X(iAddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z ddlmZddlmZddlmZddlmZdd ld d lmZd d lmZd dlmZd dlmZGddej>Zy)N) pbkdf2_hmac)AES)SHA256)RSA)get_random_bytes) PKCS1_v1_5)pad)*) send_email)auth)LdapStatusCode) Supervisorc eZdZdZdZej ejejje jdddge jZedZedZd Zed ZddZedefdZd>defdZed=dZ edZ!edZ"edZ#edZ$dZ%dZ&dZ'dZ(dZ)edZ*edZ+ed Z,d!Z-d?d"Z.d?d#Z/ed$Z0ed%Z1d@d&Z2 dAd'e3d(e4d)e4d*e4d+ef d,Z5ed-Z6ed?d.Z7fd/Z8d0Z9ed1Z:ed2e;fd3Zed6Z?ed?d7Z@eeAd d8d d9:d;ZBxZCS)BCmfAuth modulesr templates)loader autoescapecdtj|jjddS)N$base64 b64decode pass_hashsplitselfs ./modules/auth/models/auth.pykeyz CmfAuth.key&' 4 4S 9" =>>cdtj|jjddS)Nrrr!s r#saltz CmfAuth.salt*r%r&ctj|j}|tt t j z }||j jz }|SN)secrets token_hex token_lengthstrinttimer)hex)r"server_challenges r#gen_server_challengezCmfAuth.gen_server_challenge.sO",,T->->?CDIIK 011DIIMMO+r&c@d|jdz}}|||}||dz}}|||}|t|}}tj|||}t j d|j |d} tj|j} || z|z|z} ttj} tj| tj| } | jt| j tj}| |zj!S)Nrr rsha256順)r.lenbytesfromhexhashlibrencoder,r-rr block_sizenewMODE_CBCencryptr r2)clsloginpasswordr3startend server_randomserver_timestamp server_salttest_key client_randomsecretivcipherencrypted_secrets r#test_gen_server_challenge_respz&CmfAuth.test_gen_server_challenge_resp4s((1,s(s3 #(s+E#6#./smm$4U3$?@ && hoo'g  ))#*:*:; .1AAEI cnn -3<<4!>>#fmmos~~*NO%%**,,r&cB|jdt|j}|dk(r|j|d<|r1t dd|d t j j|St dd |d t j j|S) u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hrestore_passwordrBT)absolutezservicedesk/auth/?zauth/)reset_pass_set_datadictreset_password_hashrBauth_base_hrefurllibparse urlencode)r"endpointsdeskparamss r#reset_pass_linkzCmfAuth.reset_pass_linkOs   u -001 ) )"jjF7O $d344EhZqQWQ]Q]QgQghnQoPpq q$d34E(1V\\E[E[\bEcDde er&c `tjj|gd}|sOtj 5tj j ddd|ddddddtd |jr|jtjkDrv|jd z tjd z kDrOtj 5tj j ddd|d dddddtd dtj}|j}|jjd}|j!|t}tj"j%}|j'|j(j*||tj 5tj j dddd|iddddy#1swYtd xYw#1swYtd xYw#1swYyxYw)N)reset_password_expiresrBemailrBfieldsrestore_password_get_linkrzLogin not foundrBreasonfail)operatecmf_model_nameparent audit_data result_statusu,Такого пользователя нетQi,z Already sentuВам на почту уже отправлена ссылка для сброса пароля. Для повторной отправки повторите попытку позже.uCСсылка для восстановления доступа к zreset_password_email.html) restore_linkconfig)subjectrBok)modelsrgetcmfutil disable_aclCmfAudit audit_event CmfAuthErrorrbr1CmfErrorrq HOSTNAME_FQDNr` _jinja_env get_templaterenderCmfPluginMailBoxget_local_mailbox send_messagercvalue)rArBrrrlinktemplatemessagemail_boxs r#send_pass_linkzCmfAuth.send_pass_link^s~~!!6b!c$$& B++4O`i37e_pDq:@,B BMN N  & &++diik9++|>../JK//tF/C**<<>djj..I  " < OO ' '0K\e/3%@P6: ( < < EEG""4::g#6#=#=#?