File: //usr/lib/python3.9/site-packages/ipalib/__pycache__/util.cpython-39.opt-1.pyc
a
����}��f�������������������������@���s����d�Z�d�d�l�m�Z�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l Z d�d�l
Z
d�d�l�Z�d�d�l�Z�d�d�l
Z
d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�z�d�d�l�m�Z���W�n���e�y�������d�d�l�m�Z���Y�n�0�d�d l�m Z m!Z!��d�d
l"m#Z#m$Z$m%Z%m&Z&m'Z'm(Z(��d�d�l)m*Z*��d�d�l+m,Z,��d�d
l-m.Z.��d�d�l/m0Z0��d�d�l1m2Z2��d�d�l3m4Z4��d�d�l5m6Z6m7Z7��d�d�l8m9Z9m:Z:m;Z;m<Z<��d�d�l=m>Z>��d�d�l?m@Z@��e�jAd�k���r�d�d�lBZBn�d�ZBe�jC��r�eDZEd�ZFd�ZGe��HeI��ZJd�d���ZKd�d���ZLd�d���ZMd�d���ZNd d!��ZOd"d#��ZPd$d%��ZQd&d'��ZRd(d)��ZSd*d+��ZTd,d-��ZUe�jVd�d�d�d�e'e(f�d.d/��ZWd�d1d2��ZXd�d4d5��ZYd6d7��ZZd8d9��Z[d�d<d=��Z\d>d?��Z]d@dA��Z^dBdC��Z_dDdE��Z`dFdG��ZadHdI��ZbdJdK��Zce��ddLe�je��ZfdMdMdMdNdNdOdOdOdPdPdPdQdQdQdRdRdRdSdSdSdSdT��ZgdUdV��Zhd�dXdY��Zid�d[d\��Zje9jkd]e9jld^i�Zmd_d`��Zndadb��Zodcdd��Zpdedf��ZqG�dgdh��dher��ZsG�didj��djes��ZtG�dkdl��dles��ZuG�dmdn��dnes��ZvG�dodp��dpes��Zwdqdr��Zxd�dtdu��Zyd�dvdw��Zzd�dxdy��Z{d�dzd{��Z|d�d|d}��Z}d~d��Z~d�d���Zd�d���Z�d�d���Z�G�d�d���d���Z�G�d�d���d�e���Z�d�d���Z�d�d�d���Z�d�d�d���Z�d�d���Z�d�d���Z�d�d���Z�d�d���Z�d�d�d���Z�d�d�d���Z�d�d���d�d���Z�d�d���d�d���Z�d�d���Z�d�d�d���Z�d�d���Z�d�d���Z�eBd�u���r�G�d�d���d�eBj���Z�e���j�Z�n�e�Z�d�S�)�z�
Various utility functions.
�����)���absolute_import��print_functionN)�� rdatatype)���DNSException)���NXDOMAIN)���AddrFormatError)���HTTPSConnection)���errors��messages)���DOMAIN_LEVEL_0��TLS_VERSIONS��TLS_VERSION_MINIMAL��TLS_VERSION_MAXIMAL��TLS_VERSION_DEFAULT_MIN��TLS_VERSION_DEFAULT_MAX)���is_ipa_client_configured)���_)�� constants)���paths)���ipautil)���SSHPublicKey)���DN��RDN)���DNSName��DNSResolver��resolve��resolve_ip_addresses)���ScriptError)�� Principal)�����������z�/var/lib/ipa-client/sysrestorez�/etc/ipa/default.confc��������������������C���s����t�|�t�t�f���r�d�d���|�D���S�t�|�t���r8d�d���|�����D���S�t�|�t�t�t�t�t d���f���rT|�S�t�|�t
��rh|���d���S�t�|�t�j
t�f���r�t
|���S�t�t�|�d�d�����s�d�S�t�|�������S�)�Nc��������������������S���s����g�|�]�}�t�|�����q�S�������json_serialize)���.0��or!���r!����//usr/lib/python3.9/site-packages/ipalib/util.py�
<listcomp>_��������z"json_serialize.<locals>.<listcomp>c��������������������S���s����i�|�]�\�}�}�|�t�|�����q�S�r!���r"���)�r$�����k��vr!���r!���r&����
<dictcomp>a���r(���z"json_serialize.<locals>.<dictcomp>z�utf-8��__json__��)��
isinstance��list��tuple��dict��items��int��bool��float��unicode��type��str��decode��decimalZ�Decimalr������callable��getattrr#���r,���)���objr!���r!���r&���r#���]���s����������
�������
�
���������r#���c����������������
���C���sR���z�t�|���s�t�j�|�d�����W�n4��t�j�j�yL��}���z�t�j�|�d�����W�Y�d�}�~�n
d�}�~�0�0�d�S�)�N����hostname)�� exception)�r����r ���Z�DNSNotARecordError��dnsr@���r����Z�DNSResolverError)�Z�fqdn��exr!���r!���r&�����verify_host_resolvablen���s
�������������rC���c��������������������C���s`���z�t�|�t�j�����d�}�W�n���t�y*������d�}�Y�n�0�z�t�|�t�j�����d�}�W�n���t�yV������d�}�Y�n�0�|�p^|�S�)�zX
Checks to see if given domain has SOA or NS record.
Returns True or False.
TF)�r����r������SOAr����Z�NS)���domainZ�soa_record_foundZ�ns_record_foundr!���r!���r&�����has_soa_or_ns_recordw���s��������������
���������
�rF���c��������������������C���s����t���}�|���d���}�t�|���d�k�rFt�|�d���������|�d�<�t�|�d���������|�d�<�nP|���d���}�t�|���d�k�r�t�|�d���������|�d�<�t�|�d���������|�d�<�n�t�|�������|�d�<�|�S�) N��@r ��������rE���r������name��\Z�flatname)�r1�����split��lenr6�����lower)�rI�����result�
componentsr!���r!���r&�����normalize_name����s��������
�������
���������rP���c��������������������C���s:���d���|�������}�t�|���d���d�k�s.t���d�|���d�u�r2d�S�d�S�d�S�)�a����
Validate the incoming data as valid base64 data or not. This is only
used in the ipalib.Parameters module which expects ``data`` to be unicode.
