nixos/modules/services/admin/pgadmin.nix

   1 { config, lib, pkgs, ... }:
   2 let
   3   cfg = config.services.pgadmin;
   4
   5   _base = with lib.types; [ int bool str ];
   6   base = with lib.types; oneOf ([ (listOf (oneOf _base)) (attrsOf (oneOf _base)) ] ++ _base);
   7
   8   formatAttrset = attr:
   9     "{${lib.concatStringsSep "\n" (lib.mapAttrsToList (key: value: "${builtins.toJSON key}: ${formatPyValue value},") attr)}}";
  10
  11   formatPyValue = value:
  12     if builtins.isString value then builtins.toJSON value
  13     else if value ? _expr then value._expr
  14     else if builtins.isInt value then toString value
  15     else if builtins.isBool value then (if value then "True" else "False")
  16     else if builtins.isAttrs value then (formatAttrset value)
  17     else if builtins.isList value then "[${lib.concatStringsSep "\n" (map (v: "${formatPyValue v},") value)}]"
  18     else throw "Unrecognized type";
  19
  20   formatPy = attrs:
  21     lib.concatStringsSep "\n" (lib.mapAttrsToList (key: value: "${key} = ${formatPyValue value}") attrs);
  22
  23   pyType = with lib.types; attrsOf (oneOf [ (attrsOf base) (listOf base) base ]);
  24 in
  25 {
  26   options.services.pgadmin = {
  27     enable = lib.mkEnableOption "PostgreSQL Admin 4";
  28
  29     port = lib.mkOption {
  30       description = "Port for pgadmin4 to run on";
  31       type = lib.types.port;
  32       default = 5050;
  33     };
  34
  35     package = lib.mkPackageOption pkgs "pgadmin4" { };
  36
  37     initialEmail = lib.mkOption {
  38       description = "Initial email for the pgAdmin account";
  39       type = lib.types.str;
  40     };
  41
  42     initialPasswordFile = lib.mkOption {
  43       description = ''
  44         Initial password file for the pgAdmin account. Minimum length by default is 6.
  45         Please see `services.pgadmin.minimumPasswordLength`.
  46         NOTE: Should be string not a store path, to prevent the password from being world readable
  47       '';
  48       type = lib.types.path;
  49     };
  50
  51     minimumPasswordLength = lib.mkOption {
  52       description = "Minimum length of the password";
  53       type = lib.types.int;
  54       default = 6;
  55     };
  56
  57     emailServer = {
  58       enable = lib.mkOption {
  59         description = ''
  60           Enable SMTP email server. This is necessary, if you want to use password recovery or change your own password
  61         '';
  62         type = lib.types.bool;
  63         default = false;
  64       };
  65       address = lib.mkOption {
  66         description = "SMTP server for email delivery";
  67         type = lib.types.str;
  68         default = "localhost";
  69       };
  70       port = lib.mkOption {
  71         description = "SMTP server port for email delivery";
  72         type = lib.types.port;
  73         default = 25;
  74       };
  75       useSSL = lib.mkOption {
  76         description = "SMTP server should use SSL";
  77         type = lib.types.bool;
  78         default = false;
  79       };
  80       useTLS = lib.mkOption {
  81         description = "SMTP server should use TLS";
  82         type = lib.types.bool;
  83         default = false;
  84       };
  85       username = lib.mkOption {
  86         description = "SMTP server username for email delivery";
  87         type = lib.types.nullOr lib.types.str;
  88         default = null;
  89       };
  90       sender = lib.mkOption {
  91         description = ''
  92           SMTP server sender email for email delivery. Some servers require this to be a valid email address from that server
  93         '';
  94         type = lib.types.str;
  95         example = "noreply@example.com";
  96       };
  97       passwordFile = lib.mkOption {
  98         description = ''
  99           Password for SMTP email account.
 100           NOTE: Should be string not a store path, to prevent the password from being world readable
 101         '';
 102         type = lib.types.path;
 103       };
 104     };
 105
 106     openFirewall = lib.mkEnableOption "firewall passthrough for pgadmin4";
 107
 108     settings = lib.mkOption {
 109       description = ''
