Profile if UD_PROFILE is in environment

No need to depend on python-lockfile anymore

Use flock()

Use eatmydata!

UDLdap.py: make a cache for __getitem__() decisions.

No need to mkdir userkeys directory anymore

get rid of global state variable CurrentHost.  This will enable upcoming changes.

GenerateDir is no longer a global var

minor nit

speed up ssh tarball generation

No longer write indidividual user's ssh authorized_keys to disk, only to
read them later.  Directly create a TarInfo object without referring to
any on-disk files.

ud-generate speed, I

cut down on calls to IsInGroup by doing it once in generate_host() and
not having the individual generators run it.

side effect: Up until now we exported empty groups to a host, if that group had
a user with that group as their primary group - even if that particular user
was not exported to this this.  No we no longer export empty groups.

ud-generate: Move main code into a ud_generate()

ud-generate: Add -f option to build even if cache is current

ud-generate: Move code into getLastBuildTime() and getLastLDAPChangeTime() functions.

ud-generate: No longer expand $ in dnsZoneEntry data to a \n\t.

changelog entry for ud-mailgate fix

Do not try to do an ldap modify with no changes - now show command to changes@ should work again

fix dependency, needed by ud-generate

Make cache_last_mod thing more robust

make ud-generate work when there is no previous run that created last_update.trace

debianGroups may have cn attribute

Merge from torproject.org:

- Allow sshRSAAuthKey for role accounts.
- Support ssh key attributes for gitolite export.
- Add ssh-gitolite support.

One less hardcode debian.org domain in slapd.conf snippet

changelog entry

Signed-off-by: Stephen Gran <steve@lobefin.net>

purge old logs

Signed-off-by: Stephen Gran <steve@lobefin.net>

and ship new file to hosts

Signed-off-by: Stephen Gran <steve@lobefin.net>

Write both time of last ldap update and time of last run to trace file

Signed-off-by: Stephen Gran <steve@lobefin.net>

record both time of last action and last run
Signed-off-by: Stephen Gran <steve@lobefin.net>

ud-replicate: set correct permissions for web-passwords
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

export webPassword
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

mess with uid number generation

* Allow a set of users to be ignored for picking UIDs.
* When picking uid/gid numbers try to pick the same number for both.

Introduce BaseBaseDN which is the real base dn

userdir_ldap.py: read auth password from environment if set

Sync welcome-message-800

add webPassword

add webPassword

Merge branch 'master' of ssh://db.debian.org/git/userdir-ldap

Fix some usages of hardcoded debian.org
Signed-off-by: Stephen Gran <steve@lobefin.net>

Update to match live slapd.conf
Signed-off-by: Stephen Gran <steve@lobefin.net>

ud-replicate: now preserve server side modifcation times when rsyncing data

fix breaking old ud-generate locks.

ud-replicate: do not hard-code 'debian.org' in the 'write-zonefile debian.org' call, but instead re-use the domain from email-append.

why does python not believe in variable scoping, but then complain about it?

Signed-off-by: Stephen Gran <steve@lobefin.net>

mmmm, that's likely to be a namespace clash
Signed-off-by: Stephen Gran <steve@lobefin.net>

We need to use an actually defined variable name
Signed-off-by: Stephen Gran <steve@lobefin.net>

ud-mailgate: only run ldapmodfiy if we actually have attributes to modify.

Add slapo-constaint for keyfingerprint

Make ud-generate pull the last modification time out of ldap and only
run if ldap has been updated.  We have some more architecture work to do
before this can go live without making the monitoring go insane.
Signed-off-by: Stephen Gran <steve@lobefin.net>

and changelog too

Signed-off-by: Stephen Gran <steve@lobefin.net>

update Net::LDAP import

Signed-off-by: Stephen Gran <steve@lobefin.net>

and some changelog

Signed-off-by: Stephen Gran <steve@lobefin.net>

more sha module

Signed-off-by: Stephen Gran <steve@lobefin.net>

get rid of most uses of sha module

Signed-off-by: Stephen Gran <steve@lobefin.net>

Handle capital {CRYPT} in userpasswd

Filter on shadowAccount

no userpassword means locked.

naming your variable like a module is unsmart

More lax with mime

ud-echelon fixes

unreleased

release

try to properly handle some more mime stuff.

- use email module instead of deprecated mimetools and multifile modules
- changes: sigcheck ud-echelon ud-mailgate userdir_gpg.py
- move ud-echelon and sigcheck to GPGCheckSig2 interface.

Update debian/changelog

Move gpgwrapper aside

Dead import

Get rid of tabs

Update changelog

Handle sync keyring *dirs*

Lock ud-generate process

Try to cut down a bit on global state

Use GlobalDir instead of GenerateDir in one place

Do not mess with sudo passwords if nothing changed

Merge branch 'master' of ssh://db.debian.org/git/userdir-ldap

* 'master' of ssh://db.debian.org/git/userdir-ldap:
  Minor changes from Holger (<201102021122.16183.holger@layer-acht.org>) Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

say a word about subjects in mail to admin@db

Minor changes from Holger (<201102021122.16183.holger@layer-acht.org>)
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

ud-mailgate: Make updating of gender actually work

* Uploading/Non-Uploading DDs
* remove superfluous "and"
* SSH fingerprints of the machines
* Debian CA
* mention debian-infrastructure-announce
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

This is some fine documentation
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

ud-gpgimport: handle guest keyrings

ud-gpgimport so far used a single list of keyrings, and it expected all
keys from that keyring to be in ldap, and to have all users in ldap a
key in those keyrings.

Now ud-gpgimport has a notion of the guest-keyring.  It still expects
all keys from the "main" keyring to be in ldap, but not all keys from
the guest (DM and guest) keyrings need to have accounts.  An account
with a key associated to it is OK as long as it has a key in any of
the keyrings.

Update guest welcome template

Remove .pgp (v3 pgp key) keyrings from config

ud-useradd: A new -g switch for adding guest accounts

ud-useradd: A new -g switch for adding guest accounts, with proper
setting hostacls and shadowexpire and picking the right keyring.

Update changelog

Add a -h for ud-useradd

Teach ud-generate about host ACLs that expire

Allow - in usernames

import fixing

Add ud-sync-accounts-to-afs, a script to sync accounts to an AFS protection database

Fix ud-generate to create all-accounts.json in the right place

dev tree changelog

ud-generate: Add an extra output file called all-users.json

That file can be used on one of the AFS hosts to create afs users.

Add ud-krb-reset, and make ud-mailgate call it when receiving a mail at chpasswd@ saying 'Please change my Kerberos password'.

ud-mailgate:  minor refactoring

Fix ACL rule for keyring maintainers

A class shouldn't write to stderr on error, it should throw an exception

update debian/changelog

Merge branch 'refactor-udgen'

* refactor-udgen: (24 commits)
  Get rid of global variable PasswdAttrs
  GenBSMTP
  GenDNS
  GenPasswd
  GenShadow
  Do not forget that passwords start with {crypt}
  GenShadowSudo
  GenSSHShadow
  fix not-array-value-but-multiple-values check
  GenGroup partially
  GenForward
  GenCDB
  And GenMailList
  whitespace fixes
  And GenMailBool
  Let disable-main-msg generation use Account class
  Let disabled-users generation use Account class
  Let private generation use Account class
  Catch the case where attributes that are not declared as an array value have more than one value.  This indicates a bug in the data, code, or ldap schema
  Some improvement over the last path
  ...

Get rid of global variable PasswdAttrs

GenBSMTP

GenDNS