B f@sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z mZddlmZmZddlmZddlmZddlmZdd lmZmZdd lTd d lmZd dlmZd dl m!Z!Gdddej"Z"dS)N) pbkdf2_hmac) urlencode)AES PKCS1_OAEP)SHA1SHA256)RSA)get_random_bytes) PKCS1_v1_5)padunpad)*) send_email)auth) SupervisorcseZdZdZdZeddZeddZddZe d d Z dZd d Z d[ddZ ddZ d\ddZeedddZd]edddZeddZeddZedd Ze d!d"Ze d#d$Zd%d&Zd'd(Zd)d*Zd+d,Ze d-d.Ze d/d0Ze d1d2Zd3d4Z d^d5d6Z!d_d7d8Z"e d9d:Z#e d;d<Z$d`d>d?Z%e d@dAZ&e dadBdCZ'fdDdEZ(dFdGZ)e dHdIZ*e e+dJdKdLZ,e dMdNZ-edOdPZ.edQdRZ/edbdSdTZ0ee1ddUddVdWdXdYZ2Z3S)cCmfAuth cCst|jddS)N$)base64 b64decode pass_hashsplit)selfr./modules/auth/models/auth.pykey!sz CmfAuth.keycCst|jddS)Nr)rrrr)rrrrsalt%sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|S)N)secrets token_hex token_lengthstrinttimer!hex)rserver_challengerrrgen_server_challenge)s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} t t t }|| ||} t t j} t | t j| } | t| t j}| |S)Nrrrsha256i)r$lenbytesfromhexhashlibrencoder"r#r%r&r'r rZ block_sizenewZMODE_CBCZencryptr r()clsloginpasswordr)startendZ server_randomZserver_timestampZ server_saltZtest_keyZ client_randomsecretZivZcipherZencrypted_secretrrrtest_gen_server_challenge_resp/s    z&CmfAuth.test_gen_server_challenge_resprestore_passwordcCsL|jddt|jd}|dkr*|j|d<tddd|d tj|S) u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hr9r3T)absolutezauth/?)reset_pass_set_datadictreset_password_hashr3auth_base_hrefurllibparser)rZendpointparamsrrrreset_pass_linkLs    zCmfAuth.reset_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N iQ)r"Z token_urlsafer@r&r'reset_password_expiressave)rr:rrrr>Ws zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rGr')rrrrreset_pass_is_expiredeszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NZRS256ZJWT)ZalgtypiQ)r3expscope.) r3valuer&r'rLr b64encodejsondumpsr0decode)rdayspayloadheaderrrr create_jwtis  zCmfAuth.create_jwt)jwtcCsFtt|d}tt|d}|d|S)NrUrTrM)rrOrPrQr0rR)rWrUrTrrr jwt_to_struszCmfAuth.jwt_to_strcCs^|dkr||}ttj}t}||||}t | }|d|}|S)NrM) rVr r1APPZrsa_private_keyrupdater0signrrOrR)rrSrWZsignerdigestr[resrrrrsa_sign_pack_jwt{s   zCmfAuth.rsa_sign_pack_jwtcCs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}ttt|dkrtdt|ddS||dS)NrMrKu9Время жизни токена закончилось)rUrT)rrr1rZr0rrr rYrsa_public_keyverifyrRrPloadsr&r'gdebug)rjwtrUrT signaturer\rWverifierZverifiedrrrrsa_verify_unpack_jwts"     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)NrM)rUrT)rrrrRrPra)rdrUrTrerrrrsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs^|d\}}}t}|d|}||t|}t|}t |}| ||S)NrM) rrr1rZr0rrrZ import_keyr