Hallo zusammen!

Ich bastel mir gerade eine Art Subversion-Wrapper, der mir ein paar Sonderfeatures in den schnöden svn-Alltag bringen soll.

An einer Stelle, im update-Fall, um genau zu sein, soll der Dialog mit Suibversion weitesgehend automatisiert stattfinden. Die Login-Infos sollen aber noch händisch übergeben werden.

Folgendes Expect-Skript ist herausgekommen:

#!/usr/bin/expect -f
set timeout 15
spawn /usr/bin/svn update
expect "^Error validating server certificate" { send "t\r" }

# Linux-Benutzerkennwort
expect "^Password" { interact }

# Benutzername fürs Repository
expect "^Username" { interact }

# Passwort fürs Repsository
expect "^Password" { interact }

# Tu dies, tu das, tu jenes, blabla

interact

Das Script funktioniert zwar, aber es hat seltsame Macken: 1. Wenn ich mein Linux-PW eingebe, sehe ich es in Klartext auf der Konsole - nicht gut, aber ich könnte damit leben, wenns sein muss.

2. Nachdem ich das PW eingegeben habe, passiert erstmal gar nichts, und zwar deutlich länger als die 15 Sekunden Timeout - Das ist wirklich nervig, anfangs dachte ich immer, es würde gar nicht funktionieren, aber nach etwa einer Minute gehts dann weiter.

3. Nachdem man den Benutzernamen fürs Repo eingegeben hat, was (bisher) ohne Zwischenfall funktioniet hat, kommt man zur Eingabe seines Repo-Kennwortes, was im Gegensatz zum Linux-PW auch anständig unkenntlich gemacht wird. - Gut, das ist zwar in dem Sinne kein Problem, irritiert mich aber. Weshalb geht das eine und für das andere nicht?

Kann es sein, dass die Linux-Kennwort-Abfrage als ein eigener Prozess zwischengeschoben wird? Das könnte die Wartezeit erklären, aber nicht, weshalb die Passwortverschleierung nicht greift...

Danke für Eure (hoffentlich baldigen ) Antworten!

Hi,

offenbar konnte mit meiner Darstellung niemand etwas anfangen. Expect scheint ohnehin nicht besonders populär zu sein, zumindest finde, dass es unzureichend dokumentiert ist. Manpages gibt es natürlich, aber wenn man neu in einem Thema ist, helfen sie einem oftmals nicht weiter. Was fehlt sind gute Einsteigertutorials. Die, die ich gefunden habe, geben entweder nur einen minimalistischen Einblick oder sind akademisch angehauchte Dokumente, die inzwischen völlig überholte Praxisbeispiele geben, aber keine Probleme thematisieren. Die Referenz seitens der tcl-Entwickler versucht einfach mal alle Informationen auf mögluchst wenig Platz unterzubringen, was mir aus didaktischer Sicht eher unvorteilhaft erscheint. Vermutlich steht dort irgendwo die Antworten zu meinen Fragen, nur habe ich sie nicht finden können.

Naja, macht nichts, ich habe nun einen etwas anderen Lösungsansatz verfolgt, bei dem ich völlig auf das interactive-kommando verzichten konnte, von dem vermutlich die Probleme ausgingen. Der Workflow erscheint zwar nicht mehr ganz svn-konform, aber egal.

Herausgekommen ist ein Script, dem die Login-Daten als Parameter übergeben werden. Das Bash-script, von dem aus es gestartet wird, fragt sie vorher jeweils mit read und read -s ab.

set timeout 15
set user [lindex $argv 0]
set pw [lindex $argv 1]
send_user "$pw\n"
spawn /usr/bin/originalsvn update
sleep 3
expect "Error validating server certificate" { send "t\r" }
expect "Password" { send "\r\n" }
expect "Username" { send "$user\r" }
expect "Password" { send "$pw\r" }
# weitere Expects
interact

Ein mehr oder weniger witziger Umstand ist allerdings geblieben:

Die Zeile

expect "Password" { send "\r\n" }

bezieht sich auf die Eingabe des Linux-Benutzer-Passwortes. Wie man sieht, wird es einfach leer abgeschickt, da ich zufälligerweise bemerkt habe, dass es keine Rolle spielt, was man dort eingibt. Es wäre mal sehr interessant zu wissen, wodurch das bedingt ist.

Normalerweise würde an der Stelle ja der Gnome-Keyring greifen, da ich aber generell keine PWs speichere (außer in meinem Kopf oder kryptisch auf Papier ), habe ich das Paket vollstänsdig mit Synaptic entfernt. Dabei wurden auch andere Abhängigkeiten runtergeworfen (u.A. dieser Ubuntu-Softwaremanager). Bevor ich das Paket entfernt habe, hatte ich noch an den subversion-konfigurationsdateien rumgreschraubt, um das Vorhalten von Passwörtern zu unterbinden. Kann dort eine Einstellung dazu führen, dass Das User-Passwort abgefragt wird, ohne korrekt sein zu müssen?

Wow, ist ja doch mehr Text geworden, als gedacht, ich hoffe, man kann noch durchsteigen.

Mir scheint, Du benutzt expect hier in einem etwas ungewöhnlichen Kontext.

Geht subversion nicht normalerweise über den Browser ? - dann wäre curl eher das Mittel der Wahl, um so etwas zu skripten.

Normalerweise ist expect ja dafür gedacht, irgendwelche CL- Dialoge zu zähmen, die sich einem normalen Skript widersetzen.
Aber auf was für eine Schnittstelle gehst Du hier ? (und: welcher Text wird auf welchem Gerät ausgegeben ?)

Im Übrigen sind Passwörter, die irgendwo unverschlüsselt in irgendwelchen Skripten herumgeistern, sehr viel unsicherer als der Gnome-Keyring.
(der ist wenigstens sauber verschlüsselt !)

track

track schrieb:

Mir scheint, Du benutzt expect hier in einem etwas ungewöhnlichen Kontext.

Jein, ich benutze subversion auf der commandline, deswegen is es schon der richtige Kontext, also was cl und so angeht, aber beim nächsten Mal, wenn ich mal wieder ein Programm automatisiert steuern muss, werde ich etwas anderes benutzen als expect. Das lässt sich dafür umso besser zum Testen von CL-Programmen benutzen. Der Name suggeriert das ja schon ein bisschen.

track schrieb:

Im Übrigen sind Passwörter, die irgendwo unverschlüsselt in irgendwelchen Skripten herumgeistern, sehr viel unsicherer als der Gnome-Keyring.
(der ist wenigstens sauber verschlüsselt !)

Das mit der Passworteingabe über das Script ist sicherheitstechnisch überschaubar. Es wird nichts gespeichert, nur weitergerreicht. Das Script selbst kann ohne Rechte nicht verändert werden.

EDIT: Die Sache mit dem seltsamen subversionverhalten und die enstprechende Aufklärung steht nicht hier, falls jemand sich wundert, sondern ist unter http://forum.ubuntuusers.de/topic/subversion-fragt-nach-passwort-verarbeitet-es-/ zu finden.

Ich hätte es ja auch gerne anders gemacht, aber ich habe es nicht geschafft die Interaktion zwischen Subversion und dem User wieder aufzuheben, nachdem er seinen Anmeldedialog beendet hat und mit den Send-aktionen im Script fortzufahren.

Für mich hat sich die Sache erledigt. Alles läuft wie es soll. Trotzdem danke für dein Interesse, Track.

Wie gesagt, falls trotzdem jemand weiß, wie man die Akteure bei einer Kommunikation mit einem Prozess gegeneinander austauschen kann, wäre ein kurzer Hinweis sehr nett.

Ciao