chiark / gitweb /
Support for other platforms, notably BSD, and other features, from nCipher.
authorian <ian>
Tue, 6 Mar 2001 18:34:36 +0000 (18:34 +0000)
committerian <ian>
Tue, 6 Mar 2001 18:34:36 +0000 (18:34 +0000)
sync-accounts/sync-accounts
sync-accounts/sync-accounts-createuser
sync-accounts/sync-accounts.example-bsd [new file with mode: 0644]
sync-accounts/sync-accounts.example-linux [new file with mode: 0644]

index 50f7e33..1a38d8d 100755 (executable)
@@ -1,5 +1,22 @@
 #!/usr/bin/perl
-# $Id: sync-accounts,v 1.15 1999-01-03 17:45:15 ian Exp $
+# $Id: sync-accounts,v 1.16 2001-03-06 18:34:36 ian Exp $
+#
+# Copyright (C)1999 Ian Jackson <ian@davenant.greenend.org.uk>
+#
+#  This is free software; you can redistribute it and/or modify it under
+#  the terms of the GNU General Public License as published by the Free
+#  Software Foundation; either version 2, or (at your option) any later
+#  version.
+#
+#  This is distributed in the hope that it will be useful, but WITHOUT
+#  ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or
+#  FITNESS FOR A PARTICULAR PURPOSE.  See the GNU General Public License
+#  for more details.
+#
+#  You should already have a copy of the GNU General Public License.
+#  If not, write to the Free Software Foundation, Inc., 59 Temple
+#  Place - Suite 330, Boston, MA 02111-1307, USA.
+#
 # usage: sync-accounts [-n] [-C<config-file>] [<host> ...]
 # options:
 #   -n     do not really do anything
 #
 # Some config file directives apply globally and should appear first:
 #
-#  lockpasswd <suffix/filename>                [mandatory]
-#  lockgroup <suffix/filename>         [usu. mandatory]
+#  lockpasswd link <suffix/filename>
+#  lockgroup link <suffix/filename>
 #      Specifies the lockfile suffix or pathname to use when editing
 #      the passwd and group files.  The value is a suffix if it does
 #      not start with `/'.  If set to /dev/null no locking is done.
 #
-#  logfile <filename>                  [default=stdout]
+#  lockpasswd runvia <program>
+#  lockgroup runvia <program>
+#      Lock by reinvoking ourselves via a program as EDITOR.
+#      (<program> would typically be vipw or vigr.)
+#
+#  lockpasswd none
+#  lockgroup none
+#      Do not lock.
+#
+#  logfile <filename>
 #      Append log messages to <filename> instead of stdout.
 #      Errors still go to stderr.
 #
+#  localformat bsd|std
+#      Specifies the local password file is in the relevant format:
+#      `std' is the standard V7 password file (with a SysV- style
+#      /etc/shadow if one is detected at run-time); `bsd' is the weird
+#      BSD4.4 master.passwd format, and should be used only with
+#      `lockpasswd runvia vipw'.  The default is `std'.
+#
 # Some config file directives set options which may be different at
 # different points in the file.  The most-recently-seen value is used
 # at each point:
 #
-#  uidmin <min>                                [no default]
-#  uidmax <max>                                [no default]
-#  homebase <pathname>                 [default=/home]
+#  uidmin <min>
+#  uidmax <max>
+#  homebase <pathname>
 #      When an account is to be created, a uid/gid will be chosen
 #      which is one higher than the highest currently in use (except
 #      that ids outside the range <min>-<max> are ignored and will
 #      never be used).  The default home directory location is
 #      <pathname>/<username>.
 #
-#  sameuid                     [this or uidmin/max req'd for creation]
-#  nosameuid                           [default]
+#  sameuid
+#  nosameuid
 #      Specifies whether uids are supposed to match.  The default is
 #      nosameuid.  When sameuid is on, it is an error for the uid or
 #      gid of a local account not to match the corresponding remote
 #      account, and new local accounts will get the remote accounts'
 #      ids.
 #
-#  usergroups                          [default]
+#  usergroups
 #  nousergroups
 #  defaultgid <gid>
 #      Specifies whether local accounts are supposed to have
@@ -63,8 +96,8 @@
 #      is `usergroups'.
 #
 #  createuser
-#  createuser <commandname>    [=`createuser sync-accounts-createuser']
-#  nocreateuser                                [default]
+#  createuser <commandname>
+#  nocreateuser
 #      Specifies whether accounts found on the remote host should be
 #      created if necessary, and what command to run to do the
 #      creation (eg, setup of home directory).  The default is
 #      the new account's home directory.  The passwd and group entries
 #      will not have been set up.  The following environment variables
 #      will be set, giving details about the account to be created:
-#        SYNCACCOUNT_CREATE_USER
-#        SYNCACCOUNT_CREATE_UID
-#        SYNCACCOUNT_CREATE_GID
-#        SYNCACCOUNT_CREATE_COMMENT
-#        SYNCACCOUNT_CREATE_HOME
-#        SYNCACCOUNT_CREATE_SHELL
+#        SYNCUSER_CREATE_USER
+#        SYNCUSER_CREATE_UID
+#        SYNCUSER_CREATE_GID
+#        SYNCUSER_CREATE_COMMENT
+#        SYNCUSER_CREATE_HOME
+#        SYNCUSER_CREATE_SHELL
 #      If it chooses, the script may modify the password entry which
 #      will be added to the system, by outputting a replacement
 #      password file entry.  (The password field of that is ignored.)
 #      the account will not be created after all.
 #
 #  group <glob-pattern>
-#  nogroup <glob-pattern>              [default=`nogroup *']
+#  nogroup <glob-pattern>
 #      Specifies that the membership of the local groups specified
 #      should be adjusted or not adjusted whenever account data for a
 #      particular user is copied, so that the account will be a member
 #      glob-pattern for a particular group takes effect.  The default
 #      is `nogroups *'.
 #
-#  defaultshell <pathname>             [default=/bin/sh]
+#  defaultshell <pathname>
 #      If, when creating an account, the remote account's shell is not
 #      available on the local system, this value will be used.  The
 #      default is /bin/sh.
 # Some config file directives are per-host, and should appear before
 # any directives which actually modify accounts:
 #
-#  host <shorthostname>                        [required]
+#  host <shorthostname>
 #      Starts a host's section.  This resets the per-host parameters
 #      to the defaults.  The shorthostname need not be the host's
 #      official name in any sense.  If sync-accounts is invoked with
 #      host names on the command line they are compared with the
 #      shorthostnames.
 #
-#  getpasswd <command>                 [required]
-#  getgroup <command>                  [required for group sync.]
+#  getpasswd <command>
+#  getgroup <command>
 #      Commands to run on the local host to get the passwd, shadow and
 #      group data for the host in question.  getpasswd must be
 #      specified if user data is to be transferred; getgroup must be
 #      specified if group data is to be transferred.
 #
-#  getshadow <command>                 [optional]
+#  getshadow <command>
 #      Specifies that shadow file data is to be used (by default,
 #      password information is found from the output of getpasswd).
 #      The command should emit shadow data in the format specified by
 #      shadow(5) on Linux.  getshadow should not be specified without
 #      getpasswd.
 #
+#  remoteformat std|bsd
+#      Specifies the format of the output of `getpasswd'.  `std' is
+#      standard V7 passwd file format (optionally augmented by the use
+#      of a shadow file fetched with getshadow).  `bsd' is the weird
+#      BSD4.4 master.passwd format (and getshadow should not normally
+#      be used with `remoteformat bsd').  The default is `std'.
+#
 # Some configuration file directives specify that account data is to
 # transferred from the current host.  They should appear as the last
 # thing(s) in a host section:
@@ -172,16 +212,79 @@ $defaultgid= -1; # -1 => usergroups; -2 => nousergroups
 @groupglobs= [ '.*', 0 ];
 regroupglobs();
 
+$file{'passwd','std'}= 'passwd';
+$file{'shadow','std'}= 'shadow';
+$file{'group','std'}= 'group';
+
+$file{'passwd','bsd'}= 'master.passwd';
+$file{'shadow','bsd'}= 'shadow-non-existent';
+$file{'group','bsd'}= 'group';
+
+@fields_pw_std= qw(USER PW UID GID COMMENT HOME SHELL);
+@fields_pw_bsd= qw(USER PW UID GID CLASS CHANGE EXPIRE COMMENT HOME SHELL);
+fields_fmt('PW','std');
+fields('GR',qw(GROUP PW GID USERS));
+fields('SP',qw(USER PW DAYSCHGD DAYSFIX DAYSEXP DAYSWARN DAYSEXPDIS DAYSDISD RESERVED));
+# The name field had better always be field 0 !
+
 END {
-    for $x (@unlocks) {
-       unlink $x or warn "unable to unlock by removing $x: $!\n";
+    foreach $x (@unlocks) {
+       ($fn, $style, $arg) = @$x;
+        &{ "unlock_$style" } ( $fn,$arg );
+    }
+}
+
+sub fields {
+    my ($pfx,@l) = @_;
+    my ($i, $v, $vn);
+    foreach $v (@l) { $vn= "${pfx}_$v"; $$vn = $i++; }
+    $vn= "${pfx}_fields"; $$vn= $i;
+}
+
+sub fields_fmt ($$) {
+    my ($pfx,$fmt) = @_;
+    my ($vn);
+    $vn= "fields_pw_$fmt";
+    die "unknown format $fmt\n" unless defined @$vn;
+    fields($pfx,@$vn);
+    $vn= "${pfx}_format";
+    $$vn= $fmt;
+}
+
+sub newentry {
+    my ($pfx,$name,@field_val_list) = @_;
+    my (@rv, $vn, $fn, $v, $i);
+    @rv= ();
+    $vn= "${pfx}_fields";
+    for ($i=0; $i<$$vn; $i++) { $rv[$i]= ''; }
+    die "@field_val_list ?" if @field_val_list % 2;
+    $rv[0] = $name;
+    while (@field_val_list) {
+       ($fn,$v,@field_val_list) = @field_val_list;
+       $vn= "${pfx}_$fn";
+#print STDERR ">$fn|$v|$vn|$$vn<\n";
+       $rv[$$vn]= $v;
     }
+    return @rv;
 }
 
