1*)iAddlZddlZddlZddlZddlZddlZddlZddlZddlZddlm Z ddl m Z ddl m Z ddlmZddlmZddlmZddlmZdd lTd d lmZd d lmZd dlmZd dlmZGddejZdS)N) pbkdf2_hmac)AES)SHA256)RSA)get_random_bytes) PKCS1_v1_5)pad)*) send_email)auth)LdapStatusCode) Supervisorc eZdZdZdZeeej e j dddge jZedZedZd Zed Zd@d ZedZdAdZdZdBdZedefdZdBdefdZedAdZ edZ!edZ"edZ#edZ$dZ%dZ&dZ'dZ(d Z)ed!Z*ed"Z+ed#Z,d$Z-dCd%Z.dCd&Z/ed'Z0ed(Z1dDd*Z2 dEd+e3d,e4d-e4d.e4d/ef d0Z5ed1Z6edCd2Z7fd3Z8d4Z9ed5Z:ed6e;fd7Zed:Z?edCd;Z@eeAddd?ZBxZCS)FCmfAuth modulesr templates)loader autoescapecftj|jddS)N$base64 b64decode pass_hashsplitselfs ./modules/auth/models/auth.pykeyz CmfAuth.key&( 4 4S 9 9" =>>>cftj|jddS)Nrrr!s r#saltz CmfAuth.salt*r%r&ctj|j}|tt t jz }||jz }|SN)secrets token_hex token_lengthstrinttimer)hex)r"server_challenges r#gen_server_challengezCmfAuth.gen_server_challenge.sR",T->??CDIKK 0 0111DIMMOO+r&cnd|jdz}}|||}||dz}}|||}|t|}}t|||}t jd||d} tj|j} || z|z|z} ttj } tj | tj | } | t| tj }| |zS)Nrr rsha256順)r.lenbytesfromhexhashlibrencoder,r-rr block_sizenewMODE_CBCencryptr r2)clsloginpasswordr3startend server_randomserver_timestamp server_salttest_key client_randomsecretivcipherencrypted_secrets r#test_gen_server_challenge_respz&CmfAuth.test_gen_server_challenge_resp4s(1,s(s3 #(s+E#I6#.//smm$4U3Y$?@@ & hoo''g   )#*:;; .1AAEI cn - -3<44!>>#fmmoos~*N*NOO%%**,,,r&restore_passwordFcP|dt|j}|dkr |j|d<|r5t dd|d t j|St dd |d t j|S) u Сформируем ссылку на сброс и отправим её пользователю. Альтернативно переиспользуется для приглашения нового пользователя. F)reset)hrPrBT)absolutezservicedesk/auth/?zauth/)reset_pass_set_datadictreset_password_hashrBauth_base_hrefurllibparse urlencode)r"endpointsdeskparamss r#reset_pass_linkzCmfAuth.reset_pass_linkOs   u ---0111 ) ) )"jF7O  f$d333qqhqqQWQ]QgQghnQoQoqq q$d333ee(eeV\E[E[\bEcEcee er&c Ntj|gd}|sgt5tjddd|ddddddn #1swxYwYtd |jr|jtj kr|jd z tj d z krgt5tjddd|d dddddn #1swxYwYtd dtj }|j }|jd}||t}tj}||jj||t5tjdddd|idddddS#1swxYwYdS)N)reset_password_expiresrBemailrBfieldsrestore_password_get_linkrzLogin not foundrBreasonfail)operatecmf_model_nameparent audit_data result_statusu,Такого пользователя нетQi,z Already sentuВам на почту уже отправлена ссылка для сброса пароля. Для повторной отправки повторите попытку позже.uCСсылка для восстановления доступа к zreset_password_email.html) restore_linkconfig)subjectrBok)modelsrgetcmfutil disable_aclCmfAudit audit_event CmfAuthErrorrbr1CmfErrorrq HOSTNAME_FQDNr` _jinja_env get_templaterenderCmfPluginMailBoxget_local_mailbox send_messagercvalue)rArBrrrlinktemplatemessagemail_boxs r#send_pass_linkzCmfAuth.send_pass_link^s"~!!6b6b6b!cc O$$&& B B++4O`i37e_pDqDq:@,BBB B B B B B B B B B B B B B B BMNN N  & w+dikk99+|../JKK//tF/CC*<<>>dj.III  " " < < O ' '0K\e/3%@P6: ( < < < < < < < < < < < < < < < < < < < < |jjttjd|zz|jjd}t jtj|  }t jtj|  }|d|S)NRS256JWT)algtypro)rBexpscope.) rBrr0r1rr b64encodejsondumpsr<decode)r"dayspayloadheaders r# create_jwtzCmfAuth.create_jwts // ?)49;;)<<==)G !