← Back to branch summary

~drizzle-trunk/drizzle/development

« back to all changes in this revision

Viewing changes to plugin/regex_policy/module.cc

  • Committer: Clint Byrum
  • Date: 2011-03-03 01:55:10 UTC
  • mto: (2222.1.1 build)
  • mto: This revision was merged to the branch mainline in revision 2223.
  • Revision ID: clint@ubuntu.com-20110303015510-fj9fsdimwyo2gefy
Adding regex_policy plugin for detailed authorization specifiction

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugin/regex_policy/module.cc
 
1
/* -*- mode: c++; c-basic-offset: 2; indent-tabs-mode: nil; -*-
 
2
 *  vim:expandtab:shiftwidth=2:tabstop=2:smarttab:
 
3
 *
 
4
 *  Copyright (C) 2010 Monty Taylor <mordred@inaugust.com>
 
5
 *  Copyright (C) 2011 Canonical, Ltd.
 
6
 *  Author: Clint Byrum <clint.byrum@canonical.com>
 
7
 *
 
8
 *  Copied from simple_user_policy
 
9
 *
 
10
 *  This program is free software; you can redistribute it and/or modify
 
11
 *  it under the terms of the GNU General Public License as published by
 
12
 *  the Free Software Foundation; version 2 of the License.
 
13
 *
 
14
 *  This program is distributed in the hope that it will be useful,
 
15
 *  but WITHOUT ANY WARRANTY; without even the implied warranty of
 
16
 *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 
17
 *  GNU General Public License for more details.
 
18
 *
 
19
 *  You should have received a copy of the GNU General Public License
 
20
 *  along with this program; if not, write to the Free Software
 
21
 *  Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA  02110-1301  USA
 
22
 */
 
23
 
 
24
#include <config.h>
 
25
 
 
26
#include <drizzled/plugin/authorization.h>
 
27
#include <drizzled/module/option_map.h>
 
28
 
 
29
#include "policy.h"
 
30
 
 
31
namespace po= boost::program_options;
 
32
 
 
33
using namespace std;
 
34
using namespace drizzled;
 
35
 
 
36
namespace regex_policy
 
37
{
 
38
 
 
39
static int init(module::Context &context)
 
40
{
 
41
  const module::option_map &vm= context.getOptions();
 
42
 
 
43
  Policy *policy= new (nothrow) Policy(fs::path(vm["policy"].as<string>()));
 
44
  if (policy == NULL or not policy->loadFile())
 
45
  {
 
46
    errmsg_printf(error::ERROR, _("Could not load regex policy file: %s\n"),
 
47
                  (policy ? policy->getError().str().c_str() : _("Unknown")));
 
48
    if (policy)
 
49
    {
 
50
      delete policy;
 
51
    }
 
52
    return 1;
 
53
  }
 
54
 
 
55
  context.add(policy);
 
56
  context.registerVariable(new sys_var_const_string_val("policy", vm["policy"].as<string>()));
 
57
 
 
58
  return 0;
 
59
}
 
60
 
 
61
static void init_options(drizzled::module::option_context &context)
 
62
{
 
63
  context("policy",
 
64
      po::value<string>()->default_value(DEFAULT_POLICY_FILE.string()),
 
65
      N_("File to load for regex authorization policies"));
 
66
}
 
67
 
 
68
bool Policy::loadFile()
 
69
{
 
70
  ifstream file(policy_file.string().c_str());
 
71
  boost::regex *comment_re= NULL;
 
72
  boost::regex *empty_re= NULL;
 
73
  boost::regex *table_matches_re= NULL;
 
74
  boost::regex *process_matches_re= NULL;
 
75
  boost::regex *schema_matches_re= NULL;
 
76
 
 
77
  try
 
78
  {
 
79
    comment_re= new boost::regex(comment_regex);
 
80
    empty_re= new boost::regex(empty_regex);
 
81
    table_matches_re= new boost::regex(table_match_regex);
 
