Distribution EOLE » Modules » Scribe » scribe-backend

# -*- coding: utf-8 -*-

###########################################################################

# Eole NG - 2009

# Copyright Pole de Competence Eole  (Ministere Education - Academie Dijon)

# Licence CeCill  cf /root/LicenceEole.txt

# eole@ac-dijon.fr

#

# eoleuser.py

#

# librairie pour la gestion des utilisateurs scribe

#

###########################################################################

"""

    librairies objets de gestion des comptes utilisateurs scribe

    User

    Parent

    Eleve

    Parent

    Autres

    Machines

"""

from re import match

from shutil import rmtree

from os import system, chmod, makedirs, symlink, remove

from os.path import join, islink, exists, isdir

from subprocess import Popen, PIPE

from ldap import MOD_REPLACE

from scribe import eoletools as tool

from scribe.eoleldap import Ldap, LdapEntry

from scribe.eolegroup import Group

from scribe.entlogin import get_one_entlogin

from scribe.ldapconf import USER_DN, USER_FILTER, SMB_SERVEUR, SPOOL_MAIL, \

HOME_PATH, MAIL_ADMIN, GROUP_FILTER, BRANCHE, CIVILITES, MAIL_DOMAIN

from scribe.errors import MissingUserCreateKey, EmptyUserCreateKey, \

NotIntValue, BadLogin

#Librairies de fonction

def get_quota(login):

    """ renvoit le quota disque pour un utilisateur """

    cmd = "/usr/bin/quota -w %s" % login

    prev = Popen(cmd, stdout=PIPE, stderr=PIPE, shell=True)

    lines = prev.communicate()[0].splitlines()

    if len(lines) < 2:

        return 0

    else:

        # nécessité d'un try ?

        nb_blocks = lines[2].split()[2]

        # on retourne la limite en Mo

        return (int(nb_blocks))/1024

def set_quota(login, quota=''):

    """ applique de nouveau quota disque pour login

        @quota: int (str admis)

    """

    if type(quota) != int:

        try:

            quota = int(quota)

        except:

            raise NotIntValue

    # test de la partition (/home ou /)

    ret = system('mount | grep -q " /home "')

    if ret == 0:

        mnt = '/home'

    else:

        mnt = '/'

    cmd = "/usr/sbin/quotatool -b -u %s -q %dM -l %dM %s"

    retour = system(cmd % (login, quota, quota*2, mnt))

    return not retour

def send_first_mail(mail):

    """

        Envoi du mail d'ouverture d'une boîte locale

    """

    subject = "Ouverture de votre compte de messagerie"

    body = "Bienvenue sur votre messagerie."

    system("""echo "%s" | mail %s -a "FROM: %s" -s "%s"\n""" % (body, mail,

                                                                MAIL_ADMIN,

                                                                subject))

def gen_common_attrs(login, **args):

    """

    Gestion des attibuts communs

    """

    attrs = []

    attrs.append((MOD_REPLACE, 'cn', "%(prenom)s %(nom)s" % args ))

    attrs.append((MOD_REPLACE, 'sn', args['nom'] ))

    attrs.append((MOD_REPLACE, 'givenName', args['prenom'] ))

    attrs.append((MOD_REPLACE, 'displayName', "%(prenom)s %(nom)s" % args ))

    attrs.append((MOD_REPLACE, 'gecos', tool.replace_cars("%(prenom)s %(nom)s" % args) ))

    today = tool.format_current_date()

    attrs.append((MOD_REPLACE, 'LastUpdate', today))

    if args['entlogin']:

        # affectation immédiate

        entlogin = get_one_entlogin()

        if not entlogin:

            entlogin = login

    else:

        entlogin = login

    attrs.append((MOD_REPLACE, 'ENTPersonLogin', entlogin))

    attrs.append((MOD_REPLACE, 'ENTPersonJointure', 'ENT'))

    if tool.not_empty(args, 'entprofil'):

        attrs.append((MOD_REPLACE, 'ENTPersonProfils', args['entprofil']))

    if tool.not_empty(args, 'patronyme'):

        patro = args['patronyme']

    else:

        patro = args['nom']

    attrs.append((MOD_REPLACE, 'ENTPersonNomPatro', patro))

    if tool.not_empty(args, 'civilite') and args['civilite'].isalnum():

        attrs.append((MOD_REPLACE, 'codecivilite', args['civilite'] ))

        if args['civilite'] == '3':

            sexe = 'F'

            titre = 'Mlle'

        elif args['civilite'] == '2':

            sexe = 'F'

            titre = 'Mme'

        else:

            titre = 'M.'

