U #hB@sddlZddlZddlZddlZddlmZddlmZmZm Z m Z m Z ddl m Z ddlmZddlTddlmZddlmZdd lmZddlZdd lmZGd d d ejZdS) N) LDAPException)TlsServer ConnectionNTLMSIMPLE) cmf_context) commit_all_ds)*) log_config)cmf_auth_ldap_plugin)cached_property)PathcseZdZdZdZejjdZdZejj dddddd d gZ d Z e e j d d dZddZdYeedddZdddddZddZdZed ddZd[ed ddZeedddddd d!d"Zeeddd#d$dd d%d&Zd'd(Zeeddd)dd*d+d,d-d.Zeeddd/d0d1Zd\d2d3Zd]d5d6Zeeddddd7d8d9Z eeddd$dd7d:d;Z!eedddd?Z"d@dAZ#dBdCZ$edDdEZ%dFdGZ&dHdIZ'd dddJfdKdL Z(fdMdNZ)dOdPZ*dQdRZ+dSdTZ,dUdVfdWdX Z-Z.S)^CmfAuthLdapPluginN)loggerTapplyclearsyncsync_allsync_newget_log_filename test_connectr)returncCs|jr |jStjj|tjd}|stj|tjd}||jsJ|dddl m }m }m }|t j||t d|_tj|j|jt jdnt||_|jS)uE Журнал логирования процесса импорта )parentnamer) set_library_log_activation_levelset_library_log_detail_levelEXTENDEDldap3)level)_CmfAuthLdapPlugin__loggermodelsZ CmfAttachmentgetr LOG_NAMEsaveZ file_existsZ upload_fileZldap3.utils.logrrrloggingZERRORZ getLoggerZ init_loggerZfull_path_fileINFOZ get_logger get_files_dir)selfZ attachmentrrrr*1./modules/settings/models/cmf_auth_ldap_plugin.pyr#s   zCmfAuthLdapPlugin.loggercCs>t|jdkr:t|_tjj|jdgdj}|dkSdS)N sync_statusidfields in_progressF)time broken_startr"rsgetr/r-)r)Z new_statusr*r*r+broken8s  zCmfAuthLdapPlugin.broken)ldap_user_name ldap_user_pwdc Ost|dddddg|s,|jjj}|s<|jj}tt j t j dd}t |jj d|jj|d }t}t||||d |jjd }|r|W5QRSd |j} |j| t| W5QRXdS) Nplugin.ext_urlplugin.ext_portconnection_timeoutzplugin.ext_loginplugin.ext_passwordz"/etc/ssl/certs/ca-certificates.crt)ZvalidateversionZ ca_certs_file:)ZtlsF)userpasswordauthenticationZauto_referralsZreceive_timeoutu@Не удалось подключиться к серверу: )cmfutil disable_acl load_fieldsplugin ext_loginvalue ext_passworddecryptrsslZ CERT_OPTIONALZPROTOCOL_TLSv1_2rZext_urlZext_portrrr:ZbindZ last_errorrerror Exception) r)r6r7argskwargsZtls_configurationZserverr@connerrr*r*r+connect?s2       zCmfAuthLdapPlugin.connect)rErGc Oszz2|||W5QRXtd|jdWdStk rt}z$td||jdWYdSd}~XYnXdS)NuKПодключение к серверу выполнено успешно.TuOПодключение к серверу выполнено с ошибкой: uNПодключение к серверу выполнено с ошибкой.F)rP cmf_alertrinfor exception)r)rErGrLrMer*r*r+rUs   zCmfAuthLdapPlugin.test_connectc csdd}d}|8}|jjj||d|ddd}|D]}|V|d7}q0W5QRX|jd|dS)Nr,rr T) search_base search_filter attributes paged_size generatorZget_operational_attributesu"Загружено записей )rPextendZstandardZ paged_searchrrR)r)rUrVrXtotalrNZentry_generatorentryr*r*r+ _paged_searchbs  zCmfAuthLdapPlugin._paged_searchc csNz"|dddg|jj}|r6|jr0|jj}nWdSd}d}|rn|ddkrjtddtd d|}d }d }|r|jd kr|d |d |d7}n|d|d7}|rd }|rd|d}|jd||j r |j