The character set must only include of a-z, A-Z, 0-9, + or / and
be padded with = to be a length divisible by 4 (so only 0-2 =s are
allowed). Its length must be divisible by 4. Whitespace is
not significant so it is removed.
This doesn't guarantee we have a base64-encoded value, just that it
fits the base64 requirements.
r-��������r����z�^[a-zA-Z0-9\+\/]+\={0,2}$NFT)���joinrK���rL�����re��match)���datar!���r!���r&�����isvalid_base64����s����������������rV���c��������������������C���sJ���d�}�|���d���}�|�d�k�r$d�}�|���d���}�|�d�k�rF|���d���}�|�|�|���|�����}�|�S�)�zM
Remove the header and footer (and surrounding material) from a CSR.
�(���s'���-----BEGIN NEW CERTIFICATE REQUEST-----����$���s#���-----BEGIN CERTIFICATE REQUEST-----r����s����-----END)���find)�Z�csrZ headerlen��s��er!���r!���r&�����strip_csr_header����s��������
�����
���
���r]���c��������������������C���sX���z�t���t�j�|�����W�n@��t�j�yR������z�t���t�j�|�����W�n���t�j�yL������Y�Y�d�S�0�Y�n�0�d�S�)�zj
Check to see if the given IP address is a valid IPv4 or IPv6 address.
Returns True or False
FT)���socketZ inet_ptonZ�AF_INET��errorZ�AF_INET6)���ipaddrr!���r!���r&�����validate_ipaddr����s��������������������ra���c����������������
���C���s����|�d�u�r�t�j�t�d���d�����zLt�j���|���rPt���|�t�j���sbt�j�t�d���t�|�d�����d�����n�t |�d���}�|��
����W�n8��t�t�f�y���}���z�t�j�t
|���d�����W�Y�d�}�~�n
d�}�~�0�0�d�S�)�zr
Determine if the file is writable. If the file doesn't exist then
open the file to test writability.
Nz�Filename is empty)���reasonz�Permission denied: %(file)s����file��w)�r ���Z FileErrorr������os��path��isfile��access��W_OKr1�����open��close��IOError��OSErrorr8���)���filename��fpr\���r!���r!���r&�����check_writable_file����s������������������
�����rq���c��������������������C���sJ���|�r�t�|�t���s�|�S�d�|�v�rF|���d���\�}�}�}�|���d�d���}�d���|�d�|�f���}�|�S�)�NrG�����.z�\.r-���)�r.���r8���� partition��replacerR���)���zonemgrrI���Z�_atrE���r!���r!���r&�����normalize_zonemgr����s������������������rv���c��������������������C���s����|�d���d�k�r�|�d���S�|�S�d�S�)�NrX���rr���r!���)���zoner!���r!���r&�����normalize_zone����s����������rx���c��������������������C���s����|�d�u�r�|�d�u�r�d�S�|�d�u�r t�}�|�d�u�r,t�}�t���t���}�z�t���|���}�W�n"��t�yf������t�d�j�|�d�������Y�n�0�z�t���|���}�W�n"��t�y�������t�d�j�|�d�������Y�n�0�|�|�k�r�t�d�����|�|�k�r�|�}�t���d�|�t�|�������|�|�k�r�|�}�t���d�|�t�|�������t�|�|�d�������S�) a����
This function checks whether the given TLS versions are known in
IPA and that these versions fulfill the requirements for minimal
TLS version (see
`ipalib.constants: TLS_VERSIONS, TLS_VERSION_MINIMAL`).
:param tls_version_min:
the lower value in the TLS min-max span, raised to the lowest
allowed value if too low
:param tls_version_max:
the higher value in the TLS min-max span, raised to tls_version_min
if lower than TLS_VERSION_MINIMAL
:raises: ValueError
Nz5tls_version_min ('{val}') is not a known TLS version.)���valz5tls_version_max ('{val}') is not a known TLS version.z/tls_version_min is higher than tls_version_max.z5tls_version_min set too low ('%s'),using '%s' insteadz5tls_version_max set too low ('%s'),using '%s' insteadrH���)�r
���r����r������index�
ValueError��format��logger��warning)���tls_version_min��tls_version_maxZ�min_allowed_idxZ�min_version_idxZ�max_version_idxr!���r!���r&�����get_proper_tls_version_span����s@�����������������
�������������������������������������������������r����c���������������� ���K���s����t�j�t�j�t�j�t�j�t�j�t�t�d�d���d���} |�d�u�r4t�d�����t�j �
|���rNt���|�t�j���s^t�d�j
|�d�������t���t�j���}
|
��j�t�j�t�j�B�t�j�B�t�j�B�O���_�t�j�d�u�r�|
��t�j�����t�|�|���}�|�d�u�r�t�D�]4}�|�|�v�r�|
��j�| |�����M���_�q�|
��j�| |���O���_�q�t�|
d�d���d�u���r�d |
_�t�j�|
_�d |
_�|
��|�����|�d�u���rx|�d�u���rft�|�����}
|
� ��}�W�d���������n�1���sZ0�������Y���n�d�}�|
�!|�|�|�����t"|�|�f�d
|
i�|�����S�)�a]���
Create a customized HTTPSConnection object.
:param host: The host to connect to
:param port: The port to connect to, defaults to
HTTPSConnection.default_port
:param cafile: A PEM-format file containning the trusted
CA certificates
:param client_certfile:
A PEM-format client certificate file that will be used to
identificate the user to the server.
:param client_keyfile:
A file with the client private key. If this argument is not
supplied, the key will be sought in client_certfile.
:param keyfile_passwd:
A path to the file which stores the password that is used to
encrypt client_keyfile. Leave default value if the keyfile
is not encrypted.
