Y~h.ddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z ddlmZddlmZddlmZddlmZdd lTd d lmZd d lmZd dlmZd dlmZGddejZdS)N) pbkdf2_hmac)AES)SHA256)RSA)get_random_bytes) PKCS1_v1_5)pad)*) send_email)auth)LdapStatusCode) Supervisorc eZdZdZdZeeej e j dddgZ edZedZd Zed Zd?d ZedZd@dZdZdAdZedefdZdAdefdZedZedZedZ edZ!edZ"dZ#dZ$dZ%dZ&ed Z'ed!Z(ed"Z)d#Z*dBd$Z+dBd%Z,ed&Z-ed'Z.dCd)Z/ dDd*e0d+e1d,e1d-e1d.ef d/Z2ed0Z3edBd1Z4fd2Z5d3Z6ed4Z7ed5e8fd6Z9ed7Z:ed8Z;ed9Zdd;dd<=d>Z?xZ@S)ECmfAuth modulesr templates)loadercftj|jddS)N$base64 b64decode pass_hashsplitselfs ./modules/auth/models/auth.pykeyz CmfAuth.key#( 4 4S 9 9" =>>>cftj|jddS)Nrrr s r"saltz CmfAuth.salt'r$r%ctj|j}|tt t jz }||jz }|SN)secrets token_hex token_lengthstrinttimer(hex)r!server_challenges r"gen_server_challengezCmfAuth.gen_server_challenge+sR",T->??CDIKK 0 0111DIMMOO+r%cd|jdz}}|||}||dz}}|||}|t|}}t|||}t jd||d} tj|j} tttj }|| z|z|z} ttj} tj| tj| } | t%| tj}| |zS)Nrr rsha256順)r-lenbytesfromhexhashlibrencoder+r,r.r/r0rr block_sizenewMODE_CBCencryptr r1)clsloginpasswordr2startend server_randomserver_timestamp server_salttest_key client_randomsecretivcipherencrypted_secrets r"test_gen_server_challenge_respz&CmfAuth.test_gen_server_challenge_resp1s7(1,s(s3 #(s+E#I6#.//smm$4U3Y$?@@ & hoo''g   )#*:;; s49;;//00.1AAEI cn - -3<44!>>#fmmoos~*N*NOO%%**,,,r%restore_passwordFcP|dt|j}|dkr |j|d<|r5t dd|d t j|St dd |d t j|S) u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hrOrAT)absolutezservicedesk/auth/?zauth/)reset_pass_set_datadictreset_password_hashrAauth_base_hrefurllibparse urlencode)r!endpointsdeskparamss r"reset_pass_linkzCmfAuth.reset_pass_linkNs   u ---0111 ) ) )"jF7O  f$d333qqhqqQWQ]QgQghnQoQoqq q$d333ee(eeV\E[E[\bEcEcee er%c Ttj|gd}|sht5tjddd|dddd dddn #1swxYwYtd |jr|jtj kr|jd z tj d z krht5tjddd|d ddd dddn #1swxYwYtddtj }|j }|jd}||t}tj}||jj||t5tjdddd|idd ddddS#1swxYwYdS)N)reset_password_expiresrAemailrAfieldsrestore_password_get_linkrzLogin not foundrAreasonfailT)operatecmf_model_nameparent audit_data result_statuscurrent_transactionu,Такого пользователя нетQi,z Already sentuВам на почту уже отправлена ссылка для сброса пароля. Для повторной отправки повторите попытку позже.uCСсылка для восстановления доступа к zreset_password_email.html) restore_linkconfig)subjectrAok)modelsrgetcmfutil disable_aclCmfAudit audit_event CmfAuthErrorrar0CmfErrorrq HOSTNAME_FQDNr_ _jinja_env