$*V"4"4";";"="=>>EEGG"4:g#6#6#=#=#?#?@@GGII$$7$$$r&jwtcPtjtj|d}tjtj|d}|d|S)Nrrr)rrrrr<r)rrrs r# jwt_to_strzCmfAuth.jwt_to_strs!$*S]";";"B"B"D"DEELLNN"4:c)n#=#=#D#D#F#FGGNNPP$$7$$$r&ch|||}tjtj}t j}||||}tj | }|d|}|S)Nr) rrr>APPrsa_private_keyrupdater<signrrr)r"rrsignerdigestrress r#rsa_sign_pack_jwtzCmfAuth.rsa_sign_pack_jwts ;//$''C 344 cjjll###{{6""%%,,..ootoo r&c|d\}}}tj}|d|}||t j|}tjtj }| ||}|sdSt j| }t j| }tj |}tj |}|rlttjt|dkr5t dtj|ddS||dS)Nrru9Время жизни токена закончилосьrr)r rr>rr<rrrrrsa_public_keyverifyrrloadsr0r1gdebug) rjwt check_exprr signaturerrverifierverifieds r#rsa_verify_unpack_jwtzCmfAuth.rsa_verify_unpack_jwtsO%)ZZ__"##'## cjjll###$Y// >#"455??6955 4!&))0022"7++2244F##*W%%  TY[[))C,?,??? GGOQUQZQ\Q\^efk^l m m m4 W555r&c&|d\}}}tj|}tj|}t j|}t j|}||dS)Nrr)r rrrrr)rrrrs r#rsa_unpack_jwtzCmfAuth.rsa_unpack_jwts|%)ZZ__"!&))0022"7++2244F##*W%% W555r&c|d\}}}tj}|d|}||t j|}d} tj|}tj|} | ||}nA#t$r4} d| } t | t| | d} ~ wwxYw|S)NrFu,Не удалось разобрать JWT: )r rr>rr<rrr import_keyrr ValueErrorloggingerror) rrsa_public_key_bytesrrrrrrrrers r#rsa_verify_jwtzCmfAuth.rsa_verify_jwts%)ZZ__"##'## cjjll###$Y//  + ^,@AAN!~n55H//&)44CC + + +F1FFE MM% U## * + s2>B11 C/;/C**C/cjtd|stddS ||}n8#t$r+}tjdd}Yd}~nd}~wwxYw|stddS|d}|dd|_|dd|_|dd |_ d|_ d|_ d}tj td zrUt!td z5}|}dddn #1swxYwY| |_ |j pd d D]e}|r||d rd|_ |dkr>+(:: ; ; ,k$6677 ,16688>>++ , , , , , , , , , , , , , , ,$,|Y_"++C00 , ,D ,t(~~~>> ,'+$s{{q0={c^accddd%)"'+$ a aaSYaa3K_aabbb s)A B!BB9'E,,E03E0c  |dd|gdg}|s|dd|gdg}|s|dd|gdg}|sftjj5t jdddd|id d || dddn #1swxYwYdS|jrt d |j d tjj5t jddd|j ddd d |j |j dddn #1swxYwYtdtj jddS|jjdrv|j d\}}t j|r8t j|dgD]} ||jj|}|t.jkrn\|t.jkrtdn:|t.jkr|rdSd|_|d|}t>j !|dtjj5t jddd|jjdddd |jj|jj dddn #1swxYwY|cS[#tD$r+} t d|d | Yd} ~ d} ~ wwxYwtjj5t jddd|jjddd d |jj|jj dddn #1swxYwY|j#rt|jjd!rT|rdS|$||j#jrd"|_|d|}t>j !|dtjj5t jddd|d"ddd || dddn #1swxYwY|Stjj5t jddd|d"dd d || dddn #1swxYwY|%d|}t>j !|d dS)#N ext_loginILIKEz***)filterrerBrc ident_failedrrir rjrkrlrmrnsecurity_level parent_name parent_codeusПревышено количество попыток ввода пароля для учетной записи "u$", вход заблокирован auth_failedzToo many failed login attemptsrgunПревышено количество попыток ввода пароля, повторите через u минут allow_ldap@)domainplugin.*)rreu6Учетная запись заблокированаldapzauth:user_last_login_fail:rauth_successed)rBtypersu/Ошибка авторизации через z: allow_basebase)&rucmfutilrvrwrtrxryfail_block_end_daterrrB cmf_alertrauth_fail_timeout auth_optionsrr CmfAuthLdapPlugincountlistsigninrrINVALID_CREDENTIALS USER_DISABLEDSUCCESS_is_permanent_blocklast_auth_typeauth_success_hooklowerrREDIS_DBsetrr check_secretauth_fail_hook) rArBchallenge_respr_r auth_pluginldap_status_codedb_keyrs r#get_by_challenge_respzCmfAuth.get_by_challenge_respsVggk7E:E7gKK L'''7E!:E7'KKC L'''7E!:E7'KKC !