 $|=1;
 $cdays= int(time/86400);
 
-@envs_passwd= qw(USER x UID GID COMMENT HOME SHELL);
+@envs_createuser= qw(USER UID GID COMMENT HOME SHELL);
+
+if (@ARGV == 1 && length $ENV{'SYNC_ACCOUNTS_RUNVIA_INFO'}) {
+    @na= map {
+       s/\%([0-9a-f][0-9a-f])/ pack("C", hex $1) /ge;
+       $_;
+    } split(/\:/, $ENV{'SYNC_ACCOUNTS_RUNVIA_INFO'});
+    delete $ENV{'SYNC_ACCOUNTS_RUNVIA_INFO'};
+    $ta= shift @na;
+    $ENV{"SYNC_ACCOUNTS_RUNVIA_LOCKEDGOT_$ta"} = $ARGV[0];
+    @ARGV= @na;
+}
+
+@orgargv= @ARGV;
 
 while ($ARGV[0] =~ m/^-/) {
     $_= shift @ARGV;
@@ -218,21 +321,71 @@ sub fetchfile (\%$) {
     close G; $? and die "$ch_name: $get_str: exit code $?\n";
 }
 
-sub fetchownfile (\@$$) {
-    my ($ary_ref,$fn_str,$lock_str) = @_;
-    die "$configfile:$.: lockfile name for $fn_str not".
-       " defined (use lockpasswd/lockgroup)\n" unless length $lock_str;
-    if ($lock_str ne '/dev/null' && !$no_act) {
-       $lock_str= "$fn_str$lock_str" unless $lock_str =~ m,^/,;
-       link $fn_str,$lock_str or die "cannot lock $fn_str by creating $lock_str: $!\n";
-       push @unlocks,$lock_str;
+sub lockstyle_ ($$) {
+    my ($fn,$lock) = @_;
+
+    die "$configfile:$.: locking mechanism for $fn not".
+       " defined (use lockpasswd/lockgroup)\n";
+}
+
+sub abslock (@) {
+    my ($fn,$lock) = @_;
+
+    $fn= "/etc/$fn";
+    $lock= "$fn$lock" unless $lock =~ m,^/,;
+    return ($fn,$lock);
+}
+
+sub lock_none ($$) { return (abslock(@_))[0]; }
+sub unlock_none ($$) { }
+
+sub lock_link ($$) {
+    my ($fn,$lock) = abslock(@_);
+    link $fn,$lock or die "cannot lock $fn by creating $lock: $!\n";
+    return $fn;
+}
+sub unlock_link ($$) {
+    my ($fn,$lock) = abslock(@_);
+    unlink $lock or warn "unable to unlock by removing $lock: $!\n";
+}
+
+sub lock_runvia ($$) {
+    my ($fn,$lock) = @_;
+    my ($evn);
+    $evn= "SYNC_ACCOUNTS_RUNVIA_LOCKEDGOT_$fn";
+    return $ENV{$evn} if exists $ENV{$evn};
+
+    @na= map {
+       s/\W/ sprintf("%%%02x", unpack("C", $&)) /ge;
+       $_;
+    } ($fn,@orgargv);
+    $ENV{'SYNC_ACCOUNTS_RUNVIA_INFO'}= join(":", @na);
+    $ENV{'EDITOR'}= $0;
+    delete $ENV{'VISUAL'};
+    exec $lock; die "cannot lock $fn by executing $lock: $!\n";
+}
+sub unlock_runvia ($$) { }
+
+sub fetchownfile (\@$$$$) {
+    my ($ary_ref,$fn_str,$nfields,$style,$lock_arg) = @_;
+    my ($fn_use, $record, $fn_emsg);
+    $fn_emsg= $fn_str;
+    if (!$no_act) {
+       $fn_use= &{ "lock_$style" } ($fn_str, $lock_arg);
+       push @unlocks, [ $fn_str, $style, $lock_arg ];
+       $savebackto{$fn_str}= $fn_use;
+    } else {
+       $fn_use= $fn_emsg= "/etc/".$file{$fn_str,$PW_format};
     }
-    open O,"$fn_str" or die "$fn_str: $!";
+    open O,"$fn_use" or die "$fn_use ($fn_str): $!";
     while (<O>) {
        chomp;
-       push @$ary_ref, [ split(/\:/,$_,-1) ];
+       $record= [ split(/\:/,$_,-1) ];
+       die "$fn_emsg:$.:wrong number of fields:\`$_'\n"
+           unless @$record == $nfields;
+       push @$ary_ref, $record;
     }
-    close O or die "$fn_str: $!";
+    close O or die "$fn_use ($fn_str): $!";
 }
 
