U Įwh @sddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z ddlmZddlmZddlmZddlmZdd lTd d lmZd d lmZd dlmZd dlmZGdddejZdS)N) pbkdf2_hmac)AES)SHA256)RSA)get_random_bytes) PKCS1_v1_5)pad)*) send_email)auth)LdapStatusCode) Supervisorc s,eZdZdZdZejeej e j dddgdZ eddZed d Zd d Zed dZddddZeddZdeddZddZdfddZeedddZdgedd d!Zed"d#Zed$d%Zed&d'Z ed(d)Z!ed*d+Z"d,d-Z#d.d/Z$d0d1Z%d2d3Z&ed4d5Z'ed6d7Z(ed8d9Z)d:d;Z*dhdd?Z,ed@dAZ-edBdCZ.djdEdFZ/dke0e1e1e1edGdHdIZ2edJdKZ3edldLdMZ4fdNdOZ5dPdQZ6edRdSZ7ee8dTdUdVZ9edWdXZ:edYdZZ;ed[d\Zdd_dd`dadbdcZ?Z@S)nCmfAuth modulesr Z templates)loadercCst|jddS)N$base64 b64decode pass_hashsplitselfr./modules/auth/models/auth.pykey#sz CmfAuth.keycCst|jddS)Nrrrrrrsalt'sz CmfAuth.saltcCs2t|j}|ttt7}||j7}|SN)secrets token_hex token_lengthstrinttimer"hex)rserver_challengerrrgen_server_challenge+s zCmfAuth.gen_server_challengecCsd|jd}}|||}||d}}|||}|t|}}t|||}td||d} t|j} t t t }|| ||} t t j} t | t j| } | t| t j}| |S)Nrr rsha256順)r&lenbytesfromhexhashlibrencoder$r%r'r(r)rrZ block_sizenewZMODE_CBCZencryptrr*)clsloginpasswordr+startendZ server_randomZserver_timestampZ server_saltZtest_keyZ client_randomsecretZivZcipherZencrypted_secretrrrtest_gen_server_challenge_resp1s&    z&CmfAuth.test_gen_server_challenge_resprestore_passwordFcCsv|jddt|jd}|dkr*|j|d<|rPtddd|d tj|Stddd |d tj|Sd S) u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hr<r6T)absolutezservicedesk/auth/?zauth/N)reset_pass_set_datadictreset_password_hashr6auth_base_hrefurllibparse urlencode)rZendpointZsdeskparamsrrrreset_pass_linkNs   "zCmfAuth.reset_pass_linkc Cs4tjj|dgd}|sPt$tjjddd|ddddd W5QRXtd |jr|jt kr|jd t d krt$tjjddd|d dddd W5QRXt ddt j }| }|jd}|j|t d}tj}|j|jj||dt"tjjdddd|iddd W5QRXdS)Nreset_password_expiresr6fieldsZrestore_password_get_linkrzLogin not foundr6reasonfailT)operatecmf_model_nameparent audit_data result_statuscurrent_transactionu,Такого пользователя нетQi,z Already sentuВам на почту уже отправлена ссылка для сброса пароля. Для повторной отправки повторите попытку позже.uCСсылка для восстановления доступа к zreset_password_email.html)Z restore_linkconfig)subjectr6ok)modelsrgetcmfutil disable_aclCmfAudit audit_eventZ CmfAuthErrorrJr)ZCmfErrorrW HOSTNAME_FQDNrI _jinja_envZ get_templateZrenderZCmfPluginMailBoxZget_local_mailboxZ send_messageemailvalue)r5r6r rXlinktemplatemessageZmail_boxrrrsend_pass_link]sH          zCmfAuth.send_pass_linkTcCs:|rdntd|_|rdnttd|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N rV)r$Z token_urlsaferCr(r)rJsave)rr=rrrrA~s zCmfAuth.reset_pass_set_datacCs|j pt|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rJr)rrrrreset_pass_is_expiredszCmfAuth.reset_pass_is_expiredNcCstddd}|dkr6|jjttd||jjd}tt|  }tt|  }|d|S)NZRS256ZJWT)ZalgtyprV)r6expscope.) r6rcr(r)rmr b64encodejsondumpsr3decode)rdayspayloadheaderrrr create_jwts zCmfAuth.create_jwt)jwtcCsFtt|d}tt|d}|d|S)Nrurtrn)rrorprqr3rr)rwrurtrrr