:returns An established HTTPS connection to host:port
Z
OP_NO_TLSv1_3r����)�Z�ssl2Z�ssl3z�tls1.0z�tls1.1z�tls1.2z�tls1.3NzFcafile argument is required to perform server certificate verificationz.cafile '{file}' doesn't exist or is unreadablerc�����post_handshake_authT��context)#��sslZ�OP_NO_SSLv2Z�OP_NO_SSLv3Z�OP_NO_TLSv1Z
OP_NO_TLSv1_1Z
OP_NO_TLSv1_2r<�����RuntimeErrorrf���rg���rh���ri�����R_OKr|���Z
SSLContextZ�PROTOCOL_TLS_CLIENT��optionsZ�OP_ALLZ�OP_NO_COMPRESSIONZ�OP_SINGLE_DH_USEZ�OP_SINGLE_ECDH_USEr����Z�TLS_HIGH_CIPHERSZ�set_ciphersr����r����r����Z
CERT_REQUIREDZ�verify_modeZ�check_hostnameZ�load_verify_locationsrk�����readZ�load_cert_chainr����)���host��portZ�cafileZ�client_certfileZ�client_keyfileZ�keyfile_passwdr���r������kwargsZ�tls_cutoff_map��ctxZ�tls_span��versionZ�pwd_f��passwdr!���r!���r&�����create_https_connection'���sN���������������
�� ������������������������
���
�������������������
�
�
�
�*�����r����Fc������������
�������C���s����d�}�d�}�d�}�|�r�|�d�7�}�|�r$|�d�7�}�|�d���}�d�t�|�|�|�d�����}�t���|�t�j�t�j�B���}�|�sbt�t�d�������t�|���d k�rzt�t�d
������|���|���s�d�� d�d
��|�|���D�����}�d�� d�d
��|�D�����} t�t�d���t�|�| d���������d�S�)�Nz�a-z0-9r-���r������/��-a6���^[%(base)s%(extra)s] # must begin with an alphanumeric
# character, or underscore if
# allow_underscore is True
([%(base)s%(extra)s%(middle)s]* # can contain all allowed character
# classes in the middle
[%(base)s%(extra)s])*$ # must end with alphanumeric
# character or underscore if
# allow_underscore is True
)���baseZ�extraZ�middle��empty DNS label�?���z-DNS label cannot be longer that 63 charactersz�, c��������������������s���s����|�]�}�d�|���V���q�d�S���z�'%s'Nr!�����r$�����cr!���r!���r&���� <genexpr>����r(���z%validate_dns_label.<locals>.<genexpr>c��������������������s���s����|�]�}�d�|���V���q�d�S�r����r!���r����r!���r!���r&���r��������r(���z\only letters, numbers, %(chars)s are allowed. DNS label may not start or end with %(chars2)s)���chars��chars2)
r1���rS�����compile�
IGNORECASE��VERBOSEr{���r����rL���rT���rR���)
Z dns_label��allow_underscore��allow_slashZ
base_charsZ�extra_charsZ�middle_charsZ�label_regexZ�regexr����r����r!���r!���r&�����validate_dns_label����s,�������������������������� ����������
�������
�r����rE���c��������������������C���sX���|���d���r�|�d�d�����}�|���d���}�t�|���d�k�r>t�t�d���|���������|�D�]�}�t�|�|�|�����qBd�S�)�Nrr���rX���r ���z"single label {}s are not supported)���endswithrK���rL���r{���r����r|���r����)�Z�domain_namer����r����Z�entity��labelr!���r!���r&�����validate_domain_name����s������
���
�����������r����c��������������������C���s$���t�d�d���|�j�D�����r t�t�d�������d�S�)�Nc��������������������s���s����|�]�}�d�|�v�V���q�d�S�)������@Nr!���)�r$���r����r!���r!���r&���r��������r(���z#validate_zonemgr.<locals>.<genexpr>z�too many '@' characters)���any��labelsr{���r������ru���r!���r!���r&�����validate_zonemgr����s��������r����c��������������������C���s ���t�|���}�t�|�����t�|���}�t�|���S���N)�rv�����validate_idna_domainr����r����r����r!���r!���r&�����validate_zonemgr_str����s������������r����T����c��������������������C���s~���t�|���|�k�r�t�t�d���|���������|���d���r4|�d�d�����}�d�|�v�rHt�t�d�������d�|�v�rn|�r`t�t�d�������t�|�|�|�����n�t�|�|�|�����d�S�)�a���� See RFC 952, 1123
Length limit of 64 imposed by MAXHOSTNAMELEN on Linux.
DNS and other operating systems has a max length of 255. Default to
the theoretical max unless explicitly told to limit. The cases
where a limit would be set might include:
* *-install --hostname
* ipa host-add
The *-install commands by definition are executed on Linux hosts so
the maximum length needs to be limited.
:param hostname Checked value
:param check_fqdn Check if hostname is fully qualified
z#cannot be longer that {} charactersrr���NrX���z�..z0hostname contains empty label (consecutive dots)z�not fully qualified)�rL���r{���r����r|���r����r����r����)�r?���Z
check_fqdnr����r������maxlenr!���r!���r&�����validate_hostname����s��������������
���������������r����c��������������������C���s����t�|�������S�r����)�r������openssh)���valuer!���r!���r&�����normalize_sshpubkey����s������r����c���������������� ���C���s4���z�t�|�����W�n���t�t�f�y*������t�d�����Y�S�0�d�S�d�S�)�N��invalid SSH public key)�r����r{�����UnicodeDecodeErrorr����)���ugettextr����r!���r!���r&�����validate_sshpubkey����s
�������������r����c���������������� ���C���sD���z�t�|���}�W�n���t�t�f�y*������t�d�����Y�S�0�|�����r<t�d���S�d�S�d�S�)�Nr����z�options are not allowed)�r����r{���r����r����Z�has_options)�r����r������pubkeyr!���r!���r&�����validate_sshpubkey_no_options����s������������������r����c����������������
���C���s����|���d���}�|�s�d�S�g�}�g�}�|�D�]t}�z�t�|���}�W�n���t�t�f�yH������Y�q�Y�n�0�|�����}�|�����}�|�rjd�|�|�f���}�d�|�|�����f���}�|���|���������|���|�����q�d�|�v�r�|�p�d�|�d�<�|�r�|�|�d�<�d�S�)�N��ipasshpubkeyz�%s %sz�%s (%s)Z�sshpubkeyfp) ��getr����r{���r����Z�fingerprint_hex_sha256��commentZ�keytype��appendr����)���entry_attrsZ�pubkeysZ
newpubkeysZ�fingerprintsr����rp���r����r!���r!���r&�����convert_sshpubkey_post����s*�����
�����������������
���������������������r����c��������������������C���s*���d�|�v�s&d�|�v�s&t�|�d�d�����|���d�����d�S�)�z�
Attribute ipasshpubkey should be added to attrs_list to be able compute
ssh fingerprint. This attribute must be removed later if was added here
(see remove_sshpubkey_from_output_post).
