Scripts auth: don't activate on 127.0.0.1 either

The scripts auth module has long delegated to the standard Django auth when the
hostname was localhost, in order to ignore local dev server instances. This
makes it also delegate to standard Django for 127.0.0.1 as well.  I'm not sure
why this hadn't come up before now... A quick look at the Django codebase
suggests this isn't a recent change.

Use API function instead of UNUSABLE_PASSWORD

Yay abstractions, or something.

Set a password of UNUSABLE_PASSWORD

* Changes ScriptsRemoteUserBackend's configure_user method to set the default
  password to UNUSABLE_PASSWORD instead of ScriptsSSLAuth. UNUSABLE_PASSWORD
  displays in the admin as "Password: None", instead of an ugly error message.
  This should fix "Unknown password hashing algorithm" errors for users
  correctly created in the future. (ASA-#132)

* Adds a migration to change current users with passwords of "" or
  "ScriptsSSLAuth" to a password of UNUSABLE_PASSWORD ("!"). This will fix
  ASA-#132 and the symptoms of ASA-#133 for already-existent users.

kinit when creating a MoiraList object

This allows group/diffs.py to work without kinit'ing outside the script, fixing
the key deficiency in ac9b167bcf85a9f723e27967649c2c033f2259da.

Wrappers for safely calling commands in a new PAG

The usual mechanism for starting a new PAG is pagsh(1). Unfortunately, because
it basically just execvp(3) /bin/sh passing the appropriate arguments, it isn't
immediately obvious how to safely pass arguments that may contain shell
metacharacters. By using the shell's exec and taking advantage of the fact that
later arguments to /bin/sh end up in $@ we can safely avoid shell
metacharacters. We wrap subprocess.check_{call,output} in
pag_check_{call,output}, which perform appropriate contortions to establish the
PAG before safely executing the passed commands without evaluating any
metacharacters.

Validate constitution_url (ASA-#76)

Django MIT plugin: Don't crash on users with hidden emails (ASA Trac: #63)

Function to create an MIT user with LDAP data

This adds a function get_or_create_mit_user. As with the "get_or_create"
methods on managers, this returns an object satisfying some conditions,
creating it if necessary. In this case, we return a User object that's
populated using data from MIT's LDAP. If the user does not exist and
cannot be found in LDAP, we raise an exception.

Scripts auth: Use ldap-too for LDAP server

Apparently it includes email addresses for people who have suppressed it,
unlike ldap.mit.edu.

Merge "upstream" fixes from SIPB's snippets

localhost check needs to use portless-HTTP_HOST

As a bonus, this gets around the problem that the Django dev server doesn't
set REQUEST_URI.

Add scripts_login, to do cert login if possible

Shamelessly lift MIT-specific code from Remit