dD]&}| | d|j |EdHqn| |j j|EdHWn$tk rH|jdYnXdS)Nadditional_user_dnuser_object_class_filterbase_dnFrZ&z\)$z\(&Tadz(|(whenCreated>=z)(whenChanged>=))z(modifyTimeStamp>=)z(&u%Фильтр запроса к LDAP: ;,u8Ошибка загрузки пользователей)rCr`rFuser_disabled_filterresubdirectory_typerrRr_splitr^striprarKrS)r) prev_sync_gtdisabledrVZcombine_filtersZfilter_was_not_emptyadd_dnr*r*r+ldap_get_usersps<    & z CmfAuthLdapPlugin.ldap_get_usersccszn|dddg|jj}|jrV|jdD]&}||d|j|EdHq,n||jj|EdHWn"tk r|j dYnXdS)Nadditional_group_dngroup_object_class_filterrargrhu(Ошибка загрузки групп) rCrtrFrsrmr^rnrarKrrS)r)rorVrqr*r*r+ldap_get_groupss& z!CmfAuthLdapPlugin.ldap_get_groupsz @minutely ) only_once system_jobZschedulesoft_time_limitprioritycCstjdddgddgdD]l}|jr6|jj|jjdkr|jd|d tj|j jd d d tj |j jd d |jd|dqdS)N auto_sync==T sync_date sync_intervalfilterr0<u.Частичная синхронизация  запущенаu-частичная синхронизацияauth_plugin_id delta_minutes sync_titlerr завершена) rlistr~agerrFrrRrr/r auth_pluginr*r*r+ cron_syncs  zCmfAuthLdapPlugin.cron_syncz H 4 * * *ipcCstjdddgddgdD]}|jr>|jj|jjdddkr|jd |d tj|j jdd d tj |j jd d |jd |dq|jd |d|jjddqdS)Nr|r}T sync_all_datesync_all_intervalrru(Полная синхронизация ru'полная синхронизацияrrru/ пропускается: sync_all_date.age = u мин.) rrrrrrFrrRrr/rrr*r*r+cron_full_syncs  "z CmfAuthLdapPlugin.cron_full_syncc Cs|jdt}dddg}|j|dD]}|r<dS|jjD]n\}}||kr\qH||d|d}|jd|d |d t | d g}t j j d d d|dg|d}|st j j d d|d g|d}|s|jd|t j |d |d}|js||_||jkr4|j||_|D]f\} } | d krRq sz+CmfAuthLdapPlugin.apply..r/z -ldap_deleted)rr0Zorder_byINrloginuM: обработка данных пользователей прерванаrZu!: обрабатываем login= ( из uH: ошибка обработки данных пользователя closedru-: синхронизируем с eva_accountu2: изменения применены в eva_apprJu6: ошибка применения изменений)0mathgdebug license_disable_user_count_hooksr"rr#r-r~rrrR capitalizeset_nowr%rr ldap_grouprdomainAssertionErrorCmfAuthPluginDataZ bulk_updaterAZdisable_notifyrBZslistrrangeceilrr5rZprocess_personZdpZrollbackrS global_varaccount_sync_statusschedule_deferred_job CmfPersonaccount_sync_usersr2sleep CmfLicenserecalc_users_countsrK cmf_rollback) rr_args_kwargsrrstepZ all_dirty_idscntrchunkraw_datarTr*r*r+rs        *  <  zCmfAuthLdapPlugin.apply)rxryc Ostd|ddt_tjj|ddgd}|jdkrF|jddS|jd |j d|_| t d }|jd tj j|d }d }d}||kr|||kr|r|jddStj j|d|gdddddgdD]}z|jrT|jjs|jjd|jd|j_tj} | |jjkrB|jj| |jj d|_||d 7}t |jd|d|Wqtk r|jdYqXq|d 7}qd }tjj|d }|jdtjj|dgdD]x} zN| jrd| _| Wq| |jd|d||d 7}t Wn"tk rX|jdYnXqd|_| |jdttjj dS) NzStart CmfAuthLdapPlugin.clear(rfTr-r~r.r1u2Синхронизация уже запущенаu)Очищаем синхронизациюrZuhУдаляем данные по пользователям (не самих пользователей)rru:Очистка синхронизации прерванаzperson.does_not_workzperson.rg_member_ofrzperson.is_adminzperson.is_support)rslicer0u Блокируем учетку uУдалено ru/Ошибка удаления CmfAuthPluginDatauУдаляем группы cmf_import)rr0u,Ошибка удаления CmfPersonGroupru!