jwt_to_strszCmfAuth.jwt_to_strcCs^|dkr||}ttj}t}||||}t | }|d|}|S)Nrn) rvrr4APPZrsa_private_keyrupdater3signrrorr)rrsrwZsignerdigestr{resrrrrsa_sign_pack_jwts   zCmfAuth.rsa_sign_pack_jwtcCs|d\}}}t}|d|}||t|}ttj }| ||}|s^dSt| }t| }t |}t |}ttt|dkrtdt|ddS||dS)Nrnrlu9Время жизни токена закончилосьrurt)rrr4rzr3rrrryrsa_public_keyverifyrrrploadsr(r)gdebug)rjwtrurt signaturer|rwverifierZverifiedrrrrsa_verify_unpack_jwts"     zCmfAuth.rsa_verify_unpack_jwtcCsJ|d\}}}t|}t|}t|}t|}||dS)Nrnr)rrrrrrpr)rrurtrrrrrsa_unpack_jwts   zCmfAuth.rsa_unpack_jwtc Cs|d\}}}t}|d|}||t|}d}z$t|}t |} | ||}Wn@t k r} z"d| } t | t | | W5d} ~ XYnX|S)NrnFu,Не удалось разобрать JWT: )rrr4rzr3rrrZ import_keyrr ValueErrorloggingerror) rZrsa_public_key_bytesrurtrr|rwr}rrerrrrrsa_verify_jwts     zCmfAuth.rsa_verify_jwtc Cs|td|stddSz||}Wn2tk r\}ztjdd}W5d}~XYnX|sptddS|dd}|dd|_|dd|_|dd |_ d|_ d|_ d}t j td rttd }|}W5QRX| |_ |j pd d D]T}|r||d r"d|_ |dkrtjjrtd|d|_ d|_ qtd|jd|j d|j |S)Nzfrom_jwt: startzfrom_jwt: warn not jwtzfail unpack jwtz2from_jwt: warn not cls.rsa_verify_unpack_jwt(rjwt)T)emptyrtr6rmz/custom/org_name :r uCfrom_jwt: Доступ по билету тех поддержки zfrom_jwt: jwt is ok, z, z , is_local=)rrr Exceptionrylogger exceptionr6rbrmZjwt_is_supportZjwt_is_match_orgospathexists PROJECT_DIRopenreadstripr startswithglobal_settingsZ support_mode)r5rrwrobjorg_namefZpermrrrfrom_jwts@      "zCmfAuth.from_jwtc Cs4|jdd|gdgd}|s0|jdd|gdgd}|sJ|jdd|gdgd}|stjj(tjjdddd|id d d ||d W5QRXdS|jrt d |j dtjj0tjjddd|j ddd d d |j |j d W5QRXt dt j jddS|jjdrl|j d\}}tjj|drltjj|dgdD]}z||jj|}Wn:tk r}zt d|d|W5d}~XYnX|tjkrq$nt|tjkrD|rdS|tjj6tjjddd|jjdddd d |jj|jjd W5QRX|SqDtjj6tjjddd|jjddd d d |jj|jjd W5QRX|jr(|jjdr(|||jjr|rdS|tjj*tjjddd|d ddd d ||d W5QRX|Stjj*tjjddd|d dd d d ||d W5QRX|dS)!N ext_loginZILIKEz***)filterrLr6rbZ ident_failedrrOTr rPrQrRrSrTrUsecurity_level parent_name parent_codeusПревышено количество попыток ввода пароля для учетной записи "u$", вход заблокирован auth_failedzToo many failed login attemptsrMunПревышено количество попыток ввода пароля, повторите через u минутZ allow_ldap@)domainplugin.*)rrLu/Ошибка авторизации через z: auth_successedZldap)r6typerYZ allow_basebase) r[cmfutilr\r]rZr^r_fail_block_end_daterrr6 cmf_alertrauth_fail_timeout auth_optionsrcrCmfAuthLdapPlugincountlistZsigninrrrZINVALID_CREDENTIALSSUCCESS_is_permanent_blockauth_success_hookr check_secretauth_fail_hook) r5r6Zchallenge_respr_r auth_pluginZldap_status_coderrrrget_by_challenge_resp s   (           zCmfAuth.get_by_challenge_respc Csttjjrp|jrptd|jdtjj 0t j j ddd|jddddd |j|jd W5QRXt d dSd S) NuУчетная запись "u3" перманентно заблокированаrrzPermanent blockrMrOTr rulУчетная запись заблокирована, обратитесь к администраторуF)rrauth_fail_permanent_blockfail_permanent_blockrr6rrr\r]rZr^r_rrrrrrhs"  zCmfAuth._is_permanent_blockc Cstjjs dS|jdkrdStjdd}d|}tj|}d t j t j dd}tj|||stjjddd|d