U |)i@sddlZddlZddlZddlZddlZddlZddlmZddlmZm Z m Z m Z m Z ddl mZddlmZddlmZddlTddlmZdd lmZdd lmZddlZdd lmZdd lmZGd ddeZGdddeZ Gdddej!Z!dS)N) LDAPException)TlsServer ConnectionNTLMSIMPLEescape_filter_chars) cmf_context) commit_all_ds)*) log_config)cmf_auth_ldap_plugin)cached_property)Path)LdapStatusCodec@s eZdZdS)LdapCredentialsErrorN__name__ __module__ __qualname__rr1./modules/settings/models/cmf_auth_ldap_plugin.pyrsrc@s eZdZdS)LdapUserDisableErrorNrrrrrrsrcs<eZdZdZdZejjdZdZejj dddddd d gZ d Z d_d d Z e e jdddZddZejjjedddZd`eedddZdddddZddZdaedddZdbedd d!Zeeddd"d#d$d%d&d'Z eeddd(d)d$d%d*d+Z!d,d-Z"eeddd.d$d/d0d1d2d3Z#eeddd4d5d6Z$dcd7d8Z%ddd:d;Z&eeddd#d$d<d=d>Z'eeddd)d$d<d?d@Z(eedddAd$d<dd0dBdCdDZ)dEdFZ*dGdHZ+edIdJZ,dKdLZ-dMdNZ.d dddOfdPdQ Z/fdRdSZ0dTdUZ1eee2dVdWdXZ3dYdZZ4d[d\fd]d^ Z5Z6S)eCmfAuthLdapPluginN)loggerTapplyclearsyncsync_allsync_newget_log_filename test_connectrc Cszddl}|dkrt}|rd|j|}t2|dg|jj rd| |jj d}W5QRX|j |d|n |j |Wn tk r|j |YnXdS)umБезопасное логирование исключений с маскированием паролейrNTplugin.ext_password*** ) tracebacksysexc_infojoinformat_exceptioncmfutil disable_acl load_fieldsplugin ext_passworddecryptreplacererror Exception)selfmessager)r'Zexc_textrrr_safe_log_exception/s   z%CmfAuthLdapPlugin._safe_log_exception)returncCs|jr |jStjj|tjd}|stj|tjd}||jsJ|dddl m }m }m }|t j||t d|_tj|j|jt jdnt||_|jS)uE Журнал логирования процесса импорта )parentnamer) set_library_log_activation_levelset_library_log_detail_levelEXTENDEDldap3)level)_CmfAuthLdapPlugin__loggermodelsZ CmfAttachmentgetr LOG_NAMEsaveZ file_existsZ upload_fileZldap3.utils.logr<r=r>loggingZERRORZ getLoggerZ init_loggerZfull_path_fileINFOZ get_logger get_files_dir)r5Z attachmentr<r=r>rrrrGs   zCmfAuthLdapPlugin.loggercCs>t|jdkr:t|_tjj|jdgdj}|dkSdS)N sync_statusidfields in_progressF)time broken_startrBrsgetrLrJ)r5Z new_statusrrrbroken\s  zCmfAuthLdapPlugin.broken)entryr8cCsP|jdkrdSd}d}t|jj}t||@}t|dj}t||@}|pN|S)uKПроверка, что пользователь заблокирован.adF"msDS-User-Account-Control-Computed)directory_typeintuserAccountControlvaluebool)r5rSZUAC_ACCOUNTDISABLEZ UAC_LOCKOUTZuacdisabledZcomputedlockedrrr_is_user_disabledcs    z#CmfAuthLdapPlugin._is_user_disabled)ldap_user_name ldap_user_pwdc Ost|dddddg|s,|jjj}|s<|jj}tt j t j dd}t |jj d|jj|d }t}t||||d |jjd }|r|W5QRSd |j} | } |r| |d } |j| |jdkrt| t| W5QRXdS)Nplugin.ext_urlplugin.ext_portconnection_timeoutzplugin.ext_loginr$z"/etc/ssl/certs/ca-certificates.crt)ZvalidateversionZ ca_certs_file:)ZtlsF)userpasswordauthenticationZauto_referralsZreceive_timeoutu@Не удалось подключиться к серверу: r%ZinvalidCredentials)r,r-r.r/ ext_loginr[r0r1rsslZ CERT_OPTIONALZPROTOCOL_TLSv1_2rZext_urlZext_portrrrdZbindZ last_errorr2rr3rr4) r5r`raargskwargsZtls_configurationZserverriconnerrZsafe_errrrrconnectvs<         zCmfAuthLdapPlugin.connect)rjr0c Osz2|||W5QRXtd|jdWdStk r}zt|}|r\||d}t2| dg|j j r||j j d}W5QRXtd||j d|WYdSd}~XYnXdS)NuKПодключение к серверу выполнено успешно.Tr%r$uOПодключение к серверу выполнено с ошибкой: F)rp cmf_alertrinfor4strr2r,r-r.r/r0r1r3)r5rjr0rlrmeZ error_msgrrrr"s"      zCmfAuthLdapPlugin.test_connectc csdd}d}|8}|jjj||d|ddd}|D]}|V|d7}q0W5QRX|jd|dS)NrIrr T) search_base search_filter attributes paged_size generatorZget_operational_attributesu"Загружено записей )rpextendZstandardZ paged_searchrrr)r5rurvrxtotalrnZentry_generatorrSrrr _paged_searchs  zCmfAuthLdapPlugin._paged_searchc cszb|dddg|jj}|r6|jr0|jj}nWdSd}d}|rn|ddkrjtddtd d|}d }d }|r|rdd d |Dnd}|jd kr|d|d|d|d7}n,|r|d|d|d7}n|d|d7}|rd }|rd|d}|j d||j rL|j dD](}| | d|j|EdHq n| |jj|EdHWn&tk r|jdd dYnXdS)Nadditional_user_dnuser_object_class_filterbase_dnFrz&z\)$r#z\(&TcSsg|]}dt|dqS)z#(memberof:1.2.840.113556.1.4.1941:=)r).0grrr sz4CmfAuthLdapPlugin.ldap_get_users..rTz(|(whenCreated>=z)(whenChanged>=rz(|(modifyTimeStamp>=z(modifyTimeStamp>=z(&u%Фильтр запроса к LDAP: ;,u8Ошибка загрузки пользователейr))r.rr[user_disabled_filterresubr*rXrrrr~splitr}striprr4r7) r5 prev_sync_gtr]changed_groupsrvZcombine_filtersZfilter_was_not_emptyZ or_in_groupsadd_dnrrrldap_get_userssL     (z CmfAuthLdapPlugin.ldap_get_usersccszn|dddg|jj}|jrV|jdD]&}||d|j|EdHq,n||jj|EdHWn$tk r|j dddYnXdS) Nadditional_group_dngroup_object_class_filterrrru(Ошибка загрузки группTr) r.rr[rrr}rrr4r7)r5rrvrrrrldap_get_groupss&z!CmfAuthLdapPlugin.ldap_get_groupsz @minutely ) only_once system_jobZschedulesoft_time_limitprioritycCstjdddgddgdD]l}|jr6|jj|jjdkr|jd|d tj|j jd d d tj |j jd d |jd|dqdS)N auto_sync==T sync_date sync_intervalfilterrM<u.Частичная синхронизация  запущенаu-частичная синхронизацияauth_plugin_id delta_minutes sync_titlerr завершена) rlistragerr[rrrrrLr auth_pluginrrr cron_syncs  zCmfAuthLdapPlugin.cron_syncz H 4 * * *ipcCstjdddgddgdD]}|jr>|jj|jjdddkr|jd |d tj|j jdd d tj |j jd d |jd |dq|jd |d|jjddqdS)NrrT sync_all_datesync_all_intervalrru(Полная синхронизация ru'полная синхронизацияrrru/ пропускается: sync_all_date.age = u мин.) rrrrrr[rrrrrLrrrrrcron_full_syncs  "z CmfAuthLdapPlugin.cron_full_syncc Cs|jdt}ddddg}|j|dD]}|r>dS|jjD]n\}}||kr^qJ||d|d}|jd |d |d t | d g}t j j d dd|dg|d}|st j j d d|d g|d}|s|jd|t j |d |d}|js||_||jkr6|j||_|D]f\} } | d krTq>t|| r>|jr| d ks|| dkr|jd| d|n t|| | q>|jrJ|tqJq*|jdt|ddS)Nu)Синхронизируем