@GGI7)$$r&jwtc,tjtj|dj j }tjtj|dj j }|d|S)Nrrr)rrrrr<r)rrrs r# jwt_to_strzCmfAuth.jwt_to_strsq!!$**S]";"B"B"DELLN""4::c)n#=#D#D#FGNNP7)$$r&cN||j|}tjtj}t j}|j |j|j|}tj|j}|d|}|S)Nr) rrr>APPrsa_private_keyrupdater<signrrr)r"rrsignerdigestrress r#rsa_sign_pack_jwtzCmfAuth.rsa_sign_pack_jwts ;//$'C 3 34 cjjl#{{6"%,,.Qtfo r&c|jd\}}}tj}|d|}|j|j t j |}tjtj}|j||}|syt j |j}t j |j}tj|}tj|}|rYttjt|dkDr-t j#dtj|dy||dS)Nrru9Время жизни токена закончилосьrr)r rr>rr<rrrrrsa_public_keyverifyrrloadsr0r1gdebug) rjwt check_exprr signaturerrverifierverifieds r#rsa_verify_unpack_jwtzCmfAuth.rsa_verify_unpack_jwts%)ZZ_"'# cjjl#$$Y/ >>#"4"45??695!!&)002""7+224F#**W% TYY[)C,?? GGOQUQZQZQ\^efk^l m W55r&c|jd\}}}tj|j}tj|j}t j |}t j |}||dS)Nrr)r rrrrr)rrrrs r#rsa_unpack_jwtzCmfAuth.rsa_unpack_jwtso%)ZZ_"!!&)002""7+224F#**W% W55r&c|jd\}}}tj}|d|}|j|j t j |}d} tj|}tj|} | j||}|S#t$r+} d| } tj| t| | d} ~ wwxYw)NrFu,Не удалось разобрать JWT: )r rr>rr<rrr import_keyrr ValueErrorloggingerror) rrsa_public_key_bytesrrrrrrrrers r#rsa_verify_jwtzCmfAuth.rsa_verify_jwts%)ZZ_"'# cjjl#$$Y/  + ^^,@AN!~~n5H//&)4C   +B1#FE MM% U# * +s(>+(:: ;k$667 ,1668>>+ ,$,|YY_"++C0 ,Dt(1~>'+$s{q00==]^a]bcd%)"'+$ , ' {"SYYK{3K_K_J`ab =  JJ !2 3C   , ,s#GG= G:!G55G:=Hc f |jdd|gdg}|s|jdd|gdg}|s|jdd|gdg}|s[tjjj 5t j jdddd|id d || dddy|jrtjd |jd tjjj 5t j jddd|jddd d |j|j dddtdtjjdy|jj jdrf|jj#d\}}t j$j'|r't j$j)|dgD]j} |j+|j,j |}|t.j0k(rn-|t.j2k(rtdn |t.j4k(sv|j7ryd|_|j;d|j=}t>j@jC|dtjjj 5t j jddd|j,j dddd |j,j |j,j ddd|cStjjj 5t j jddd|j,j ddd d |j,j |j,j ddd|jFr_|jj jd!r9|j7ry|jI||jFj rd"|_|j;d|j=}t>j@jC|dtjjj 5t j jddd|d"ddd || ddd|Stjjj 5t j jddd|d"dd d || ddd|jKd|j=}t>j@jC|d y#1swYyxYw#1swYzxYw#1swY|cSxYw#tD$r&} tjd|d | Yd} ~ d} ~ wwxYw#1swYxYw#1swY|SxYw#1swYxYw)#N ext_loginILIKEz***)filterrerBrc ident_failedrrir rjrkrlrmrnsecurity_level parent_name parent_codeusПревышено количество попыток ввода пароля для учетной записи "u$", вход заблокирован auth_failedzToo many failed login attemptsrgunПревышено количество попыток ввода пароля, повторите через u минут allow_ldap@)domainplugin.*)rreu6Учетная запись заблокированаldapzauth:user_last_login_fail:rauth_successed)rBtypersu/Ошибка авторизации через z: allow_basebase)&rucmfutilrvrwrtrxryfail_block_end_daterrrB cmf_alertrauth_fail_timeout auth_optionsrr CmfAuthLdapPlugincountlistsigninrrINVALID_CREDENTIALS USER_DISABLEDSUCCESS_is_permanent_blocklast_auth_typeauth_success_hooklowerrREDIS_DBsetrr check_secretauth_fail_hook) rArBchallenge_respr_r auth_pluginldap_status_codedb_keyrs r#get_by_challenge_respzCmfAuth.get_by_challenge_respsggk7E:E7gK'''7E!:E7'KC'''7E!:E7'KC!!