File: //opt/saltstack/salt/lib/python3.10/site-packages/salt/runners/__pycache__/vault.cpython-310.pyc
o
�����N�g%8�����������������������@���s����d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�Z�d�d�l Z
d�d�l�Z
d�d�l�Z
d�d�l
Z
d�d�l�m�Z���d�d�l�m�Z���e���e���Z� �d�d�d���Z�d d
��Z�e�d�f�d�d���Z�d
d���Z� �d�d�d���Z�d�d�d���Z�d�d�d���Z�d�d���Z�d�d���Z�G�d�d���d�e���Z�d�S�)�z�
Runner functions supporting the Vault modules. Configuration instructions are
documented in the execution module docs.
:maintainer: SaltStack
:maturity: new
:platform: all
�����N)���Mapping)���NOT_SET)���SaltRunnerErrorFc����������������
���C���s����t���d�|�|�����t�|�|�|�������z,t���d�i���}�|���d�d���}�|���d���}�|�d�����d�d���}�|�r.|�d�u�r6|�d�����d d
��}�|�r<|�d�u�rD|�d�����d�d���}�|�d�����d�d
��} |���d�d���}
|���d�d���}�|�d���d���d�k�r�t���r�t���d�����d���|�d�����}�d�|�d���d���i�}
d�|�d���v�r�|�d���d���|
d�<�d�}�|�d�u�r�d�|�i�}�t�j�|�|�|
|�d�d���}�|�j d�k�r�d�|�j
i�W�S�|�����d���d���|�d���d�<�t�|���}�d�|�d���d���i�}�|�d�u�r�|�|�d�<�t
����d d!��|�t
����d"d#��d$��}�t�|�|�|
|�d%��|�|�d&��}
|�d�u�r�t�|���|
d'<�|
d(��g�k�r�d�d)i�W�S�t���d*����t�j�|�|�|
|�d�d���}�|�j d�k���r�d�|�j
i�W�S�|�����d���}�|�d���|�d+��|�d,��t�t�t���������|�d���|�| |�d-��}�|�d.k���r8|�|�d <�|�W�S���t���yS��}���z�d�t�|���i�W���Y�d�}�~�S�d�}�~�w�w�)/aF���
Generate a Vault token for minion minion_id
minion_id
The id of the minion that requests a token
signature
Cryptographic signature which validates that the request is indeed sent
by the minion (or the master, see impersonated_by_master).
impersonated_by_master
If the master needs to create a token on behalf of the minion, this is
True. This happens when the master generates minion pillars.
ttl
Ticket time to live in seconds, 1m minutes, or 2h hrs
uses
Number of times a token can be used
z<Token generation request for %s (impersonated by master: %s)��vault��verifyN� namespace��auth��allow_minion_overrideF��uses�������ttl�
token_backend��session��policies_refresh_pillar��policies_cache_time�<�����methodZ�approlez#Vault token expired. Recreating onez�{}/v1/auth/approle/login��urlZ�role_idZ secret_id��X-Vault-Namespace�x���)���headers��jsonr������timeout�������errorZ�client_token��token�
X-Vault-TokenZ�__jid__z�<no jid set>Z�__user__z
<no user set>)�z
saltstack-jidz�saltstack-minionz�saltstack-user����refresh_pillar��expire)���policiesZ�num_uses��metaZ�explicit_max_ttlr ���z�No policies matched minionz'Sending token creation request to Vault��lease_duration� renewable)�r����r"���r#���Z�issuedr����r����r
���r����r����)���log��debug��_validate_signature��__opts__��get��_selftoken_expired��format��requestsZ�post��status_code��reasonr������_get_token_create_url��globals��_get_policies_cached��str��trace��int��round��time� Exception)�� minion_id� signature��impersonated_by_masterr����r
�����configr����r����r ���Z�storage_typer����r����r������payloadr������responseZ
audit_dataZ auth_data��ret��e��r?����F/opt/saltstack/salt/lib/python3.10/site-packages/salt/runners/vault.py��generate_token����s����������������������
���������������������
�����������������
���
���������������������������������������������
�
���
���������������������������
������������rA���c��������������������C���sH���t�d���d���D�]�}�t�d���d�d�t���d�|�i���d�������}�|�d���d u�r!��d
S�q�d S�)�aj���
Unseal Vault server
This function uses the 'keys' from the 'vault' configuration to unseal vault server
vault:
keys:
- n63/TbrQuL3xaIW7ZZpuXj/tIfnK1/MbVxO4vT3wYD2A
- S9OwCvMRhErEA4NVVELYBs6w/Me6+urgUr24xGK44Uy3
- F1j4b7JKq850NS6Kboiy5laJ0xY8dWJvB3fcwA+SraYl
- 1cYtvjKJNDVam9c7HNqJUfINk4PYyAXIpjkpN/sIuzPv
- 3pPK5X6vGtwLhNOFv1U2elahECz3HpRUfNXJFYLw6lid
.. note: This function will send unsealed keys until the api returns back
that the vault has been unsealed
CLI Examples:
.. code-block:: bash
salt-run vault.unseal
r������keysz�vault.make_request��PUTz
v1/sys/unseal��key)���dataZ�sealedFT)�r'���� __utils__r������dumps)�rD���r=���r?���r?���r@�����unseal����s������������������������rH���c��������������������C���sF���t���d�i���}�|�t�k�r�|���d���}�|�d�u�r�|�n�|���d�d���}�t�|�|�|�|�d���S�)�aB���
Show the Vault policies that are applied to tokens for the given minion.