группы--rLgroupspersonrMFz::u-Обрабатываем группу ext_id=z name=r:systemext_idZLIKE%rru0Не нашли группу, создадим: )r:rcodeu5Игнорируется изменение поля u! системной группы uОбработано u группT)rrrset all_raw_datarRrr[itemsaddrkeysrBCmfPersonGrouprCrloadhasattrrwarningsetattr is_changedrE cmf_commitlen) r5ZsyncedrMobjZgroup_idvalrZ group_fieldsgroupkeyr[rrrprocess_groups sF         z CmfAuthLdapPlugin.process_groupsi@8)rrrruсинхронизация)rc Osddl}td|ddt_tjj|dddgd }z|jd kr|jj d krh|j | d n|j | d WdS|j d||j d |_|ttj|s|j | dWdSt|jstd|js*tjjdddgdddgdd|ggddidt|tfd}ddtjjdd|gdddggdgdgdD}t|}d} td|||D]} tjjdd|gdddgdd|| || ||ggdddgdgdD]} | r$|j | d W5QRW5QRWdS| d!7} z<|j | d"| j!d#| d$|d| "tWn0| j#$|j %| d%| YnXqqW5QRXW5QRXd&|_|ttdd'D]F} tj&j'd kr|j | d(t(tj)j*qt+,d!q|j | d)t(tj-j.Wndt/k r} zDt0| d*|_|t(tj-j.t|j %| d+W5d} ~ XYnXdS),uP Сохраняем данные в CmfPerson и CmfPersonGroup rNzStart CmfAuthLdapPlugin.apply(rTrJr sync_grouprKrNrh пользователей зависла, запускаем форсированно повторно уже запущенаЗапущена u8: синхронизация групп прерванаuHУкажите "Домен для логина" в настройках.dirtyrFZ person_idr)rvalues2cSsg|] }|jqSr)rL)rirrrrZsz+CmfAuthLdapPlugin.apply..rLz -ldap_deleted)rrMZorder_byINrloginuM: обработка данных пользователей прерванаrzu!: обрабатываем login= ( из uH: ошибка обработки данных пользователя closedru-: синхронизируем с eva_accountu2: изменения применены в eva_appr3u6: ошибка применения изменений)1mathrdebug license_disable_user_count_hooksrBrrCrJrrrrr capitalizeset_nowrErr ldap_grouprdomainAssertionErrorrCmfAuthPluginDataZ bulk_updater,Zdisable_notifyr-ZslistrrangeceilrrRrZprocess_personZdpZrollback exception global_varaccount_sync_statusschedule_deferred_job CmfPersonaccount_sync_usersrOsleep CmfLicenserecalc_users_countsr4 cmf_rollback) rr_args_kwargsrrstepZ all_dirty_idscntrchunkraw_datartrrrr5s        *  <  zCmfAuthLdapPlugin.apply)rrc Ostd|ddt_tjj|ddgd}|jdkrF|jddS|jd |j d|_| t d }|jd tj j|d }d }d}||kr|||kr|r|jddStj j|d|gdddddgdD]}z|jrT|jjs|jjd|jd|j_tj} | |jjkrB|jj| |jj d|_||d 7}t |jd|d|Wqtk r|jdYqXq|d 7}qd }tjj|d }|jdtjj|dgdD]x} zN| jrd| _| Wq| |jd|d||d 7}t Wn"tk rX|jdYnXqd|_| |jdttjj dS) NzStart CmfAuthLdapPlugin.clear(rTrJrrKrNu2Синхронизация уже запущенаu)Очищаем синхронизациюrzuhУдаляем данные по пользователям (не самих пользователей)rru:Очистка синхронизации прерванаzperson.does_not_workzperson.rg_member_ofrzperson.is_adminzperson.is_support)rslicerMu Блокируем учетку uУдалено ru/Ошибка удаления CmfAuthPluginDatauУдаляем группы cmf_import)rrMu,Ошибка удаления CmfPersonGroupru!