 sub diag ($) {
@@ -244,7 +397,7 @@ sub regroupglobs () {
                $groupglobs[0]->[0] eq '.*' &&
                !$groupglobs[0]->[1]);
     $ggfunc= "sub wantsyncgroup {\n  \$_= \$_[0];\n  return\n";
-    for $e (@groupglobs) { $ggfunc.= "    m/^$e->[0]\$/ ? $e->[1] :\n"; }
+    for $g (@groupglobs) { $ggfunc.= "    m/^$g->[0]\$/ ? $g->[1] :\n"; }
     $ggfunc.= "    die;\n};\n1;\n";
 #print STDERR "$ggfunc\n";
     eval $ggfunc or die "$ggfunc // $@";
@@ -252,20 +405,24 @@ sub regroupglobs () {
 
 sub fetchown () {
     if (!$own_fetchedpasswd) {
-       fetchownfile(@ownpasswd,'/etc/passwd',$ch_lockpasswd);
-       if (defined stat('/etc/shadow')) {
+#print STDERR ">$PW_fields<\n";
+       fetchownfile(@ownpasswd,'passwd',
+                    $PW_fields, $ch_lockstyle_passwd, $ch_lock_passwd);
+       $shadowfile= $file{'shadow',$PW_format};
+       if (stat("/etc/$shadowfile")) {
            $own_haveshadow= 1;
            $own_fetchedshadow= 1;
-           fetchownfile(@ownshadow,'/etc/shadow','/dev/null');
+           fetchownfile(@ownshadow,'shadow',$SP_fields,'none','');
        } elsif ($! == &ENOENT) {
            $own_haveshadow= 0;
        } else {
-           die "unable to check for /etc/shadow: $!\n";
+           die "unable to check for /etc/$shadowfile: $!\n";
        }
        $own_fetchedpasswd= 1;
     }
     if (!$own_fetchedgroup) {
-       fetchownfile(@owngroup,'/etc/group',$ch_lockgroup);
+       fetchownfile(@owngroup,'group',$GR_fields,
+                    $ch_lockstyle_group, $ch_lock_group);
        $own_fetchedgroup= 1;
     }  
 #print STDERR "fetchown() -> $#ownpasswd $#owngroup\n";
@@ -274,8 +431,8 @@ sub fetchown () {
 sub checkuid ($$) {
     my ($useuid,$foruser) = @_;
     for $e (@ownpasswd) {
-       if ($e->[0] ne $foruser && $e->[2] == $useuid) {
-           diag("uid clash with $e->[0] (uid $e->[2])");
+       if ($e->[$PW_USER] ne $foruser && $e->[$PW_UID] == $useuid) {
+           diag("uid clash with $e->[$PW_USER] (uid $e->[$PW_UID])");
            return 0;
        }
     }
@@ -304,13 +461,14 @@ sub fetchpasswd () {
     if (length $ch_getshadow) {
        fetchfile(%remshadow,"$ch_getshadow |");
        for $k (keys %rempasswd) {
-           $rempasswd{$k}->[1]= 'xx' unless length $rempasswd{$k}->[1];
+           $rempasswd{$k}->[$REM_PW]= 'xx' unless length $rempasswd{$k}->[$REM_PW];
        }
        for $k (keys %remshadow) {
            next unless exists $rempasswd{$k};
-           $rempasswd{$k}->[1]= $remshadow{$k}->[1];
+           $rempasswd{$k}->[$REM_PW]= $remshadow{$k}->[$SP_PW];
        }
     }
+    $ch_fetchedpasswd= 1;
 }
 
 sub fetchgroup () {
@@ -318,6 +476,7 @@ sub fetchgroup () {
     die "$configfile:$.: getgroup not specified for host $ch_name\n"
        unless length $ch_getgroup;
     fetchfile(%remgroup,"$ch_getgroup |");
+    $ch_fetchedgroup= 1;
 }
 
 sub syncusergroup ($$) {
@@ -328,11 +487,12 @@ sub syncusergroup ($$) {
     $ugfound=0;
     
