File: //usr/lib/python3.9/site-packages/ipaplatform/base/__pycache__/tasks.cpython-39.pyc
a
����}��fxD�����������������������@���s����d�Z�d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m Z ��d�d�l
m�Z���d�d�l�m
Z
��e���e���Z�e���d���Z�G�d d
��d
��Z�e���Z�d�S�)�zQ
This module contains default platform-specific implementations of system tasks.
�����)���absolute_importN���
parse_version)���paths)���ipautil)��
IPAChangeConfz�
# auto-generated by IPA installer
[Resolve]
# use local BIND instance
DNS=127.0.0.1
# make local BIND default DNS server, add search suffixes
Domains=~. {searchdomains}
c��������������������@���sr���e�Z�d�Z�dZd�d���Z�d�d���Z�d�d���Z�d�d ��Z�d
d���Z�d�d
��Z�d�d���Z d�d���Z
d�d���Z�d�d���Z�d�d���Z
d�d���Z�d�d���Z�d�d���Z�d�d���Z�d[d!d"��Z�d#d$��Z�d%d&��Z�d'd(��Z�d)d*��Z�d+d,��Z�d-d.��Z�d\d0d1��Z�e�d2d3����Z�d4d5��Z�d6d7��Z�d8d9��Z�d:d;��Z�d<d=��Z d>d?��Z!d@dA��Z"dBdC��Z#dDdE��Z$dFdG��Z%d�d/dH��dIdJ��Z&d]dKdL��Z'dMdN��Z(dOdP��Z)dQdR��Z*d^dTdU��Z+dVdW��Z,dXdY��Z-d/S�)_��BaseTaskNamespaceFc��������������������C���s
���t�����d�S�)�zcRestore SELinux security context on the given filepath.
No return value expected.
N����NotImplementedError)���self��filepath��force��r�����:/usr/lib/python3.9/site-packages/ipaplatform/base/tasks.py��restore_context5���s������z!BaseTaskNamespace.restore_contextc��������������������C���s
���t�����d�S�)�z�
Backs up the current hostname in the statestore (so that it can be
restored by the restore_hostname platform task).
No return value expected.
Nr �����r������fstore�
statestorer����r����r������backup_hostname<���s������z!BaseTaskNamespace.backup_hostnamec��������������������C���s
���t�����d�S�)�zu
Reloads the systemwide CA store.
Returns True if the operation succeeded, False otherwise.
Nr �����r����r����r����r������reload_systemwide_ca_storeF���s������z,BaseTaskNamespace.reload_systemwide_ca_storec��������������������C���s:���z�|���|���r�|�����W�S�W�n���t�y4������t���d�����Y�n�0�d�S�)�z�
Adds CA certificates from 'ca_certs' to the systemwide CA store
(if available on the platform).
Returns True if the operation succeeded, False otherwise.
z&Could not populate systemwide CA storeF)���platform_insert_ca_certsr����� Exception��logger� exception��r����Z�ca_certsr����r����r�����(insert_ca_certs_into_systemwide_ca_storeO���s��������
�������z:BaseTaskNamespace.insert_ca_certs_into_systemwide_ca_storec��������������������C���s
���t�����d�S�)�z�
Platform implementations override this method to implement
population of the systemwide CA store.
Returns True if changes were made to the CA store, False otherwise.
Raises Exception if something went wrong.
Nr ���r����r����r����r����r����_���s����� z*BaseTaskNamespace.platform_insert_ca_certsc��������������������C���s8���z�|�����r�|�����W�S�W�n���t�y2������t���d�����Y�n�0�d�S�)�z�
Removes IPA CA certificates from the systemwide CA store
(if available on the platform).
Returns True if the operation succeeded, False otherwise.
z6Could not remove certificates from systemwide CA storeF)���platform_remove_ca_certsr����r����r����r����r����r����r����r�����(remove_ca_certs_from_systemwide_ca_storej���s������������������
�z:BaseTaskNamespace.remove_ca_certs_from_systemwide_ca_storec��������������������C���s
���t�����d�S�)�a
���
Platform implementations override this method to implement
removal of certificates from the systemwide CA store.
Returns True if changes were made to the CA store, False otherwise.
Raises Exception if something went wrong.
Nr ���r����r����r����r����r����|���s����� z*BaseTaskNamespace.platform_remove_ca_certsc��������������������C���s����t�j�S�)�z@
Returns the path to the IPA service list file.
)�r����Z
SVC_LIST_FILEr����r����r����r������get_svc_list_file����s������z#BaseTaskNamespace.get_svc_list_filec��������������������C���s����d�S�)�zmCheck if SELinux is available and enabled
:return: True if SELinux is available and enabled
Fr����r����r����r����r������is_selinux_enabled����s������z$BaseTaskNamespace.is_selinux_enabledc��������������������C���s
���t�����d�S�)�a����Checks if SELinux is available on the platform.