Очистка завершена)!rrrrBrrCrJrrrrrrErrcountrRrrZis_adminrZ does_not_workrrZ rg_member_ofremover[deleter4rrrrr) rrrrrr|rndataZldap_grprrrrrsv              zCmfAuthLdapPlugin.clearccsxddl}d}|r|ntjjdd|gd}t|||D]8}tjjdd|g||||||gdD] }|Vqfq:dS)uBЧастями загружаем в память и отдаем, иначе будет утечка памяти Args: fields (list, optional): Поля для загрузки. Defaults to None. Yields: CmfAuthPluginData: загруженные сырые данные rNrrr)r)rrMr)rrBrrrrr)r5rMrrrrrowrrrrs  zCmfAuthLdapPlugin.all_raw_datarc Cspddlm}m}|jsdS|j||d|j}t|jd dd|j |j |j |j |jfD}|dS)Nr) timedeltatimezone)Zminutesr#css*|]"}ddtt|t|VqdS)0rUN)rrs)ritemrrr sz6CmfAuthLdapPlugin._generalized_time..z.0Z)Zdatetimerrr[Z astimezoneZutcZ timetuplerstm_yearr*tm_montm_mdaytm_hourtm_mintm_sec)r5Z date_timerrrZdtZgtimerrr_generalized_times z#CmfAuthLdapPlugin._generalized_time)rrrrcOs"tj|dddtj|dddS)Niu:ручная частичная синхронизацияrrrrrrrrrrrr szCmfAuthLdapPlugin.sync_newcOs tj|ddtj|dddS)Nu4ручная полная синхронизацияrr r rrrrs zCmfAuthLdapPlugin.sync_alli )rrc" Os td|ddt_tjj|dddddd d d d d dg d}z|jdkr|jjdkrp|j | dn|j | dWdS|j d||r|j |j|dnd}|j }d|_|t|j di}g} |j|dD]} |r"|j | dWdS| dsB|j d| qt|jjd} |jdksf|jjrxt| d| d<nt| d|jj| d<t| dtr| dd| d<| d|jj} t| tr| d} | r| | d <| d|jj} t| tr | d} | r| | d!<|jr<| d|jjg| d"<nd#| d"<| dd$}|rz|jrz||jkrz| | d| || d<|j | q|j | d%t }t}t }|j!|| d&D]&}|"|}|sq|||d<qt#|rJt |}t#||}|j | d't#|d(|d)d*|d+d,t}t }|j$r|j!d|d-D]&}|"|}|sqn|||d<qnt#|rt |}t#||}|j | d't#|d.d/|d)d*|d+d,d}d}d}d}t%}t }|rd0n tj&j'|d}|r|j(dd1d d2d3d4d5d6d7d8d9d:g d;D]P}z|r|j | d<WWdS|j)j|krWqN|*|j)j}|sWqN|+||||,|j)j|d=7}|j-rd>|_-|j)|k|_.|j/r:|j | d?|d1d/|d@|d|d=7}d|_0|jddAWn`t1k r}z@|j 2| dB|d1dC|ddD|dE|_|d=7}W5d}~XYnXqNt |}|r||}|j | dF|dG|d)d*|d+d,|r"||}|j | dH|dG|d)d*|d+d,t }|3D]\}}z|rf|j | dIWWdS|j dJ|d1tj&||dK}|+|||d|_0|t|,|j)j|d=7}Wn`t1k r$}z@dE|_|j 2| dL|d1dC|ddD||d=7}W5d}~XYnXq2|rpt |}||}|j | dM|dG|d)d*|d+d,d} |s|jdEkr|j(dd9d8gd;D]4}|j)j|krd|_-d|_0|jddA| d=7} q| rt |}| |}|j | dN| dG|d)d*|d+d,|jdkr.dO|_|ttj45tj67t8ddPD]0}!tj9j:dkrvt;tj4j<qt =d=qR|r|j | dQ|dRt>j?| dS|dT|dR|dUn&|j | dV||j_|t;tj@jAWnt1k r}zhtB|| rv|j 2| dWdE|_|t>j?| dS|dW|dUt;tj@jAtW5d}~XYnXdS)XNzStart CmfAuthLdapPlugin.sync(rTrbrcz plugin.loginr$rrzcmf_owner.loginrXrJuse_user_groups_attrrrKrNi0*rrr)ruЗагружаем группы)ru.: загрузка групп прерванаrwu-У записи нет аттрибутов: rZentryDNdnrrr:textmembersr#Z whenChangedu,: загружаем сырые данные)rru: загружено u2 изменённых пользователей (z.1fu сек., z.0fu польз./сек.))r]ru2 отключенных пользователейrir first_name last_nameemailemployee_numberr ldap_disabled ldap_deletedr fields_mapru?: обновление сырых данных