     for $e (@owngroup) {
-       $samename= $e->[0] eq $lu;
-       $sameid= $e->[2] eq $luid;
+       $samename= $e->[$GR_GROUP] eq $lu;
+       $sameid= $e->[$GR_GID] eq $luid;
        next unless $samename || $sameid;
        if (!$samename || !$sameid) {
-           diag("local group $e->[0] ($e->[2]) mismatch vs. local user $lu ($luid)");
+           diag("local group $e->[$GR_GROUP] ($e->[$GR_GID]) mismatch vs.".
+                " local user $lu ($luid)");
            return 0;
        }
        if ($ugfound) {
@@ -348,7 +508,9 @@ sub syncusergroup ($$) {
        diag("account creation not enabled, not creating per-user group");
        return 0;
     }
-    push @owngroup, [ $lu,'x',$luid,'' ];
+    push @owngroup, [ newentry('GR', $lu,
+                              'PW', 'x',
+                              'GID', $luid) ];
     $modifiedgroup= 1;
     return 1;
 }
@@ -363,6 +525,7 @@ sub hosthead ($) {
 
 sub syncuser ($$) {
     my ($lu,$ru) = @_;
+    my ($vn);
 
 #print STDERR "syncuser($lu,$ru)\n";
     return if $doneuser{$lu}++;
@@ -373,7 +536,7 @@ sub syncuser ($$) {
 
     if ($display) {
        for $e (@ownpasswd) {
-           next unless $e->[0] eq $lu;
+           next unless $e->[$PW_USER] eq $lu;
            hosthead("from $ch_name");
            print ($lu eq $ru ? " $lu" : " $lu($ru)") or die $!;
            print "<DUPLICATE>" if $displaydone{$lu}++;
@@ -387,18 +550,19 @@ sub syncuser ($$) {
     fetchpasswd();
 
     if (!$rempasswd{$ru}) { diag("no remote entry"); return; }
-    if (length $ch_getshadow && exists $remshadow{$ru} && length $remshadow{$ru}->[7]) {
+    if (length $ch_getshadow && exists $remshadow{$ru} &&
+       length $remshadow{$ru}->[$SP_DAYSDISD]) {
        diag("remote account disabled in shadow");
        return;
     }
 
-    if (!grep($_->[0] eq $lu, @ownpasswd)) {
+    if (!grep($_->[$PW_USER] eq $lu, @ownpasswd)) {
        if (!length $opt_createuser) { diag("account creation not enabled"); return; }
        if ($no_act) { diag("-n specified; not creating account"); return; }
 
        if ($opt_sameuid) {
-           $useuid= $rempasswd{$ru}->[2];
-           $usegid= $rempasswd{$ru}->[3];
+           $useuid= $rempasswd{$ru}->[$REM_UID];
+           $usegid= $rempasswd{$ru}->[$REM_GID];
        } else {
            die "nousergroups specified, cannot create users\n" if $defaultgid==-2;
            length $ch_uidmin or die "no uidmin specified, cannot create users\n";
@@ -407,7 +571,7 @@ sub syncuser ($$) {
        
            $useuid= $ch_uidmin;
            for $e ($defaultgid==-1 ? (@ownpasswd, @owngroup) : (@ownpasswd)) {
-               $tuid= $e->[2]; next if $tuid<$useuid || $tuid>$ch_uidmax;
+               $tuid= $e->[$PW_UID]; next if $tuid<$useuid || $tuid>$ch_uidmax;
                if ($tuid==$ch_uidmax) {
                    diag("uid (or gid?) $ch_uidmax used, cannot create users");
                    return;
@@ -417,8 +581,13 @@ sub syncuser ($$) {
            $usegid= $defaultgid==-1 ? $useuid : $defaultgid;
        }
        
-       @newpwent= ($lu,'x',$useuid,$usegid,$rempasswd{$ru}->[4],
-                   "$ch_homebase/$lu",$ch_defaultshell);
+       @newpwent= newentry('PW', $lu,
+                           'PW', 'x',
+                           'UID', $useuid,
+                           'GID', $usegid,
+                           'COMMENT', $rempasswd{$ru}->[$REM_COMMENT],
+                           'HOME', "$ch_homebase/$lu",
+                           'SHELL', $ch_defaultshell);
        