d d d d ||d td|}|r||krtjjddd|dd d d d ||d tddS)Nrcaptchazauth:user_login_captcha:rkrrzRequire captcharMrOTr riz Bad captcha)rrZauth_check_captchafail_try_counterrequestvaluesr[ryZREDIS_DBjoinrandomchoicesstringdigitssetrZr^r_abortrr)rr6rZdb_keyZ db_captchaZ new_captcharrr_auth_check_captchas@      zCmfAuth._auth_check_captchacCs\|jd7_|jtjjkrPtjjr,d|_ntjtjtjj j d|_ d|_| dS)Nr T)Zminutesr) rrrZauth_fail_try_countrrdatetimenow timedeltarrcrrirrrrrs  zCmfAuth.auth_fail_hookcCsd|_|dS)Nr)rrirrrrrszCmfAuth.auth_success_hookcCs"|}||_||_||||Sr#)r6rb set_pass_hash)r5r6hashr"rrrrnew_from_login_hash_salts  z CmfAuth.new_from_login_hash_saltc Csl|d}|d}|dkrZ|dd\}}}t|}t|} | td||t|kStd|dS)NrrZ pbkdf2_sha256r r-zNot Implemented for )rrrrr3r(NotImplementedError) r5r:Z secret_hashZ hash_partsZ hash_algoZn_itersalt_b64hash_b64Zsalt_bZhash_brrrrs   zCmfAuth.check_secretc Cs|j|dddgd}|rf|||jjrftjj(tj j ddd|idddd ||d W5QRX|Stjj(tj j d dd|idd dd ||d W5QRXdS) Nrr6rmrKrrrYTr ) rPrQrSrRrTrUrrrrrO) r[rrrcrrr\r]rZr^r_)r5r6r7r rrrfrom_login_passwords2  zCmfAuth.from_login_passwordcCsRtjjs dStjj|dgddgddgdD]"}|jr*|||jr*t|j q*dS)Nz-cmf_created_atrrcmf_created_at)rRZorder_byslicerL) rrZpassword_check_historyrZCmfAuthHistoryZslistrrZCmfAuthReusePasswordErrorr)rr7historyrrr check_historys zCmfAuth.check_historycCs(t|}t|}|j|||ddS)Nr7)r0r1set_pass_hash_bytes)rrr"r7 hash_bytes salt_bytesrrrrs  zCmfAuth.set_pass_hashc Cs|dk r||t|}t|}d|d||_|jtjj |j d}|r|jd|_ t |jddW5QRXdS)Nzpbkdf2_sha256$100000$rr6FT)Z only_data)rrrorrrZpassword_changed_dateZset_nowrZ CmfPersonr[r6Zpassword_must_changer\r]ri)rrrr7rrpersonrrrrs    zCmfAuth.set_pass_hash_bytescCstjSr#)rr )r5rrr current_authszCmfAuth.current_authcCs:g}tdD]}|ttjtjq d|dS)Nrzutf-8) rangeappendrchoicer ascii_lettersrrr3)r5charsirrrgen_salts zCmfAuth.gen_saltc Cs|dg|sPttjjj|}tjjj}tjjj}tjjj}|j ||||d}t | }t d||d}|j|||o~|dtjj.tjjddd|jidd d |j|jd d W5QRX|S) uO Генерирует новый пароль :return: r6)lengthis_upper_symbol is_numberis_special_symbolr-r.rreset_passwordrNrYTr ) rPrQrSrRrTrUrrr)Z load_fieldsmaxrrZpassword_min_lengthrcZpassword_min_upper_symbolZpassword_min_numbersZpassword_min_special_symbol_generate_passwordrrr2rr3rrrr\r]rZr^r_r6) rrr7forcerrrr"rrrrrs4      zCmfAuth.reset_password)rrrrreturncCsg}tjtjtj}|r6|tj7}|ttj|rL|ttj|rb|ttjtj||t |d}| |t |d |S)Nrr) rrrZascii_uppercaseZ punctuationrrrrr/extendZshuffler)rrrrrZ password_dataZlettersZ extra_symbolsrrrr#s   zCmfAuth._generate_passwordc Cs^dtj}d|g}t|||tjj(tjj dddd|idd||dd W5QRXdS) Nu&Пароль для доступа к u Пароль: send_passwordrrbrYTr ) rPrQrRrSrTrUrrr) rWr`r rrr\r]rZr^r_)r5r7rbrXZ msg_contentsrrrr8s   zCmfAuth.send_passwordcCsnddlm}|}tj||d}||jtdddd|ddd}|jd kr\td t |j d d S) Nr)session)r6 rg_member_ofT)r?Zinternalz auth/signup)r6Zgen_pwd)datau>Не удалось создать учётную запись access_token)r) ZrequestsrrZrriZpostrDZ status_coderrBZcookiesr[)r5r6rrsrrrrr create_personCs  zCmfAuth.create_personc s|jjrZd|_|jjsZ|jD].