--// R R++NS\37WeDT:@QR8=5,RRR R R R R R R R R R R R R R R R 4  "  GGzKNKTzzz { { {!--//  ++)#,),>^__"(#$ # # ,                   xHIHYHkxxx y y y4   ! % %l 3 3# r ,,IAv'--V-<<! r#)#;#@#@WaVb#@#c#c''K'+6+=+=cm>QSa+b+b(,~/QQQ!E-1MMM%&^___!E-1GGG"6688,'+tt17C.11333%I%%I%I%O%O%Q%QFL,,VQ777!$!1!=!=!?!?~~ & ; ;DTenCG^a^k^q|BUCUCJN_`HK H[ilivi|!<!~!~!~~~~~~~~~~~~~~~~ $'JJJH%fff dR] d dab d deeeeeeeef2X%1133rrO// V_7;RUR_ReouHvHv>DUVBSTbgDUV?? X%1133VVO//8HYbDfMMF/IOO)>DI ! 1 M S ..#7H/H Dzz""$$"8X__->->gNN   te6H III X  ) ) + + R R O ' '0@QZ4;TZ3H/34UYU_48Jq ( R R R R R R R R R R R R R R R R R R s9E$$E(+E(rerhrgrfreturncjg}tjtjztjz}|r@|tjz }|t jtj|r1|t jtj|r1|t jtjt j||t|z }| |t j |d |S)Nrr) rr_rascii_uppercase punctuationr]rr^rr8extendshuffler)r"rerhrgrf password_dataletters extra_symbolss r#rpzCmfAuth._generate_passwordIs+- &69OO  D v) )G  v/A!B!B C C C  ?  v}!=!= > > >  H  v/E!F!F G G Gw&3};M;M2MNNN ]+++}%%%ww}%%%r&c dtj}d|g}t|||tjj5tj dddd|id||dddddS#1swxYwYdS) Nu&Пароль для доступа к u Пароль: send_passwordrrcrsr )rjrkrlrmrnrrr) rqr|r rrrvrwrtrxry)rArCrcrr msg_contentss r#r|zCmfAuth.send_password^sQ6;OQQ'2 <%000 X  ) ) + + : : O ' 'PY/3%@P6:[`78 ( : : : : : : : : : : : : : : : : : : : : :s*A??BBc`ddlm} |}t||}||t ddd|dd}|jd krtd t|j d  S) Nr)session)rB rg_member_ofT)rTinternalz auth/signup)rBgen_pwd)datau>Не удалось создать учётную запись access_token)r) requestsrrtrUrpostrY status_coderrWcookiesru)rArBrrsrWrs r# create_personzCmfAuth.create_personis$$$$$$ GII!!L!II  FFtd;;; H H H    =C  \]] ]~!>!>????r&c|jjrfd|_|jjsS|jD](}|j|D]}|xjd|d|z c_)|jj|_t j|i|}|jjrdt 5t ||jdddn #1swxYwY|S)Nrrr)rlr) groups is_changedris_nullrrsuperrrrvrwrtrG)r"argskwargsrgrp_namer __class__s r#rz CmfAuth.saves\ ; ! 6DJ;& 6 $ @@H$(K$9@@ &?(&?&?X&?&?? @!Z-3355 egglD+F++ > $ T$$&& T T%%TT^%LLQQSSS T T T T T T T T T T T T T T T s24C22C69C6c|jjrgStd|jdDS)NcDg|]}|ddS)rr)r ).0ras r# z)CmfAuth.prepare_scope..s&CCCAGGCLLOCCCr&r)rrrr r!s r# prepare_scopezCmfAuth.prepare_scopesA :  ICCTZ-=-=c-B-BCCCDDDr&c||}tjdkr|S|dd} tj|}n#t $rd}t |wxYw|||}|s;d|ddd}t |t ||S)NFalserissuJНе удалось прочитать публичный ключ EvaTeamuEНе удалось валидировать токен от EVA_APP r!) rrqEVA_ACCOUNT_USErread_crm_pub_key RuntimeErrorrrrr)rA eva_app_tokenrr crm_pub_keyrrs r# check_tokenzCmfAuth.check_tokens  //  !W , ,J)nU# #$5c::KK # # #`EE"" " ###M;?? #y\_`i\jku\vyyyE MM% E"" " s A A(usersc ||}|dd}|D]} t|d}gd} d} |drp|t|d| } | r|| _n/||| } n||| } | sLt |} t d || |d pd } t| p|| _ |d pd } t| pd| _ | j jri| _ | jsg| _|| jvr| j|g| j |<|d r{t d|||| jvr| j|| j |=d| j _| |dD]Q} t d|d| d|| j || d| j _R|d| _t d|t d| j | t+t d| j#t.