File: //usr/lib/python3.9/site-packages/ipalib/__pycache__/kinit.cpython-39.pyc
a
����}��f� �����������������������@���s����d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z���d�d�l m
Z
��d�d�l�m�Z���d�d�l
m�Z���d�d�l�m�Z���e���e���Z�d�Z�d e�d�d
������d���e���Z�d�e���Z�e���e���Z�e���e���Z�d
d���Z�d�d�d���Z�d�d�d���Z�d�d�d���Z�d�d�d���Z�d�d�d���Z�d�S�) �����N)�� Principal)���paths)���run)���PATTERN_GROUPUSER_NAME)�� krb_utils)���validate_hostnamez�@?([a-zA-Z0-9.-]*)$��(�����)z!([a-zA-Z0-9.-]+)/([a-zA-Z0-9.-]+)c����������������
���C���s����t�|�t���r�t�|���}�n�t�|�t���s&t�d�����d�|�v�r@d�|�v�r@t�d�����ntt���|���}�|�d�u�r�t���|���}�|�d�u�rnt�d�����nF|�d���}�z�t�|�����W�n0��t�y���}���z�t�t�|�������W�Y�d�}�~�n
d�}�~�0�0�|�S�)�Nz�Invalid principal: not a string��/�� z�Invalid principal: bad spacingz�Invalid principal: cannot parse�����) �
isinstancer������str��RuntimeError��user_pattern��match��service_patternr�����
ValueError)�� principalr������hostname��e��r�����0/usr/lib/python3.9/site-packages/ipalib/kinit.py��validate_principal����s"�����
�
�
�����
�
���
���
���������"�r���������c��������������������C���s����t�|�����t�j�t�j�h�}�t���d�|�|�����d�|�i�}�|�d�u�rFt���d�|�����|�|�d�<�t�d�|�d�����D���]^}�t�j�� d���}�|�d�u�rz|�t�j�d�<�n�t�j��
d�d�������z�z`t���t
|���t�j�j���} t�j�| |�d�d ��}
t���d
|�|�����|
W�W�|�d�u�r�|�t�j�d�<�n�t�j��
d�d���������S���t�j�j���y`��}���zV|�j�|�v���r���t���d�|�|�|�����|�|�k���r8t���d�|�������t���d
����t���d�����W�Y�d�}�~�n
d�}�~�0�0�W�|�d�u���rz|�t�j�d�<�n�t�j��
d�d�����n&|�d�u���r�|�t�j�d�<�n�t�j��
d�d�����0���d�S�d�S�)�z�
Given a ccache_path, keytab file and a principal kinit as that user.
The optional parameter 'attempts' specifies how many times the credential
initialization should be attempted in case of non-responsive KDC.
z)Initializing principal %s using keytab %sZ
client_keytabNz�using ccache %sZ�ccacher������KRB5_CONFIGZ�initiate)���name��store��usagez�Attempt %d/%d: successz�Attempt %d/%d: failed: %sz'Maximum number of attempts (%d) reachedz#Waiting 5 seconds before next retry�����)�r����r����Z�KRB5KDC_ERR_SVC_UNAVAILABLEZ�KRB5_KDC_UNREACH��logger��debug��range��os��environ��get��pop��gssapi��Namer����Z�NameTypeZ�kerberos_principalZ�Credentials�
exceptionsZ�GSSErrorZ�min_code��time��sleep)�r����Z�keytab��ccache_name��configZ�attemptsZ�errors_to_retryr����Z�attemptZ
old_configr����Z�credr����r����r����r������kinit_keytab8���sX�����������������������������������������������������������������
���������
�"�
�����
�����r/���c��������������������C���sB���d�d�i�}�t�j�����D�]�\�}�}�|���d���r�|�|�|�<�q�|�d�u�r>|�|�d�<�|�S�)�zPCommon os.environ for kinit
Passes KRB5* and GSS* envs like KRB5_TRACE
��LC_ALL��C)�Z�KRB5Z�GSSNr����)�r$���r%�����items�
startswith)�r.�����env��key��valuer����r����r������_run_envi���s����������
�
�����r7���Fc��������������������C���s����t�|�����t���d�|�����t�j�g�}�|�d�u�r2|���d�|�g�����|�d�u�rTt���d�|�����|���d�|�g�����|�rf|���d�|�g�����|�r~t���d�����|���d�����|�r�t���d ����|���d
����|���d�t�|���g�����t�|���} t |�|�| d�d
d���}
|
j
r�t�|
j�����|
S�)�aY���
perform interactive kinit as principal using password. If using FAST for
web-based authentication, use armor_ccache_path to specify http service
ccache.
