOAMI__"] = pwd.getpwuid(os.getuid())[0];
224 Subst["__DATE__"] = time.strftime("%a, %d %b %Y %H:%M:%S +0000",time.gmtime(time.time()));
225 Subst["__LOGIN__"] = account;
226 Subst["__PRIVATE__"] = privsub;
227 Subst["__EMAIL__"] = email;
228 Subst["__PASSWORD__"] = CryptedPass;
229
230 # Submit the modification request
231 Dn = "uid=" + account + "," + BaseDn;
232 print "Updating LDAP directory..",
233 sys.stdout.flush();
234
235 if Update == 0:
236    # New account
237    Details = [("uid",account),
238               ("objectClass",
239                ("top","inetOrgPerson","debianAccount","shadowAccount","debianDeveloper")),
240               ("uidNumber",str(uidNumber)),
241               ("gidNumber",str(gidNumber)),
242               ("gecos",FullName+",,,,"),
243               ("loginShell","/bin/bash"),
244               ("keyFingerPrint",Keys[0][1]),
245               ("cn",cn),
246               ("sn",sn),
247               ("emailForward",email),
248               ("shadowLastChange",str(int(time.time()/24/60/60))),
249               ("shadowMin","0"),
250               ("shadowMax","99999"),
251               ("shadowWarning","7"),
252               ("userPassword","{crypt}"+Pass)];
253    if mn:
254       Details.append(("mn",mn));
255    if privsub != " ":
256       Details.append(("privateSub",privsub))
257    l.add_s(Dn,Details);
258 else:
259    # Modification
260    Rec = [(ldap.MOD_REPLACE,"uidNumber",str(uidNumber)),
261           (ldap.MOD_REPLACE,"gidNumber",str(gidNumber)),
262           (ldap.MOD_REPLACE,"gecos",FullName+",,,,"),
263           (ldap.MOD_REPLACE,"loginShell","/bin/bash"),
264           (ldap.MOD_REPLACE,"keyFingerPrint",Keys[0][1]),
265           (ldap.MOD_REPLACE,"cn",cn),
266           (ldap.MOD_REPLACE,"mn",mn),
267           (ldap.MOD_REPLACE,"sn",sn),
268           (ldap.MOD_REPLACE,"emailForward",email),
269           (ldap.MOD_REPLACE,"shadowLastChange",str(int(time.time()/24/60/60))),
270           (ldap.MOD_REPLACE,"shadowMin","0"),
271           (ldap.MOD_REPLACE,"shadowMax","99999"),
272           (ldap.MOD_REPLACE,"shadowWarning","7"),
273           (ldap.MOD_REPLACE,"shadowInactive",""),
274           (ldap.MOD_REPLACE,"shadowExpire","")];
275    if privsub != " ":
276       Rec.append((ldap.MOD_REPLACE,"privateSub",privsub));
277    if Pass != None:
278       Rec.append((ldap.MOD_REPLACE,"userPassword","{crypt}"+Pass));
279    # Do it
280    l.modify_s(Dn,Rec);
281
282 print;
283
284 # Abort email sends for an update operation
285 if Update == 1 and ForceMail == 0:
286    print "Account is not new, Not sending mails"
287    sys.exit(0);
288
289 # Send the Welcome message
290 print "Sending Welcome Email"
291 Reply = TemplateSubst(Subst,open(TemplatesDir+"/welcome-message-"+gidNumber,"r").read());
292 Child = os.popen("/usr/sbin/sendmail -t","w");
293 #Child = os.popen("cat","w");
294 Child.write(Reply);
295 if Child.close() != None:
296    raise Error, "Sendmail gave a non-zero return code";