import repository from arizona
[raven.git] / apps / geni / mprepo_geni_libs / sfa / trust / rights.py
1 ##
2 # This Module implements rights and lists of rights for the Geni wrapper. Rights
3 # are implemented by two classes:
4 #
5 # Right - represents a single right
6 #
7 # RightList - represents a list of rights
8 #
9 # A right may allow several different operations. For example, the "info" right
10 # allows "listslices", "listcomponentresources", etc.
11 ##
12
13 ##
14 # privilege_table is a list of priviliges and what operations are allowed
15 # per privilege.
16
17 privilege_table = {"authority": ["register", "remove", "update", "resolve", "list", "getcredential"],
18                    "refresh": ["remove", "update"],
19                    "resolve": ["resolve", "list", "getcredential"],
20                    "sa": ["getticket", "redeemslice", "createslice", "deleteslice", "updateslice", 
21                           "getsliceresources", "getticket", "loanresources", "stopslice", "startslice", 
22                           "deleteslice", "resetslice", "listslices", "listnodes", "getpolicy"],
23                    "embed": ["getticket", "redeemslice", "createslice", "deleteslice", "updateslice", "getsliceresources"],
24                    "bind": ["getticket", "loanresources"],
25                    "control": ["updateslice", "createslice", "stopslice", "startslice", "deleteslice", "resetslice", "getsliceresources"],
26                    "info": ["listslices", "listnodes", "getpolicy"],
27                    "ma": ["setbootstate", "getbootstate", "reboot"]}
28
29
30 ##
31 # Determine tje rights that an object should have. The rights are entirely
32 # dependent on the type of the object. For example, users automatically
33 # get "refresh", "resolve", and "info".
34 #
35 # @param type the type of the object (user | sa | ma | slice | node)
36 # @param name human readable name of the object (not used at this time)
37 #
38 # @return RightList object containing rights
39
40 def determine_rights(type, name):
41     rl = RightList()
42
43     # rights seem to be somewhat redundant with the type of the credential.
44     # For example, a "sa" credential implies the authority right, because
45     # a sa credential cannot be issued to a user who is not an owner of
46     # the authority
47     if type == "user":
48         rl.add("refresh")
49         rl.add("resolve")
50         rl.add("info")
51     elif type == "sa":
52         rl.add("authority,sa")
53     elif type == "ma":
54         rl.add("authority,ma")
55     elif type == "authority":
56         rl.add("authority,sa,ma")
57     elif type == "slice":
58         rl.add("refresh")
59         rl.add("embed")
60         rl.add("bind")
61         rl.add("control")
62         rl.add("info")
63     elif type == "component":
64         rl.add("operator")
65     return rl
66
67
68 ##
69 # The Right class represents a single privilege.
70
71
72
73 class Right:
74    ##
75    # Create a new right.
76    #
77    # @param kind is a string naming the right. For example "control"
78
79    def __init__(self, kind):
80       self.kind = kind
81
82    ##
83    # Test to see if this right object is allowed to perform an operation.
84    # Returns True if the operation is allowed, False otherwise.
85    #
86    # @param op_name is a string naming the operation. For example "listslices".
87
88    def can_perform(self, op_name):
89       allowed_ops = privilege_table.get(self.kind.lower(), None)
90       if not allowed_ops:
91          return False
92
93       # if "*" is specified, then all ops are permitted
94       if "*" in allowed_ops:
95          return True
96
97       return (op_name.lower() in allowed_ops)
98
99    ##
100    # Test to see if this right is a superset of a child right. A right is a
101    # superset if every operating that is allowed by the child is also allowed
102    # by this object.
103    #
104    # @param child is a Right object describing the child right
105
106    def is_superset(self, child):
107       my_allowed_ops = privilege_table.get(self.kind.lower(), None)
108       child_allowed_ops = privilege_table.get(child.kind.lower(), None)
109
110       if "*" in my_allowed_ops:
111           return True
112
113       for right in child_allowed_ops:
114           if not right in my_allowed_ops:
115               return False
116
117       return True
118
119 ##
120 # A RightList object represents a list of privileges.
121
122 class RightList:
123     ##
124     # Create a new rightlist object, containing no rights.
125     #
126     # @param string if string!=None, load the rightlist from the string
127
128     def __init__(self, string=None):
129         self.rights = []
130         if string:
131             self.load_from_string(string)
132
133     def is_empty(self):
134         return self.rights == []
135
136     ##
137     # Add a right to this list
138     #
139     # @param right is either a Right object or a string describing the right
140
141     def add(self, right):
142         if isinstance(right, str):
143             right = Right(kind = right)
144         self.rights.append(right)
145
146     ##
147     # Load the rightlist object from a string
148
149     def load_from_string(self, string):
150         self.rights = []
151
152         # none == no rights, so leave the list empty
153         if not string:
154             return
155
156         parts = string.split(",")
157         for part in parts:
158             self.rights.append(Right(part))
159
160     ##
161     # Save the rightlist object to a string. It is saved in the format of a
162     # comma-separated list.
163
164     def save_to_string(self):
165         right_names = []
166         for right in self.rights:
167             right_names.append(right.kind)
168
169         return ",".join(right_names)
170
171     ##
172     # Check to see if some right in this list allows an operation. This is
173     # done by evaluating the can_perform function of each operation in the
174     # list.
175     #
176     # @param op_name is an operation to check, for example "listslices"
177
178     def can_perform(self, op_name):
179         for right in self.rights:
180             if right.can_perform(op_name):
181                 return True
182         return False
183
184     ##
185     # Check to see if all of the rights in this rightlist are a superset
186     # of all the rights in a child rightlist. A rightlist is a superset
187     # if there is no operation in the child rightlist that cannot be
188     # performed in the parent rightlist.
189     #
190     # @param child is a rightlist object describing the child
191
192     def is_superset(self, child):
193         for child_right in child.rights:
194             allowed = False
195             for my_right in self.rights:
196                 if my_right.is_superset(child_right):
197                     allowed = True
198             if not allowed:
199                 return False
200         return True
201
202
203     ##
204     # Determine tje rights that an object should have. The rights are entirely
205     # dependent on the type of the object. For example, users automatically
206     # get "refresh", "resolve", and "info".
207     #
208     # @param type the type of the object (user | sa | ma | slice | node)
209     # @param name human readable name of the object (not used at this time)
210     #
211     # @return RightList object containing rights
212
213     def determine_rights(self, type, name):
214         rl = RightList()
215
216         # rights seem to be somewhat redundant with the type of the credential.
217         # For example, a "sa" credential implies the authority right, because
218         # a sa credential cannot be issued to a user who is not an owner of
219         # the authority
220
221         if type == "user":
222             rl.add("refresh")
223             rl.add("resolve")
224             rl.add("info")
225         elif type == "sa":
226             rl.add("authority,sa")
227         elif type == "ma":
228             rl.add("authority,ma")
229         elif type == "authority":
230             rl.add("authority,sa,ma")
231         elif type == "slice":
232             rl.add("refresh")
233             rl.add("embed")
234             rl.add("bind")
235             rl.add("control")
236             rl.add("info")
237         elif type == "component":
238             rl.add("operator")
239
240         return rl