parse machine specifications for ssh keys
[mirror/userdir-ldap.git] / ud-mailgate
index 533800c..87e2a04 100755 (executable)
@@ -5,6 +5,7 @@
 #   Copyright (c) 2009 Stephen Gran <steve@lobefin.net>
 #   Copyright (c) 2008 Peter Palfrader <peter@palfrader.org>
 #   Copyright (c) 2008 Joerg Jaspert <joerg@debian.org>
+#   Copyright (c) 2010 Helmut Grohne <helmut@subdivi.de>
 
 import userdir_gpg, userdir_ldap, sys, traceback, time, ldap, os, commands
 import pwd, tempfile
@@ -51,6 +52,7 @@ ArbChanges = {"c": "..",
              "facsimileTelephoneNumber": ".*",
              "telephoneNumber": ".*",
              "postalAddress": ".*",
+         "bATVToken": ".*",
              "postalCode": ".*",
               "loginShell": ".*",
               "emailForward": "^([^<>@]+@.+)?$",
@@ -63,6 +65,7 @@ ArbChanges = {"c": "..",
               "mailDisableMessage": ".*",
              "mailGreylisting": "^(TRUE|FALSE)$",
              "mailCallout": "^(TRUE|FALSE)$",
+             "mailDefaultOptions": "^(TRUE|FALSE)$",
              "VoIP": ".*",
              "gender": "^(1|2|9|male|female|unspecified)$",
          "mailContentInspectionAction": "^(reject|blackhole|markup)$",
@@ -73,6 +76,7 @@ DelItems = {"c": None,
             "facsimileTelephoneNumber": None,
             "telephoneNumber": None,
             "postalAddress": None,
+            "bATVToken": None,
             "postalCode": None,
             "emailForward": None,
             "ircNick": None,
@@ -92,6 +96,7 @@ DelItems = {"c": None,
             "mailRHSBL": None,
             "mailWhitelist": None,
             "mailDisableMessage": None,
+            "mailDefaultOptions": None,
             "VoIP": None,
             "mailContentInspectionAction": None,
             };
@@ -260,6 +265,9 @@ def LoadBadSSH():
 
 # Handle an SSH authentication key, the line format is:
 #  [options] 1024 35 13188913666680[..] [comment]
+# maybe it really should be:
+# [allowed_hosts=machine1,machine2 ][options ]ssh-rsa keybytes [comment]
+machine_regex = re.compile("^[0-9a-zA-Z.-]+$")
 def DoSSH(Str, Attrs, badkeys, uid):
    Match = SSH2AuthSplit.match(Str);
    if Match == None:
@@ -272,6 +280,19 @@ def DoSSH(Str, Attrs, badkeys, uid):
          return "RSA1 keys not supported anymore"
       return None;
 
+   # lines can now be prepended with "allowed_hosts=machine1,machine2 "
+   if Str.startswith("allowed_hosts="):
+      Str = Str.split("=", 1)[1]
+      if ' ' not in Str:
+         return "invalid ssh key syntax with machine specification"
+      machines, Str = Str.split(' ', 1)
+      machines = machines.split(",")
+      for m in machines:
+         if not m:
+            return "empty machine specification for ssh key"
+         if not machine_regex.match(m):
+            return "machine specification for ssh key contains invalid characters"
+
    (fd, path) = tempfile.mkstemp(".pub", "sshkeytry", "/tmp")
    f = open(path, "w")
    f.write("%s\n" % (Str))