If it is, this task also makes sure that restorecon tool is available.
If SELinux is available, but restorcon tool is not installed, raises
an RuntimeError, which suggest installing the package containing
restorecon and rerunning the installation.
:return: True if SELinux is available and enabled
Nr ���r����r����r����r������check_selinux_status����s������z&BaseTaskNamespace.check_selinux_statusc��������������������C���s
���t�����d�S�)�z*Check whether IPv6 kernel module is loadedNr ���r����r����r����r������check_ipv6_stack_enabled����s������z*BaseTaskNamespace.check_ipv6_stack_enabledc��������������������C���s����t���d�S�)�zsCheck if running inside a container
:returns: container runtime or None
:rtype: str, None
Nr ���r����r����r����r������detect_container����s������z"BaseTaskNamespace.detect_containerc��������������������C���s
���t�����d�S�)�zk
Restores the original hostname as backed up in the
backup_hostname platform task.
Nr ���r����r����r����r������restore_hostname����s������z"BaseTaskNamespace.restore_hostnamec��������������������C���s
���t�����d�S�)�z�
Restores the pre-ipa-client configuration that was modified by the
following platform tasks:
modify_nsswitch_pam_stack
modify_pam_to_use_krb5
Nr ���)�r����r����r����Z�was_sssd_installedZ�was_sssd_configuredr����r����r�����$restore_pre_ipa_client_configuration����s�����
z6BaseTaskNamespace.restore_pre_ipa_client_configurationc��������������������C���s
���t�����d�S�)�z:
Sets the NIS domain name to 'nisdomain'.
Nr ���)�r����Z nisdomainr����r����r�����
set_nisdomain����s������z�BaseTaskNamespace.set_nisdomainTc��������������������C���s
���t�����d�S�)�z�
If sssd flag is true, configure pam and nsswitch so that SSSD is used
for retrieving user information and authentication.
Otherwise, configure pam and nsswitch to leverage pure LDAP.
Nr ���)�r����Z�sssdZ mkhomedirr����Z�sudoZ�subidr����r����r������modify_nsswitch_pam_stack����s����� z+BaseTaskNamespace.modify_nsswitch_pam_stackc��������������������C���s
���t�����d�S�)�zG
Configure pam stack to allow kerberos authentication.
Nr �����r����r����r����r����r������modify_pam_to_use_krb5����s������z(BaseTaskNamespace.modify_pam_to_use_krb5c��������������������C���s����d�S�)�zN
Check if the flag --no-sssd is supported for client install.
Tr����r����r����r����r������is_nosssd_supported����s������z%BaseTaskNamespace.is_nosssd_supportedc��������������������C���s����d�S�)�zP
Check if the flag --mkhomedir is supported for client install.
Tr����r����r����r����r������is_mkhomedir_supported����s������z(BaseTaskNamespace.is_mkhomedir_supportedc��������������������C���s
���t�����d�S�)�z�
Create backup of access control configuration.
:param path: store the backup here. This will be passed to
restore_auth_configuration as well.
Nr �����r������pathr����r����r������backup_auth_configuration����s������z+BaseTaskNamespace.backup_auth_configurationc��������������������C���s
���t�����d�S�)�zt
Restore backup of access control configuration.
:param path: restore the backup from here.
Nr ���r,���r����r����r������restore_auth_configuration����s������z,BaseTaskNamespace.restore_auth_configurationc��������������������C���s����d�S�)�z@
Migrate pam stack configuration to authselect.
Nr����r(���r����r����r������migrate_auth_configuration����s������z,BaseTaskNamespace.migrate_auth_configurationNc��������������������C���s
���t�����d�S�)�at���Set the specified SELinux booleans
:param required_settings: A dictionary mapping the boolean names
to desired_values.
The desired value can be 'on' or 'off',
or None to leave the setting unchanged.
:param backup_func: A function called for each boolean with two
arguments: the name and the previous value
If SELinux is disabled, return False; on success returns True.
If setting the booleans fails,
an ipapython.errors.SetseboolError is raised.