            sexe = 'M'

        attrs.append((MOD_REPLACE, 'ENTPersonSexe', sexe))

        attrs.append((MOD_REPLACE, 'personalTitle', titre))

    if tool.not_empty(args, 'date'):

        # on part du principe que la date a été traitée en aval

        attrs.append((MOD_REPLACE, 'dateNaissance', args['date']))

        attrs.append((MOD_REPLACE, 'ENTPersonDateNaissance', args['date']))

    if tool.not_empty(args, 'prenom2'):

        attrs.append((MOD_REPLACE, 'ENTPersonAutresPrenoms', args['prenom2']))

    if tool.not_empty(args, 'int_id'):

        attrs.append((MOD_REPLACE, 'intid', args['int_id']))

    return attrs

#  MAY  ( ENTPersonCentresInteret $

#         ENTPersonAdresse $

#         ENTPersonCodePostal $

#         ENTPersonVille $

#         ENTPersonPays $

#         ENTPersonAlias $

#         ENTPersonStructRattach $

#         ENTPersonFonctions $

#         ENTPersonProfils $

def gen_enteleve_attrs(**args):

    """

    Gestion des attributs ENTEleve

    """

    attrs = []

    attrs.append((MOD_REPLACE, 'ENTEleveStatutEleve', 'ELEVE'))

    attrs.append((MOD_REPLACE, 'ENTEleveMEF', args['niveau']))

    attrs.append((MOD_REPLACE, 'ENTEleveLibelleMEF', args['niveau']))

    attrs.append((MOD_REPLACE, 'ENTEleveNivFormation', '-'))

    attrs.append((MOD_REPLACE, 'ENTEleveFiliere', '-'))

    attrs.append((MOD_REPLACE, 'ENTEleveEnseignements', '-'))

    attrs.append((MOD_REPLACE, 'ENTEleveClasses', '%s$%s' % (BRANCHE,

                                                    args['classe'])))

    attrs.append((MOD_REPLACE, 'ENTEleveMajeur', '-'))

    return attrs

#  MAY  ( ENTEleveVilleNaissance $

#         ENTEleveDeptNaissance $

#         ENTElevePaysNaissance $

#         ENTEleveParents $

#         ENTEleveAutoriteParentale $

#         ENTElevePersRelEleve1 $

#         ENTEleveQualitePersRelEleve1 $

#         ENTElevePersRelEleve2 $

#         ENTEleveQualitePersRelEleve2 $

#         ENTEleveBoursier $

#         ENTEleveRegime $

#         ENTEleveTransport $

#         ENTEleveMEFRattach $

#         ENTEleveNivFormationDiplome $

#         ENTEleveSpecialite $

#         ENTEleveGroupes $

#         ENTEleveEnsRespStage $

#         ENTEleveEnsTutStage $

#         ENTEleveEntrTutStage $

#         ENTEleveEntrAutres $

#         ENTEleveDelegClasse $

#         ENTEleveDelegAutres $

#         ENTEleveMajeurAnticipe

def gen_radius_attrs(groupid=None):

    """

    Gestion des attributs Radius

    """

    attrs = []

    if groupid is not None:

        attrs.append((MOD_REPLACE, 'radiusTunnelPrivateGroupId', groupid))

    attrs.append((MOD_REPLACE, 'radiusTunnelType', 'VLAN'))

    attrs.append((MOD_REPLACE, 'radiusFilterId', 'Enterasys:version=1:policy=Enterprise User'))

    attrs.append((MOD_REPLACE, 'radiusTunnelMediumType', 'IEEE-802'))

    return attrs

def gen_profil(profil, login):

    """