Очистка завершена)!rrrr"rr#r-rrRr~rr%rrcountr5rZpersonZis_adminrZ does_not_workrrZ rg_member_ofremoverFdeleterKrSrrrr) rrrrrr\rndataZldap_grprr*r*r+r8sv              zCmfAuthLdapPlugin.clearccsxddl}d}|r|ntjjdd|gd}t|||D]8}tjjdd|g||||||gdD] }|Vqfq:dS)uBЧастями загружаем в память и отдаем, иначе будет утечка памяти Args: fields (list, optional): Поля для загрузки. Defaults to None. Yields: CmfAuthPluginData: загруженные сырые данные rNrrr})r)rr0r)rr"rrrrr)r)r0rrrrrowr*r*r+rxs  zCmfAuthLdapPlugin.all_raw_datarc Cspddlm}m}|jsdS|j||d|j}t|jd dd|j |j |j |j |jfD}|dS)Nr) timedeltatimezone)Zminutesrccss*|]"}ddtt|t|VqdS)0N)rstr)ritemr*r*r+ sz6CmfAuthLdapPlugin._generalized_time..z.0Z)ZdatetimerrrFZ astimezoneZutcZ timetuplertm_yearjointm_montm_mdaytm_hourtm_mintm_sec)r)Z date_timerrrZdtZgtimer*r*r+_generalized_times z#CmfAuthLdapPlugin._generalized_time)rxryrzr{cOs"tj|dddtj|dddS)Niu:ручная частичная синхронизацияrrrrrrrrr*r*r+rszCmfAuthLdapPlugin.sync_newcOs tj|ddtj|dddS)Nu4ручная полная синхронизацияrrrr*r*r+rs zCmfAuthLdapPlugin.sync_alli )rrc OsR td|ddt_tjj|dddddd d d d d dg d}z|jdkr|jjdkrp|j | dn|j | dWdS|j d||r|j |j|dnd}|j }d|_|t|j di}|j|dD]h} |r|j | dWdS| ds>|j d| qt|jjd} |jdksb|jjrtt| d| d<nt| d|jj| d<t| dtr| dd| d<| d|jj} t| tr| d} | r| | d <| d|jj} t| tr| d} | r| | d!<|jr8| d|jjg| d"<nd#| d"<| || d<|j | q|j | d$t} t}t} |j |dD]&}|!|}|sq|||d<qt"|rt| }t"||}|j | d%t"|d&|d'd(|d)d*t}t} |j#rZ|j d|d+D]&}|!|}|sJq2|||d<q2t"|rt| }t"||}|j | d%t"|d,d-|d'd(|d)d*d}d}d}d}t$}t} |rd.n tj%j&|d}|rf|j'dd/d d0d1d2d3d4d5d6d7d8g d9D]P}z|rD|j | d:WWdS|j(j|krXWq|)|j(j}|srWq|*||||+|j(j|d;7}|j,rd<|_,|j(|k|_-|j.r|j | d=|d/d-|d>|d|d;7}d|_/|jdd?Wn`t0k r`}z@|j 1| d@|d/dA|ddB|dC|_|d;7}W5d}~XYnXqt| }|r||}|j | dD|dE|d'd(|d)d*|r||}|j | dF|dE|d'd(|d)d*t} |2D]\}}z|r*|j | dGWWdS|j dH|d/tj%||dI}|*|||d|_/|t|+|j(j|d;7}Wn`t0k r}z@dC|_|j 1| dJ|d/dA|ddB||d;7}W5d}~XYnXq|r4t| }||}|j | dK|dE|d'd(|d)d*d}|s|jdCkr|j'dd7d6gd9D]4}|j(j|kr\d|_,d|_/|jdd?