прерваноrzFu;: синхронизируем учетную запись /)Z only_datauC: Ошибка синхронизации пользователя (z): r3u: проверено u пользователей (u#: синхронизировано u/: импортирование прерваноu$Импортируем учетку )rruC: ошибка синхронизации пользователя u: добавлено u: удалено rru) завершена с ошибками (z). u( завершена с ошибками()ru# успешно завершена.u% завершена с ошибкой)CrrrrBrrCrJrrrrrrr ZnowrErrrRrdictrLr[group_uid_attrZis_nullrs isinstancergroup_name_attrgroup_desc_attrr group_users_attrappendrOrldap_user_attributesrrrrrrrpopupdate_raw_datarrrrrr4rrrZflush_all_notify_opt_cacheZCmfProjectNotifySchemeZtrigger_reloadrrrrrrr,Z admin_alertrrr)"rrrrrrrZ sync_start cached_grprgrprZgrp_nameZgrp_attrZ when_changedZ start_timeZldap_users_dict ldap_userrgZdurationZspeedZldap_disabled_users_dictZ sync_errorsZ users_addedZusers_synchronizedZ users_updatedZldap_synchronizedrrrtrraw_userZ users_deletedrrrrrs              0       ,. ,,   . ,   ,    & zCmfAuthLdapPlugin.syncc Csddl}|dsdS|d|jj}t|tr:|d}t|d|jj}t|trb|d}|sntd|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j jg} t||||||| |dd} |jrd|d|jj} t| tr\| d} | | d<|jrt| d<||jj} | D]l\} }|d| }t|tr|d| d|<n6t|tr|| d|<n|jd| d |dq| S) NrrwuWНе удалось получить уникальный ИД пользователяr )rr name_attruser_name_attruser_last_name_attruser_email_attr user_groupsr user_employee_number_attrruАттрибута нет u в )jsonrCuser_full_name_attrr[rrrs user_uid_attrruser_display_name_attrr)r*r+user_groups_attrrr-mapping_fieldsloadsrrrr)r5r&r.rrr(r)r*r+r,rgr-r3Z attr_nameZ field_nameZatt_valrrrr!s^             z&CmfAuthLdapPlugin.ldap_user_attributesc Cs|d|_d|kr|d|_nd|_d|krL|drL|dd|jj|_nd|_d|krz|drz|dd|jj|_nd|_d|kr|d|_nd|_d|kr|d|_nd|_d|kr|d|_g}|jr:|D]`}||}|d|d kr| |d |d |j kr|j d |||j |d <|j |_ qnz|d D]p}|j d || |}|r| |d |d |j kr||j |d <|j |_ n|j d|qBt|j jD] }||kr|j |=|j |_ qdS)Nrr(r)r*r+r-rr rru9Добавляем пользователю группу r,uИщем группу uНе нашли группу )rr:rZ max_lengthrrrrr r rrrrrCwarnrr[r) r5r'r&r$Zcurrent_user_groupsZ group_uidrentry_dnZ gr_ext_idrrrr#sR          z!CmfAuthLdapPlugin.update_raw_datacCsZtjdkrdSg}tjjddgdD]}||dq$t|ddd }td |dS) u= Отправляем в аккаунт 1к1 FalseNz**plugin.*rr)Z eva_app_token auth_pluginsZrpc_account_plugin_push)rmmethodzauth/sync_accounts) configZEVA_ACCOUNT_USErBrrr dumpsZgen_eva_app_tokenZcall_eva_account)r9r/rrrraccount_plugin_pushHs  z%CmfAuthLdapPlugin.account_plugin_pushcCs.