        Génération du sambaProfilePath selon le profil demandé

    """

    profil = int(profil)

    if profil == 2:

        # profil obligatoire #1

        return "\\\\%s\\netlogon\\profil" % SMB_SERVEUR

    if profil == 3:

        # profil obligatoire #2

        return "\\\\%s\\netlogon\\profil2" % SMB_SERVEUR

    if profil == 4:

        # profil itinérant

        return "\\\\%s\\%s\\profil" % (SMB_SERVEUR, login)

    # profil local à la station

    return ""

def gen_common_devdir(login, homedir):

    """

        Partie commune pour _gen_devoirdir

    """

    perso = join(homedir, 'perso')

    # le partage "devoirs" /home/l/login/devoirs

    dev_part = join(homedir, 'devoirs')

    # le dossier U:\devoirs /home/l/login/perso/devoirs

    dev_perso = join(perso, 'devoirs')

    for rep in [dev_part, dev_perso]:

        if islink(rep):

            remove(rep)

        if not exists(rep):

            makedirs(rep)

        system('chmod 0750 %s' % rep)

        system('chown -PR %s %s' % (login, rep))

        system('setfacl -PRm u:%s:rwx %s'%(login, rep))

        system('setfacl -dPRm u:%s:rwx %s'%(login, rep))

class User(LdapEntry):

    """

        Meta Classe pour la gestion des utilisateurs Eole

    """

    must_args = ['login', 'password']

    may_args = {'key2':'default2'}

    _type = None

    profil = None

    user_add_params = ""

    has_ftp = False

    has_samba = False

    def add_one(self, **args):

        """

            ajout d'un utilisateur (mode déconnecté)

        """

        self.ldap_admin.connect()

        self._add(**args)

        self.ldap_admin.close()

    def _add(self, **args):

        """

            Ajoute un utilisateur

            **args

        """

        self.filter_must_args(args)

        self.filter_may_args(args)

        if match("^[a-zA-Z0-9.\-_]*$", args['login']) is None:

            raise BadLogin("Login \"%s\" invalide !" % args['login'])

        self._test_available_name(args['login'])

        # FIXME : fixes #327 mais est-ce le bon endroit ?

        if tool.not_empty(args, 'date'):

            args['date'] = tool.deformate_date(args['date'])

        if self.has_samba:

            user_add_args = self.get_smbldap_useradd_args(**args)

            self.exec_smbldap_useradd(user_add_args)

            self.c_mod_password(args['login'], args['password'])

            if args['change_pwd']:

                self.password_must_change(args['login'])

        if self.has_ftp:

            self._gen_ftpdir(args['login'])

        self._add_perso(**args)

        self._add_scribe_user(**args)

        #self._add_ent_entrys(args)

        if self.has_samba or self.has_ftp:

            set_quota(args['login'], args['quota'])

    def filter_must_args(self, args):

        """

            test la présence des arguments obligatoires

        """

        for arg in self.must_args:

            if arg not in args:

                raise MissingUserCreateKey(arg)

            if args[arg] == '':

                raise EmptyUserCreateKey(arg)

    def filter_may_args(self, args):

        """

            remplie les valeurs par défaut des valeurs

            facultatives non renseignées

        """

        for arg in self.may_args:

            if arg not in args:

                args[arg] = self.may_args[arg]

    def get_smbldap_useradd_args(self, **args):

        """

            gestion des paramètres smbldap

            à redéfinir dans les sous-classes

        """

        return {}

    def exec_smbldap_useradd(self, user_add_args):

        """

            éxécute smbldap-useradd

        """

        cmd_arguments = self.user_add_params % user_add_args

        cmd = "/usr/sbin/smbldap-useradd %s" % cmd_arguments

        pop = Popen(cmd, shell=True, stdout=PIPE, stderr=PIPE, close_fds=True)

        if pop.wait() not in [0, None]:

            err = pop.stdout.read()

            raise Exception("Erreur d'ajout samba : %s" % err)

        return True

    def _add_perso(self, login, **args):

        """

            Crée les différents répertoires de l'utilisateur

        """

        pass

    def _add_scribe_user(self, login, **args):

        """