|d;7}q\|rt| }||}|j | dL|dE|d'd(|d)d*|jdkrdM|_|ttj34tj56t7ddND]0}tj8j9dkr:t:tj3j;qHt| dQ|dR|dP|dSn&|j | dT||j_|t:tj?j@Wnt0k rL}zhtA|| r:|j 1| dUdC|_|t=j>| dQ|dU|dSt:tj?j@tW5d}~XYnXdS)VNzStart CmfAuthLdapPlugin.sync(rfTr8r9z plugin.loginr;rarzcmf_owner.loginrlr-use_user_groups_attrr~r.r1i0*rrr)ruЗагружаем группы)rou.: загрузка групп прерванаrWu-У записи нет аттрибутов: rZentryDNdnrrrtextmembersrcu,: загружаем сырые данныеu: загружено u2 изменённых пользователей (z.1fu сек., z.0fu польз./сек.))rprou2 отключенных пользователейrir first_name last_nameemailemployee_numberr ldap_disabled ldap_deletedr fields_mapru?: обновление сырых данных прерваноrZFu;: синхронизируем учетную запись /)Z only_datauC: Ошибка синхронизации пользователя (z): rJu: проверено u пользователей (u#: синхронизировано u/: импортирование прерваноu$Импортируем учетку )rruC: ошибка синхронизации пользователя u: добавлено u: удалено rru) завершена с ошибками (z). u( завершена с ошибками()ru# успешно завершена.u% завершена с ошибкой)Brrrr"rr#r-r~rrrRrrZnowr%rrur5rdictr/rFgroup_uid_attrZis_nullr isinstancergroup_name_attrgroup_desc_attrrgroup_users_attrr2rrldap_user_attributesrrirrrrrpopupdate_raw_datarrrrrrKrSrrZflush_all_notify_opt_cacheZCmfProjectNotifySchemeZtrigger_reloadrrrrrrrAZ admin_alertrrr) rrrrrrroZ sync_start cached_grpgrprZgrp_nameZgrp_attrZ start_timeZldap_users_dict ldap_userr>ZdurationZspeedZldap_disabled_users_dictZ sync_errorsZ users_addedZusers_synchronizedZ users_updatedZldap_synchronizedrrrTrraw_userZ users_deletedrr*r*r+rs              0       ,. ,,   . ,   ,    & zCmfAuthLdapPlugin.syncc Csddl}|dsdS|d|jj}t|tr:|d}t|d|jj}t|trb|d}|sntd|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j j}t|tr|d}|d|j jg} t||||||| |dd} |jrd|d|jj} t| tr\| d} | | d<|jrt| d<||jj} | D]l\} }|d| }t|tr|d| d|<n6t|tr|| d|<n|jd| d |dq| S) NrrWuWНе удалось получить уникальный ИД пользователяr)rr name_attruser_name_attruser_last_name_attruser_email_attr user_groupsruser_employee_number_attrruАттрибута нет u в )jsonr#user_full_name_attrrFrrr user_uid_attrruser_display_name_attrr r ruser_groups_attrrrmapping_fieldsloadsrrrR)r)r rrrr r r rrr>rrZ attr_nameZ field_nameZatt_valr*r*r+rs^             z&CmfAuthLdapPlugin.ldap_user_attributesc Cs|d|_d|kr|d|_nd|_d|krL|drL|dd|jj|_nd|_d|krz|drz|dd|jj|_nd|_d|kr|d|_nd|_d|kr|d|_nd|_d|kr|d|_g}|jr:|D]`}||}|d|d kr| |d |d |j kr|j d |||j |d <|j |_ qnz|d D]p}|j d || |}|r| |d |d |j kr||j |d <|j |_ n|j d|qBt|j jD] }||kr|j |=|j |_ qdS)Nrr r r rrrrrru9Добавляем пользователю группу ruИщем группу uНе нашли группу )rrrZ max_lengthrrrrrappendrrrRr#warnrrFr) r)r r rZcurrent_user_groupsZ group_uidrentry_dnZ gr_ext_idr*r*r+rsR          z!CmfAuthLdapPlugin.update_raw_datacCsZtjdkrdSg}tjjddgdD]}||dq$t|ddd }td |dS) u= Отправляем в аккаунт 1к1 FalseNz**plugin.*rr)Z eva_app_token auth_pluginsZrpc_account_plugin_push)rMmethodzauth/sync_accounts) configZEVA_ACCOUNT_USEr"rrrdumpsZgen_eva_app_tokenZcall_eva_account)rrDrr*r*r+account_plugin_pushs  z%CmfAuthLdapPlugin.account_plugin_pushcCs.