get_templaterenderCmfPluginMailBoxget_local_mailbox send_messagerbvalue)r@rArrrlinktemplatemessagemail_boxs r"send_pass_linkzCmfAuth.send_pass_link]sB~!!6b6b6b!cc O$$&& \ \++4O`i37e_pDqDq:@VZ,\\\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \MNN N  & w+dikk99+|../JKK//tF/CC*<<>>dj.III  " " V V O ' '0K\e/3%@P6:PT ( V V V V V V V V V V V V V V V V V V V V Vs5)A44A8;A8,)D!!D%(D%((HH!$H!Tc|rdntjd|_|rdn"tt jdz|_|dS)u Выставляем (или сбрасываем) секретик для сброса пароля Не очень хорошо, наверное хранить его в чистом виде, если упрут базу account будет печально, т.к. по сути даст доступ ко всем, кто в течение часа до угона БД запросил восстановление пароля. По хорошему хэшировать чем-то, что хранится отдельно от БД и периодически менять. Но это TODO-преTODO, т.к. паранойя. 12 байт рандома дают нам 2**(8*12)=79,2E+27 значений. Перебирать по 1 в сек по сети - 2,5E+21 лет. :param reset - если True, выставляем всё в None, если False - генерируем новые значения N ro)r+ token_urlsaferWr/r0rasave)r!rQs r"rUzCmfAuth.reset_pass_set_data~sU,1#O44g6KB6O6O .3&XddTY[[9I9IL9X# r%cJ|j ptj|jkS)u_ Проверяем что ссылка для сброса пароля не протухла )rar0r s r"reset_pass_is_expiredzCmfAuth.reset_pass_is_expireds!..[$)++@[2[[r%Ncddd}|>|jjttjd|zz|jjd}t jtj|  }t jtj|  }|d|S)NRS256JWT)algtypro)rAexpscope.) rArr/r0rr b64encodejsondumpsr;decode)r!dayspayloadheaders r" create_jwtzCmfAuth.create_jwts // ?)49;;)<<==)G !$*V"4"4";";"="=>>EEGG"4:g#6#6#=#=#?#?@@GGII$$7$$$r%jwtcPtjtj|d}tjtj|d}|d|S)Nrrr)rrrrr;r)rrrs r" jwt_to_strzCmfAuth.jwt_to_strs!$*S]";";"B"B"D"DEELLNN"4:c)n#=#=#D#D#F#FGGNNPP$$7$$$r%ch|||}tjtj}t j}||||}tj | }|d|}|S)Nr) rrr=APPrsa_private_keyrupdater;signrrr)r!rrsignerdigestrress r"rsa_sign_pack_jwtzCmfAuth.rsa_sign_pack_jwts ;//$''C 344 cjjll###{{6""%%,,..ootoo r%c|d\}}}tj}|d|}||t j|}tjtj }| ||}|sdSt j| }t j| }tj |}tj |}ttjt|dkr5t dtj|ddS||dS)Nrru9Время жизни токена закончилосьrr)rrr=rr;rrrrrsa_public_keyverifyrrloadsr/r0gdebug)rjwtrr signaturerrverifierverifieds r"rsa_verify_unpack_jwtzCmfAuth.rsa_verify_unpack_jwtsH%)ZZ__"##'## cjjll###$Y// >#"455??6955 4!&))0022"7++2244F##*W%% ty{{  c'%.11 1 1 GGOQUQZQ\Q\^efk^l m m m4 W555r%c&|d\}}}tj|}tj|}t j|}t j|}||dS)Nrr)rrrrrr)rrrrs r"rsa_unpack_jwtzCmfAuth.rsa_unpack_jwts|%)ZZ__"!