r������*��ipasshpubkey_addedTN)���setattrr����)�r����Z
attrs_listr!���r!���r&�����add_sshpubkey_to_attrs_pre!���s����������r����c��������������������C���s&���t�|�d�d���r"|���d�d�����t�|�d�����d�S���zJ
Remove ipasshpubkey from output if it was added in pre_callbacks
r����Fr����N��r<�����pop��delattr)�r����r����r!���r!���r&����!remove_sshpubkey_from_output_post,���s����������r����c��������������������C���s0���t�|�d�d���r,|�D�]�}�|���d�d�����q�t�|�d�����d�S�r����r����)�r������entriesr����r!���r!���r&����&remove_sshpubkey_from_output_list_post5���s������������r����z4([-+]?((\d+)|(\d+\.\d+)|(\.\d+)|(\d+\.)))\s*([a-z]+)i�3�����'�i�: �i�Q��i�����<���rH���)�Z�yearZ�years��yZ�monthZ�monthsZ�weekZ�weeksre���Z�dayZ�days��dZ�hourZ�hours��hZ�minuteZ�minutes��min��second��secondsZ�secr[���c��������������������C���s����d�}�d�}�t���|���D�]z}�|�d�7�}�|���d���}�|���d���}�|�d�k�r@d�}�n4|�d�k�rNd�}�n&|�����}�t���|���}�|�d u�rtt�d
|�������t�|���}�|�|���}�|�|�7�}�q�|�d�k�r�t�d�|�������|�S�)�a����
Given a time duration string, parse it and return the total number
of seconds represented as a floating point value. Negative values
are permitted.
The string should be composed of one or more numbers followed by a
time unit. Whitespace and punctuation is optional. The numbers may
be optionally signed. The time units are case insenstive except
for the single character 'M' or 'm' which means month and minute
respectively.
Recognized time units are:
* year, years, y
* month, months, M
* week, weeks, w
* day, days, d
* hour, hours, h
* minute, minutes, min, m
* second, seconds, sec, s
Examples:
"1h" # 1 hour
"2 HOURS, 30 Minutes" # 2.5 hours
"1week -1 day" # 6 days
".5day" # 12 hours
"2M" # 2 months
"1h:15m" # 1.25 hours
"1h, -15min" # 45 minutes
"30 seconds" # .5 minute
Note: Despite the appearance you can perform arithmetic the
parsing is much simpler, the parser searches for signed values and
adds the signed value to a running total. Only + and - are permitted
and must appear prior to a digit.
:parameters:
value : string
A time duration string in the specified format
:returns:
total number of seconds as float (may be negative)
r����g��������rH����������Mr������mr����Nz�unknown time duration unit "%s"z�no time duration found in "%s")���time_duration_re��finditer��grouprM�����time_duration_unitsr����r{���r5���)�r������matchesZ�durationrT���Z magnitudeZ�unitZ�seconds_per_unitr����r!���r!���r&�����parse_time_duration\���s(����-��������
�
�����������
���������
�����r��������AZ�AAAAZ�SSHFPc������������������������s.���d�������f�d�d���|�D���}�d���|���}�|�d�7�}�|�S�)�aj���
Generate update policy for a forward DNS zone (idnsUpdatePolicy
attribute). Bind uses this policy to grant/reject access for client
machines trying to dynamically update their records.
:param realm: A realm of the of the client
:param rrtypes: A list of resource records types that client shall be
allowed to update
z&grant %(realm)s krb5-self * %(rrtype)sc������������������������s����g�|�]�}���t���|�d�������q�S�)�)���realm��rrtype��r1�����r$���r��������policy_elementr����r!���r&���r'�������s��������z6get_dns_forward_zone_update_policy.<locals>.<listcomp>��; ��;��rR���)�r������rrtypes��policies��policyr!���r����r&����"get_dns_forward_zone_update_policy����s�����
��������
���r������Z�PTRc������������������������s0���d���������f�d�d���|�D���}�d���|���}�|�d�7�}�|�S�)�a����
Generate update policy for a reverse DNS zone (idnsUpdatePolicy
attribute). Bind uses this policy to grant/reject access for client
machines trying to dynamically update their records.