minion_id
The minion's id.
refresh_pillar
Whether to refresh the pillar data when rendering templated policies.
None will only refresh when the cached data is unavailable, boolean values
force one behavior always.
Defaults to config value ``policies_refresh_pillar`` or None.
expire
Policy computation can be heavy in case pillar data is used in templated policies and
it has not been cached. Therefore, a short-lived cache specifically for rendered policies
is used. This specifies the expiration timeout in seconds.
Defaults to config value ``policies_cache_time`` or 60.
CLI Example:
.. code-block:: bash
salt-run vault.show_policies myminion
r����r����Nr����r����r����)�r'���r(���r����r0���)�r7���r����r����r:���r?���r?���r@����
show_policies����s��������
���������rI���c��������������������C���sl���t�d���}�|�r�|���d���}�n�|���d�|�����}�t���d�|�����t���|���}�t�j���|�|�|���s/t�j�� d�|���������t���d�����d�S�)�z^
Validate that either minion with id minion_id, or the master, signed the
request
��pki_dirz�/master.pubz /minions/z�Validating signature for %sz&Could not validate token request from z�Signature okN)
r'���r$���r2�����base64� b64decode��saltZ�cryptZ�verify_signature�
exceptionsZ�AuthenticationError)�r7���r8���r9���rJ���Z
public_keyr?���r?���r@���r&�������s��������������
�����������r&���c���������������� ���K���s����t�|�|���\�}�}�|���d�d�d�g���}�|�|�|�d���}�g�}�|�D�].} z�t�d���| f�i�|�����D�]�}
|���|
j�d i�|�������������q&W�q���t�yG������t���d�| |�����Y�q�w�t�� d�|�|�����|�S�)
zJ
Get the policies that should be applied to a token for minion_id
r ���z�saltstack/minion/{minion}z�saltstack/minions)�Z�minion��grains��pillarz�vault.expand_pattern_listsz1Could not resolve policy pattern %s for minion %sz�%s policies: %sNr?���)
��_get_minion_datar(���rF�����appendr*�����lower��KeyErrorr$�����warningr%���)�r7���r:���r������kwargsrO���rP���Z�policy_patternsZ�mappingsr �����patternZ�expanded_patternr?���r?���r@����
_get_policies����s0���������������������������
�����������������������rX���r����c���������������� ���C���s����|�s t�|�|�|�d���S�d�|���d���}�d�}�t�j���t���}�|�j�|�|�t�|�|�|�|�d���}�t�|�t���s?t���d�����|�� |�|�����|�j�|�|�t�|�|�|�|�d���}�|�S�)�N)�r����z�minions/z�/vaultr ���)�r����r7���r:���r����z<Cached vault policies were not formed as a list. Refreshing.)