:param principal: principal name
:param password: user password
:param ccache_name: location of ccache (default: default location)
:param config: path to krb5.conf (default: default location)
:param armor_ccache_name: armor ccache for FAST (-T)
:param canonicalize: request principal canonicalization (-C)
:param enterprise: use enterprise principal (-E)
:param lifetime: request TGT lifetime (-l)
z(Initializing principal %s using passwordN��-cz&Using armor ccache %s for FAST webauthz�-Tz�-lz%Requesting principal canonicalizationz�-Cz�Using enterprise principalz�-E��--FT)���stdinr4����
raiseonerr�
capture_error)
r����r!���r"���r������KINIT��extend��appendr����r7���r�����
returncoder����Z�error_output)�r������passwordr-���r.���Z�armor_ccache_nameZ�canonicalizeZ
enterpriseZ�lifetime��argsr4�����resultr����r����r������kinit_passwordw���s4�������������������������������
�
���
�
�����
�������
�rD���c��������������������C���sT���t���d�����t���}�t�j�d�d�|�g�}�|�d�u�rD|�D�]�}�|���d�d���|���g�����q*t�|�|�d�d�d���S�) a����
perform anonymous pkinit to obtain anonymous ticket to be used as armor
for FAST.
:param ccache_name: location of the armor ccache (required)
:param pkinit_anchor: if not None, the location of PKINIT anchor file to
use. Otherwise the value from Kerberos client library configuration is
used
:raises: CalledProcessError if the anonymous PKINIT fails
z�Initializing anonymous ccachez�-nr8���N��-Xz�X509_anchors=FILE:{}T)�r4���r;���r<���)�r!���r"���r7���r����r=���r>�����formatr����)�r-�����pkinit_anchorsr4���rB����
pkinit_anchorr����r����r������kinit_armor����s������
�����������rI���c��������������������C���s����t�|�����t���d�|�|�����t�j�g�}�|�d�u�r4|���d�|�g�����|�d�u�rh|�D�]&}�|���d���sRJ���|���d�d�|�����g�����q@|���d�d�|�����g�����|���d�t�|���g�����t�|���}�t |�|�d d
d
d���S�)�a����Perform kinit with X.509 identity (PKINIT)
:param principal: principal name
:param user_identity: X509_user_identity paramemter
:param ccache_name: location of ccache (default: default location)
:param config: path to krb5.conf (default: default location)
:param pkinit_anchor: if not None, the PKINIT anchors to use. Otherwise
the value from Kerberos client library configuration is used. Entries
must be prefixed with FILE: or DIR:
user identity example:
FILE:filename[,keyfilename]
PKCS12:filename
PKCS11:...
DIR:directoryname
:raises: CalledProcessError if PKINIT fails
z)Initializing principal %s using PKINIT %sNr8���)�z�FILE:z�DIR:z�ENV:rE���z
X509_anchors=z�X509_user_identity=r9�����
T)�r4���r:���r;���r<���)
r����r!���r"���r����r=���r>���r3���r����r7���r����)�r����Z
user_identityr-���r.���rG���rB���rH���r4���r����r����r������kinit_pkinit����s����������������������������������rK���)�NNr����)�N)�NNNFFN)�N)�NNN) Z�loggingr$�����rer+���r(���Z�ipapython.kerberosr����Z�ipaplatform.pathsr����Z�ipapython.ipautilr����Z�ipalib.constantsr����Z�ipalibr����Z�ipalib.utilr����Z getLogger��__name__r!���Z
PATTERN_REALMZ�PATTERN_PRINCIPALZ�PATTERN_SERVICE��compiler����r����r����r/���r7���rD���rI���rK���r����r����r����r������<module>����s8�������������������������
�������
�
���
1
�������
2
�������