&))0022"7++2244F##*W%% W555r%c|d\}}}tj}|d|}||t j|}d} tj|}tj|} | ||}nA#t$r4} d| } t | t| | d} ~ wwxYw|S)NrFu,Не удалось разобрать JWT: )rrr=rr;rrr import_keyrr ValueErrorloggingerror) rrsa_public_key_bytesrrrrrrrrers r"rsa_verify_jwtzCmfAuth.rsa_verify_jwts%)ZZ__"##'## cjjll###$Y//  + ^,@AAN!~n55H//&)44CC + + +F1FFE MM% U## * + s2>B11 C/;/C**C/cjtd|stddS ||}n8#t$r+}tjdd}Yd}~nd}~wwxYw|stddS|d}|dd|_|dd|_|dd |_ d|_ d|_ d}tj td zrUt!td z5}|}dddn #1swxYwY| |_ |j pd d D]e}|r||d rd|_ |dkr>+(:: ; ; ,k$6677 ,16688>>++ , , , , , , , , , , , , , , ,$,|Y_"++C00 , ,D ,t(~~~>> ,'+$s{{q0={c^accddd%)"'+$ a aaSYaa3K_aabbb s)A B!BB9'E,,E03E0c  |dd|gdg}|s|dd|gdg}|s|dd|gdg}|sgtjj5t jdddd|id d d || dddn #1swxYwYdS|jrt d |j dtjj5t jddd|j ddd d d |j |j dddn #1swxYwYtdtj jddS|jjdr|j d\}}t j|rt j|dgD]0} ||jj|}|t.jkrn|t.jkr|rdS|tjj5t jddd|jjdddd d |jj|jj dddn #1swxYwY|cS#t8$r+}t d|d|Yd}~*d}~wwxYwtjj5t jddd|jjddd d d |jj|jj dddn #1swxYwY|jr8|jjdr|||jjr|rdS|tjj5t jddd|d ddd d || dddn #1swxYwY|Stjj5t jddd|d dd d d || dddn #1swxYwY|dS)!N ext_loginILIKEz***)filterrdrArb ident_failedrrhTr rirjrkrlrmrnsecurity_level parent_name parent_codeusПревышено количество попыток ввода пароля для учетной записи "u$", вход заблокирован auth_failedzToo many failed login attemptsrfunПревышено количество попыток ввода пароля, повторите через u минут allow_ldap@)domainplugin.*)rrdauth_successedldap)rAtypersu/Ошибка авторизации через z: allow_basebase) rucmfutilrvrwrtrxryfail_block_end_daterrrA cmf_alertrauth_fail_timeout auth_optionsrrCmfAuthLdapPlugincountlistsigninrrINVALID_CREDENTIALSSUCCESS_is_permanent_blockauth_success_hookrr check_secretauth_fail_hook) r@rAchallenge_respr_r auth_pluginldap_status_coders r"get_by_challenge_respzCmfAuth.get_by_challenge_resp sggk7E:E7gKK L'''7E!:E7'KKC L'''7E!:E7'KKC !--// R R++NS\37WeDT:@VZkl8=5,RRR R R R R R R R R R R R R R R R 4  "  GGzKNKTzzz { { {!--//  ++)#,),>^__"((,#$ # # ,                   xHIHYHkxxx y y y4   ! % %l 3 3 r ,,IAv'--V-<< r#)#;#@#@WaVb#@#c#c''K'+6+=+=cm>QSa+b+b(,~/QQQ!E-1GGG"6688,'+tt11333!$!1!=!=!?!?~~ & ; ;DTenCG^a^k^q|BUCUCJNdhyzHK H[ilivi|!<!~!~!~~~~~~~~~~~~~~~~ $'JJJH %fff dR] d dab d deeeeeeeef&X%1133rrO// V_7;RUR_ReouHvHv>DZ^opBX\mn}BDZ^op?? X%1133VVO//8HYbreset_passwordrNrsTr ) rirjrlrkrmrnrrr) load_fieldsmaxrrpassword_min_lengthrpassword_min_upper_symbolpassword_min_numberspassword_min_special_symbol_generate_passwordrrTr:rr;r?rrrvrwrtrxryrA) r!rWrBforcerXrYrZr(r#s r"r[zCmfAuth.reset_passwords '### *>DfMMF/IOO)>DI ! 