U `fá@sddlZddlZddlZddlZddlmZddlmZmZm Z m Z m Z ddl m Z ddlmZddlTddlmZddlmZdd lmZddlZdd lmZGd d d ejZdS) N) LDAPException)TlsServer ConnectionNTLMSIMPLE) cmf_context) commit_all_ds)*) log_config)cmf_auth_ldap_plugin)cached_property)PathcseZdZdZdZejjdZee j dddZ dCe e dddZ ddd d d Zd d ZdDedddZedddZeeddddddddZeeddddddddZddZeedddddd d!Zeeddd"d#d$ZdEd%d&Zeeddddd'dd(d)d*Zd+d,Zd-d.Zed/d0Zd1d2Zd3ddd4fd5d6 Z fd7d8Z!d9d:Z"d;d<Z#d=d>Z$d?d@fdAdB Z%Z&S)FCmfAuthLdapPluginN)logger)returncCs|jr |jStjj|tjd}|stj|tjd}||jsJ|dddl m }m }m }|t j||t d|_tj|j|jt jdnt||_|jS)uE Журнал логирования процесса импорта )parentnamer) set_library_log_activation_levelset_library_log_detail_levelEXTENDEDldap3)level)_CmfAuthLdapPlugin__loggermodelsZ CmfAttachmentgetr LOG_NAMEsaveZ file_existsZ upload_fileZldap3.utils.logrrrloggingZERRORZ getLoggerZ init_loggerZfull_path_fileINFOZ get_logger get_files_dir)selfZ attachmentrrrr#1./modules/settings/models/cmf_auth_ldap_plugin.pyrs   zCmfAuthLdapPlugin.logger)ldap_user_name ldap_user_pwdc Ost|dddddg|s,|jjj}|s<|jj}tt j t j dd}t |jj d|jj|d }t}t||||d |jjd }|r|W5QRSd |j} |j| t| W5QRXdS) Nplugin.ext_urlplugin.ext_portconnection_timeoutzplugin.ext_loginplugin.ext_passwordz"/etc/ssl/certs/ca-certificates.crt)ZvalidateversionZ ca_certs_file:)ZtlsF)userpasswordauthenticationZauto_referralsZreceive_timeoutu@Не удалось подключиться к серверу: )cmfutil disable_acl load_fieldsplugin ext_loginvalue ext_passworddecryptrsslZ CERT_OPTIONALZPROTOCOL_TLSv1_2rZext_urlZext_portrrr)ZbindZ last_errorrerror Exception) r"r%r&argskwargsZtls_configurationZserverr/connerrr#r#r$connect.s2       zCmfAuthLdapPlugin.connect)r4r6c Oszz2|||W5QRXtd|jdWdStk rt}z$td||jdWYdSd}~XYnXdS)NuKПодключение к серверу выполнено успешно.TuOПодключение к серверу выполнено с ошибкой: uNПодключение к серверу выполнено с ошибкой.F)r? cmf_alertrinfor exception)r"r4r6r;r<er#r#r$ test_connectDs   zCmfAuthLdapPlugin.test_connectc csdd}d}|8}|jjj||d|ddd}|D]}|V|d7}q0W5QRX|jd|dS)N rr T) search_base search_filter attributes paged_size generatorZget_operational_attributesu"Загружено записей )r?extendZstandardZ paged_searchrrA)r"rFrGrItotalr=Zentry_generatorentryr#r#r$ _paged_searchQs  zCmfAuthLdapPlugin._paged_searchc cs z|dddg|jj}|r4|jr.|jj}nWdS|ddkrXtddtdd|}|r|jd krx|d |d 7}n|d |d 7}|d dkrd|d }|jr|j dD]&}| | d|j |EdHqn| |j j|EdHWn$t k r|jdYnXdS)Nadditional_user_dnuser_object_class_filterbase_dnrK&z\)$z\(&adz(whenCreated>=)z(modifyTimeStamp>=)(rz(&;,u8Ошибка загрузки пользователей)r2rQr5user_disabled_filterresubdirectory_typecountrPsplitrOstriprRr:rrB)r" prev_sync_gtdisabledrGadd_dnr#r#r$ldap_get_users_s,    & z CmfAuthLdapPlugin.ldap_get_usersccszn|dddg|jrR|jdD]*}||d|j|jjEdHq$n||jj|jjEdHWn"tk r|j dYnXdS)Nadditional_group_dngroup_object_class_filterrRrXrYu(Ошибка