U 5i@sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z ddlmZddlmZddlmZddlmZdd lmZdd lTd d lmZd dlmZd dlmZd dlm Z Gdddej!Z!dS)N) pbkdf2_hmac)translit)AES)SHA256)RSA)get_random_bytes) PKCS1_v1_5)pad)*) send_email)auth)LdapStatusCode) Supervisorc sBeZdZdZdZejeej e j dddge jdZeddZed d Zd d Zed dZdhddZeddZdiddZddZdjddZeedddZdkedd d!Zedld"d#Z ed$d%Z!ed&d'Z"ed(d)Z#ed*d+Z$d,d-Z%d.d/Z&d0d1Z'd2d3Z(d4d5Z)ed6d7Z*ed8d9Z+ed:d;Z,dd?Z.dmd@dAZ/dndBdCZ0edDdEZ1edFdGZ2dodIdJZ3dpe4e5e5e5edKdLdMZ6edNdOZ7edqdPdQZ8fdRdSZ9dTdUZ:edVdWZ;eeed]d^Z?ed_d`Z@edrdadbZAeeBddcddddedfdgZCZDS)sCmfAuth modulesrZ templates)loaderZ autoescapecCst|jddS)N$base64 b64decode pass_hashsplitselfr./modules/auth/models/auth.pykey'sz CmfAuth.keycCst|jddS)Nrrrrrr salt+sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|SN)secrets token_hex token_lengthstrinttimer#hex)rserver_challengerrr gen_server_challenge/s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} || ||} t t j } t | t j | } | t| t j }| |S)Nrr rsha256順)r'lenbytesfromhexhashlibrencoder%r&rrZ block_sizenewZMODE_CBCZencryptr r+)clsloginpasswordr,startendZ server_randomZserver_timestampZ server_saltZtest_keyZ client_randomsecretZivZcipherZencrypted_secretrrr test_gen_server_challenge_resp5s$    z&CmfAuth.test_gen_server_challenge_resprestore_passwordFcCsv|jddt|jd}|dkr*|j|d<|rPtddd|d tj|Stddd |d tj|Sd S) u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hr=r7T)absolutezservicedesk/auth/?zauth/N)reset_pass_set_datadictreset_password_hashr7auth_base_hrefurllibparse urlencode)rZendpointZsdeskparamsrrr reset_pass_linkPs   "zCmfAuth.reset_pass_linkc Cs2tjj|dddgd}|sRt"tjjddd|ddd d W5QRXtd |jr|jt kr|jd t d krt"tjjddd|ddd d W5QRXt ddt j }| }|jd}|j|t d}tj}|j|jj||dt tjjdddd|idd W5QRXdS)Nreset_password_expiresr7emailr7fieldsZrestore_password_get_linkrzLogin not foundr7reasonfail)operatecmf_model_nameparent audit_data result_statusu,Такого пользователя нетQi,z Already sentuВам на почту уже отправлена ссылка для сброса пароля. Для повторной отправки повторите попытку позже.uCСсылка для восстановления доступа к zreset_password_email.html)Z restore_linkconfig)subjectok)modelsrgetcmfutil disable_aclCmfAudit audit_eventZ CmfAuthErrorrKr*ZCmfErrorrX HOSTNAME_FQDNrJ _jinja_envZ get_templateZrenderZCmfPluginMailBoxZget_local_mailboxZ send_messagerLvalue)r6r7rrYlinktemplatemessageZmail_boxrrr send_pass_link_sB          zCmfAuth.send_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N rW)r%Z token_urlsaferDr)r*rKsave)rr>rrr rBs zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rKr*rrrr reset_pass_is_expiredszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NZRS256ZJWT)ZalgtyprW)r7expscope.) r7rcr)r*rmr b64encodejsondumpsr4decode)rdayspayloadheaderrrr create_jwts zCmfAuth.create_jwt)jwtcCsFtt|d}tt|d}|d|S)Nrurtrn)rrorprqr4rr)rwrurtrrr jwt_to_strszCmfAuth.jwt_to_strcCs^|dkr||}ttj}t}||||}t | }|d|}|S)Nrn) rvrr5APPZrsa_private_keyrupdater4signrrorr)rrsrwZsignerdigestr{resrrr rsa_sign_pack_jwts   zCmfAuth.rsa_sign_pack_jwtc