:param realm: A realm of the of the client
:param reverse_zone: Name of the actual zone. All clients with IPs in this
sub-domain will be allowed to perform changes
:param rrtypes: A list of resource records types that client shall be
allowed to update
z2grant %(realm)s krb5-subdomain %(zone)s %(rrtype)sc������������������������s����g�|�]�}���t�����|�d�������q�S�)�)�r����rw���r����r����r������r����r������reverse_zoner!���r&���r'�������s������������z6get_dns_reverse_zone_update_policy.<locals>.<listcomp>r����r����r����)�r����r����r����r����r����r!���r����r&����"get_dns_reverse_zone_update_policy����s��������������
���r����rQ���� ���c��������������������C���s����t�|�������S�r����)�r����Z
is_reverse)�Z zone_namer!���r!���r&�����zone_is_reverse����s������r����c��������������������C���sV���t���t�|�����}�|�j���d���}�|�j�d�k�r2|�d�d�����}�n�|�j�d�k�rH|�d�d�����}�t�d���|�����S�)�Nrr���rQ���rH�������������)���netaddr� IPAddressr8���Z�reverse_dnsrK���r����rx���rR���)��
ip_address��ipr2���r!���r!���r&�����get_reverse_zone_default����s����������
���
���r����c����������������
���C���sB���z�t�|�����W�n,��t�y8��}���z�t�|���W���Y�d�}�~�S�d�}�~�0�0�d�S�d�S�r����)�r����� Exceptionr8���)�r����r����r\���r!���r!���r&�����validate_rdn_param����s
�������������r����c���������������� ���C���s6���z�t���|�����W�n���t�t�f�y,������t�d�����Y�S�0�d�S�d�S�)�Nz�invalid hostmask)�r����Z IPNetworkr{���r����r����)�r������hostmaskr!���r!���r&�����validate_hostmask����s
�������������r����c������������������������s"���e�Z�d�Z�d�Z�d���f�d�d�� Z�����Z�S�)���ForwarderValidationErrorNc������������������������s,���t�j�|�|�|�f�i�|�������t�t�|�����|�j�����d�S�r����)�r
���Z�process_message_arguments��superr������__init__��msg)���selfr|�����message��kw��� __class__r!���r&���r��������s��������z!ForwarderValidationError.__init__)�NN)���__name__�
__module__��__qualname__r|���r�����
__classcell__r!���r!���r����r&���r��������s��������r����c��������������������@���s����e�Z�d�Z�e�d���Z�d�S�)���UnresolvableRecordErrorz&query '%(owner)s %(rtype)s': %(error)sN��r����r����r����r����r|���r!���r!���r!���r&���r��������s������r����c��������������������@���s����e�Z�d�Z�e�d���Z�d�S�)���EDNS0UnsupportedErrorz1query '%(owner)s %(rtype)s' with EDNS0: %(error)sNr����r!���r!���r!���r&���r �������s������r ���c��������������������@���s����e�Z�d�Z�e�d���Z�d�S�)���DNSSECSignatureMissingErrorzRanswer to query '%(owner)s %(rtype)s' is missing DNSSEC signatures (no RRSIG data)Nr����r!���r!���r!���r&���r
�������s������r
���c��������������������@���s����e�Z�d�Z�e�d���Z�d�S�)���DNSSECValidationErrorzFrecord '%(owner)s %(rtype)s' failed DNSSEC validation on server %(ip)sNr����r!���r!���r!���r&���r��������s������r����c��������������������C���s(���t�|�d�i�����d���}�|�r$t���d�|�|�����d�S�)�z�
If exception contains response from server, log this response to debug log
:param log: if log is None, do not log
:param e: DNSException
r������responsez%DNSException: %s; server response: %sN)�r<���r����r}�����debug)�r\���r����r!���r!���r&����
_log_response����s����������r�����
���c������������ �������C���s~���t���}�|�r�|�g�|�_�|�|�_�|���t�j�j�����|�r`|���d�t�j�j�d�����t�j�j�}�|�rT|�t�j�j B�}�|���|�����n�|�rr|���d�d�d�����|��
|�|���S�)�z�
:param nameserver_ip: if None, default resolvers will be used
:param edns0: enables EDNS0
:param dnssec: enabled EDNS0, flags: DO
:param flag_cd: requires dnssec=True, adds flag CD
:raise DNSException: if error occurs
r����i����)�r����Z�nameserversZ�lifetimeZ set_flagsrA�����flagsZ�RDZ�use_ednsZ�DOZ�CDr����) ��owner��rtype�
nameserver_ip��edns0��dnssec��flag_cd��timeout��resr����r!���r!���r&�����_resolve_record����s��������������������������������r����c����������������
���C���s����z�t�|�|�|�|�d�����W�n<��t�yP��}���z$t�|�����t�|�|�|�|�d�����W�Y�d�}�~�n
d�}�~�0�0�z�t�|�|�|�d�|�d�����W�n<��t�y���}���z$t�|�����t�|�|�|�|�d�����W�Y�d�}�~�n
d�}�~�0�0�d�S�)�z�
Validate if forwarder supports EDNS0
:raise UnresolvableRecordError: record cannot be resolved
:raise EDNS0UnsupportedError: EDNS0 is not supported by forwarder
)�r����r������r����r����r����r_���NT)�r����r����r����)�r����r����r����r����r ���)�r����r������ip_addrr����r\���r!���r!���r&�����_validate_edns0_forwarder8���s ���������������������
���
���������r����c����������������
���C���s����t�|���}�d�}�d�}�t�|�|�|�|�d�����z�t�|�|�|�d�|�d���}�W�n:��t�yp��}���z"t�|�����t�|�|�|�d�����W�Y�d�}�~�n
d�}�~�0�0�z,|�j���|�j�j�t j
j�t j�j
t j�j�t j�j�����W�n ��t�y�������t�|�|�|�d�����Y�n�0�d�S�)�aE���Test DNS forwarder properties. against root zone.
Global forwarders should be able return signed root zone
:raise UnresolvableRecordError: record cannot be resolved
:raise EDNS0UnsupportedError: EDNS0 is not supported by forwarder
:raise DNSSECSignatureMissingError: did not receive RRSIG for root zone
rr���rD�����r����T)�r����r����r������r����r����r����N)�r8���r����r����r����r����r
���r����Z
find_rrset��answerrA���rI�����rootZ
rdataclass��INr����Z�RRSIGrD�����KeyError)�r����r����r����r����Z�ansr\���r!���r!���r&���� validate_dnssec_global_forwarderP���s$����
����������
���
�����$�������������r#���c��������������������C���s����t�|�d�|�|�d�����d�S�)�z�
Only forwarders in forward zones can be validated in this way
:raise UnresolvableRecordError: record cannot be resolved
:raise EDNS0UnsupportedError: ENDS0 is not supported by forwarder
rD���r����N)�r����)�r������fwzoner����r!���r!���r&����$validate_dnssec_zone_forwarder_step1q���s������r%���c����������������
���C���s����d�}�z�t�|�|�|�d�d�d�|�d���}�W�nt��t�yX��}���z"t�|�����t�|�|�|�d�����W�Y�d�}�~�nDd�}�~�0���t�y���}���z$t�|�����t�|�|�|�|�d�����W�Y�d�}�~�n
d�}�~�0�0�z�t�|�|�|�d�d�|�d���}�W�n:��t�y���}���z"t�|�����t�|�|�|�d�����W�Y�d�}�~�n8d�}�~�0�0�|�j�|�j�k���r�|�j�|�j�k���r�d�S�t�|�|�|�d�����d�S�)�a����
This step must be executed after forwarders are added into LDAP, and only
when we are sure the forwarders work.