            Ajoute les spécificités scribe dans l'annuaire

        """

        pass

    def _add_ent_entrys(self, args):

        """

             Ajoute les spécificités ENT dans l'annuaire

        """

        pass

    def _inscription(self, login, groupe, sync=True):

        """

            Inscription d'un utilisateur à un groupe

        """

        if not self.has_ftp:

            return True

        grp = Group()

        grp.ldap_admin = self.ldap_admin

        gtype = grp.c_get_group_type(groupe)

        if self.profil != 'eleve' and gtype in ['Classe', 'Niveau', 'Option']:

            # groupes réservés élèves

            return True

        if self.profil != 'enseignant' and gtype in ['Matiere', 'Equipe']:

            # groupe réservés enseignants

            return True

        cmd = "/usr/sbin/smbldap-groupmod -m %s %s &>/dev/null"

        res = system(cmd % (login, groupe))

        if sync:

            self._gen_ftpdir(login)

        return res == 0

    def _desinscription(self, login, groupe, sync=True):

        """

            Désinscrition d'un utilisateur d'un groupe

        """

        if not self.has_ftp:

            return True

        cmd = "/usr/sbin/smbldap-groupmod -x %s %s &>/dev/null"

        res = system(cmd % (login, groupe))

        # cas eleve + option

        if sync:

            self._gen_ftpdir(login)

        return res == 0

    def _gen_ftpdir(self, login, homedir=None):

        """

            Gestion du répertoire ".ftp"

        """

        if homedir is None:

            homedir = self._get_attr(login, 'homeDirectory')[0].strip()

        ftpdir = join(homedir, '.ftp')

        system("rm -rf %s" % ftpdir)

        makedirs(ftpdir)

        system('/bin/chown %s %s' % (login, ftpdir))

        system('setfacl -bk %s' % ftpdir)

        chmod(ftpdir, 0500)

        homedir = join(HOME_PATH, homedir[6:])

        symlink(join(homedir, 'perso'), join(ftpdir, 'perso'))

        user_groups = self._get_user_groups(login)

        for group in user_groups:

            for share, sharedir in self._get_group_sharedirs(group):

                if share not in ['icones$', 'groupes']:

                    if HOME_PATH != '/home':

                        sharedir = sharedir.replace('/home', HOME_PATH)

                    symlink(sharedir, join(ftpdir, share))

    def _gen_groupedir(self, login, homedir=None):

        """

            Gestion du répertoire "groupes"

        """

        if homedir is None:

            homedir = self._get_attr(login, 'homeDirectory')[0].strip()

        groupedir = join(homedir, 'groupes')

        system('rm -rf %s' % groupedir)

        makedirs(groupedir)

        system('/bin/chown %s %s' % (login, groupedir))

        system('setfacl -bk %s' % groupedir)

        # empêcher l'écriture à la racine

        chmod(groupedir, 0500)

    def _gen_devdir(self, login, homedir=None):

        """

            Génération du répertoire "devoirs"

        """

        # à redéfinir dans les sous-classes si nécessaire

        pass

    def get_attrs(self, login, attrs):

        """

            renvoie la valeur des attributs attrs pour le user 'user'

            avec connexion ldap

        """

        self.ldap_admin.connect()

        res = self._get_attrs(login, attrs)

        self.ldap_admin.close()

        return res

    def get_attr(self, login, attr):

        """

            renvoie la valeur d'un attribut

            avec connexion ldap

        """

        self.ldap_admin.connect()

        res = self._get_attr(login, attr)

        self.ldap_admin.close()

        return res

    def set_attr(self, login, attr, value):

        """

        met à jour un a attribut

        """

        self.ldap_admin.connect()

        self._set_attr(login, attr, value)

        self.ldap_admin.close()

    def _get_attrs(self, login, attrs):

        """

            renvoie la valeur des attributs attrs pour le user 'login'

            attrs : ["attr1","attr2"] ou "attr1"

        """

        return self.ldap_admin._search_one("(&%s(uid=%s))" % (

                                USER_FILTER, login), attrs)

    def _get_attr(self, login, attr):