$rtd|wxYwddiS)u Метод вызывается из eva_app при синхронизации создает и привязывает пользователей https://bcrm.carbonsoft.ru/project/Document/DOC-003025#spec-0-ldap rrrB)rrrreg_org_name_listrcr is_supportis_adminN old_loginrdrRu(Создали пользователя rcrr cmf_deletedu4Пользователь {} удален из Eva {}Tru,Добавляем пользователю u права u в Eva rz user_dict=z user.groups=z user.scope=u)Не удалось обработать resultrs)rr/rrrurBrtrrrrrcrrrrr]formatremoverr cmf_commitrrr)rArrrrrr user_dictrB_fieldsuserrcrgrp_codes r#rpc_account_sync_pushzCmfAuth.rpc_account_sync_pushsoom,,y>*-6 6 I5 Ig.//5577==??```==--@77Y{-C)D)D)J)J)L)L)R)R)T)T]d7eeDD%* "wwU7wCC77w7??D !>>>66DMM"TU"T"TUUUIIKKK! g..4" ZZ--//5577@5 %MM+66<" !$Y!5!5!7!7!=!=!?!?!G4;&%"$DK-0-/D*4#999*11(;;;(* H%]+MM"X"_"_`ego"p"pqqqt'===.55h??? H--1DK*IIKKK ). 922HMM#AQV#A#Adl#A#Av~#A#ABBBK)00:::-1DK**$-n$=! 6966777 :T[::;;;   8DJ889999   !!"Yi"Y"YZZZ $sJN2C*N22)Oc&tjsdSd}tjsdS||}|dd}|D]}tj|dddg} | st} || |d|dd| _| tj|dddg} | st} || ||| _ |d| _| | _ | tj d d d |Dg D]} | d diS)Nc|D]X}|dvs*|ds|dr1t||rt||||YdS)N)idcodeext_ipcmf__id)rendswithhasattrsetattr)robj_dict field_names r#copy_fz/CmfAuth.rpc_account_plugin_push..copy_fs& C C !999%0088:. s PsPsPs_bQTUYQZPsPsPsr&)rrrs) rqIS_BOX_VERSIONrrt CmfPluginrurrrrrrdelete) rAr auth_pluginsrrrrrrrauth_plugin_objs r#rpc_account_plugin_pushzCmfAuth.rpc_account_plugin_pushs$  F C C C$  Foom,,y>*-' # #K%))X1Ft1LVYUZ)[[F ,))++ F6;x0 1 1 1'1$7FM KKMMM$6::+dBS]`bl\m:nnO" ="(":":"<"< F?K 0 0 0'/O $%0%6O "%+O "  " " " ".33HhPsPsfrPsPsPs;t3uu  F MMOOOO$r&c J|jtj|jjztjt jz}tt dtj }|j d| f||dddd|tj |||fi|dS)N)secondsr&AUTH_SESSION_COOKIE_DOMAIN session_tokenTLaxrexpiressecurehttponlysamesite) reauth_dater!r#access_token_expires_inrrq PROLONG_DAYSgetattrrhost set_cookie get_tokenrset_nginx_token)rresponse cookie_kwargsr cookie_domains r#set_session_tokenzCmfAuth.set_session_token s#h&8A`Af&g&g&ggjrj|CICVkWkWkWW(DglSS        !$   -RRMRRRRRr&c |jd|jtjdz f|tjt jtjtjzzdddd|dS)Nrr r&Trr)rrrqTOKEN_TTL_DAYSr!r"r#r)rrrrs r#set_access_tokenzCmfAuth.set_access_tokens  #D "(=(A B B B !%))++h.@*V-@@/B/B/BB$  r&c |s>tjtjtjz}|j d||dddd|dS)Nr&nginx_auth_token password123Trr)rr)r!r"r#rqrr)rrrrs r#rzCmfAuth.set_nginx_token.s ]%))++h.@fF[.\.\.\\G   !$         r&u_Разблокировка учетных записей по истечению времениz @minutely) only_once description system_jobschedulectjjrdStj} t jdgdd|gddg}|sdS|D]}d|_|j tV)NTr   0[ F F[ F[$ L L LLLLL ,,,, [..[. <6;9>&&&.2&&26& &&&&*::[:@@@[@.     EEE ["@ @ @ @ [@ D  [ BSS\S"   \      \  u   \r&r) rr!r;rrr,rr1rZr Crypto.Cipherr Crypto.HashrCrypto.PublicKeyr Crypto.RandomrCrypto.SignaturerCrypto.Util.Paddingr cmf.includercr rerenumsr supervisorrrrr&r#rsh    ******''''''######""""""""""""y y y y y dly y y y y r&