1 M S ..#7H/H Dzz""$$"8X__->->gNN   te6H III X  ) ) + + R R O ' '0@QZ4;TZ3H/34]aosoy48Jq ( R R R R R R R R R R R R R R R R R R s:E%%E),E)rWrZrYrXreturncjg}tjtjztjz}|r@|tjz }|t jtj|r1|t jtj|r1|t jtjt j||t|z }| |t j |d |S)Nrr) rrQrascii_uppercase punctuationrOrrPrr7extendshuffler)r!rWrZrYrX password_dataletters extra_symbolss r"rbzCmfAuth._generate_password#s+- &69OO  D v) )G  v/A!B!B C C C  ?  v}!=!= > > >  H  v/E!F!F G G Gw&3};M;M2MNNN ]+++}%%%ww}%%%r%c dtj}d|g}t|||tjj5tj dddd|idd||d ddddS#1swxYwYdS) Nu&Пароль для доступа к u Пароль: send_passwordrrbrsTr ) rirjrkrlrmrnrrr) rqr|r rrrvrwrtrxry)r@rBrbrr msg_contentss r"rnzCmfAuth.send_password8sQ6;OQQ'2 <%000 X  ) ) + + : : O ' 'PY/3%@P6:PTbguz78 ( : : : : : : : : : : : : : : : : : : : : :s+BBBc`ddlm} |}t||}||t ddd|dd}|jd krtd t|j d  S) Nr)session)rA rg_member_ofT)rSinternalz auth/signup)rAgen_pwd)datau>Не удалось создать учётную запись access_token)rw) requestsrqrtrGrpostrX status_coderrVcookiesru)r@rArrrqsrIrs r" create_personzCmfAuth.create_personCs$$$$$$ GII!!L!II  FFtd;;; H H H    =C  \]] ]~!>!>????r%c|jjrfd|_|jjsS|jD](}|j|D]}|xjd|d|z c_)|jj|_t j|i|}|jjrdt 5t ||jdddn #1swxYwY|S)Nrrr)rkr) groups is_changedris_nullrrsuperrrrvrwrtr8)r!argskwargsrgrp_namer __class__s r"rz CmfAuth.save[s\ ; ! 6DJ;& 6 $ @@H$(K$9@@ &?(&?&?X&?&?? @!Z-3355 egglD+F++ > $ T$$&& T T%%TT^%LLQQSSS T T T T T T T T T T T T T T T s24C22C69C6c|jjrgStd|jdDS)NcDg|]}|ddS)rr)r).0rSs r" z)CmfAuth.prepare_scope..ns&CCCAGGCLLOCCCr%r)rrrrr s r" prepare_scopezCmfAuth.prepare_scopejsA :  ICCTZ-=-=c-B-BCCCDDDr%c||}tjdkr|S|dd} tj|}n#t $rd}t |wxYw|||}|s;d|ddd}t |t ||S)NFalserissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) rrqEVA_ACCOUNT_USErread_crm_pub_key RuntimeErrorrrrr)r@ eva_app_tokenrr crm_pub_keyrrs r" check_tokenzCmfAuth.check_tokenps  //  !W , ,J)nU# #$5c::KK # # #`EE"" " ###M;?? #y\_`i\jku\vyyyE MM% E"" " s A A(usersc ||}|dd}|D]} t|d}gd} d} |drp|t|d| } | r|| _n/||| } n||| } | sLt |} t d || |d pd } t| p|| _ |d pd } t| pd| _ | j jri| _ | jsg| _|| jvr| j|g| j |<|d r{t d|||| jvr| j|| j |=d| j _| |dD]Q} t d|d| d|| j || d| j _R|d| _t d|t d| j | t+t d| j#t.$rtd|wxYwddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rrrA)rrrreg_org_name_listrbr is_supportis_adminN old_loginrcrCu(Создали пользователя rbrr cmf_deletedu4Пользователь {} удален из Eva {}Trru,Добавляем пользователю u права u в Eva rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultrs)rr.lowerrrurArtrrrrrbrrrrrOformatremoverr cmf_commitrrr)r@rrrrrr user_dictrA_fieldsuserrbrgrp_codes r"rpc_account_sync_pushzCmfAuth.rpc_account_sync_pushsoom,,y>*-6 6 I5 Ig.