        """

            renvoie la valeur d'un attribut

        """

        return self._get_attrs(login, [attr]).get(attr, [])

    def _set_attr(self, login, attribut, value):

        """

            met à jour un attribut

        """

        if value == '':

            value = []

        user_dn = USER_DN % dict(uid=login, _type=self._type)

        data = [((MOD_REPLACE, attribut, value))]

        self.ldap_admin._modify(user_dn, data)

    def delete(self, login, remove_data=False, delete_resp=False):

        """

            supprime un utilisateur

        """

        self._delete(login, remove_data=remove_data, need_connect=True,

                     delete_resp=delete_resp)

    def _delete(self, login, remove_data=False, need_connect=False, delete_resp=False):

        """

            supprime un utilisateur

        """

        if self.has_samba:

            if remove_data:

                res = system('/usr/sbin/smbldap-userdel -r "%s"' % login)

            else:

                res = system('/usr/sbin/smbldap-userdel "%s"' % login)

                tool.move_user_datas(login)

            return res == 0

        else:

            if need_connect:

                self.ldap_admin.connect()

            user_dn = USER_DN % dict(uid=login, _type=self._type)

            self.ldap_admin._delete(user_dn)

            if need_connect:

                self.ldap_admin.close()

            if remove_data:

                perso = join(HOME_PATH, login[0], login)

                rmtree(perso, ignore_errors=True)

                maildir = join(SPOOL_MAIL, login)

                rmtree(maildir, ignore_errors=True)

            else:

                tool.move_mail_datas(login)

    def auth(self, login, password):

        """

            authentifie un utilisateur

        """

        authldap = Ldap(binddn=USER_DN % dict(uid=login, _type=self._type),

                        passwd=password)

        try:

            authldap.connect()

            authldap.close()

            return True

        except:

            authldap.close()

            return False

    def get_user_groups(self, login):

        """

            renvoie la liste des groupes d'un utilisateur

            avec connexion ldap

        """

        self.ldap_admin.connect()

        res = self._get_user_groups(login)

        self.ldap_admin.close()

        return res

    def _get_user_groups(self, login):

        """

            renvoie la liste des groupes auxquels est inscrit

            un utilisateur

        """

        res = self.ldap_admin._search("(&%s(memberUid=%s))" % (

                                GROUP_FILTER, login), 'cn')

        groups = []

        for group in res:

            groups.append(group[1]['cn'][0])

        groups.sort()

        return groups

    def _touch(self, login):

        """

            Mise à jour de l'attribut LastUpdate

        """

        self._set_attr(login, 'LastUpdate', tool.format_current_date())

    def _get_ead_type(self, login):

        """

        Renvoie le type d'utilisateur en fonction du login

        (pour les formulaires EAD)

        """

        res = self._get_attr(login, 'objectClass')

        if res:

            users = {

                    #'Eleves': 'eleve',

                    'Eleves': 'pupil',

                    #'administrateur': 'enseignant',

                    'administrateur': 'teacher',

                    'responsable': 'responsable',

                    'administratif': 'administratif',

                    'autre': 'autre'

                    }

            for objectclass, _type in users.items():

                if objectclass in res:

                    return _type

        raise Exception("utilisateur %s inconnu" % login)

    def _mod_civilite(self, login, civilite):

        """

        modifications des attributs utilisateurs

        liés à la civilité

        """

        for civ in CIVILITES:

            if civ['code'] == civilite:

                self._set_attr(login, 'ENTPersonSexe', civ['sexe'])

                self._set_attr(login, 'personalTitle', civ['title'])

                self._set_attr(login, 'codecivilite', civilite)

                break

    def _mod_date(self, login, date):

        """

        modifications des attributs utilisateurs

        liés à la date de naissance

        la date doit être pré-traitée et envoyée

        au format : aaaammjj

        """

        if len(date) != 8:

            raise Exception("Erreur dans le format de la date de naissance")

        self._set_attr(login, 'ENTPersonDateNaissance', date)

        self._set_attr(login, 'dateNaissance', date)

    def _mod_mail(self, login, mailtype, mail=''):