}|j|D]}|jd|d|7_q*q|jj|_tj||}|jjrt t j ||jdW5QRX|S)Nrrr)rRr) groups is_changedrmis_nullrcrsuperrirr\r]rZr)rargskwargsrZgrp_namer} __class__rrri[s  z CmfAuth.savecCs&|jjr gStdd|jdDS)NcSsg|]}|ddqS)rr)r).0rrrr nsz)CmfAuth.prepare_scope..r)rmrrrrrrr prepare_scopejszCmfAuth.prepare_scopecCs||}tjdkr|S|dd}zt|}Wn tk rRd}t|YnX|||}|sd|ddd}t |t||S)NFalsertissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) rrWZEVA_ACCOUNT_USErZread_crm_pub_key RuntimeErrorrrrr)r5 eva_app_tokenrwrZ crm_pub_keyrrrrr check_tokenps     zCmfAuth.check_token)usersc Osf||}|dd}|D]@}zt|d}dddddd g} d } |d r|jt|d | d } | r|| _q|j|| d } n|j|| d } | stj|d } t d|| |dpd} t| p|| _ |d pd} t| p d | _ | j jr i| _ | js.g| _|| jkrF| j|g| j |<|drt d|||| jkr| j|| j |=d| j _| Wq|dD]:} t d|d| d|| j || d| j _q|d| _t d|t d| j | tt d| jWqtk rZtd|YqXqddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rtrr6rrmrreg_org_name_listrbrNZ old_loginrKru(Создали пользователя rZ cmf_deletedu4Пользователь {} удален из Eva {}Tru,Добавляем пользователю u права u в Eva rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultrY)rr'lowerrr[r6rZrrrrirbrrrrrformatremoverrZcommit_with_eventrmrr)r5rrr r rwrZ user_dictr6_fieldsuserrbrZgrp_coderrrrpc_account_sync_pushsl                zCmfAuth.rpc_account_sync_pushc Ostjs dSdd}tjsdS||}|dd}|D]}tjj|dddgd} | s`t} || |d|dd| _| tjj|ddd gd} | st} || ||| _ |d| _| | _ | q6tjj d d d d |DgdD] } | qddiS)NcSsF|D]<}|dks|ds|dr&qt||rt||||qdS)N)idcodeZext_ipZcmf_Z_id)rendswithhasattrsetattr)rZobj_dictZ field_namerrrcopy_fs z/CmfAuth.rpc_account_plugin_push..copy_frtrpluginr r )ext_idrLrr'zNOT INcSsg|] }|dqS)r r)rrrrrrsz3CmfAuth.rpc_account_plugin_push..)rrrY) rWZIS_BOX_VERSIONrrZZ CmfPluginr[r'rirrr&rdelete) r5rZ auth_pluginsr r r%rwrrr&Zauth_plugin_objrrrrpc_account_plugin_pushs2     " zCmfAuth.rpc_account_plugin_pushcKsl|jtj|jjdtjtjd}ttdtj }|j d| f||dddd|t j |||f|dS)N)ZsecondsrsZAUTH_SESSION_COOKIE_DOMAINZ session_tokenTLaxrexpiresZsecureZhttponlyZsamesite)Z reauth_daterrZaccess_token_expires_inrcrW PROLONG_DAYSgetattrrhost set_cookieZ get_tokenrset_nginx_token)rresponse cookie_kwargsr- cookie_domainrrrset_session_tokens$  zCmfAuth.set_session_tokencKsL|jd|jtjddf|tjtjtjtjddddd|dS)Nrr r*Tr+r,)r1r~rWTOKEN_TTL_DAYSrrrr.)r r3r5r4rrrset_access_tokens   zCmfAuth.set_access_tokencKs<|stjtjtjd}|jd||dddd|dS)Nr*nginx_auth_token password123Tr+r,)r9r:)rrrrWr7r1)r3r5r-r4rrrr2szCmfAuth.set_nginx_tokenu_Разблокировка учетных записей по истечению времениz @minutely)Z only_once descriptionZ system_jobZschedulecCs^tjjr dStj}tjjdgdd|gddgd}|s:qZ|D]}d|_| q>t qdS)Nr __classcell__rrr rrs           ' Z             B !   r) rrr2rprr$rr)rErZ Crypto.CipherrZ Crypto.HashrZCrypto.PublicKeyrZ Crypto.RandomrZCrypto.SignaturerZCrypto.Util.PaddingrZ cmf.includerbr rLr ZenumsrZ supervisorrrrrrrs*