загрузки групп) r2rer_rOr`rRrfr5r:rrB)r"rcr#r#r$ldap_get_groups{s* z!CmfAuthLdapPlugin.ldap_get_groupsTz @minutely ) only_once system_jobZschedulesoft_time_limitprioritycCs^tjdddgddgdD]@}|jr6|jj|jjdkrtj|jjdd tj|jjd qdS) N auto_sync==T sync_date sync_intervalfilterfields<auth_plugin_id delta_minutesrx) rlistrpagerqr5syncidapply auth_pluginr#r#r$ cron_syncs   zCmfAuthLdapPlugin.cron_syncz H 4 * * *ipcCsftjdddgddgdD]H}|jr>|jj|jjdddkrtj|jjdd tj|jjd qdS) NrnroTrpsync_all_intervalrrrurwrz) rr{rpr|rr5r}r~rrr#r#r$cron_full_syncs   "z CmfAuthLdapPlugin.cron_full_syncc Cs|jdt}dddg}|j|dD]B}|jjD].\}}||krNq:||d|d}|jd|d|d tj j d d d |d g| d }|stj j d d|d g| d }|s|jd|tj |d |d}|j s||_ ||j kr|j ||_ |D]0\}} |d kr6q t||r t||| q |jr:||jq:q(|jdt|ddS)Nu)Синхронизируем группы--r~groupsrtz::u-Обрабатываем группу ext_id=z name=rext_idZLIKE%rrrou0Не нашли группу, создадим: )rruОбработано u групп)rrAset all_raw_datarr5itemsaddrCmfPersonGrouprkeysrloadhasattrsetattr is_changedrdpcommitlen) r"ZsyncedrtobjZgroup_idvalrgroupkeyr5r#r#r$process_groupss>    "    z CmfAuthLdapPlugin.process_groups)rkrjrlrmc Osrtd|dtjj|ddgd}z|jdkr`|jjdkrN|j dn|j d Wd S|j d |j d|_| t tj ||j|jstd tjjd ddgddd gdd|ggd didtttjjd ddgdd|ggdddgdD]}tjj|dgdj}|dkrBqz0|j d|j||jt Wn(|j|jd|YnXqW5QRXW5QRXd|_| t tddD]<}tj j!dkr|j dt"tj#j$qt%&dq|j dWnNt'k rl}z.t(|d |_| t |jd!W5d }~XYnXd S)"uP Сохраняем данные в CmfPerson и CmfPersonGroup zStart CmfAuthLdapPlugin.apply(rV sync_statusrpr~rt in_progressrhСинхронизация пользователей зависла, запускаем форсированно повторно2Синхронизация уже запущенаN+Запущена синхронизацияuHУкажите "Домен для логина" в настройках.dirtyroFZ person_idrT)rsvaluesrr~loginrruОбрабатываем login=uFОшибка обработки данных пользователя closedrruu+Синхронизируем с eva_accountrKu0Изменения применены в eva_appr9u4Ошибка применения изменений))gdebugrrrrrpr|rrAset_nowrcommit_with_eventr ldap_grouprrrdomainAssertionErrorCmfAuthPluginDataZ bulk_updater0Zdisable_notifyr1r{sgetrZprocess_personZrollbackrBrange global_varaccount_sync_statusschedule_deferred_job CmfPersonaccount_sync_userstimesleepr:r )rx_args_kwargsrraw_data new_statusirCr#r#r$rsp            0   zCmfAuthLdapPlugin.apply)rjrkc Os`td|dtjj|ddgd}|jdkr@|jddS|jd|j d|_| t d }|jd tj j |d }d }d }||kr|||krtj j|d |gdddddgdD]}z|jr4|jjs|jjd|jd|j_tj} | |jjkr"|jj| |jj d|_||d 7}|j|jd|d|Wqtk r|jdYqXq|d 7}qd }tjj |d }|jdtjj|dgdD]x} zN| jrd| _| Wq| |jd|d||d 7}t Wn"tk r<|jdYnXqd|_| |jddS)NzStart CmfAuthLdapPlugin.clear(rVrrprrru)Очищаем синхронизациюrKuhУдаляем данные по пользователям (не самих пользователей)rdrzperson.does_not_workzperson.rg_member_ofrzperson.is_adminzperson.is_support)rslicertu Блокируем учетку TУдалено u из u/Ошибка удаления CmfAuthPluginDatauУдаляем группы cmf_import)rrtu,Ошибка удаления CmfPersonGroupru!