        defined($c= open CU,"-|") or die $!;
        if (!$c) {
@@ -428,9 +597,10 @@ sub syncuser ($$) {
                print STDOUT join(':',@newpwent),"\n" or die $!;
                exit 0;
            }
-           for ($i=0; $i<@envs_passwd; $i++) {
-               next if $envs_passwd[$i] eq 'x';
-               $ENV{"SYNCUSER_CREATE_$envs_passwd[$i]"}= $newpwent[$i];
+           for ($i=0; $i<@envs_createuser; $i++) {
+               $vn= "PW_$envs_createuser[$i]";
+#print STDERR ">$i|$vn|$$vn|$newpwent[$$vn]<\n";
+               $ENV{"SYNCUSER_CREATE_$envs_createuser[$i]"}= $newpwent[$$vn];
            }
            exec $opt_createuser; die "$configfile:$.: ($lu): $opt_createuser: $!\n";
        }
@@ -441,52 +611,57 @@ sub syncuser ($$) {
            if ($newpwent !~ m/\:/) { diag("creation script demurred"); return; }
            @newpwent= split(/\:/,$newpwent,-1);
        }
-       die "$opt_createuser: bad output: $_\n" if @newpwent!=7 or $newpwent[0] ne $lu;
-       checkuid($newpwent[2],$lu) or return;
+       die "$opt_createuser: bad result: \`".join(':',@newpwent)."\'\n"
+           if @newpwent != $PW_fields or $newpwent[$PW_USER] ne $lu;
+       checkuid($newpwent[$PW_UID],$lu) or return;
        if ($own_haveshadow) {
-           push(@ownshadow,[ $lu, $newpwent[1], $cdays, 0,99999,7,'','','' ]);
-           $newpwent[1]= 'x';
+           push @ownshadow, [ newentry('SP', $lu,
+                                       'PW', 'x',
+                                       'DAYSCHGD', $cdays,
+                                       'DAYSFIX', 0,
+                                       'DAYSEXP', 99999,
+                                       'DAYSEXPDIS', 7) ];
            $modifiedshadow= 1;
        }
-       syncusergroup($lu,$newpwent[2]) or return;
+       syncusergroup($lu,$newpwent[$PW_UID]) or return;
        push @ownpasswd,[ @newpwent ];
        $modifiedpasswd= 1;
     }
 
     for $e (@ownpasswd) {
-       next unless $e->[0] eq $lu;
-       syncusergroup($lu,$e->[2]) or return;
+       next unless $e->[$PW_USER] eq $lu;
+       syncusergroup($lu,$e->[$PW_UID]) or return;
     }
 
-    $ruid= $rempasswd{$ru}->[2];
-    $rgid= $rempasswd{$ru}->[3];
+    $ruid= $rempasswd{$ru}->[$REM_UID];
+    $rgid= $rempasswd{$ru}->[$REM_GID];
     if ($opt_sameuid && checkuid($ruid,$lu)) {
        for $e (@ownpasswd) {
-           next unless $e->[0] eq $lu;
-           $luid= $e->[2]; $lgid= $e->[3];
+           next unless $e->[$PW_USER] eq $lu;
+           $luid= $e->[$PW_UID]; $lgid= $e->[$PW_GID];
            die "$diagstr: local uid $luid, remote uid $ruid\n" if $luid ne $ruid;
            die "$diagstr: local gid $lgid, remote gid $rgid\n" if $lgid ne $rgid;
        }
     }
 
 #print STDERR "syncuser($lu,$ru) exists $own_haveshadow\n";
-    if ($own_haveshadow && grep($_->[0] eq $lu, @ownshadow)) {
-#print STDERR "syncuser($lu,$ru) shadow $rempasswd{$ru}->[1]\n";
-       copyfield('shadow',$lu,1, $rempasswd{$ru}->[1]);
+    if ($own_haveshadow && grep($_->[$PW_USER] eq $lu, @ownshadow)) {
+#print STDERR "syncuser($lu,$ru) shadow $rempasswd{$ru}->[$REM_PW]\n";
+       copyfield('shadow',$lu,$SP_PW, $rempasswd{$ru}->[$REM_PW]);
     } else {
-#print STDERR "syncuser($lu,$ru) passwd $rempasswd{$ru}->[1]\n";
-       copyfield('passwd',$lu,1, $rempasswd{$ru}->[1]);
+#print STDERR "syncuser($lu,$ru) passwd $rempasswd{$ru}->[$REM_PW]\n";
+       copyfield('passwd',$lu,$PW_PW, $rempasswd{$ru}->[$REM_PW]);
     }
-    copyfield('passwd',$lu,4, $rempasswd{$ru}->[4]); # comment
+    copyfield('passwd',$lu,$PW_COMMENT, $rempasswd{$ru}->[$REM_COMMENT]);
 
-    $newsh= $rempasswd{$ru}->[6];
+    $newsh= $rempasswd{$ru}->[$REM_SHELL];
     $oksh= $checkedshell{$newsh};
     if (!length $oksh) { $checkedshell{$newsh}= $oksh= (-x $newsh) ? 1 : 0; }
-    copyfield('passwd',$lu,6, $newsh) if $oksh;
+    copyfield('passwd',$lu,$PW_SHELL, $newsh) if $oksh;
 