//5577==??```==--@77Y{-C)D)D)J)J)L)L)R)R)T)T]d7eeDD%* "wwU7wCC77w7??D !>>>66DMM"TU"T"TUUUIIKKK! g..4" ZZ--//5577@5 %MM+66<" !$Y!5!5!7!7!=!=!?!?!G4;&%"$DK-0-/D*4#999*11(;;;(* H%]+MM"X"_"_`ego"p"pqqqt'===.55h??? H--1DK*IIKKK ). 922HMM#AQV#A#Adl#A#Av~#A#ABBBK)00:::-1DK**$-n$=! 6966777 :T[::;;;   8DJ889999   !!"Yi"Y"YZZZ $sJN2C*N22)Oc&tjsdSd}tjsdS||}|dd}|D]}tj|dddg} | st} || |d|dd| _| tj|dddg} | st} || ||| _ |d| _| | _ | tj d d d |Dg D]} | d diS)Nc|D]X}|dvs*|ds|dr1t||rt||||YdS)N)idcodeext_ipcmf__id)rendswithhasattrsetattr)robj_dict field_names r"copy_fz/CmfAuth.rpc_account_plugin_push..copy_fs& C C !999%0088:.s PsPsPs_bQTUYQZPsPsPsr%)rrrs) rqIS_BOX_VERSIONrrt CmfPluginrurrrrrrdelete) r@r auth_pluginsrrrrrrrauth_plugin_objs r"rpc_account_plugin_pushzCmfAuth.rpc_account_plugin_pushs$  F C C C$  Foom,,y>*-' # #K%))X1Ft1LVYUZ)[[F ,))++ F6;x0 1 1 1'1$7FM KKMMM$6::+dBS]`bl\m:nnO" ="(":":"<"< F?K 0 0 0'/O $%0%6O "%+O "  " " " ".33HhPsPsfrPsPsPs;t3uu  F MMOOOO$r%c J|jtj|jjztjt jz}tt dtj }|j d| f||dddd|tj |||fi|dS)N)secondsrAUTH_SESSION_COOKIE_DOMAIN session_tokenTLaxrexpiressecurehttponlysamesite) reauth_daterraccess_token_expires_inrrq PROLONG_DAYSgetattrr host set_cookie get_tokenrset_nginx_token)rqresponse cookie_kwargsr cookie_domains r"set_session_tokenzCmfAuth.set_session_tokens#h&8A`Af&g&g&ggjrj|CICVkWkWkWW(DglSS        !$   -RRMRRRRRr%c |jd|jtjdz f|tjt jtjtjzzdddd|dS)Nrwr rTrr)rrrqTOKEN_TTL_DAYSrrrr)rrrrs r"set_access_tokenzCmfAuth.set_access_tokens  #D "(=(A B B B !%))++h.@*V-@@/B/B/BB$  r%c |s>tjtjtjz}|j d||dddd|dS)Nrnginx_auth_token password123Trr)rr)rrrrqrr)rrrrs r"rzCmfAuth.set_nginx_tokens ]%))++h.@fF[.\.\.\\G   !$         r%u_Разблокировка учетных записей по истечению времениz @minutely) only_once description system_jobschedulectjjrdStj} t jdgdd|gddg}|sdS|D]}d|_|j tV)NTr   [ F F[ F[$ L L LLLLL ,,,, [..[. <6;9>&&&.2&&26& &&&&*::[:@@@[@.     EEE ["@ @ @ @ [@ D  [ BSS\S"   \      \  u   \r%r) rrr:rrr+rr0rYr Crypto.Cipherr Crypto.HashrCrypto.PublicKeyr Crypto.RandomrCrypto.SignaturerCrypto.Util.Paddingr cmf.includerbr rdrenumsr supervisorrrrr%r"rsh    ******''''''######""""""""""""S S S S S dlS S S S S r%