Очистка завершена)rrrrrrrrArprrrrr^r{ZpersonZis_adminrZ does_not_workrrZ rg_member_ofremover5deleterrr:rBr) rxrrrrrMstepndataZldap_grprr#r#r$clearsl            zCmfAuthLdapPlugin.clearccspddl}d}tjjdd|gd}t|||D]8}tjjdd|g||||||gdD] }|Vq^q2dS)uBЧастями загружаем в память и отдаем, иначе будет утечка памяти Args: fields (list, optional): Поля для загрузки. Defaults to None. Yields: CmfAuthPluginData: загруженные сырые данные rNrrro)rs)rsrtr)mathrrr^rZceilr{)r"rtrrZcntrrowr#r#r$r8s  zCmfAuthLdapPlugin.all_raw_data)rjrkrlrmryc Os,td|dtjj|ddddddd d d d d g d}z|jdkrr|jjdkr`|j dn|j dWdS|j d|r|jj |dnd}|j }d|_| t |j di}|D],}|ds|jd|qt|jjd} |jdks|jjr$t|d| d<nt|d|jj| d<t| dtr^| dd| d<|d|jj} t| tr| d} | r| | d<|d|jj} t| tr| d} | r| | d<|d|jjg| d<| ||d<|j | q|j d t} dd!dd"d#d$d%d&d'd(d)g } t}t} |j|d*D]&}||}|sZqB|||d<qBt|rt| }t||}|j d+t|d,d-|d.d/|d0d1t}t} |jr|jd2|d3D]&}||}|sq|||d<qt|rVt| }t||}|j d+t|d4d-|d.d/|d0d1d}d}d}d}t} |r|j | d5D]}ztjj!|d gdj}|dkrWq|j"|krWq|#t|j"}|sWq|$|||d2|_%|d67}|j"|kr d2|_&|j'rB|j d7|d!|d67}d2|_(|j d2d8WnXt)k r}z8|j*d9|d!d:|dd;|d<|_|d67}W5d}~XYnXqt| }|r||}|j d=|d>d-|d.d/|d0d1|r||}|j d?|d>d-|d.d/|d0d1t} |+D]\}}z|tjj!|d gdj}|dkr^Wq|j d@|d!tj,||dA}|$|||d2|_(| |j-.|d67}WnXt)k r }z8d<|_|j*d9|d!d:|dd;||d67}W5d}~XYnXq.|rTt| }||}|j dB|d>d-|d.d/|d0d1d}|s|jdd-|d.d/|d0d1|jdkrdE|_| t tj12tj34t5ddFD]0}tj6j7dkrXt8tj1j9qft:d6q4|r|jdG|dHt;jrrrrrrrpr|rrAZgeneralized_timeZnowrrrgZwarningdictr~r5group_uid_attrZis_nullstr isinstancer{group_name_attrgroup_desc_attrgroup_users_attrrrdldap_user_attributesrrZrrrpopupdate_raw_datarrrrr:rBrrrrrrrZflush_all_notify_opt_cacheZCmfProjectNotifySchemeZtrigger_reloadrrrrrrr0Z admin_alertr )rxryrrrraZ sync_start cached_grpgrprZgrp_nameZgrp_attrZ start_timertZldap_users_dict ldap_userr-ZdurationZspeedZldap_disabled_users_dictZ sync_errorsZ users_addedZusers_synchronizedZ users_updatedrrrCrraw_userZ users_deletedrr#r#r$r}Js                       &    &           zCmfAuthLdapPlugin.syncc Cs`|dsdS|d|jj}t|tr2|d}t|d|jj}t|trZ|d}|sftd|d|jj}t|tr|d}|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j jg}t ||||||||dd} |jr\|d|jj} t| trT| d} | | d<| S)NrHruWНе удалось получить уникальный ИД пользователяr)rr name_attruser_name_attruser_last_name_attruser_email_attr user_groupsruser_employee_number_attr)ruser_full_name_attrr5rr{r user_uid_attrruser_display_name_attrrrruser_groups_attrrr) r"rrrrrrrrr-rr#r#r$rsH         z&CmfAuthLdapPlugin.ldap_user_attributesc Cs|d|_d|kr|d|_nd|_d|krL|drL|dd|jj|_nd|_d|krz|drz|dd|jj|_nd|_d|kr|d|_nd|_d|kr|d|_nd|_g}|jr(|D]`}||}|d|dkr||d |d |j kr|j d |||j |d <|j |_ qnz|d D]p}|j d || |}|r||d |d |j kr||j |d <|j |_ n|j d |q0t|j jD] }||kr|j |=|j |_ qdS)Nrrrrrrrrru9Добавляем пользователю группу ruИщем группу uНе нашли группу )rrrZ max_lengthrrrrappendrrrArwarnr{r5r) r"rrrZcurrent_user_groupsZ group_uidrentry_dnZ gr_ext_idr#r#r$rAsN         z!CmfAuthLdapPlugin.update_raw_datacCsZtjdkrdSg}tjjddgdD]}||dq$t|ddd }td |dS) u= Отправляем в аккаунт 1к1 FalseNz**plugin.