     if (!$nogroups) {
        for $e (@owngroup) {
-           $tgroup= $e->[0];
+           $tgroup= $e->[$GR_GROUP];
 #print STDERR "syncuser($lu,$ru) group $tgroup\n";
            next unless &wantsyncgroup($tgroup);
 #print STDERR "syncuser($lu,$ru) group $tgroup yes\n";
@@ -495,8 +670,8 @@ sub syncuser ($$) {
                diag("group $tgroup: not on remote host");
                next;
            }
-           $inremote= grep($_ eq $ru, split(/\,/,$remgroup{$tgroup}->[3]));
-           $cusers= $e->[3]; $inlocal= grep($_ eq $lu, split(/\,/,$cusers));
+           $inremote= grep($_ eq $ru, split(/\,/,$remgroup{$tgroup}->[$GR_USERS]));
+           $cusers= $e->[$GR_USERS]; $inlocal= grep($_ eq $lu, split(/\,/,$cusers));
            if ($inremote && !$inlocal) {
                $cusers.= ',' if length $cusers;
                $cusers.= $lu;
@@ -505,7 +680,7 @@ sub syncuser ($$) {
            } else {
                next;
            }
-           $e->[3]= $cusers;
+           $e->[$GR_USERS]= $cusers;
            $modifiedgroup= 1;
        }
     }
@@ -523,47 +698,60 @@ sub finish () {
     }
 
     if ($display) {
-       for $pw (1,-1,0) {
 #print STDERR "\n\nfinish display=$display pw=$pw\n\n";
-           for $e (@ownpasswd) {
-               $tu= $e->[0];
-               next if $displaydone{$tu};
-               $tpw= $e->[1];
-               for $e2 (@ownshadow) {
-                   next unless $e2->[0] eq $tu;
-                   $tpw= $e2->[1]; last;
-               }
-               $tpw= length($tpw)==13 ? 1 : length($tpw) ? -1 : 0;
-               next unless $pw == $tpw;
-               hosthead($pw == 1 ? "unsynched normal account" :
-                        $pw == 0 ? "unsynched, passwordless" :
-                        "unsynched, no logins");
-               print " $e->[0]" or die $!;
+       for $e (@ownpasswd) {
+           $tu= $e->[$PW_USER];
+           $tuid= $e->[$PW_UID];
+           next if $displaydone{$tu};
+           $tpw= $e->[$PW_PW];
+#print STDERR ">$tu|$tpw<\n";
+           for $e2 (@ownshadow) {
+               next unless $e2->[$SP_USER] eq $tu;
+               $tpw= $e2->[$SP_PW]; last;
            }
+           $tpw= length($tpw)>=13 ? 1 : length($tpw) ? -1 : 0;
+           $head= ($tpw == 1 ? "unsynched" :
+                   $tpw == 0 ? "unsynched, passwordless" :
+                   "unsynched, no-logins").
+                   ($tuid < 100 ? " system account" : " normal user");
+           $unsynch_type{$head} .= " $e->[$PW_USER]";
        }
-       print "\n\n" or die $! if $hostheaddone;
+       foreach $head (sort keys %unsynch_type) {
+           hosthead($head);
+           print $unsynch_type{$head} or die $!;
+       }
+       print "\n\n" or die $!;
        exit 0;
     }
     