82
    process_matches_re= new boost::regex(process_match_regex);
 
83
    schema_matches_re= new boost::regex(schema_match_regex);
 
84
  } 
 
85
  catch (const std::exception &e)
 
86
  {
 
87
    if (comment_re)
 
88
    {
 
89
      delete comment_re;
 
90
    }
 
91
    if (empty_re)
 
92
    {
 
93
      delete empty_re;
 
94
    }
 
95
    if (table_matches_re)
 
96
    {
 
97
      delete table_matches_re;
 
98
    }
 
99
    if (process_matches_re)
 
100
    {
 
101
      delete process_matches_re;
 
102
    }
 
103
    if (schema_matches_re)
 
104
    {
 
105
      delete schema_matches_re;
 
106
    }
 
107
    error << e.what();
 
108
    return false;
 
109
  }
 
110
 
 
111
  if (! file.is_open())
 
112
  {
 
113
    error << "Unable to open regex policy file: " << policy_file.string();
 
114
    return false;
 
115
  }
 
116
 
 
117
  int lines= 0;
 
118
  try
 
119
  {
 
120
    while (! file.eof())
 
121
    {
 
122
      ++lines;
 
123
      string line;
 
124
      getline(file, line);
 
125
      if (boost::regex_match(line, *comment_re))
 
126
      {
 
127
        continue;
 
128
      }
 
129
      if (boost::regex_match(line, *empty_re))
 
130
      {
 
131
        continue;
 
132
      }
 
133
      boost::smatch matches;
 
134
      PolicyItemList *policies;
 
135
      if (boost::regex_match(line, matches, *table_matches_re, boost::match_extra))
 
136
      {
 
137
        policies= &table_policies;
 
138
      }
 
139
      else if (boost::regex_match(line, matches, *process_matches_re, boost::match_extra))
 
140
      {
 
141
        policies= &process_policies;
 
142
      }
 
143
      else if (boost::regex_match(line, matches, *schema_matches_re, boost::match_extra))
 
144
      {
 
145
        policies= &schema_policies;
 
146
      }
 
147
      else
 
148
      {
 
149
        throw std::exception();
 
150
      }
 
151
      string user_regex;
 
152
      string object_regex;
 
153
      string action;
 
154
      user_regex= matches[MATCH_REGEX_USER_POS];
 
155
      object_regex= matches[MATCH_REGEX_OBJECT_POS];
 
156
      action= matches[MATCH_REGEX_ACTION_POS];
 
157
      PolicyItem *i;
 
158
      try
 
159
      {
 
160
        i= new PolicyItem(user_regex, object_regex, action);
 
161
      }
 
162
      catch (const std::exception &e)
 
163
      {
 
164
        error << "Bad policy item: user=" << user_regex << " object=" << object_regex << " action=" << action;
 
165
        throw std::exception();
 
166
      }
 
167
      policies->push_back(i);
 
168
    }
 
169
    return true;
 
170
  }
 
171
  catch (const std::exception &e)
 
172
  {
 
173
    /* On any non-EOF break, unparseable line */
 
174
    error << "Unable to parse line " << lines << " of policy file " << policy_file.string() << ":" << e.what();
 
175
    return false;
 
176
  }
 
177
}
 
178
 
 
179
bool Policy::restrictObject(const drizzled::identifier::User &user_ctx,
 
180
                                   const string &obj, const PolicyItemList &policies,
 
181
                                   CheckMap **check_cache)
 
182
{
 
183
  CheckItem c(user_ctx.username(), obj, check_cache);
 
184
  if (!c.hasCachedResult())
 
185
  {
 
186
    PolicyItemList::const_iterator m= find_if(policies.begin(), policies.end(), c);
 
187
    if (m != policies.end())
 
188
    {
 
189
      c.setCachedResult((*m)->isRestricted());
 