Cs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}|rttt|dkrtdt|ddS||dS)Nrnrlu9Время жизни токена закончилосьrurt)rrr5rzr4rrrryrsa_public_keyverifyrrrploadsr)r*gdebug) rjwtZ check_exprurt signaturer|rwverifierZverifiedrrr rsa_verify_unpack_jwts"     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)Nrnr)rrrrrrpr)rrurtrrrr rsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs|d\}}}t}|d|}||t|}d}z$t|}t |} | ||}Wn@t k r} z"d| } t | t | | W5d} ~ XYnX|S)NrnFu,Не удалось разобрать JWT: )rrr5rzr4rrrZ import_keyrr ValueErrorloggingerror) rZrsa_public_key_bytesrurtrr|rwr}rrerrrr rsa_verify_jwts     zCmfAuth.rsa_verify_jwtc Cs|td|stddSz||}Wn2tk r\}ztjdd}W5d}~XYnX|sptddS|dd}|dd|_|dd|_|dd |_ d|_ d|_ d}t j td rttd }|}W5QRX| |_ |j pd d D]T}|r||d r"d|_ |dkrtjjrtd|d|_ d|_ qtd|jd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtzfail unpack jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)T)emptyrtr7rmz/custom/org_name :r uCfrom_jwt: Доступ по билету тех поддержки zfrom_jwt: jwt is ok, z, z , is_local=)rrr Exceptionrylogger exceptionr7rLrmZjwt_is_supportZjwt_is_match_orgospathexists PROJECT_DIRopenreadstripr startswithglobal_settingsZ support_mode)r6rrwrobjorg_namefZpermrrr from_jwts@      "zCmfAuth.from_jwtc Cs|jdd|gdgd}|s0|jdd|gdgd}|sJ|jdd|gdgd}|stjj&tjjdddd|id d ||d W5QRXdS|jrt d |j d tjj.tjjddd|j ddd d |j |j d W5QRXt dt j jddS|jjdr|j d\}}tjj|drtjj|dgdD]}z||jj|}Wn:tk r}zt d|d|W5d}~XYnX|tjkrq\n|tjkrt dq\n|tjkr>|rdSd|_|d|} t j!"| dtjj4tjjddd|jjddd d |jj|jjd W5QRX|Sq>tjj4tjjddd|jjddd d |jj|jjd W5QRX|j#r||jjd!r||rdS|$||j#jrBd"|_|d|} t j!"| dtjj(tjjddd|d"dd d ||d W5QRX|Stjj(tjjddd|d"dd d ||d W5QRX|%d|} t j!"| d dS)#N ext_loginZILIKEz***)filterrNr7rLZ ident_failedrrQr rRrSrTrUrVsecurity_level parent_name parent_codeusПревышено количество попыток ввода пароля для учетной записи "u$", вход заблокирован auth_failedzToo many failed login attemptsrOunПревышено количество попыток ввода пароля, повторите через u минутZ allow_ldap@)domainplugin.*)rrNu/Ошибка авторизации через z: u6Учетная запись заблокированаZldapzauth:user_last_login_fail:rauth_successed)r7typerZZ allow_basebase)&r\cmfutilr]r^r[r_r`fail_block_end_daterrr7 cmf_alertrauth_fail_timeout auth_optionsrcrCmfAuthLdapPlugincountlistZsigninrrrZINVALID_CREDENTIALSZ USER_DISABLEDSUCCESS_is_permanent_blocklast_auth_typeauth_success_hooklowerryREDIS_DBsetr check_secretauth_fail_hook) r6r7Zchallenge_respr_r auth_pluginZldap_status_coderdb_keyrrr get_by_challenge_resps   (            zCmfAuth.get_by_challenge_respc Csrtjjrn|jrntd|jdtjj .t j j ddd|jdddd|j|jd W5QRXt d d Sd S) NuУчетная запись "u3" перманентно заблокированаrrzPermanent blockrOrQr rulУчетная запись заблокирована, обратитесь к администраторуTF)rrauth_fail_permanent_blockfail_permanent_blockrr7rrr]r^r[r_r`rrrrr rxs   zCmfAuth._is_permanent_blockc Cstjjs dS|jdkrdStjdd}d|}tj |}d t j t jdd}tj |||stjjddd|d d d d ||d td|}|r||krtjjddd|dd d d ||d tddS)Nrcaptchazauth:user_login_captcha:rkrrzRequire captcharOrQr riz Bad captcha)rrZauth_check_captchafail_try_counterrequestvaluesr\rryrjoinrandomchoicesstringdigitsrr[r_r`abortrr)rr7rrZ db_captchaZ new_captcharrr _auth_check_captchas<     zCmfAuth._auth_check_captchacCs\|jd7_|jtjjkrPtjjr,d|_ntjtjtjj j d|_ d|_| dS)Nr T)Zminutesr) rrrZauth_fail_try_countrrdatetimenow timedeltarrcrrirrrr rs  zCmfAuth.auth_fail_hookcCsd|_|dS)Nr)rrirrrr rszCmfAuth.auth_success_hookc Cs|jr|jdkrdS|j}|rVz t|}Wnttfk rDYdSX|tkrVdStjj}|r|j r|j t j |j d}||j krdSdS)u Проверка необходимости смены пароля с учетом типа последней авторизации. rFTrs)rZpassword_expires_must_changefloat TypeErrorrr*rrpassword_max_dayspassword_changed_daterrrcr)rZpassword_expires_valueZ expires_tsrZ expire_daterrr need_change_passwords    zCmfAuth.need_change_passwordcCs"|}||_||_||||Sr$)r7rL set_pass_hash)r6r7hashr#rrrr new_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256r r.zNot Implemented for )rrrrr4r)NotImplementedError) r6r;Z secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrr rs   zCmfAuth.check_secretc Cs|j|dddgd}|rd|||jjrdtjj&tj j ddd|iddd||d W5QRX|Stjj&tj j d dd|idd d||d W5QRXdS) Nrr7rmrMrrrZr )rRrSrUrTrVrrrrrQ) r\rrrcrrr]r^r[r_r`)r6r7r8rrrr from_login_passwords.  zCmfAuth.from_login_passwordcCsRtjjs dStjj|dgddgddgdD]"}|jr*|||jr*t|j q*dS)Nz-cmf_created_atrrrcmf_created_at)rTZorder_byslicerN) rrZpassword_check_historyr[CmfAuthHistoryZslistrrZCmfAuthReusePasswordErrorr)rr8historyrrr check_historys zCmfAuth.check_historyc CsNtjjs dS|}tjj|jdddgd}g}|t |j |j rf|t |j  |j r|t |j  |j r|t |j  t|D]B}t|ddd}t|dd}||kr||||kr||qttd d |}|D]D}t||d d|d dD] }d |} | |kr$tq$qdS)N first_name last_name second_namerMruT) language_codereversed)rcSs t|dkS)Nr )r0)irrr $z5CmfAuth.check_password_restrictions..r r r)rrZpassword_restrict_user_identityrr[ CmfPersonr\r7appendr(rrrrrrrziprZCmfAuthRestrictUserIdentity) rr8personZchecking_paramspZp1Zp2ZparamZ check_tripletZ check_strrrr check_password_restrictions s2       z#CmfAuth.check_password_restrictionscCs(t|}t|}|j|||ddS)Nr8)r1r2set_pass_hash_bytes)rrr#r8 hash_bytes salt_bytesrrr r.s  zCmfAuth.set_pass_hashc Cs|dk r||||t|}t|}d|d||_|jtj j |j d}|r|jd|_ t |jddW5QRXdS)Nzpbkdf2_sha256$100000$rr7FT)Z only_data)rrrrorrrrZset_nowr[rr\r7Zpassword_must_changer]r^ri)rrrr8rrrrrr r3s     zCmfAuth.set_pass_hash_bytescCstjSr$)rr)r6rrr current_authDszCmfAuth.current_authcCs:g}tdD]}|ttjtjq d|dS)Nrzutf-8) rangerrchoicer ascii_lettersrrr4)r6charsrrrr gen_saltHs zCmfAuth.gen_saltc Cs|dg|sPttjjj|}tjjj}tjjj}tjjj}|j ||||d}t | }t d||d}|j|||o~|dtjj,tjjddd|jidd |j|jd d W5QRX|S) uO Генерирует новый пароль :return: r7)lengthis_upper_symbol is_numberis_special_symbolr.r/rreset_passwordrNrZr )rRrSrUrTrVrrr)Z load_fieldsmaxrrZpassword_min_lengthrcZpassword_min_upper_symbolZpassword_min_numbersZpassword_min_special_symbol_generate_passwordrrr3rr4rrrr]r^r[r_r`r7) rrr8forcerr r r#rrrr r Os2      zCmfAuth.reset_password)rr r rreturncCsg}tjtjtj}|r6|tj7}|ttj|rL|ttj|rb|ttjtj||t |d}| |t |d |S)Nrr) rrrZascii_uppercaseZ punctuationrrrrr0extendZshuffler)rrr r rZ password_dataZlettersZ extra_symbolsrrr r ls   zCmfAuth._generate_passwordc Cs\dtj}d|g}t|||tjj&tjj dddd|id||ddW5QRXdS) Nu&Пароль для доступа к u Пароль: send_passwordrrLrZr )rRrSrTrUrVrrr) rXrar rrr]r^r[r_r`)r6r8rLrYZ msg_contentsrrr rs   zCmfAuth.send_passwordcCsnddlm}|}tj||d}||jtdddd|ddd}|jd kr\td t |j d d S) Nr)session)r7 rg_member_ofT)r@Zinternalz auth/signup)r7Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) Zrequestsrr[rriZpostrEZ status_coderrCZcookiesr\)r6r7rrsrrrrr create_persons  zCmfAuth.create_personc s|jjrZd|_|jjsZ|jD].