Query will be send to IPA DNS server, to verify if reply passed,
or DNSSEC validation failed.
Only forwarders in forward zones can be validated in this way
:raise UnresolvableRecordError: record cannot be resolved
:raise DNSSECValidationError: response from forwarder is not DNSSEC valid
rD���T)�r����r����r����r����r����r����Nr����)�r����r����r����r����)�r����r����r����r����r����r����Z�canonical_nameZ�rrset)�Z�ipa_ip_addrr$���r����r����Z�ans_cdr\���Z�ans_dor!���r!���r&����$validate_dnssec_zone_forwarder_step2z���s4����
����������
�����"�����������������
�����$���
�����r&���c���������������� ���C���s,���d�}�z�t�|�����W�n���t�j�j�y.������t�d���}�Y�n���t�j�j�yJ������t�d���}�Y�n���t�j�j�yf������t�d���}�Y�n���t�j�j�y�������t�d���}�Y�n���t�j�j y�������t�d���}�Y�n|0�t
j�d�|�t
j�d���}�z�|�D�]�}�|��
d ����q�W�nN��t���y�������t�d
d���|�D�����}�|���r�t�d���|�d
��d�d���|�D�����d�����}�Y�n�0�|���r(t�|�����d�S�)�z
Validate if value is valid IDNA domain.
If domain is not valid, raises ValueError
:param value:
:return:
Nz"invalid escape code in domain namer����z0domain name cannot be longer than 255 charactersz-DNS label cannot be longer than 63 charactersz�invalid domain nameu����[..。。]��r������asciic��������������������s���s����|�]�}�t�j���|���|�k�V���q�d�S�r������� encodingsZ�idnaZ�nameprep��r$�����xr!���r!���r&���r��������r(���z'validate_idna_domain.<locals>.<genexpr>z@domain name '%(domain)s' should be normalized to: %(normalized)srr���c��������������������S���s����g�|�]�}�t�j���|�����q�S�r!���r)���r+���r!���r!���r&���r'�������s��������z(validate_idna_domain.<locals>.<listcomp>)�rE���Z
normalized)�r����rA���rI���Z BadEscaper����Z
EmptyLabelZ�NameTooLongZ�LabelTooLongr@�����SyntaxErrorrS���rK�����UNICODE��encode��UnicodeErrorr����rR���r{���)�r����r_���r����r����Z
is_nonnormr!���r!���r&���r��������s:�������������������������������������������������
�������
���r����c������������
�������C���s����t�d���}�t�|���}�|�|���}�zrt�|�t�j���}�|�j�j�}�t�|���d�k�r�t�|�d�����d�k�r�|�d���j�t�j�k�r�|�d���d���}�|�����d�� |�j
j���k�r�W�d�S�W�d�S�W�n���t�y�������Y�n�0�t�d���}�|�|���} z�t�| t�j
����W�n���t�y�������Y�d�S�0�d�S�d S�)
aP���
Detects the type of the realm that the given DNS zone belongs to.
Note: This method is heuristic. Possible values:
- 'current': For IPA domains belonging in the current realm.
- 'foreign': For domains belonging in a foreing kerberos realm.
- 'unknown': For domains whose allegiance could not be detected.
Z _kerberosrH���r����z�"{0}"��currentZ�foreignz�_ldap._tcp.gc._msdcs��unknownN)�r����r����r����Z�TXTr����r����rL���Z�rdtypeZ�to_textr|�����envr����r����Z�SRV)
��apirE���Z�kerberos_prefixZ
domain_suffixZ�kerberos_record_namerN���r������recordZ gc_prefixZ�ad_specific_record_namer!���r!���r&�����detect_dns_zone_realm_type����s0���������������������������������
�����������������r6���c��������������������C���s����|�j�d�������d�t���}�|�t�k�S�)�NZ�domainlevel_getrN���)���Commandr����r����)�r4���Z�domainlevelr!���r!���r&�����has_managed_topology����s��������r8���c��������������������C���s����|�r||�j���d���}�|�d�u�r@t�d�|�������t�d�t�t���|�j�d�������������|�j���d���}�|�d�u�r|t�d�|�������t�d�t�t���|�j�d ������������d�S�)
z�Pretty print nsds5replicalastinitstatus, nsds5replicalastinitend,
nsds5replicalastupdatestatus, nsds5replicalastupdateend for a
replication agreement.
Z�nsds5replicalastinitstatusNz� last init status: %sz� last init ended: %sZ�nsds5replicalastinitendZ�nsds5replicalastupdatestatusz� last update status: %sz� last update ended: %sZ�nsds5replicalastupdateend)���single_valuer������printr8���r����Z�parse_generalized_time)���entry��verboseZ
initstatusZ�updatestatusr!���r!���r&�����print_replication_status����s&�����������������������������������������r=���c��������������������@���s:���e�Z�d�Z�d�Z�d
d�d���Z�d�d���Z�d�d���Z�d d
��Z�d�d���Z�d�S�)��
classproperty����__doc__��fgetNc��������������������C���s&���|�d�u�r�|�d�u�r�|�j�}�|�|�_�|�|�_�d�S�r����r?���)�r����rA�����docr!���r!���r&���r����#���s������������z�classproperty.__init__c��������������������C���s&���|�j�d�u�r�|�j���|�|�����S�t�d�����d�S���Nz�unreadable attribute��rA�����__get__��AttributeError��r����r=���Z�obj_typer!���r!���r&���rE���+���s������
���z�classproperty.__get__c��������������������C���s����t�d�����d�S�)�Nz�can't set attribute��rF���)�r����r=���r����r!���r!���r&�����__set__0���s������z�classproperty.__set__c��������������������C���s����t�d�����d�S�)�Nz�can't delete attributerH���)�r����r=���r!���r!���r&����
__delete__3���s������z�classproperty.__delete__c��������������������C���s
���|�|�_�|�S�r����)�rA���)�r����rA���r!���r!���r&�����getter6���s��������z�classproperty.getter)�NN) r����r����r����� __slots__r����rE���rI���rJ���rK���r!���r!���r!���r&���r>��� ���s��������
�������r>���c��������������������@���s����e�Z�d�Z�d�Z�d�d���Z�d�S�)���classobjectproperty)�r@���c��������������������C���s(���|�j�d�u�r�|�j���|�|���|���S�t�d�����d�S�rC���rD���rG���r!���r!���r&���rE���@���s������
���z�classobjectproperty.__get__N)�r����r����r����rL���rE���r!���r!���r!���r&���rM���;���s��������rM���c��������������������C���s"���|���d���r�|�d�d�����}�|�����}�|�S�)�z-Use common fqdn form without the trailing dotrr���NrX���)�r����rM���r>���r!���r!���r&�����normalize_hostnameF���s������
�����rN���c����������������
���C���sJ���z�t�|�|�d�����W�n4��t�yD��}���z�t�d���t�|�����W���Y�d�}�~�S�d�}�~�0�0�d�S�)�a����Validator used by plugins to ensure hostname compliance.