--/ R++NS\37WeDT:@QR8=5,R R   " " GGJKNKTKTJUUyz {!!--/ ++)#,),>^_"(#$ # # ,   GHIHYHYHkHkGllwx y    ! ! % %l 3 ,IAv''--V-<#)#;#;#@#@WaVb#@#c'K'+6+=+=cmm>Q>QSa+b(,~/Q/QQ!-1M1MM%&^_!-1G1GG"668'+17C.113'A%%I%O%O%QFLL,,VQ7!$!1!1!=!=!?~ & ; ;DTenCG^a^k^k^q^q|BUCJN_`HK H[H[ilivivi|i|!<!~~ $'J5'8XX%%113rOO// V_7;RUR_R_ReReouHv>DUVBSTbgDUVA V?&W8A'W A'X +X<+X'3V<?W  W  X $XX  XX$'X0c tjjr|jrtj d|j dt jjj5tjjddd|j dddd|j |j dddtd y y #1swYxYw) NuУчетная запись "u3" перманентно заблокированаrrzPermanent blockrgrir rulУчетная запись заблокирована, обратитесь к администраторуTF)rrauth_fail_permanent_blockfail_permanent_blockrrBrrrvrwrtrxryrr!s r#rzCmfAuth._is_permanent_blockws   6 64;T;T GG3DJJ*>?XX%%113VOO//8HYb>DDfMF//IIOOO))>>DDI ! 1 1 M M S S ..#7H/H Dz""$""8X__->gN   te6H I XX   ) ) + R OO ' '0@QZ4;TZZ3H/34UYU_U_48JJq ( R R   R s AFFrdrgrfrereturnc|g}tjtjztjz}|rE|tjz }|j t jtj|r2|j t jtj|r2|j t jtjt j||t|z }|j|t j|dj|S)Nrr) rr_rascii_uppercase punctuationr]rr^rr8extendshuffler)r"rdrgrfre password_dataletters extra_symbolss r#rozCmfAuth._generate_passwordIs+- &&69O9OO  v)) )G  v/A/A!B C   v}}!= >   v/E/E!F Gw&3};M2MN ]+}%ww}%%r&c dtj}d|g}t|||tjj j 5tjjdddd|id||ddddy#1swYyxYw) Nu&Пароль для доступа к u Пароль: send_passwordrrcrsr )rjrkrlrmrnrrr) rqr|r rrrvrwrtrxry)rArCrcrr msg_contentss r#r{zCmfAuth.send_password^s:6;O;O:PQ'2 <%0 XX   ) ) + : OO ' 'PY/3%@P6:[`78 ( : : : :s *BB c2ddlm} |}tj||}|j |j t ddd|dd}|jd k7r td t|jjd  S) Nr)session)rB rg_member_ofT)rTinternalz auth/signup)rBgen_pwd)datau>Не удалось создать учётную запись access_token)r) requestsr~rtrUrpostrY status_coderrWcookiesru)rArBrr~srWrs r# create_personzCmfAuth.create_personis$ I!!L!I  FFtd;??r&c@|jjrd|_|jjsi|jD]1}|j|D]}|xjd|d|z c_3|jjj |_t ||i|}|jjrNtj5tj||jjddd|S|S#1swY|SxYw)Nrrr)rlr) groups is_changedris_nullrrsuperrrrvrwrtrG)r"argskwargsrgrp_namer __class__s r#rz CmfAuth.saves ;; ! !DJ;;&& $ @H$(KK$9@ (1XJ&?? @@"ZZ--335 glD+F+ >> $ $$$& T%%TT^^%LQQS T s  T s 0DDc|jjrgSt|jjdDcgc]}|jddc}Scc}w)Nrrr)rrrr )r"ras r# prepare_scopezCmfAuth.prepare_scopesH ::  ITZZ-=-=c-BCAGGCLOCDDCsAcB|j|}tjdk(r|S|dd} tj|}|j||}|s,d|ddd}tj|t ||S#t $rd}t |wxYw)NFalserissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) rrqEVA_ACCOUNT_USErread_crm_pub_key RuntimeErrorrrrr)rA eva_app_tokenrr crm_pub_keyrrs r# check_tokenzCmfAuth.check_tokens  /  ! !W ,J)nU# #$55c:K##M;?