Nr ���)�r����Z�required_settingsZ�backup_funcr����r����r������set_selinux_booleans����s������z&BaseTaskNamespace.set_selinux_booleansc��������������������C���s����t�|���S�)�z�
:param version: textual version
:return: object implementing proper __cmp__ method for version compare
r����)���versionr����r����r������parse_ipa_version����s������z#BaseTaskNamespace.parse_ipa_versionc��������������������C���s
���t�����d�S�)�z}
Set hostname for the system
No return value expected, raise CalledProcessError when error occurred
Nr ���)�r������hostnamer����r����r������set_hostname����s������z�BaseTaskNamespace.set_hostnamec��������������������C���s
���t�����d�S�)�z(Configure httpd service to work with IPANr ���r����r����r����r����� configure_httpd_service_ipa_conf����s������z2BaseTaskNamespace.configure_httpd_service_ipa_confc��������������������C���s
���t�����d�S���Nr ���)�r����Z�ipauserr����r����r������configure_http_gssproxy_conf#���s������z.BaseTaskNamespace.configure_http_gssproxy_confc��������������������C���s
���t�����d�S�)�z,Remove configuration of httpd service of IPANr ���r����r����r����r������remove_httpd_service_ipa_conf&���s������z/BaseTaskNamespace.remove_httpd_service_ipa_confc��������������������C���s
���t�����d�S�)�z)Configure WSGI for correct Python versionNr ���r����r����r����r������configure_httpd_wsgi_conf*���s������z+BaseTaskNamespace.configure_httpd_wsgi_confc��������������������C���s
���t�����d�S�)�z!Configure TLS protocols in ApacheNr ���r����r����r����r������configure_httpd_protocol.���s������z*BaseTaskNamespace.configure_httpd_protocolc��������������������C���s����d�S�)�NFr����r����r����r����r������is_fips_enabled2���s������z!BaseTaskNamespace.is_fips_enabledc����������������
���C���sn���t���d�|�|�����t�j�d�d�|�|�g�}�z�t���|�����t���d�����W�n2��t�j�yh��}���z�t���d�|�����W�Y�d�}�~�n
d�}�~�0�0�d�S�)�Nz�Adding user %s to group %sz�-az�-Gz�Done adding user to groupz�Failed to add user to group: %s)�r������debugr����Z�USERMODr������runZ�CalledProcessError)�r������user��group��args��er����r����r������add_user_to_group5���s������������
�����z#BaseTaskNamespace.add_user_to_groupc��������������������C���s
���t�����d�S�r7���r ���r����r����r����r������setup_httpd_logging>���s������z%BaseTaskNamespace.setup_httpd_loggingc��������������������C���s����t���d�S�)�z#Tell systemd to reload config filesNr ���r����r����r����r������systemd_daemon_reloadA���s������z'BaseTaskNamespace.systemd_daemon_reload)���resolve1_enabledr����c������������ �������C���s����|�r�d�d�l�m�}���t�j���t�j���}�t�j���|���sNt���|�����t�� |�d�����|�j
|�d�d�����t�j�d��
|���d���}�t�t�j�d����*}�t���|�����d ����|���|�����W�d
��������n�1�s�0�������Y���|�j
t�j�d�d�����|�d���������d
S�)�a����Configure global DNS resolver (e.g. /etc/resolv.conf)
:param nameservers: list of IP addresses
:param searchdomains: list of search domaons
:param resolve1_enabled: is systemd-resolved enabled?
:param fstore: optional file store for backup
r�������
knownservicesi����T)�r
����� )��
searchdomains��wi����N��systemd-resolved)���ipaplatform.servicesrH�����osr-�����dirnamer������SYSTEMD_RESOLVED_IPA_CONF��isdir��mkdir��chmodr������RESOLVE1_IPA_CONF��format��join��open��fchmod��fileno��write��reload_or_restart) r����Z�nameserversrJ���rF���r����rH���Z�confdZ�cfg��fr����r����r������configure_dns_resolverE���s"���� ��������
���������������(�������z(BaseTaskNamespace.configure_dns_resolverc��������������������C���sb���|�d�u�r |���t�j���r |���t�j�����t�j���t�j���r^d�d�l�m }���t��
t�j�����|�d���������t��
t�j�����d�S�)�zxUnconfigure global DNS resolver (e.g. /etc/resolv.conf)
:param fstore: optional file store for restore
Nr����rG���rL���)���has_filer����Z�RESOLV_CONFZ�restore_filerN���r-�����isfilerP���rM���rH�����unlinkr[���r����Z�remove_directoryZ�SYSTEMD_RESOLVED_CONF_DIR)�r����r����rH���r����r����r������unconfigure_dns_resolverf���s������������������z*BaseTaskNamespace.unconfigure_dns_resolverc��������������������C���s����t���d�S�)�a����Disable p11-kit modules
The p11-kit configuration injects p11-kit-proxy into all NSS
databases. Amongst other p11-kit loads SoftHSM2 PKCS#11 provider.
This interferes with 389-DS, certmonger, Dogtag and other services.