 110         Settings for pgadmin4.
 111         [Documentation](https://www.pgadmin.org/docs/pgadmin4/development/config_py.html)
 112       '';
 113       type = pyType;
 114       default = { };
 115     };
 116   };
 117
 118   config = lib.mkIf (cfg.enable) {
 119     networking.firewall.allowedTCPPorts = lib.mkIf (cfg.openFirewall) [ cfg.port ];
 120
 121     services.pgadmin.settings = {
 122       DEFAULT_SERVER_PORT = cfg.port;
 123       PASSWORD_LENGTH_MIN = cfg.minimumPasswordLength;
 124       SERVER_MODE = true;
 125       UPGRADE_CHECK_ENABLED = false;
 126     } // (lib.optionalAttrs cfg.openFirewall {
 127       DEFAULT_SERVER = lib.mkDefault "::";
 128     }) // (lib.optionalAttrs cfg.emailServer.enable {
 129       MAIL_SERVER = cfg.emailServer.address;
 130       MAIL_PORT = cfg.emailServer.port;
 131       MAIL_USE_SSL = cfg.emailServer.useSSL;
 132       MAIL_USE_TLS = cfg.emailServer.useTLS;
 133       MAIL_USERNAME = cfg.emailServer.username;
 134       SECURITY_EMAIL_SENDER = cfg.emailServer.sender;
 135     });
 136
 137     systemd.services.pgadmin = {
 138       wantedBy = [ "multi-user.target" ];
 139       after = [ "network.target" ];
 140       requires = [ "network.target" ];
 141       # we're adding this optionally so just in case there's any race it'll be caught
 142       # in case postgres doesn't start, pgadmin will just start normally
 143       wants = [ "postgresql.service" ];
 144
 145       path = [ config.services.postgresql.package pkgs.coreutils pkgs.bash ];
 146
 147       preStart = ''
 148         # NOTE: this is idempotent (aka running it twice has no effect)
 149         # Check here for password length to prevent pgadmin from starting
 150         # and presenting a hard to find error message
 151         # see https://github.com/NixOS/nixpkgs/issues/270624
 152         PW_FILE="$CREDENTIALS_DIRECTORY/initial_password"
 153         PW_LENGTH=$(wc -m < "$PW_FILE")
 154         if [ $PW_LENGTH -lt ${toString cfg.minimumPasswordLength} ]; then
 155             echo "Password must be at least ${toString cfg.minimumPasswordLength} characters long"
 156             exit 1
 157         fi
 158         (
 159           # Email address:
 160           echo ${lib.escapeShellArg cfg.initialEmail}
 161
 162           # file might not contain newline. echo hack fixes that.
 163           PW=$(cat "$PW_FILE")
 164
 165           # Password:
 166           echo "$PW"
 167           # Retype password:
 168           echo "$PW"
 169         ) | ${cfg.package}/bin/pgadmin4-cli setup-db
 170       '';
 171
 172       restartTriggers = [
 173         "/etc/pgadmin/config_system.py"
 174       ];
 175
 176       serviceConfig = {
 177         User = "pgadmin";
 178         DynamicUser = true;
 179         LogsDirectory = "pgadmin";
 180         StateDirectory = "pgadmin";
 181         ExecStart = "${cfg.package}/bin/pgadmin4";
 182         LoadCredential = [ "initial_password:${cfg.initialPasswordFile}" ]
 183           ++ lib.optional cfg.emailServer.enable "email_password:${cfg.emailServer.passwordFile}";
 184       };
 185     };
 186
 187     users.users.pgadmin = {
 188       isSystemUser = true;
 189       group = "pgadmin";
 190     };
 191
 192     users.groups.pgadmin = { };
 193
 194     environment.etc."pgadmin/config_system.py" = {
 195       text = lib.optionalString cfg.emailServer.enable ''
 196         import os
 197         with open(os.path.join(os.environ['CREDENTIALS_DIRECTORY'], 'email_password')) as f:
 198           pw = f.read()
 199         MAIL_PASSWORD = pw
 200       '' + formatPy cfg.settings;
 201       mode = "0600";
 202       user = "pgadmin";
 203       group = "pgadmin";
 204     };
 205   };
 206 }