ud-useradd

   1 #!/usr/bin/env python
   2 # -*- mode: python -*-
   3
   4 #   Copyright (c) 1999-2000  Jason Gunthorpe <jgg@debian.org>
   5 #   Copyright (c) 2001-2003  James Troup <troup@debian.org>
   6 #   Copyright (c) 2004  Joey Schulze <joey@infodrom.org>
   7 #
   8 #   This program is free software; you can redistribute it and/or modify
   9 #   it under the terms of the GNU General Public License as published by
  10 #   the Free Software Foundation; either version 2 of the License, or
  11 #   (at your option) any later version.
  12 #
  13 #   This program is distributed in the hope that it will be useful,
  14 #   but WITHOUT ANY WARRANTY; without even the implied warranty of
  15 #   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  16 #   GNU General Public License for more details.
  17 #
  18 #   You should have received a copy of the GNU General Public License
  19 #   along with this program; if not, write to the Free Software
  20 #   Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
  21
  22 import re, time, ldap, getopt, sys, os, pwd;
  23 import email.Header
  24
  25 from userdir_ldap import *;
  26 from userdir_gpg import *;
  27
  28 HavePrivateList = getattr(ConfModule, "haveprivatelist", True)
  29
  30 # This tries to search for a free UID. There are two possible ways to do
  31 # this, one is to fetch all the entires and pick the highest, the other
  32 # is to randomly guess uids until one is free. This uses the former.
  33 # Regrettably ldap doesn't have an integer attribute comparision function
  34 # so we can only cut the search down slightly
  35
  36 # [JT] This is broken with Woody LDAP and the Schema; for now just
  37 #      search through all UIDs.
  38 def GetFreeID(l):
  39    Attrs = l.search_s(BaseDn,ldap.SCOPE_ONELEVEL,
  40                       "uidNumber=*",["uidNumber", "gidNumber"]);
  41    HighestUID = 0;
  42    gids = [];
  43    for I in Attrs:
  44       ID = int(GetAttr(I,"uidNumber","0"));
  45       gids.append(int(GetAttr(I, "gidNumber","0")))
  46       if ID > HighestUID:
  47          HighestUID = ID;
  48
  49    resGID = HighestUID + 1;
  50    while resGID in gids:
  51       resGID += 1
  52
  53    return (HighestUID + 1, resGID);
  54
  55 # Main starts here
  56 AdminUser = pwd.getpwuid(os.getuid())[0];
  57
  58 # Process options
  59 ForceMail = 0;
  60 NoAutomaticIDs = 0;
  61 OldGPGKeyRings = GPGKeyRings;
  62 userdir_gpg.GPGKeyRings = [];
  63 (options, arguments) = getopt.getopt(sys.argv[1:], "u:man")
  64 for (switch, val) in options:
  65    if (switch == '-u'):
  66       AdminUser = val;
  67    elif (switch == '-m'):
  68       ForceMail = 1;
  69    elif (switch == '-a'):
  70       userdir_gpg.GPGKeyRings = OldGPGKeyRings;
  71    elif (switch == '-n'):
  72       NoAutomaticIDs = 1;
  73
  74 l = passwdAccessLDAP(BaseDn, AdminUser)
  75
  76 # Locate the key of the user we are adding
  77 SetKeyrings(ConfModule.add_keyrings.split(":"))
  78 while (1):
  79    Foo = raw_input("Who are you going to add (for a GPG search)? ");
  80    if Foo == "":
  81       sys.exit(0);
  82
  83    Keys = GPGKeySearch(Foo);
  84
  85    if len(Keys) == 0:
  86       print "Sorry, that search did not turn up any keys."
  87       print "Has it been added to the Debian keyring already?"