For example certmonger tries to open OpenDNSSEC's SoftHSM2 token,
although it doesn't use it at all. It also breaks Dogtag HSM support
testing with SoftHSM2.
IPA server does neither need nor use SoftHSM2 proxied by p11-kit.
Nr �����r����r����r����r����r������configure_pkcs11_modulesv���s������z*BaseTaskNamespace.configure_pkcs11_modulesc��������������������C���s����t���d�S�)�z/Restore global p11-kit modules for NSS
Nr ���rb���r����r����r������restore_pkcs11_modules����s������z(BaseTaskNamespace.restore_pkcs11_modulesc��������������������C���s����d�S�)�z=Return the list of module config files setup by IPA.
r����r����r����r����r����r������get_pkcs11_modules����s������z$BaseTaskNamespace.get_pkcs11_modulesr����c������������
�����������s����|���t�j���s�|���t�j�����t�d���}�|���d�����|�r�t�t�j�d����,}�|���|���} |���| d�|���d���}
W�d���������n�1�sl0�������Y���|
s�t |�����n�|
d����
����������f�d�d ��|�D���}�|�r�d
d
����|�������}�q�d
d
��|���������}�n�d
d
��|�����}�|��
|�|���|�����g�} |���t�j�| ����t���d�|�t�j�����d�S�)�ac���
Edits the specified nsswitch.conf database (e.g. passwd, group,
sudoers) to use the specified service(s).
Arguments:
fstore - FileStore to backup the nsswitch.conf
database - database configuration that should be ammended,
e.g. 'sudoers'
service - list of services that should be added, e.g. ['sss']
preserve - if True, the already configured services will be
preserved
The next arguments modify the behaviour if preserve=True:
append - if True, the services will be appended, if False,
prepended
default_value - list of services that are considered as default (if
the database is not mentioned in nsswitch.conf),
e.g. ['files']
z
IPA Installer��:��r��option�����N��valuec������������������������s����g�|�]�}�|���v�r�|���q�S�r����r����)���.0��s��Z�configured_servicesr����r�����
<listcomp>����s��������zABaseTaskNamespace.configure_nsswitch_database.<locals>.<listcomp>rI���z�Configured %s in %s)�r^���r�����
NSSWITCH_CONFZ�backup_filer������setOptionAssignmentrW�����parseZ�findOpts��list��strip��splitrV���Z setOptionZ emptyLine�
changeConfr������info)
r����r����Z�databaseZ�servicesZ�preserve��append�
default_value��confr\�����optsZ�raw_database_entryZ�added_servicesZ new_valuer����rm���r������configure_nsswitch_database����s6�����������
�����
�0���
���������������
�����
���
�������z-BaseTaskNamespace.configure_nsswitch_databasec��������������������C���s����|�j�|�d�d�g�d�g�d�����d�S�)�z,Configure nsswitch.conf to use sssd for sudoZ�sudoersZ�sss��files)�rx���N)�r{���rb���r����r����r������enable_sssd_sudo����s������������z"BaseTaskNamespace.enable_sssd_sudoc��������������������C���s����|���d�d���d�u�rVt�d���}�|���d�����|���d���g�}�|���t�j�|�����|���t�j�����|���d�d�����nl|���d�d���d�u�r�|���d�d���}�d�d�d |�d
��d�d�d���g�}�t�d���}�|���d�����|���t�j�|�����|���t�j�����|���d�d�����d�S�)
z�Disable automount using LDAPz�ipa-client-automount-nsswitchz�previous-automountFz�IPA automount installerrf���Z automountNrh�����set)���name��type��actionrj�����empty)�r���r����) Z get_stater����rp���Z�rmOptionru���r����ro���r����Z�delete_state)�r����r����ry���Z�changesZ nss_valuerz���r����r����r������disable_ldap_automount����sF�����������������
������������������������������������������ ��
���������z(BaseTaskNamespace.disable_ldap_automount)�F)�TF)�N)�N)�TTr����).��__name__�
__module__��__qualname__r����r����r����r����r����r����r����r����r ���r!���r"���r#���r$���r%���r&���r'���r)���r*���r+���r.���r/���r0���r1�����staticmethodr3���r5���r6���r8���r9���r:���r;���r<���rC���rD���rE���r]���ra���rc���rd���re���r{���r}���r����r����r����r����r����r����3���s^�����
��
� �������������
������������
�������������
���
���������������� �������!
�����������
H��r����)���__doc__Z
__future__r����rN���Z�logging��textwrapZ
pkg_resourcesr����Z�ipaplatform.pathsr����Z ipapythonr����Z�ipapython.ipachangeconfr����Z getLoggerr����r������dedentrT���r����Z�tasksr����r����r����r������<module>����s����������������������
�
����R