In Linux the maximum hostname length is 64. In DNS and
other operaring systems (Solaris) it is 255. If not explicitly
checking a Linux hostname (e.g. the server) use the DNS
default.
)�r����z�invalid domain-name: %sN)�r����r{���r����r6���)�r����r����r����r\���r!���r!���r&�����hostname_validatorN���s
�����������&�rO���c���������������� ���C���sh���zBt�j�t�|���t�j�d���}�|�d�u�r@|�j�|�k�r@t�d���t�|�j�|�d�����W�S�W�n ��t�j�t�f�yb������t�d�����Y�S�0�d�S�)�Nr'���zFinvalid IP address version (is %(value)d, must be %(required_value)d)!)�r����Z�required_valuez�invalid IP address format) r����r����r8���Z INET_PTONr����r����r1���r����r{���)�r����r`���Z
ip_versionr����r!���r!���r&�����ipaddr_validator^���s������������
���������������
�����rP���c��������������������C���sv���|���d���\�}�}�}�t�|�|���}�|�d�u�r&|�S�|�rrz"t�|���}�|�d�k�sD|�d�k�rJt�����W�n$��t�yp������t�d�t�|�d���������Y�S�0�d�S�)�Nz� port r����i����z�%(port)s is not a valid port)�r����)�rs���rP���r3���r{���r����r1���)�r����Z forwarderr������sepr����Z�ip_address_validationr!���r!���r&�����validate_bind_forwardero���s��������
�������������
�����rR���c��������������������C���sB���t�d�d���|�d���D�����}�d�|�v�r"d�S�d�|�v�r>d�|�v�r>|�d���|�d�<�d�S�)�Nc��������������������s���s����|�]�}�|�����V���q�d�S�r������rM���)�r$�����ir!���r!���r&���r��������r(���z'set_krbcanonicalname.<locals>.<genexpr>��objectclassZ�krbprincipalaux��krbprincipalname��krbcanonicalname)���set)�r����Z
objectclassesr!���r!���r&�����set_krbcanonicalname����s������������������rY���c��������������������G���sB���|���|�j�d�d�g���}�|�j���d�d���}�|�|�d���v�r>t�j�d�t�d���d�����d�S�)�a ���
ensure that the LDAP entry has at least one value of krbprincipalname
and that this value is equal to krbcanonicalname
:param ldap: LDAP connection object
:param entry_attrs: LDAP entry made prior to update
:param options: command options
rW���rV���NrX���zHat least one value equal to the canonical principal name must be present��rI���r_���)�� get_entry��dnr9���r����r �����ValidationErrorr����)���ldapr������keysr;���rW���r!���r!���r&�����ensure_last_krbprincipalname����s����� ��
�������������r`���c��������������������C���sV���|���|�j�g�d�����}�|�j���d�d���d�u�r(d�S�t�|�����|���d�d�����|���d�d�����|���|�����d�S�)�N)�rW���rV���rU���rW���rV���rU���)�r[���r\���r9���r����rY���r������update)�r^���r����Z old_entryr!���r!���r&�����ensure_krbcanonicalname_set����s������������������������rb���c��������������������C���s^���d�}�|�d�u�rF|�j�t�j�k�rFt�j���|�j���r*d�S�t�d�|�j���d�|�j���d���|�����t���rPd�S�t�d�|�����d�S�)�a ���
Check if IPA client is configured on the system.
This is a convenience wrapper that also supports using
a custom configuration via IPA_CONFDIR.
Raises a ScriptError exception if the client is not
configured.
Hardcode return code to avoid recursive imports
r ���NTz5IPA client is not configured on this system (confdir z� is missing ��)z+IPA client is not configured on this system) Z�confdirr����Z�ETC_IPArf���rg���rh���Z�conf_defaultr����r����)�r3���Z�CLIENT_NOT_CONFIGUREDr!���r!���r&�����check_client_configuration����s$���������������������������������������rd���c��������������������C���s����|�j�j�d�d�d���d���}�t���}�|�D�]\}�|���d�g���}�|���t�d�d���|�D���������d�|�v�rd|���|�d���d�����������|���|�d ��d�����������q�|�r�|���|�j�j���������|�S�)
z�
Return UPNs and realm names of trusted forests.
:param api_instance: API instance
:param add_local: bool flag
:return: set of namespace names as strings.
If add_local is True, add own realm namesapce
r-���r����)�Z sizelimitrN���Z�ipantadditionalsuffixesc��������������������s���s����|�]�}�|�����V���q�d�S�r����rS���)�r$�����upnr!���r!���r&���r��������r(���z,_collect_trust_namespaces.<locals>.<genexpr>Z
ipantflatnameZ�cn) r7���Z
trust_findrX���r����ra�����addrM���r3���r����)���api_instance� add_localZ
trust_objects��trust_suffix_namespacer=���Z�nt_suffixesr!���r!���r&�����_collect_trust_namespaces����s�����
������������������������rj���rV���)�� attr_namec��������������������G���sf���t�|�d�d���}�|�d���D�]L}�t�|�|�j�j�d���}�|�j�}�|�j�r:|�j�n�d�}�|�|�v�sN|�|�v�r�t�j�|�t�d���d�����q�d�S�)�a7���
Check that principal name's suffix does not overlap with UPNs and realm
names of trusted forests.