[\_`i\jku\v[wwxyE MM% E" "  #`EE" " #s BBusersc |j|}|dd}|D]=} t|djj}gd} d} |j drY|j t|djj| } | r|| _n'|j || } n|j || } | s>t j|} tjd || j|j d xsd } t| jjxs|| _ |j d xsd } t| jjxsd| _ | jjri| _ | jsg| _|| jvr| jj!|g| j|<|d r~tjdj#|||| jvr| jj%|| j|=d| j_| jg|dD]O} tjd|d| d|| j|j!| d| j_Q|d| _tjd|tjd| j| jt+tjd| j,@ddiS#t.$rtj1d|wxYw)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rrrB)rrrreg_org_name_listrcr is_supportis_adminN old_loginrdrRu(Создали пользователя rcrr cmf_deletedu4Пользователь {} удален из Eva {}Tru,Добавляем пользователю u права u в Eva rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultrs)rr/rrrurBrtrrrrrcrrrrr]formatremoverr cmf_commitrrr)rArrrrrr user_dictrB_fieldsuserrcrgrp_codes r#rpc_account_sync_pushzCmfAuth.rpc_account_sync_pushs"oom,y>*-6 I5 Ig./557==?`==-77Y{-C)D)J)J)L)R)R)T]d7eD%* "wwU7wC77w7?D!>>>6DMM$LUG"TUIIK! g.4" Z--/557@5 %MM+6<" !$Y!5!5!7!=!=!?!G4;;&&"$DK---/D*4#9#99**11(;(* H%]+MM"X"_"_`ego"pqt'='==..55h? H--1DKK*IIK ). 92HMM$PQVPWWcdlcmmuv~u#ABKK)00:-1DKK*2%.n$=! 9+67 T[[M:;   DJJ<89g6 p$  !!$Mi["YZ sI M!CM!!#Nc tjsyd}tjsy|j|}|dd}|D]}tjj |dddg} | stj } || |d|dd| _| jtjj |dddg} | stj} || ||| _ |d| _| | _ | jtjjd d |D cgc]} | d c} g D]} | jd d iScc} w)Nc|D]F}|dvs"|jds|jdr*t||s7t||||Hy)N)idcodeext_ipcmf__id)rendswithhasattrsetattr)robj_dict field_names r#copy_fz/CmfAuth.rpc_account_plugin_push..copy_fsV& C !99%008J*-' #K%%))X1Ft1LVYUZ)[F))+ 6;x0 1'1$7FM KKM$66::+dBS]`bl\m:nO""(":":"< ?K 0'/O $%0%6O "%+O "  " #..33HhfrPs_bQTUYQZPs;t3u F MMO $Qts9 E' c z|jtj|jjztjt j z}tt dtj}|jd|jf||dddd|tj|||fi|y)N)secondsr&AUTH_SESSION_COOKIE_DOMAIN session_tokenTLaxrexpiressecurehttponlysamesite) reauth_dater!r#access_token_expires_inrrq PROLONG_DAYSgetattrrhost set_cookie get_tokenrset_nginx_token)r~response cookie_kwargsr cookie_domains r#set_session_tokenzCmfAuth.set_session_token s##h&8&8A`A`AfAf&ggjrj|j|CICVCVkWW(DgllS       !$   -RMRr&c |jd|jtjdz f|tjj t j tjtjzzdddd|y)Nrr r&Trr)rrrqTOKEN_TTL_DAYSr!r"r#r)rrrrs r#set_access_tokenzCmfAuth.set_access_tokens  #D " "(=(=(A B !%%))+h.@.@**V-@-@@/BB$  r&c |sCtjjtjtjz}|j d||dddd|y)Nr&Trr)nginx_auth_token password123)r!r"r#rqrr)rrrrs r#rzCmfAuth.set_nginx_token.sc%%))+h.@.@fF[F[.\\G   !$    r&u_Разблокировка учетных записей по истечению времениz @minutely) only_once description system_jobschedulec tjjrytjj } t j jdgdd|gddg}|sy|D]}d|_|jtU)Nr 0 F F$ LL , .. <6;9>&&.2&&26& &*::@@. E "@ @ @ D  BSS"        u   r&r) rr!r;rrr,rr1rZr Crypto.Cipherr Crypto.HashrCrypto.PublicKeyr Crypto.RandomrCrypto.SignaturerCrypto.Util.Paddingr cmf.includercr rerenumsr supervisorrrr&r#rsV    *'#""y dlly r&