}|j|D]}|jd|d|7_q*q|jj|_tj||}|jjrt t j ||jdW5QRX|S)Nrrr)rTr) groups is_changedrmis_nullrcrsuperrirr]r^r[r)rargskwargsrZgrp_namer} __class__rr ris  z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rr)r).0rrrr sz)CmfAuth.prepare_scope..r)rmrrrrrrr prepare_scopeszCmfAuth.prepare_scopecCs||}tjdkr|S|dd}zt|}Wn tk rRd}t|YnX|||}|sd|ddd}t |t||S)NFalsertissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) rrXZEVA_ACCOUNT_USErZread_crm_pub_key RuntimeErrorrrrr)r6 eva_app_tokenrwr&Z crm_pub_keyrrrrr check_tokens     zCmfAuth.check_token)usersc Osj||}|dd}|D]D}zt|d}dddddd d d g} d } |d r|jt|d | d} | r|| _q|j|| d} n|j|| d} | stj|d} t d|| |dpd} t| p|| _ |d pd} t| pd | _ | j jr$i| _ | js2g| _|| jkrJ| j|g| j |<|drt d|||| jkr| j|| j |=d| j _| Wq|dD]:} t d|d| d|| j || d| j _q|d| _t d|t d| j | tt d| jWqtk r^td|YqXqddiS) u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rtrr7rrmrreg_org_name_listrLrZ is_supportZis_adminNZ old_loginrMru(Создали пользователя rZ cmf_deletedu4Пользователь {} удален из Eva {}Tru,Добавляем пользователю u права u в Eva rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultrZ)r*r(rrr\r7r[rrrrirLrrrr,rformatremoverr cmf_commitrmrr)r6r)r+rrrwrZ user_dictr7_fieldsuserrLrZgrp_coderrr rpc_account_sync_pushsp                zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}|D]}tjj|dddgd} | s`t} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q6tjj d d d d |DgdD] } | qddiS)NcSsF|D]<}|dks|ds|dr&qt||rt||||qdS)N)idcodeZext_ipZcmf_Z_id)rendswithhasattrsetattr)rZobj_dictZ field_namerrr copy_fs z/CmfAuth.rpc_account_plugin_push..copy_frtrpluginr4r )ext_idrNrr;zNOT INcSsg|] }|dqS)r4r)r"rrrr r#,sz3CmfAuth.rpc_account_plugin_push..)rr-rZ) rXZIS_BOX_VERSIONr*r[Z CmfPluginr\r;rirrr:rdelete) r6r)Z auth_pluginsrrr9rwrrr:Zauth_plugin_objrrr rpc_account_plugin_pushs2     " zCmfAuth.rpc_account_plugin_pushcKsl|jtj|jjdtjtjd}ttdtj }|j d| f||dddd|t j |||f|dS)N)ZsecondsrZAUTH_SESSION_COOKIE_DOMAINZ session_tokenTLaxrexpiresZsecureZhttponlyZsamesite)Z reauth_daterrZaccess_token_expires_inrcrX PROLONG_DAYSgetattrrhost set_cookieZ get_tokenrset_nginx_token)rresponse cookie_kwargsr@ cookie_domainrrr set_session_token0s$  zCmfAuth.set_session_tokencKsL|jd|jtjddf|tjtjtjtjddddd|dS)Nrr rTr>r?)rDr~rXTOKEN_TTL_DAYSrrrrA)rrFrHrGrrr set_access_tokenBs   zCmfAuth.set_access_tokencKs<|stjtjtjd}|jd||dddd|dS)Nrnginx_auth_token password123Tr>r?)rLrM)rrrrXrJrD)rFrHr@rGrrr rEQszCmfAuth.set_nginx_tokenu_Разблокировка учетных записей по истечению времениz @minutely)Z only_once descriptionZ system_jobZschedulecCs^tjjr dStj}tjjdgdd|gddgd}|s:qZ|D]}d|_| q>t qdS)Nrs,