     umask 077;
     for $file (qw(passwd shadow group)) {
+       $realfile= $file{$file,$PW_format};
        eval "\$modified= \$modified$file; \$data_ref= \\\@own$file;".
            " \$fetched= \$own_fetched$file; 1;" or die $@;
        next if !$modified;
        die $file unless $fetched;
        banner();
-       $newfile= $no_act ? "$file.new" : "/etc/$file.new";
+       if ($no_act) {
+           $newfileinst= "/etc/$realfile";
+           $newfile= "$realfile.new";
+       } else {
+           $newfileinst= $savebackto{$file};
+           $newfile= "$newfileinst.new";
+       }
        open NF,"> $newfile" or die "$newfile: $!";
        for $e (@$data_ref) {
            print NF join(':',@$e),"\n" or die $!;
        }
        close NF or die $!;
-       system "diff -U0 /etc/$file $newfile"; $?==256 or die $?;
+       system 'diff','-U0','--label',$realfile,$newfileinst,
+                            '--label',"$realfile.new",$newfile;
+       $?==256 or die $?;
        if (!$no_act) {
-           (@stats= stat "/etc/$file") or die "$file: $!";
+           (@stats= stat $newfileinst) or die "$file: $!";
            chown $stats[4],$stats[5], $newfile or die $!;
            chmod $stats[2] & 07777, $newfile or die $!;
-           rename $newfile, "/etc/$file" or die $!;
+           rename $newfile, $newfileinst or die $!;
        }
     }
     exit 0;
@@ -586,10 +774,17 @@ while (<CF>) {
        } else {
            $ch_doinghost= 0;
        }
+       fields_fmt('REM','std');
     } elsif (m/^(getpasswd|getshadow|getgroup)\s+(.*\S)$/) {
        eval "\$ch_$1= \$2; 1;" or die $@;
-    } elsif (m/^(lockpasswd|lockgroup)\s+(\S+)$/) {
-       eval "\$ch_$1= \$2; 1;" or die $@;
+    } elsif (m/^(local|remote)format\s+(\w+)$/) {
+       fields_fmt($1 eq 'local' ? 'PW' :
+                  $1 eq 'remote' ? 'REM' : die,
+                  $2);
+    } elsif (m/^lock(passwd|group)\s+(runvia|link)\s+(\S+)$/) {
+       eval "\$ch_lock_$1= \$3; \$ch_lockstyle_$1= \$2; 1;" or die $@;
+    } elsif (m/^lock(passwd|group)\s+(none)$/) {
+       eval "\$ch_lockstyle_$1= \$2; 1;" or die $@;
     } elsif (m,^(homebase|defaultshell)\s+(/\S+)$,) {
        eval "\$ch_$1= \$2; 1;" or die $@;
     } elsif (m/^(uidmin|uidmax)\s+(\d+)$/ && $2>0) {
@@ -603,6 +798,7 @@ while (<CF>) {
     } elsif (m/^logfile\s+(.*\S)$/) {
        if (!$no_act) {
            open STDOUT,">> $1" or die "$1: $!"; $|=1;
+           $!=0; system 'date'; $? and die "date: $! $?\n";
        } elsif (!$display) {
            print "would log to $1\n" or die $!;
        }
index 8377db4..3b17333 100755 (executable)
@@ -1,11 +1,10 @@
 #!/bin/sh
-# default user-creation script for sync-accounts
-# $Id: sync-accounts-createuser,v 1.2 1999-01-03 00:14:08 ian Exp $
-
 set -e
-mkdir -p $SYNCUSER_CREATE_HOME
-cp -a /etc/skel/. $SYNCUSER_CREATE_HOME
-chown -R $SYNCUSER_CREATE_UID.$SYNCUSER_CREATE_GID $SYNCUSER_CREATE_HOME
-chmod 2755 $SYNCUSER_CREATE_HOME
-rm -f /home/$SYNCUSER_CREATE_USER
-ln -s ..$SYNCUSER_CREATE_HOME /home/$SYNCUSER_CREATE_USER
+un=$SYNCUSER_CREATE_USER
+ui=$SYNCUSER_CREATE_UID
+gi=$SYNCUSER_CREATE_GID
+ho=$SYNCUSER_CREATE_HOME
+test -d $ho || mkdir $ho
+chgrp $gi $ho
+chown $ui $ho
+chmod 2755 $ho
diff --git a/sync-accounts/sync-accounts.example-bsd b/sync-accounts/sync-accounts.example-bsd
new file mode 100644 (file)
index 0000000..ccbd275
--- /dev/null
@@ -0,0 +1,31 @@
+lockpasswd runvia vipw
+lockgroup none
+localformat bsd
+logfile /var/log/sync-accounts
+
+uidmin 500
+uidmax 29999
+homebase /home
+defaultshell /usr/local/bin/bash
+
+host fowey
+getpasswd rsh fowey -l syncacct cat /etc/passwd
+getshadow rsh fowey -l syncacct cat /etc/shadow
+getgroup rsh fowey -l syncacct cat /etc/group
+createuser sync-accounts-createuser
+sameuid
+group devel
+
+nousergroups
+user devel
+usergroups
+
+users 500-29999
+
+nogroup *
+nocreateuser
+nousergroups
+nosameuid
+#user root
+
+end
diff --git a/sync-accounts/sync-accounts.example-linux b/sync-accounts/sync-accounts.example-linux
new file mode 100644 (file)
index 0000000..3a37ab3
--- /dev/null
@@ -0,0 +1,76 @@
+# This is an example /etc/sync-accounts for Linux.
+
+lockpasswd link .lock
+lockgroup link .lock
+logfile /var/log/sync-accounts
+
+uidmin 1000
+uidmax 29999
+homebase /u2
+defaultshell /bin/bash
+
+host sfere
+getpasswd ssh sfere -l ian cat /etc/passwd
+createuser
+user richardk remote=richard
+addhere
+
+#host snoopy
+#getpasswd ssh snoopy -l ian cat /etc/passwd
+#getshadow ssh snoopy -l ian really cat /etc/shadow
+#createuser
+#user christi
+#addhere
+
+host khem
+getpasswd rsh khem -l ian cat /etc/passwd
+createuser
+user andrewm
+addhere
+
+host chiark
+getpasswd cat /var/lib/sync-accounts/chiark/passwd
+getshadow cat /var/lib/sync-accounts/chiark/shadow
+getgroup cat /var/lib/sync-accounts/chiark/group
+createuser sync-accounts-createuser-chiark2davenant
+sameuid
+user richard
+user ian
+
+user ijackson
+user owend
+user damerell
+user jonr
+user duncanm
+user siona
+user dans
+user marisal
+user vivienh
+user davidr
+user fanf
+user wednsday
+user emmaburt
+user eleanorb
+user stevee
+user diziet
+user matthewv
+user mattheww
+user sgtatham
+user jdamery
+user twomack
+user aldabra
+user janetmck
+user johns
+user andreww
+user sbleas
+user clareb
+user chrisj
+user beckyc
+addhere
+
+nogroup *
+nocreateuser
+nousergroups
+user root
+
+end