190
    }
 
191
    else
 
192
    {
 
193
      /* TODO: make default action configurable */
 
194
      c.setCachedResult(false);
 
195
    }
 
196
  }
 
197
  return c.getCachedResult();
 
198
}
 
199
 
 
200
bool Policy::restrictSchema(const drizzled::identifier::User &user_ctx,
 
201
                                   drizzled::identifier::Schema::const_reference schema)
 
202
{
 
203
  return restrictObject(user_ctx, schema.getSchemaName(), schema_policies, &schema_check_cache);
 
204
}
 
205
 
 
206
bool Policy::restrictProcess(const drizzled::identifier::User &user_ctx,
 
207
                                    const drizzled::identifier::User &session_ctx)
 
208
{
 
209
  return restrictObject(user_ctx, session_ctx.username(), process_policies, &process_check_cache);
 
210
}
 
211
 
 
212
bool Policy::restrictTable(drizzled::identifier::User::const_reference user_ctx,
 
213
                             drizzled::identifier::Table::const_reference table)
 
214
{
 
215
  return restrictObject(user_ctx, table.getTableName(), table_policies, &table_check_cache);
 
216
}
 
217
 
 
218
bool CheckItem::operator()(PolicyItem *p)
 
219
{
 
220
  if (p->userMatches(user))
 
221
  {
 
222
    errmsg_printf(error::INSPECT, _("User %s matches regex\n"), user.c_str());
 
223
    if (p->objectMatches(object))
 
224
    {
 
225
      errmsg_printf(error::INSPECT, _("Object %s matches regex %s (%s)\n"), 
 
226
          object.c_str(),
 
227
          p->getObject().c_str(),
 
228
          p->getAction());
 
229
      return true;
 
230
    }
 
231
    errmsg_printf(error::INSPECT, _("Object %s NOT restricted by regex %s (%s)\n"), 
 
232
        object.c_str(),
 
233
        p->getObject().c_str(),
 
234
        p->getAction());
 
235
  }
 
236
  return false;
 
237
}
 
238
 
 
239
CheckItem::CheckItem(const std::string &user_in, const std::string &obj_in, CheckMap **check_cache_in)
 
240
  : user(user_in), object(obj_in), has_cached_result(false), check_cache(check_cache_in)
 
241
{
 
242
  CheckMap::iterator check_val;
 
243
  std::stringstream keystream;
 
244
  keystream << user << "_" << object;
 
245
  key= keystream.str();
 
246
 
 
247
  /* using RCU to only need to lock when updating the cache */
 
248
  if ((*check_cache) && (check_val= (*check_cache)->find(key)) != (*check_cache)->end())
 
249
  {
 
250
    setCachedResult(check_val->second);
 
251
  }
 
252
}
 
253
 
 
254
void CheckItem::setCachedResult(bool result)
 
255
{
 
256
  // TODO: make the mutex per-cache
 
257
  CheckMap *old_cache;
 
258
  CheckMap *new_cache;
 
259
  boost::mutex::scoped_lock lock(check_cache_mutex, boost::defer_lock);
 
260
  lock.lock();
 
261
 
 
262
  // Copy the current one
 
263
  if (*check_cache)
 
264
  {
 
265
    new_cache= new CheckMap(**check_cache);
 
266
  }
 
267
  else
 
268
  {
 
269
    new_cache= new CheckMap();
 
270
  }
 
271
  // Update it
 
272
  (*new_cache)[key]= result;
 
273
  // Replace old
 
274
  old_cache= *check_cache;
 
275
  *check_cache= new_cache;
 
276
 
 
277
  lock.unlock();
 
278
  has_cached_result= true;
 
279
  cached_result= result;
 
280
 
 
281
  if (old_cache)
 
282
  {
 
283
    delete old_cache;
 
284
  }
 
285
}
 
286
 
 
287
} /* namespace regex_policy */
 
288
 
 
289
DRIZZLE_PLUGIN(regex_policy::init, NULL, regex_policy::init_options);