  88       continue;
  89    if len(Keys) > 1:
  90       print "Sorry, more than one key was found, please specify the key to use by\nfingerprint:";
  91       for i in Keys:
  92          GPGPrintKeyInfo(i);
  93       continue;
  94
  95    print
  96    print "A matching key was found:"
  97    GPGPrintKeyInfo(Keys[0]);
  98    break;
  99
 100 # Crack up the email address from the key into a best guess
 101 # first/middle/last name
 102 Addr = SplitEmail(Keys[0][2]);
 103 (cn,mn,sn) = NameSplit(re.sub('["]','',Addr[0]))
 104 emailaddr = Addr[1] + '@' + Addr[2];
 105 account = Addr[1];
 106
 107 privsub = emailaddr
 108 gidNumber = 0;
 109 uidNumber = 0;
 110
 111 # Decide if we should use IDEA encryption
 112 UsePGP2 = 0;
 113 while len(Keys[0][1]) < 40:
 114    Res = raw_input("Use PGP2.x compatibility [No/yes]? ");
 115    if Res == "yes":
 116       UsePGP2 = 1;
 117       break;
 118    if Res == "":
 119       break;
 120
 121 Update = 0
 122 Attrs = l.search_s(BaseDn,ldap.SCOPE_ONELEVEL,"keyFingerPrint=" + Keys[0][1]);
 123 if len(Attrs) != 0:
 124    print "*** This key already belongs to",GetAttr(Attrs[0],"uid");
 125    account = GetAttr(Attrs[0],"uid");
 126    Update = 1
 127
 128 # Try to get a uniq account name
 129 while 1:
 130    if Update == 0:
 131       Res = raw_input("Login account [" + account + "]? ");
 132       if Res != "":
 133          account = Res;
 134    Attrs = l.search_s(BaseDn,ldap.SCOPE_ONELEVEL,"uid=" + account);
 135    if len(Attrs) == 0:
 136       privsub = "%s@debian.org"%(account);
 137       break;
 138    Res = raw_input("That account already exists, update [No/yes]? ");
 139    if Res == "yes":
 140       # Update mode, fetch the default values from the directory
 141       Update = 1;
 142       privsub = GetAttr(Attrs[0],"privateSub");
 143       gidNumber = GetAttr(Attrs[0],"gidNumber");
 144       uidNumber = GetAttr(Attrs[0],"uidNumber");
 145       emailaddr = GetAttr(Attrs[0],"emailForward");
 146       cn = GetAttr(Attrs[0],"cn");
 147       sn = GetAttr(Attrs[0],"sn");
 148       mn = GetAttr(Attrs[0],"mn");
 149       if privsub == None or privsub == "":
 150          privsub = " ";
 151       break;
 152    else:
 153       sys.exit(1)
 154
 155 # Prompt for the first/last name and email address
 156 Res = raw_input("First name [" + cn + "]? ");
 157 if Res != "":
 158    cn = Res;
 159 Res = raw_input("Middle name [" + mn + "]? ");
 160 if Res == " ":
 161    mn = ""
 162 elif Res != "":
 163    mn = Res;
 164 Res = raw_input("Last name [" + sn + "]? ");
 165 if Res != "":
 166    sn = Res;
 167 Res = raw_input("Email forwarding address [" + emailaddr + "]? ");
 168 if Res != "":
 169    emailaddr = Res;
 170
 171 # Debian-Private subscription
 172 if HavePrivateList:
 173    Res = raw_input("Subscribe to debian-private (space is none) [" + privsub + "]? ");
 174    if Res != "":
 175       privsub = Res;
 176 else:
 177    privsub = " "
 178
 179 (uidNumber, generatedGID) = GetFreeID(l)
 180 if not gidNumber:
 181    gidNumber = DefaultGID
 182 UserGroup = 0
 183
 184 if NoAutomaticIDs:
 185    # UID
 186    if not Update:
 187       Res = raw_input("User ID Number [%s]? " % (uidNumber));
 188       if Res != "":
 189          uidNumber = Res;
 190
 191    # GID
 192    Res = raw_input("Group ID Number (default group is %s, new usergroup %s) [%s]" % (DefaultGID, generatedGID, gidNumber));
 193    if Res != "":
 194       if Res.isdigit():
 195          gidNumber = int(Res);
 196       else:
 197          gidNumber = Group2GID(l, Res);
 198
 199    if gidNumber == generatedGID:
 200       UserGroup = 1
 201
 202 # Generate a random password
 203 if Update == 0 or ForceMail == 1:
 204    Password = raw_input("User's Password (Enter for random)? ");
 205
 206    if Password == "":
 207       print "Randomizing and encrypting password"
 208       Password = GenPass();
 209       Pass = HashPass(Password);
 210
 211       # Use GPG to encrypt it, pass the fingerprint to ID it
 212       CryptedPass = GPGEncrypt("Your new password is '" + Password + "'\n",\
 213                                "0x"+Keys[0][1],UsePGP2);
 214       Password = None;
 215       if CryptedPass == None:
 216         raise "Error","Password Encryption failed"
 217    else:
 218       Pass = HashPass(Password);
 219       CryptedPass = "Your password has been set to the previously agreed value.";
 220 else:
 221    CryptedPass = "";
 222    Pass = None;
 223
 224 # Now we have all the bits of information.