rX���rM�����cache��factoryr'����
isinstance��listr$���rU�����flush)�r7���r:���r����r����Z�cbankZ�ckeyrY���r ���r?���r?���r@���r0�������s6�������������������������������
���������������������� r0���c��������������������C���s����t�j�j���|�t���\�}�}�}�|�d�u�r�d�|�i�}�|�d�u�s�|�d�u�rB|�d�u�rBt���d���r(t�d�����t���t���}�d�d�i�}�|�� |�����t
|�|�|�|�d���}�|�|�f�S�|�d�u�rHi�}�|�|�f�S�)�N��idTZ+_vault_runner_is_compiling_pillar_templatesa/���Cyclic dependency detected while refreshing pillar for vault policy templating. This is caused by some pillar value relying on the vault execution module. Either remove the dependency from your pillar, disable refreshing pillar data for policy templating or do not use pillar values in policy templates.����extra_minion_data)�rM�����utilsZ�minionsZ�get_minion_datar'���r(���r������copy��deepcopy��update�
LazyPillar)�r7���r������_rO���rP���Z
local_optsr`���r?���r?���r@���rQ���&���s$�����������
�������
���
���������������rQ���c����������������
���C���s����zIt�d�����d�d���}�t�d�����d���}�d���t�d���d�����}�d�t�d���d���v�r$W�d S�d
t�d���d���d���i�}�|�d�u�r6|�|�d�<�t�j�|�|�|�d�d
��}�|�j�d�k�rGW�d S�W�d�S���t�y`��}���z�t�j���d�t |�����������d�}�~�w�w�)�z>
Validate the current token exists and is still valid
r����r����Nr����z�{}/v1/auth/token/lookup-selfr����r����r����Tr����r����r����)�r����r����r����r����Fz$Error while looking up self token : )
r'���r(���r*���r+���r,���r6���rM���rN���Z�CommandExecutionErrorr1���)�r����r����r����r����r<���r>���r?���r?���r@���r)���P���s&�����������������������
�����������������r)���c��������������������C���s2���|���d�d���}�d�}�|�d���}�d���d�d���|�|�|�f�D�����S�)�z-
Create Vault url for token creation
� role_nameNz�/v1/auth/token/creater������/c��������������������s���s������|�]
}�|�r�|���d���V���q�d�S�)�rh���N)���strip)���.0��xr?���r?���r@���� <genexpr>p���s��������z(_get_token_create_url.<locals>.<genexpr>)�r(�����join)�r:���rg���Z auth_pathZ�base_urlr?���r?���r@���r.���i���s������������r.���c��������������������@���s:���e�Z�d�Z�d�Z�d
d�d���Z�d�d���Z�d�d���Z�d d
��Z�d�d���Z�d�S�)�re���z`
Simulates a pillar dictionary. Only compiles the pillar
once an item is requested.
Nc��������������������C���s&���|�|�_�|�|�_�|�|�_�|�p�i�|�_�d�|�_�d�S���N)���optsrO���r7���r`�����_pillar)���selfro���rO���r7���r`���r?���r?���r@�����__init__y���s
���������
�
�z�LazyPillar.__init__c��������������������C���s0���t���d�����t�j�j�|�j�|�j�|�j�|�j�d���� ��|�_
d�S�)�Nz'Refreshing pillar for vault templating.r_���)�r$�����inforM���rP���Z
get_pillarro���rO���r7���r`���Z�compile_pillarrp�����rq���r?���r?���r@�����_load����s����
�����������������z�LazyPillar._loadc��������������������C���s����|�j�d�u�r |�������|�j�|���S�rn�����rp���ru���)�rq���rD���r?���r?���r@�����__getitem__���������
���
�z�LazyPillar.__getitem__c��������������������c���s$�����|�j�d�u�r
|�������|�j�E�d�H���d�S�rn���rv���rt���r?���r?���r@�����__iter__����s������
�����z�LazyPillar.__iter__c��������������������C���s����|�j�d�u�r |�������t�|�j���S�rn���)�rp���ru�����lenrt���r?���r?���r@�����__len__����rx���z�LazyPillar.__len__rn���) ��__name__�
__module__��__qualname__��__doc__rr���ru���rw���ry���r{���r?���r?���r?���r@���re���s���s��������
���� ����re���)�FNNrn���)�Nr����)�r���rK���rb���r������loggingr5�����collections.abcr����r+���Z
salt.cacherM���Z
salt.cryptZ�salt.exceptionsZ�salt.pillarZ
salt.defaultsr����r����� getLoggerr|���r$���rA���rH���rI���r&���rX���r0���rQ���r)���r.���re���r?���r?���r?���r@�����<module>����s6������ ������������������������
���
��u� �"��
�
�
��*���