r`) rdZrsa_public_key_bytesrUrTrer\rWr_rfrrrrsa_verify_jwts   zCmfAuth.rsa_verify_jwtc Cstd|stddSy||}Wn2tk r\}ztjdd}Wdd}~XYnX|sptddS|dd}|dd|_|dd|_|dd |_ d|_ d|_ d}t j td rttd }|}WdQRX| |_ xh|j pd d D]T}|r||d r$d|_ |dkrtjjrtd|d|_ d|_ qWtd|jd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtzfail unpack jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)T)emptyrTr3rLz/custom/org_name :r uCfrom_jwt: Доступ по билету тех поддержки zfrom_jwt: jwt is ok, z, z , is_local=)rbrcrg ExceptionrYZlogger exceptionr3emailrLZjwt_is_supportZjwt_is_match_orgospathexistsZ PROJECT_DIRopenreadstripr startswithglobal_settingsZ support_mode)r2rdrWeobjorg_namefZpermrrrfrom_jwts@      "zCmfAuth.from_jwtc Cs|jdd|gdgd}|s0|jdd|gdgd}|sJ|jdd|gdgd}|stjj(tjjdddd|id d d ||d WdQRXdS|jrt d |j dtjj0tjjddd|j ddd d d |j |j d WdQRXt dt j jddS|jjdrP|j d\}}tjj|drPxtjj|dgdD]}y||jj|}Wn:tk r}zt d|d|Wdd}~XYnjX|rF|rdS|tjj6tjjddd|jjdddd d |jj|jjd WdQRX|SqFWtjj6tjjddd|jjddd d d |jj|jjd WdQRX|jr |jjdr |||jjr|rdS|tjj*tjjddd|d ddd d ||d WdQRX|Stjj*tjjddd|d dd d d ||d WdQRX|dS)!N ext_loginZILIKEz***)filterfieldsr3rpZ ident_failedrfailTr) operatecmf_model_nameparent audit_data result_statuscurrent_transactionsecurity_level parent_name parent_codeusПревышено количество попыток ввода пароля для учетной записи "u$", вход заблокирован auth_failedzToo many failed login attempts)r3reasonunПревышено количество попыток ввода пароля, повторите через u минутZ allow_ldap@)domainzplugin.*)rru/Ошибка авторизации через z: auth_successedZldap)r3typeokZ allow_basebase)getcmfutilcmfutil disable_aclmodelsCmfAudit audit_eventfail_block_end_daterbrcr3 cmf_alertrxauth_fail_timeout auth_optionsrNrCmfAuthLdapPlugincountlistZsigninr~rn_is_permanent_blockauth_success_hookr check_secretauth_fail_hook) r2r3Zchallenge_resprz_r auth_pluginZis_successful_signinryrrrget_by_challenge_resps  (         zCmfAuth.get_by_challenge_respc Csttjjrp|jrptd|jdtjj 0t j j ddd|jddddd |j|jd WdQRXt d dSd S) NuУчетная запись "u3" перманентно заблокированаrrzPermanent block)r3rrTr) rrrrrrrrrulУчетная запись заблокирована, обратитесь к администраторуF)rbrxauth_fail_permanent_blockfail_permanent_blockrcr3rrrrrrrr)rrrrr8s  zCmfAuth._is_permanent_blockc Cstjjs dS|jdkrdStjdd}d|}tj|}d t j t j dd}tj|||stjjddd|d d d d d ||d td|}|r||krtjjddd|dd d d d ||d tddS)Nrcaptchazauth:user_login_captcha:rk)krrzRequire captcha)r3rrTr) rrrrrrrrriz Bad captcha)rbrxZauth_check_captchafail_try_counterrequestvaluesrrYZREDIS_DBjoinrandomchoicesstringdigitssetrrrabortrR)rr3rZdb_keyZ db_captchaZ new_captcharrr_auth_check_captchaOs,          