:param api_instance: API instance
:param suffixes: principal suffixes
:raises: ValidationError if the suffix coincides with realm name, UPN
suffix or netbios name of trusted domains
F��rh���rX�����r����Nz:realm or UPN suffix overlaps with trusted domain namespacerZ���) rj���r����r3���r�����
is_enterprise�
upn_suffixr ���r]���r����)�rg���rk�����suffixesri�����p� principalr����re���r!���r!���r&����(check_principal_realm_in_trust_namespace����s����������������������������rs���c������������ �������G���s~���t�|�d�d���}�|�d���D�]d}�t�|�|�j�j�d���}�|�j�}�|�j�r:|�j�n�d�}�|�����|�v�|�d�u�oZ|�����|�v�g�}�t�|���r�t�j |�t
d���d�����q�d�S�)�aJ���
Check that principal name's suffix does not overlap with UPNs and realm
names of trusted forests.
:param api_instance: API instance
:param suffixes: principal suffixes
:raises: ValidationError if the suffix does not match with realm name, UPN
suffix or netbios name of trusted domains or IPA domain
Trl���rX���rm���NzSrealm or UPN suffix outside of supported realm domains or trusted domains namespacerZ���)�rj���r����r3���r����rn���ro���rM���r����r ���r]���r����) rg���rk���rp���ri���rq���rr���r����re���Z
conditionsr!���r!���r&�����check_principal_realm_supported����s �������������������
���
�����������rt���c��������������������C���s6���|�D�],}�|�����s�t���d�|�����t�d���|���t�j�d�����q�d�S�)�Nz.No network interface matches the IP address %sz7WARNING: No network interface matches the IP address {}rc���)�Z�get_matching_interfacer}���r~���r:���r|�����sys��stderr)�Z addr_listr����r!���r!���r&����,no_matching_interface_for_ip_address_warning,���s��������������������������rw���c����������������
���C���sL���z�t���d�t���|�t�j�d�����d���W�S���t�t�t�j�f�yF������t j
��d�d�����Y�S�0�d�S�)�z�
Get current terminal height
Args:
fd (int): file descriptor. Default: 1 (stdout)
Returns:
int: Terminal height
Z�hhs����1234r������LINES�����N)���struct��unpack��fcntlZ�ioctl��termiosZ
TIOCGWINSZrm���rn���r_���rf�����environr����)���fdr!���r!���r&�����get_terminal_height:���s�����
��������������r����c��������������������C���s����t�j���d�d���}�t���|���S�)�zl Get path to a pager
:return: path to the file if it exists otherwise None
:rtype: str or None
Z�PAGERZ�less)�rf���r~���r������shutil��which)���pagerr!���r!���r&���� get_pagerK���s��������r����c��������������������C���sB���t�j�|�g�t�j�d���}�z�|�j���|�����|�������W�n���t�y<������Y�n�0�d�S�)�z�
Open text data in pager
Args:
data (bytes): data to view in pager
pager (str): path to the pager
Returns:
None
)���stdinN)��
subprocess��Popen��PIPEr������writeZ�communicaterm���)�rU���r����Z
pager_processr!���r!���r&����
open_in_pagerU���s����������������r����c������������������������sJ���e�Z�d�Z�e�e�e�e�e�e�e e
e�e�e
d���h�Z���f�d�d���Z�d�d���Z�d�d���Z�����Z�S�)���APIReprNc������������������������s>���t�t�|���������|�j�����D�] \�}�}�t�|�t���r�t�|�|�t�j ����q�d�S�r����)
r����r����r������__dict__r2���r.���r3���r����ru�����maxsize)�r����r)���r*���r����r!���r&���r����r���s����������
�z�APIRepr.__init__c��������������������C���s����d�t�|�����S�)�z�Output with u'' prefix��u)���repr��r����r,�����levelr!���r!���r&�����repr_stry���s������z�APIRepr.repr_strc��������������������C���s.���|�t�u�r�d�S�|�|�j�v�r"d���|�j���S�t�|���S�d�S�)�Nz�<type 'unicode'>z�<type '{}'>)�r8����
builtin_typesr|���r����r����r����r!���r!���r&���� repr_type}���s
���������
���z�APIRepr.repr_type)�r����r����r����r4���r3���r5���r8�����bytesr1���r0���r/���rX���� frozensetr7���r����r����r����r����r����r!���r!���r����r&���r����j���s����������
���������r����)�FF)�FFrE���)�TFFr����)�r����)�r����)�NFFFr����)�r����)�r����)�r����)�r����)�r����)�N)�N)�F)�rH���)�r@���Z
__future__r����r����Z�loggingrf���r^���rS���r:���rA���r*���ru���r����r}���r|���r����rz���r����r����r����Z
dns.exceptionr����Z�dns.resolverr����Z�netaddr.corer����Z�sixZ�httplibr������ImportErrorZ�http.clientZ�ipalibr ���r
���Z�ipalib.constantsr����r����r
���r����r����r����Z�ipalib.factsr����Z�ipalib.textr����Z�ipaplatform.constantsr����Z�ipaplatform.pathsr����Z ipapythonr����Z
ipapython.sshr����Z�ipapython.dnr����r����Z�ipapython.dnsutilr����r����r����r����Z�ipapython.admintoolr����Z�ipapython.kerberosr������version_info��reprlibZ�PY3r8���r6���Z�_IPA_CLIENT_SYSRESTOREZ�_IPA_DEFAULT_CONFZ getLoggerr����r}���r#���rC���rF���rP���rV���r]���ra���rq���rv���rx���r����Z�default_portr����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����Z�ip4_rev_zoneZ�ip6_rev_zoneZ�REVERSE_DNS_ZONESr����r����r����r����r����r����r����r ���r
���r����r����r����r����r#���r%���r&���r����r6���r8���r=���r>���rM���rN���rO���rP���rR���rY���r`���rb���rd���rj���rs���rt���rw���r����r����r������Reprr����r����Z�apireprr!���r!���r!���r&�����<module>����s0��������������������������������������������������������� �����������������������
�����������
���� �����������������5������������
^
&����
���������
#��� ������� �������������������������������������������������G
�
������������ � ����������������
!
�
!
(�,�4����������
�
���������
!
����������
��
��
���
