Merge branch 'master' of gitorious.org:accounts-service-plus/accounts-service-plus

Add support for setting and reading roles of users

Add support for setting and reading roles of users

Added fronted for setting user roles.

Add support for roles

A role is the highlevel description of the type of a user (for example,
"Teacher", "Student", etc).

This adds the basic support for role objects in the daemon.  Roles are
defined by keyfiles in /var/lib/AccountsService/roles (which are
currently read-only).  They can be listed using an interface on the main
daemon object.

Currently roles only have an identifier and a display name.

daemon: uncache user before deleting user

When deleting a user account it's important to clean up our
cache file on the user even if userdel fails.  userdel only
works on local users, and we want DeleteUser() when called
on remote users to behave something like UncacheUser().

This commit rearranges the order in which we delete the users
cache files versus delete the user, such that the cache files
are always deleted.

https://bugs.freedesktop.org/show_bug.cgi?id=50770

add CacheUser() and UncacheUser() methods

This commit introduces a CacheUser() method, which explicitly
makes a user show up in the results of a ListCachedUsers call
provided the user is otherwise known to the system.

This commit also introduces an UncacheUser() method to undo
what CacheUser() does.

https://bugs.freedesktop.org/show_bug.cgi?id=50770

daemon: add all users from cachedir to ListCachedUsers result

The cachedir /var/lib/AccountsService/users/ contains a list of
files named after user accounts.  These files contain metadata
about the user.

This commit changes the code to consider the presence of one of
these cache files as evidence of a user account, and uses that
information to augment the list of users returned by ListCachedUsers.

This prevents network-login users from "falling off the map" if the
wtmp file is rotated.

It's also a prerequisite for adding support for an explicit
CacheUser() call. That call will be introduced in a subsequent
commit.

https://bugs.freedesktop.org/show_bug.cgi?id=50770

daemon: Refactor reloading of users from multiple sources

This commit reworks how the list of users is accumulated.

It introduces the idea of an "entry generator" which returns
struct passwd entries repeatedly until all entries available
are returned.  It then reworks the wtmp and /etc/passwd
reading to work in terms of entry generators.

This refactor will make it easier to introduce other sources
of users.

https://bugs.freedesktop.org/show_bug.cgi?id=50770

lib: fix some debug spew

It was one of those "Blah failed: Success" situations

configure: bump to 0.6.22

NEWS: update for release

util: CVE-2012-2737: drop _polkit_subject_get_cmdline

_polkit_subject_get_cmdline is a function copy and pasted
from the polkit code that returns the command line, uid, and
pid of a particular polkit subject.  It's used for helping to
generate log entries that detail what processes are invoking methods
on the accounts service.

It's also used, on older kernels, for setting up the the loginuid
of subprocesses that are run on behalf of AccountsService clients,
so the audit trail leads back to the user initiating a request.

_polkit_subject_get_cmdline directly looks up the uid of the caller,
instead of querying the system bus.  As such, it's vulnerable to
the same race condition discussed in the previous two commits.

This commit guts _polkit_subject_get_cmdline, keeping only the part
that reads /proc/pid/cmdline. We now get the uid and pid from the
bus daemon.

user: CVE-2012-2737: verify caller through bus in more cases

The previous commit changed the SetIconFile call to identify
the uid of the calling process via cached peer credentials
stored by the bus daemon.

This commit fixes other similar cases where we try to figure
out process identity on our own instead of through the bus
daemon.

util: CVE-2012-2737: validate SetIconFile caller over bus

The AccountsService SetIconFile call associates an icon
with a user.

SetIconFile allows users to have icons visible at the login
screen that don't necessarily originate in globally
readable or always available locations. This is accomplished
by copying the originating icon to the local disk in /var.

Since AccountsService runs with with root privileges, the
implemention of the SetIconFile method queries the uid of
the method caller, forks, switches to that uid and performs
the image copy as if it were the user.

Unfortunately, the uid lookup peformed is done "just in time"
instead of looking at peer credentials from the time the call
was initiated. There is a race condition that means a caller
could invoke the method call, quickly exec a setuid binary, and
then cause the copy to be performed as the uid of the setuid
process.

This commit changes the uid lookup logic to query the system
bus daemon for the peer credentials that were cached from the
caller at the time of the initial connection.

lib: manage pending consolekit calls with cancellable

Pending NewSession objects can disappear just as quickly
as they appear in response to ConsoleKit signals.  If
we're in the middle of talking to ConsoleKit when an
object disappears and is subsequently freed, then we'll
still try to access it from the reply callback.

This commit cancels any pending messages to the consolekit
daemon, when the session goes away.

https://bugs.freedesktop.org/show_bug.cgi?id=50112

lib: fix memory leaks in act-user

caller must free all of the values returned by g_variant_iter_next()

https://bugs.freedesktop.org/show_bug.cgi?id=51039

Revert "Don't use the non-standard fgetpwent() if not available."

This reverts commit dfa1a6239b01c823ce0fec781c6c9541c988f56e.

The commit is wrong, since we're only interested in local users.

http://bugs.freedesktop.org/show_bug.cgi?id=41747

Only enable _FORTIFY_SOURCE if optimization enabled

 * Otherwise we get a spew of warnings when building non-optimized

https://bugs.freedesktop.org/show_bug.cgi?id=50764

libaccountsservice: Respect silent rules for gdbus-codegen

 * When 'make V=0' quiet down gdbus-codegen invocations

https://bugs.freedesktop.org/show_bug.cgi?id=50766

libaccountsservice: Quiet down the warnings from GIR

 * Don't include stuff from the wrong namespaces in the build
   of the introspection gir and typelib

https://bugs.freedesktop.org/show_bug.cgi?id=50765

Quiet down autoreconf warnings

 * Use AC_LANG_PROGRAM correctly, and reorder AC_USE_SYSTEM_EXTENSIONS

https://bugs.freedesktop.org/show_bug.cgi?id=50768

Ignore built files with a .gitignore

https://bugs.freedesktop.org/show_bug.cgi?id=50761

daemon: fix build

I was calling a method exported by the bus, but not available to
daemon.c from daemon.c

daemon: move ICONDIR/USERDIR defs to makefile

I broke the build because the defines were local to one file.

daemon: remove icon when deleting user

lib: make has-multiple-users property only check non-system users

Every system has a root account, and at least one user, so
has-multiple-users is pretty useless unless we filter out system
users.

http://bugzilla.gnome.org/show_bug.cgi?id=677194

daemon: exclude system accounts from ListCachedUsers

ListCachedUsers is supposed to return a list suitable
for display in the greeter or accounts dialog. There's
no reason we should include system users in that list.

http://bugzilla.gnome.org/show_bug.cgi?id=677194

configure: bump to 0.6.21

NEWS: update for release

configure: fix version check

configure: Require a new enough systemd

accountsservice relies on certain newish APIs in systemd,
so make sure we require a version that's new enough.

build: Add a --disable-systemd configure option

This lets builders explicitly choose rather than relying on
autodetection.

daemon: exclude users without valid shell

This patch makes sure only users with valid shells from
/etc/shells get returned by ListCachedUsers.

Minor changes by Ray Strode.

daemon: Fix spurious log spew

commit eb9ad71d535401e1cb60ece46fb8772ee5e91281 introduced a bug
leading to scary looking log message:

Glib-CRITICAL **: g_path_get_basename: assertion 'filename != NULL' failed

This commit reworks that function, to ensure that when shell is NULL,
we never try to take its basename.

configure: bump to 0.6.20

NEWS: update for release

daemon: FIx overly aggressive user exclusion

commit 046998a3a5305f381e6e39bc4bf7f69f260856f4 introduced
a fix that forces users without shells to be excluded.

This fix has made the function return "excluded" if the passed
in shell was NULL.  The code passes NULL for the shell in various
places to mean don't check the shell, though, this commit broke
listing users.

configure: bump to 0.6.19

NEWS: update for release

Don't notify a non-existing property

GDBus turns 'XSession' into 'xsession' as property name, not
'x-session'. This is harmless, but shows up in syslog.

daemon: Also exclude "at" user

https://bugs.freedesktop.org/show_bug.cgi?id=48178

daemon: Exclude users with no shell

The NIS entry in /etc/passwd seems to be:
+::::::

We obviously don't want a user with no shell to be visible, so use this
more generic solution.

https://bugs.freedesktop.org/show_bug.cgi?id=48859

lib: don't clear get_all call until after we've ensured call succeeded

This callback may be from a canceled call, in which case get_all no
longer belongs to the callback.

daemon: make userdel force deletion

0.6.18

lib: Add missing return in libaccountsservice

In _get_x11_display_for_new_systemd_session there is a missing return.

I found out that running gnome-shell from a remote box via ssh and
setting DISPLAY to :0 the systemd session type is tty. Also the uid
systemd is 0 for my user jhbuild gnome session run from debian gdm3
(ie not based on gnome-shell).
This triggers this error path which miss a "return" instruction.

I have been unable to find out if session type and uid are the same
for the same gdm session with gnome-shell started from gnome-session
though at least it also fixes the segfault there too.

This error code path is not triggered when starting gnome-session with
gnome-shell from a console + xinit inside a "jhbuild shell".
So this might be a weird use case but good to fix nevertheless.

https://bugs.freedesktop.org/show_bug.cgi?id=48478

lib: ensure session type is x11 before trying to find display

If the session type isn't X11 then we shouldn't bother trying to
find the display of the session.

This way we can warn if we're unable to find the display and it is
an X11 session.

lib: move debug message to proper place

lib: handle when get_sessions() returns NULL more gracefully

sd_get_sessions() can return NULL in some rare cases, so
make sure we don't fall over when it does.

daemon: extend blacklist

Since commit 552a0c856a6e3a7c2e6450ab80e79f4204062281 we no
longer hide certain system users that have a shell.

This commit adds a few more users to our blacklist to keep
things running smooth.

Ideally, we'll find a more general solution.

Fix the systemd configure check

configure: bump to 0.6.17

NEWS: update for release

daemon: fix up user exclusions

commit ffbd85a5baee93af150fd575a44e7a7d81a13958 introduced an
inverted conditional that meant non-system users were getting
treated as system users.

This commit swaps that conditional back.

act-user: fix double free

commit 25d6fab61d042b3d0bf4b8bccfb04990562dadc5 introduced
a bug where the langauge would get freed twice.

po: pull latest translations from transifex

NEWS: update for release

lib: vala discheck fixes

lib: add gdbus xml to EXTRA_DIST

distcheck fix.

lib: drop AccountsService-1.0.metadata

It appears we don't have one, and it's breaking distcheck.

daemon: be more liberabl about excluding users

Some distros use /bin/false instead of /sbin/nologin, or
/sbin/nologin may be in a different directory.

This commit makes the code more agressively check the
user's shell for validity.

https://bugs.freedesktop.org/show_bug.cgi?id=44408

Filter users on nologin rather than minimal UID

https://bugs.freedesktop.org/show_bug.cgi?id=44408

Don't use hard-coded minimal UID to exclude users

We should instead filter on the login shell used.

https://bugs.freedesktop.org/show_bug.cgi?id=44408

lib: Add systemd support

This commit makes libaccountsservice use systemd instead of
consolekit if the system was booted with systemd.

lib: set infinite timeout for accounts manager calls

ListCachedUsers could theoretically be somewhat slow,
so set an unlmited timeout for it.

lib: return initialized result for delete user

We were just returning an uninitialized variable.

ActUserManager: ensure the manager is alive across async calls

Under current design and usage patterns, the library user is not
expected to keep the manager around, if only interested in signals
from ActUsers. Therefore additional references must be taken to
ensure that the object is still valid at the end of an async call,
and signals must be prevented from firing on finalized objects.

https://bugs.freedesktop.org/show_bug.cgi?id=46797

ActUser: use -1 to indicate default DBus timeout

Passing 0 means 0 milliseconds, which is quite too short even on
modern computers.

https://bugs.freedesktop.org/show_bug.cgi?id=46794

ActUser: set loaded status even if an error occurs

Not doing so confuses the UserManager, which still considers the
user pending and blocks the emission of user-added/user-removed
signals.

https://bugs.freedesktop.org/show_bug.cgi?id=46794

UserManager: fix advancing seat loading state machine

Because the session proxy creating happened synchronously, seat
loading state was incremented, but nothing called load_seat_incrementally()
again, meaning that it never advanced to next step. Making it async
like the other operations fixes it.

https://bugs.freedesktop.org/show_bug.cgi?id=46794

libaccountsservice: Fix srcdir != builddir for generated files

build: add optionnal vala bindings generation

https://bugs.freedesktop.org/show_bug.cgi?id=46283

Generate ActUserManagerError type too

https://bugs.freedesktop.org/show_bug.cgi?id=46283

Add a global act.h library header for bindings

https://bugs.freedesktop.org/show_bug.cgi?id=46283

lib: change loop iteration idiom

Some of the recent code for iterating through
the results of dbus code uses i when isn't an
integer.  I find that really hard to wrap my head
around, and it appears to be causing crashes.

(I believe the loop condition should be *i not i)

This commit changes things up to be, in my opinion,
clearer.

https://bugs.freedesktop.org/show_bug.cgi?id=46170

Port library to GDBus

Based on work by Robert Ancell,
https://bugs.freedesktop.org/show_bug.cgi?id=40364

Port daemon to GDBus

Based on work by Robert Ancell,
https://bugs.freedesktop.org/show_bug.cgi?id=40364

fix compute_object_path on ppc32

long isn't necessarily 64bit.  On big endian
architectures, where it's smaller than 64bit,
the compute_object_path function will get get
computed incorrectly.

Based on patch by Michel Dänzer <daenzer@debian.org>

http://bugs.freedesktop.org/show_bug.cgi?id=45738

autogen.sh: run configure from build directory

Also support the GNOME build api (NOCONFIGURE)

Be more careful when resetting the users icons

When the current icon is in /usr/share, and we reset the
icon, we try to delete a nonexisting icon file in
/var/lib/AccountsService/icons. Deal with this eventuality.

Be more careful when dealing with pw_passwd

Since we do checks that seem to imply it can't be NULL, be
consistent and assume everywhere that it may be NULL.

post-release bump

Updates

Don't use the non-standard fgetpwent() if not available.

The fgetpwent() function seems to be a Linux-specific extension. POSIX
does not specify such a function. I think we can even get rid of
fgetpwent() altogether, since we use it on /etc/passwd, which is already
the default.

Signed-off-by: Ed Schouten <ed@80386.nl>
https://bugs.freedesktop.org/show_bug.cgi?id=41747

Use <sys/wait.h>.

POSIX does not specify a header file called <wait.h>. This seems to be a
Linux-specific feature. It's called <sys/wait.h>.

Signed-off-by: Ed Schouten <ed@80386.nl>
https://bugs.freedesktop.org/show_bug.cgi?id=41747

Make use of <shadow.h> optional.

The <shadow.h> header is a Linux-specific extension. On FreeBSD, all
functionality is integrated into the <pwd.h> interface.

Signed-off-by: Ed Schouten <ed@80386.nl>
https://bugs.freedesktop.org/show_bug.cgi?id=41747

Make use of utmpx optional and buildable on FreeBSD.

Not all operating systems out there support utmpx. Examples include
OpenBSD, but also FreeBSD prior to version 9.0.

Also, FreeBSD's utmpx (fortunately) does not support utmpxname(), to
prevent applications from hardcoding the path to the wtmp file. Use the
setutxdb() function to switch to the wtmp database.

Signed-off-by: Ed Schouten <ed@80386.nl>
https://bugs.freedesktop.org/show_bug.cgi?id=41747

daemon: Only accept regular files when setting icon

We don't want to call cat on a FIFO, for instance.

lib: Don't track non-graphical sessions

If a user happens to be logged in at a VT, we don't
want to show them as "already logged in" or whatever.

This commit filters out vt sessions in the same way it
filters out sessions associated with the login screen.

daemon: load wtmp after passwd file

The passwd file handling code clears the list of loaded
users so we need to always do wtmp on top of it, instead of
before it.

Post-release version bump

0.6.14

Fix some mismatches in the stylesheet

The stylesheet was producing invalid docbook in some places.

Fix doc formatting

Fix fast user switching

libaccountsservice was trying to launch 'actflexiserver', which
does not exist. Use 'gdmflexiserver' instead, which does exist.
This was a copy-and-paste error from when libaccountsservice was
first introduced, a year ago.

po: add new po files

po: pull latest translations from transifex

daemon: call reload_users after timeout on passwd/shadow changes

Often the two files are changed in concert, so it makes sense to
wait a bit before doing a heavy reload operation.

Suggested by Vincent.

https://bugs.freedesktop.org/show_bug.cgi?id=39413

daemon: Monitor /etc/gdm/custom.conf for changes in autologin config

We also emit relevant signals when loading the file.

https://bugs.freedesktop.org/show_bug.cgi?id=39413