        """

        modifie le compte mail d'un utilisateur

        FIXME : ne devrait pas être dispo pour un élève

        login : login de l'utilisateur

        mailtype : perso/internet/restreint/aucun

        mail : adresse si mailtype == 'perso'

        """

        if mailtype == 'local':

            # compatibilité avec l'ancienne valeur

            mailtype = 'internet'

        if mailtype == 'perso' and mail != '':

            self._set_mailperso(login, mail)

        elif mailtype in ['internet', 'restreint']:

            self._set_localmail(login, domaine=mailtype)

        elif mailtype == 'aucun':

            self._set_mailperso(login, '')

    def _set_mailperso(self, login, mail):

        """

        utilisation d'une adresse mail personnalisée

        """

        self._set_attr(login, 'mailDir', [])

        self._set_attr(login, 'mailHost', [])

        self._set_attr(login, 'mail', mail)

    def get_maildir(self, login):

        """

        renvoie le chemin du maildir

        """

        if self.has_samba:

            return join(HOME_PATH, login[0], login, 'MailDir') + '/'

        else:

            return join(SPOOL_MAIL, login) + '/'

    def _set_localmail(self, login, domaine='internet'):

        """

        utilisation d'une adresse mail locale

        """

        maildir = self.get_maildir(login)

        mail = "%s@%s" % (login, MAIL_DOMAIN[domaine])

        self._set_attr(login, 'mailDir', maildir)

        self._set_attr(login, 'mailHost', 'localhost')

        self._set_attr(login, 'mail', mail)

        # mail d'ouverture si necessaire

        if not isdir(join(maildir, 'cur')):

            send_first_mail(mail)

        return True

    def get_profil(self, login):

        """ renvoie le profil d'un utilisateur

            1 local

            2 obligatoire-1

            3 obligatoire-2

            4 itinérant

        """

        profil = self.get_attr(login, 'sambaProfilePath')

        if profil == []:

            return 1

        if "profil2" in profil[0]:

            return 3

        if "netlogon" in profil[0]:

            return 2

        return 4

    def get_type(self, login):

        """

        renvoit le type de l'utilisateur

        """

        self.ldap_admin.connect()

        res = self._get_type(login)

        self.ldap_admin.close()

        return res

    def _get_type(self, login):

        """

        renvoit le type de l'utilisateur (mode connecté)

        """

        users = {

                'Eleves': 'eleve',

                'administrateur': 'enseignant',

                'responsable': 'responsable',

                'administratif': 'administratif',

                'autre': 'autre'

                }

        filtre = "(&%s(uid=%s))" % (USER_FILTER, login)

        res = self.ldap_admin._search_one(filtre, 'objectClass')

        if res.has_key('objectClass'):

            for objectclass, module in users.items():

                if objectclass in res['objectClass']:

                    return module

        raise Exception("Utilisateur %s inconnu" % login)

    ###############################################

    # Methodes spécifiques aux utilisateurs Samba #

    ###############################################

    def _update_shell(self, login, active=True):

        """

        activation/desactivation du shell utilisateur

        """

        if self.has_samba:

            if active:

                self._set_attr(login, 'loginShell', '/bin/bash')

            else:

                self._set_attr(login, 'loginShell', '/bin/false')

    def _set_profil(self, login, profil):

        """

        modifie le sambaProfilePath d'un utilisateur 1-2-3-4

        """

        if self.has_samba:

            self._set_attr(login, 'sambaProfilePath',

                           gen_profil(profil, login))

    def c_mod_password(self, login, passwd):

        """

            Modifie le mot de passe d'un utilisateur

        """

        if self.has_samba:

            cmd = ['/usr/share/eole/backend/passwd-eole.pl', '-u', login, '-p', passwd]

            prev = Popen(cmd, stdout=PIPE, stderr=PIPE)

        else:

            passwd = passwd.replace('"', '\\"')

            self._set_attr(login, 'userPassword', tool.sshaDigest(passwd))

    def password_must_change(self, login):

        """

            Changement de mot de passe obligatoire$

        """

        if self.has_samba:

            system('/usr/bin/net sam set pwdmustchangenow %s yes &>/dev/null' % (login))

class Machine(User):

    """

        classe pour les comptes machine

    """

    pass