zCmfAuth._auth_check_captchacCs\|jd7_|jtjjkrPtjjr,d|_ntjtjtjj j d|_ d|_| dS)NrT)Zminutesr) rrbrxZauth_fail_try_countrrdatetimenow timedeltarrNrrH)rrrrrns zCmfAuth.auth_fail_hookcCsd|_|dS)Nr)rrH)rrrrr|szCmfAuth.auth_success_hookcCs"|}||_||_||||S)N)r3rp set_pass_hash)r2r3hashr!rzrrrnew_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256rr+zNot Implemented for )rrrrr0r&NotImplementedError) r2r7Z secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrrrs   zCmfAuth.check_secretc Cs|j|dddgd}|rf|||jjrftjj(tj j ddd|idddd ||d WdQRX|Stjj(tj j d dd|idd dd ||d WdQRXdS) Nrr3rL)r3rrrrTr) rrrrrrrrrrr) rrrrNrrrrrrr)r2r3r4rrrrfrom_login_passwords  zCmfAuth.from_login_passwordcCsVtjjs dSxDtjj|dgddgddgdD]"}|jr,|||jr,t|j q,WdS)Nz-cmf_created_atrrcmf_created_at)rZorder_byslicer) rbrxZpassword_check_historyrCmfAuthHistoryZslistrrZCmfAuthReusePasswordErrorr)rr4historyrrr check_historyszCmfAuth.check_historycCs(t|}t|}|j|||ddS)N)r4)r-r.set_pass_hash_bytes)rrr!r4 hash_bytes salt_bytesrrrrs  zCmfAuth.set_pass_hashc Cs|dk r||t|}t|}d|d||_|jtjj |j d}|r|jd|_ t |jddWdQRXdS)Nzpbkdf2_sha256$100000$r)r3FT)Z only_data)rrrOrRrZpassword_changed_dateZset_nowr CmfPersonrr3Zpassword_must_changerrrH)rrrr4rrpersonrrrrs    zCmfAuth.set_pass_hash_bytescCstjS)N)rbr)r2rrr current_authszCmfAuth.current_authcCs>g}x(tdD]}|ttjtjqWd|dS)Nrkzutf-8) rangeappendrchoicer ascii_lettersrrr0)r2charsirrrgen_saltszCmfAuth.gen_saltc s|dgtjtj|s8dfddt|D}t|}t d| |d}|j |||of|dt j j.tjjdd d|jid d d |j|jd d Wd QRX|S)uO Генерирует новый пароль :return: r3rkc3s|]}tVqdS)N)rr).0r)lettersrr sz)CmfAuth.reset_password..r+i)r4reset_passwordrNrTr) rrrrrrrrr)Z load_fieldsrrrrrrrr/rr0rrrrrrrrr3)rlengthr4forcer!rr)rrrs     zCmfAuth.reset_passwordc Cs^dtj}d|g}t|||tjj(tjj dddd|idd||dd WdQRXdS) Nu&Пароль для доступа к u Пароль: send_passwordrrprTr) rrrrrrrrr) configZ HOSTNAME_FQDNrrrrrrrr)r2r4rpZsubjectZ msg_contentsrrrrs   zCmfAuth.send_passwordcCsnddlm}|}tj||d}||jtdddd|ddd}|jd kr\td t |j d d S) Nr)session)r3 rg_member_ofT)r<Zinternalz auth/signup)r3Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) ZrequestsrrrrHZpostrAZ status_codernr?Zcookiesr)r2r3rrsrrrrr create_persons   zCmfAuth.create_personc s|jjrbd|_|jjsbx<|jD]2}x,|j|D]}|jd|d|7_q.WqW|jj|_tj||}|jjrt t j ||jdWdQRX|S)Nrkrlrm)rr) groups is_changedrLis_nullrNrvsuperrHrrrrr)rargskwargsr{Zgrp_namer]) __class__rrrH s " z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rmr)r)rrrrr sz)CmfAuth.prepare_scope..rl)rLrrr)rrrr prepare_scopeszCmfAuth.prepare_scopecCs||}tjdkr|S|dd}yt|}Wn tk rRd}t|YnX|||}|sd|ddd}t |t||S)NFalserTissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r{!) rhrZEVA_ACCOUNT_USErZread_crm_pub_key RuntimeErrorrnriloggingerror)r2 eva_app_tokenrWrZ crm_pub_keyrr`rrr check_token!s     zCmfAuth.check_token)usersc Osn||}|dd}xL|D]B}yt|d}dddddd g} d } |d r|jt|d | d } | r|| _q|j|| d } n|j|| d } | stj|d } t d|| |dpd} t| p|| _ |d pd} t| pd | _ | j jr$i| _ | js2g| _|| jkrJ| j|g| j |<|drt d|||| jkr| j|| j |=d| j _| wxF|dD]:} t d|d| d|| j || d| j _qW|d| _t d|t d| j | tt d| jWqtk r`td|YqXqWddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rTr{r3rrLrreg_org_name_listrpr~NZ old_login)r3r)r3u(Создали пользователя rkZ cmf_deletedu4Пользователь {} удален из Eva {}Tru,Добавляем пользователю u права u в Eva rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultr)rr%lowerrvrr3rrrrcrHrpr~rrrrformatremoverrZcommit_with_eventrLrnro)r2rrrrrWr{Z user_dictr3_fieldsuserrpr~Zgrp_coderrrrpc_account_sync_push3sf              zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}x|D]}tjj|dddgd} | sbt} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q8Wx.tjj d d d d |DgdD] } | qWddiS)NcSsJxD|D]<}|dks|ds|dr(qt||rt||||qWdS)N)idcodeZext_ipZcmf_Z_id)rwendswithhasattrsetattr)rzZobj_dictZ field_namerrrcopy_fzs   z/CmfAuth.rpc_account_plugin_push..copy_frTr{pluginrr )ext_idrzplugin.*r zNOT INcSsg|] }|dqS)rr)rrzrrrrsz3CmfAuth.rpc_account_plugin_push..)rrr) rZIS_BOX_VERSIONrrZ CmfPluginrr rHrr{rrdelete) r2rZ auth_pluginsrrrrWr{rrZauth_plugin_objrrrrpc_account_plugin_pushvs2      $ zCmfAuth.rpc_account_plugin_pushcKsl|jtj|jjdtjtjd}ttdtj }|j d| f||dddd|t j |||f|dS)N)Zseconds)rSZAUTH_SESSION_COOKIE_DOMAINZ session_tokenTLax)rexpiressecurehttponlysamesite)Z reauth_daterrZaccess_token_expires_inrNr PROLONG_DAYSgetattrrZhost set_cookieZ get_tokenrset_nginx_token)rresponse cookie_kwargsr  cookie_domainrrrset_session_tokens$ zCmfAuth.set_session_tokencKsL|jd|jtjddf|tjtjtjtjddddd|dS)Nrr)rSTr )rr rrr)rr^rTOKEN_TTL_DAYSrrrr)rrrrrrrset_access_tokens  zCmfAuth.set_access_tokencKs<|stjtjtjd}|jd||dddd|dS)N)rSnginx_auth_token password123Tr )rr rrr)rr)rrrrrr)rrr rrrrrs zCmfAuth.set_nginx_tokenu_Разблокировка учетных записей по истечению времениz @minutely)Z only_once descriptionZ system_jobZschedulecCsftjjr dStj}xJtjjdgdd|gddgd}|srIrV staticmethodr?rXr%r^rgrhrir}rrrrrrrrrrrrrrrrrHrrrrr rrrZcmf_deferred_jobr  __classcell__rr)rrrsd       ( Y          B "   r)#rrr/rPrr"rr'rBrZ urllib.parserZ Crypto.CipherrrZ Crypto.HashrrZCrypto.PublicKeyrZ Crypto.Randomr ZCrypto.Signaturer ZCrypto.Util.Paddingr r Z cmf.includerprrrZ supervisorrrrrrrs*