|jjs dS|jr*ttjjd|jjiddS)Nr)rM)r|rrr"rrr/rFr)r*r*r+_process_auto_syncsz$CmfAuthLdapPlugin._process_auto_synccCsJddl}|jjr|jsdSz||jjWntdddYnXdS)NruYНе правильный формат маппинга. прим {"description": "text"}Tabort)rrrrrFrQ)r)rr*r*r+_validate_mapping_fieldssz*CmfAuthLdapPlugin._validate_mapping_fieldsdepthnotifyemitcsftjstddd|jr,|js,tjg|_tj|_ | | | t j||||d|S)NuEМодуль доступен только в версии On-PremiseTr$r')rZIS_BOX_VERSIONrQZis_newZdefault_groupsr"rZ user_groupZORG_NAMEZorg_name_process_directory_typer!r&superr%)r)r(r)r*rLrM __class__r*r+r%s  zCmfAuthLdapPlugin.savecstddgS)Nr r)r,save_preload_fieldsr"r-r*r+r/sz%CmfAuthLdapPlugin.save_preload_fieldscCs |jjs dS|jdkrd|_d|_d|_d|_d|_d|_d|_d |_ d |_ d |_ d |_ d |_ d |_d|_d|_d|_d|_d|_d|_n~|jdkrd|_d|_d|_d|_d|_d|_d|_d |_ d |_ d|_ d|_ d|_ d|_d|_d|_d|_d|_d|_d|_dS)Nrdr>z,(&(objectCategory=Person)(sAMAccountName=*))zZ(&(objectCategory=Person)(sAMAccountName=*)(userAccountControl:1.2.840.113556.1.4.803:=2))ZsAMAccountNameZcnZ givenNameZsnZ displayNameZmailZ unicodePwdZ plaintextZ objectGUIDrz6(&(objectCategory=group)(!(isCriticalSystemObject=*))) descriptionmemberZmemberOfZldapZ inetorgpersonz(objectclass=inetorgperson)rcZ userPasswordZshaZ entryUUIDZgroupOfUniqueNamesz (objectclass=groupOfUniqueNames)Z uniqueMember)rlruser_object_classr`rirZ user_rdn_attrr r rrZuser_password_attrZuser_password_cryptrrZgroup_object_classrtrrrrr"r*r*r+r+!sT  z)CmfAuthLdapPlugin._process_directory_typecCs t |ddddgtdD]}z||jjj|jj }d|j d|j d|d }|j |j j|d d r|jD]L}||j|4}|W5QRW5QRWW5QRSQRXq~W5QRXWq&|jd |d |Yq&Xq&td|ddW5QRXdS)u?Авторизация через внешнюю системуr2rrarz(&(ObjectClass=z)(=rer )rWu Ошибка u- попытки авторизации login=u7Не удалось авторизоваться login=Tr$N)rArBrCrrPrDrErFrGrHr2rsearchraentriesrrrSrQ)r)rr?rrNZ_filterresZ _test_connr*r*r+signinOs   H zCmfAuthLdapPlugin.signincOsFtj|tj}tjtjtj|s8|j dtjd|S)Ninitfiles) ospathrr(r r$existsrZ UPLOAD_DIRrrR)r)rLrMZ file_pathr*r*r+r`s z"CmfAuthLdapPlugin.get_log_filenameF)forcecsLtjj|d}|r(td|dddStj||dd||dS)NruMСначала очистите интегрированные данные: Tr$)r> recursive)r"rrrQr,rr!)r)r>rLrMZhas_datar-r*r+rfs zCmfAuthLdapPlugin.delete)NN)NN)N)NN)r)/__name__ __module__ __qualname__Z_CmfAuthLdapPlugin__connectr!r rZ ui_meta_skipZ api_allowZ api_methodsr3propertyr&ZLoggerrr5rrPrr^rrrru staticmethodZcmf_deferred_jobrrrrrrrrrrrrr!r#r&r%r/r+r8rr __classcell__r*r*r-r+rsv   $   (Q  >    f17   .r)gcr2r&rjZldap3.core.exceptionsrrrrrrrZcmf.apprZcmf.data_providers.baser Z cmf.includeZcmf.modules.logsr Zmodules.settings.fieldsr r rIpathlibrrr*r*r*r+s