*rr)Z eva_app_token auth_pluginsZrpc_account_plugin_push)r<methodz/auth/sync_accounts) configZEVA_ACCOUNT_USErrr{rdumpsZgen_eva_app_tokenZcall_eva_account)rr3rr#r#r$account_plugin_pushvs  z%CmfAuthLdapPlugin.account_plugin_pushcCs.|jjs dS|jr*ttjjd|jjiddS)Nrx)r<)rnrrrrrr~r5r"r#r#r$_process_auto_syncsz$CmfAuthLdapPlugin._process_auto_syncrdepthnotifyemitcs^tjstddd|jr,|js,tjg|_tj|_ | | t j ||||d|S)NuEМодуль доступен только в версии On-PremiseTabortr)rZIS_BOX_VERSIONr@Zis_newZdefault_groupsrrZ user_groupZORG_NAMEZorg_name_process_directory_typersuperr)r"rrrr;r< __class__r#r$rs  zCmfAuthLdapPlugin.savecstddgS)Nr r)rsave_preload_fieldsrrr#r$rsz%CmfAuthLdapPlugin.save_preload_fieldscCs |jjs dS|jdkrd|_d|_d|_d|_d|_d|_d|_d |_ d |_ d |_ d |_ d |_ d |_d|_d|_d|_d|_d|_d|_n~|jdkrd|_d|_d|_d|_d|_d|_d|_d |_ d |_ d|_ d|_ d|_ d|_d|_d|_d|_d|_d|_d|_dS)NrUr-z,(&(objectCategory=Person)(sAMAccountName=*))zZ(&(objectCategory=Person)(sAMAccountName=*)(userAccountControl:1.2.840.113556.1.4.803:=2))ZsAMAccountNameZcnZ givenNameZsnZ displayNameZmailZ unicodePwdZ plaintextZ objectGUIDrz6(&(objectCategory=group)(!(isCriticalSystemObject=*))) descriptionmemberZmemberOfZldapZ inetorgpersonz(objectclass=inetorgperson)rTZ userPasswordZshaZ entryUUIDZgroupOfUniqueNamesz (objectclass=groupOfUniqueNames)Z uniqueMember)r]ruser_object_classrQrZrZ user_rdn_attrrrrrZuser_password_attrZuser_password_cryptrrZgroup_object_classrfrrrrrr#r#r$rsT  z)CmfAuthLdapPlugin._process_directory_typecCs t |ddddgtdD]}z||jjj|jj }d|j d|j d|d }|j |j j|d d r|jD]L}||j|4}|W5QRW5QRWW5QRSQRXq~W5QRXWq&|jd |d |Yq&Xq&td|ddW5QRXdS)u?Авторизация через внешнюю системуrrrRrz(&(ObjectClass=rW=z))r )rHu Ошибка u- попытки авторизации login=u7Не удалось авторизоваться login=TrN)r0r1r2rr?r3r4r5r6r7rrsearchrRentriesrrrBr@)r"rr.rr=Z_filterresZ _test_connr#r#r$signins   H zCmfAuthLdapPlugin.signincOsFtj|tj}tjtjtj|s8|j dtjd|S)NZinitfiles) ospathjoinr!r rexistsrZ UPLOAD_DIRrrA)r"r;r<Z file_pathr#r#r$get_log_filenames z"CmfAuthLdapPlugin.get_log_filenameF)forcecsLtjj|d}|r(td|dddStj||dd||dS)NruMСначала очистите интегрированные данные: Tr)r recursive)rrr^r@rrr)r"rr;r<Zhas_datarr#r$rs zCmfAuthLdapPlugin.delete)NN)NN)N)'__name__ __module__ __qualname__Z_CmfAuthLdapPlugin__connectrr rZ ui_meta_skippropertyrZLoggerrrr?rDrOr{rdrg staticmethodZcmf_deferred_jobrrrrrrr}rrrrrrrr rr __classcell__r#r#rr$rsN     " >  8 S#5  .r)gcrrr[Zldap3.core.exceptionsrrrrrrrZcmf.apprZcmf.data_providers.baser Z cmf.includeZcmf.modules.logsr Zmodules.settings.fieldsr r r8pathlibrrr#r#r#r$s