 225 if mn != "":
 226    FullName = "%s %s %s" % (cn,mn,sn);
 227 else:
 228    FullName = "%s %s" % (cn,sn);
 229 print "------------";
 230 print "Final information collected:"
 231 print " %s <%s@%s>:" % (FullName,account,EmailAppend);
 232 print "   Assigned UID:",uidNumber," GID:", gidNumber;
 233 print "   Email forwarded to:",emailaddr
 234 if HavePrivateList:
 235    print "   Private Subscription:",privsub;
 236 print "   GECOS Field: \"%s,,,,\"" % (FullName);
 237 print "   Login Shell: /bin/bash";
 238 print "   Key Fingerprint:",Keys[0][1];
 239 Res = raw_input("Continue [No/yes]? ");
 240 if Res != "yes":
 241    sys.exit(1);
 242
 243 # Initialize the substitution Map
 244 Subst = {}
 245
 246 encto = ''
 247 try:
 248   encto = FullName.decode('us-ascii')
 249 except UnicodeError:
 250   encto = str(email.Header.Header(FullName, 'utf-8', 200)) + " " + emailaddr
 251
 252 subjstring = "New Debian Maintainer " + FullName
 253 encsubj = ''
 254 try:
 255   encsubj = subjstring.decode('us-ascii')
 256 except UnicodeError:
 257   encsubj = str(email.Header.Header(subjstring, 'utf-8', 200))
 258
 259 Subst["__HEADER_SUBJ__"] = encsubj
 260 Subst["__HEADER_EMAIL"] = encto
 261 Subst["__REALNAME__"] = FullName;
 262 Subst["__WHOAMI__"] = pwd.getpwuid(os.getuid())[0];
 263 Subst["__DATE__"] = time.strftime("%a, %d %b %Y %H:%M:%S +0000",time.gmtime(time.time()));
 264 Subst["__LOGIN__"] = account;
 265 Subst["__PRIVATE__"] = privsub;
 266 Subst["__EMAIL__"] = emailaddr
 267 Subst["__PASSWORD__"] = CryptedPass;
 268
 269 # Submit the modification request
 270 Dn = "uid=" + account + "," + BaseDn;
 271 print "Updating LDAP directory..",
 272 sys.stdout.flush();
 273
 274 if Update == 0:
 275    # New account
 276    Details = [("uid",account),
 277               ("objectClass", UserObjectClasses),
 278               ("uidNumber",str(uidNumber)),
 279               ("gidNumber",str(gidNumber)),
 280               ("gecos",FullName+",,,,"),
 281               ("loginShell","/bin/bash"),
 282               ("keyFingerPrint",Keys[0][1]),
 283               ("cn",cn),
 284               ("sn",sn),
 285               ("emailForward",emailaddr),
 286               ("shadowLastChange",str(int(time.time()/24/60/60))),
 287               ("shadowMin","0"),
 288               ("shadowMax","99999"),
 289               ("shadowWarning","7"),
 290               ("userPassword","{crypt}"+Pass)];
 291    if mn:
 292       Details.append(("mn",mn));
 293    if privsub != " ":
 294       Details.append(("privateSub",privsub))
 295    l.add_s(Dn,Details);
 296
 297    #Add user group if needed, then the actual user:
 298    if UserGroup == 1:
 299       Dn = "gid=" + account + "," + BaseDn;
 300       l.add_s(Dn,[("gid",account), ("gidNumber",str(gidNumber)), ("objectClass", GroupObjectClasses)])
 301 else:
 302    # Modification
 303    Rec = [(ldap.MOD_REPLACE,"uidNumber",str(uidNumber)),
 304           (ldap.MOD_REPLACE,"gidNumber",str(gidNumber)),
 305           (ldap.MOD_REPLACE,"gecos",FullName+",,,,"),
 306           (ldap.MOD_REPLACE,"loginShell","/bin/bash"),
 307           (ldap.MOD_REPLACE,"keyFingerPrint",Keys[0][1]),
 308           (ldap.MOD_REPLACE,"cn",cn),
 309           (ldap.MOD_REPLACE,"mn",mn),
 310           (ldap.MOD_REPLACE,"sn",sn),
 311           (ldap.MOD_REPLACE,"emailForward",emailaddr),
 312           (ldap.MOD_REPLACE,"shadowLastChange",str(int(time.time()/24/60/60))),
 313           (ldap.MOD_REPLACE,"shadowMin","0"),
 314           (ldap.MOD_REPLACE,"shadowMax","99999"),
 315           (ldap.MOD_REPLACE,"shadowWarning","7"),
 316           (ldap.MOD_REPLACE,"shadowInactive",""),
 317           (ldap.MOD_REPLACE,"shadowExpire","")];
 318    if privsub != " ":
 319       Rec.append((ldap.MOD_REPLACE,"privateSub",privsub));
 320    if Pass != None:
 321       Rec.append((ldap.MOD_REPLACE,"userPassword","{crypt}"+Pass));
 322    # Do it
 323    l.modify_s(Dn,Rec);
 324
 325 print;
 326
 327 # Abort email sends for an update operation
 328 if Update == 1 and ForceMail == 0:
 329    print "Account is not new, Not sending mails"
 330    sys.exit(0);
 331
 332 # Send the Welcome message
 333 print "Sending Welcome Email"
 334 templatepath = TemplatesDir + "/welcome-message-%d" % int(gidNumber)
 335 if not os.path.exists(templatepath):
 336    templatepath = TemplatesDir + "/welcome-message"
 337 Reply = TemplateSubst(Subst,open(templatepath, "r").read())
 338 Child = os.popen("/usr/sbin/sendmail -t","w");
 339 #Child = os.popen("cat","w");
 340 Child.write(Reply);
 341 if Child.close() != None:
 342    raise Error, "Sendmail gave a non-zero return code";