|jjs dS|jr*ttjjd|jjiddS)Nr)rm)rrrrBrrrLr[r5rrr_process_auto_syncVsz$CmfAuthLdapPlugin._process_auto_synccCsJddl}|jjr|jsdSz||jjWntdddYnXdS)NruYНе правильный формат маппинга. прим {"description": "text"}Tabort)r.r3rr4r[rq)r5r.rrr_validate_mapping_fields\sz*CmfAuthLdapPlugin._validate_mapping_fieldsdepthnotifyemitcsftjstddd|jr,|js,tjg|_tj|_ | | | t j||||d|S)NuEМодуль доступен только в версии On-PremiseTr@rC)r;ZIS_BOX_VERSIONrqZis_newZdefault_groupsrBrZ user_groupZORG_NAMEZorg_name_process_directory_typer=rBsuperrE)r5rDrErFrlrm __class__rrrEgs  zCmfAuthLdapPlugin.savecstddgS)Nr r8)rHsave_preload_fieldsr>rIrrrKtsz%CmfAuthLdapPlugin.save_preload_fieldscCs |jjs dS|jdkrd|_d|_d|_d|_d|_d|_d|_d |_ d |_ d |_ d |_ d |_ d |_d|_d|_d|_d|_d|_d|_n~|jdkrd|_d|_d|_d|_d|_d|_d|_d |_ d |_ d|_ d|_ d|_ d|_d|_d|_d|_d|_d|_d|_dS)NrTrgz,(&(objectCategory=Person)(sAMAccountName=*))zZ(&(objectCategory=Person)(sAMAccountName=*)(userAccountControl:1.2.840.113556.1.4.803:=2))ZsAMAccountNameZcnZ givenNameZsnZ displayNameZmailZ unicodePwdZ plaintextZ objectGUIDrz6(&(objectCategory=group)(!(isCriticalSystemObject=*))) descriptionmemberZmemberOfZldapZ inetorgpersonz(objectclass=inetorgperson)r#Z userPasswordZshaZ entryUUIDZgroupOfUniqueNamesz (objectclass=groupOfUniqueNames)Z uniqueMember)rXruser_object_classrrr/Z user_rdn_attrr)r*r1r+Zuser_password_attrZuser_password_cryptr0rZgroup_object_classrrrrr2r>rrrrGwsT  z)CmfAuthLdapPlugin._process_directory_type)rrhr8cCst|dddddgtdD]}z||jjj|jj }d|j d|j d |d }|j d kr~d d dg}ndg}|j |jj||dr|jD]f}|j d kr||rt||j|6tjW5QRW5QRWW5QRSQRXqW5QRXWq(tk rR|jd|tjYW5QRStk r|jd|tjYW5QRStk r|jd|d|Yq(Xq(td|ddW5QRXtjS)u?Авторизация через внешнюю системуrNr/rrXr8z(&(ObjectClass=z)(=z))rTrZrWr )rwu>Неправильный логин или пароль login=u=Учетная запись заблокирована login=u Ошибка u- попытки авторизации login=u7Не удалось авторизоваться login=Tr@)r,r-r.rrpr/rjr[r0r1rNr/rXsearchrentriesr_rr6rSUCCESSrrr3ZINVALID_CREDENTIALSZ USER_DISABLEDr4rqZ UNKNOWN_ERROR)r5rrhrrnZ_filterrwresrrrsignins2    J zCmfAuthLdapPlugin.signincOsFtj|tj}tjtjtj|s8|j dtjd|S)Ninitfiles) ospathr*rHr rDexistsr;Z UPLOAD_DIRrrr)r5rlrmZ file_pathrrrr!s z"CmfAuthLdapPlugin.get_log_filenameF)forcecsLtjj|d}|r(td|dddStj||dd||dS)NruMСначала очистите интегрированные данные: Tr@)r[ recursive)rBrrrqrHrr=)r5r[rlrmZhas_datarIrrrs zCmfAuthLdapPlugin.delete)N)NN)NNN)N)NN)r)7rrrZ_CmfAuthLdapPlugin__connectrArrZ ui_meta_skipZ api_allowZ api_methodsrPr7propertyrFZLoggerrrRr?ZabstractrSZEntryr\r_rsrpr"r}rrr staticmethodZcmf_deferred_jobrrrrrrr r rrr!r#r=r?rBrErKrGrrUr!r __classcell__rrrIrrsz   )   ,R  >    k17   . r)"gcr(rOrFrr?Zldap3.core.exceptionsrrrrrrZldap3.utils.convr Zcmf.appr Zcmf.data_providers.baser Z cmf.includeZcmf.modules.logsr Zmodules.settings.fieldsrrrkpathlibrZmodules.auth.enumsrr4rrrrrrrs(