fume-manage-python.git

U  
£ý°dßMã@sÜdZddlZddlmZmZddlmZmZddlm    Z    m
Z
mZmZm Z ddlmZddlmZmZdd    lmZdd
lmZzddlZWnek
r¦eddYnXddlmZmZd dlmZdZGdddeZ dS)z LDAP SASL Authentication Plugin.éN)Ú    b64decodeÚ    b64encode)Úsha1Úsha256)ÚAnyÚCallableÚListÚOptionalÚTuple)Úuuid4é)ÚInterfaceErrorÚProgrammingError)Úlogger)Ú
StrOrByteszwModule gssapi is required for GSSAPI authentication mechanism but was not found. Unable to authenticate with the server)Únormalize_unicode_stringÚ"validate_normalized_unicode_stringé)ÚBaseAuthPluginÚMySQLLdapSaslPasswordAuthPluginc@sìeZdZUdZdddgZeeed<dZe    ed<dZ
eed    <eZe ed
<dZeeed<dZeed <dZeeed<dZeeed<dZeed<dZeeed<dZeejed<dZejed<dZeeed<dZeeed<ee e e dddZ!e e e dddZ"ee ee dddZ#eeed d!d"Z$e d#d$d%Z%ee d#d&d'Z&ee e'ee e    fd(d)d*Z(e e d+d,d-Z)d?eeee d.d/d0Z*e d#d1d2Z+e dd3d4d5Z,e e d6d7d8Z-e.e    d9d:d;Z/e.e    d<d=d>Z0dS)@ra5Class implementing the MySQL ldap sasl authentication plugin.
 
    The MySQL's ldap sasl authentication plugin support two authentication
    methods SCRAM-SHA-1 and GSSAPI (using Kerberos). This implementation only
    support SCRAM-SHA-1 and SCRAM-SHA-256.
 
    SCRAM-SHA-1 amd SCRAM-SHA-256
        This method requires 2 messages from client and 2 responses from
        server.
 
        The first message from client will be generated by prepare_password(),
        after receive the response from the server, it is required that this
        response is passed back to auth_continue() which will return the
        second message from the client. After send this second message to the
        server, the second server respond needs to be passed to auth_finalize()
        to finish the authentication process.
    zSCRAM-SHA-1z SCRAM-SHA-256ZGSSAPIÚsasl_mechanismsFÚrequires_sslZauthentication_ldap_sasl_clientÚplugin_nameÚdef_digest_modeNÚclient_nonceÚclient_saltÚserver_saltÚkrb_service_principalrÚ
iterationsÚserver_auth_varÚtarget_nameÚctxÚ servers_firstÚserver_nonce)Úbytes1Úbytes2ÚreturncCstddt||DS)NcSsg|]\}}||AqS©r')Ú.0Zb1Zb2r'r'únd:\z\workplace\vscode\pyvenv\venv\Lib\site-packages\mysql/connector/plugins/authentication_ldap_sasl_client.pyÚ
<listcomp>asz8MySQLLdapSaslPasswordAuthPlugin._xor.<locals>.<listcomp>)ÚbytesÚzip)r$r%r'r'r)Ú_xor_sz$MySQLLdapSaslPasswordAuthPlugin._xor)ÚpasswordÚsaltr&cCst |||j¡}| ¡S)N)ÚhmacÚnewrÚdigest)Úselfr.r/Zdigest_makerr'r'r)Ú_hmaccsz%MySQLLdapSaslPasswordAuthPlugin._hmac)r.r/Úcountr&cCsJ| ¡}| ||d¡}|}t|dD]}| ||¡}| ||¡}q(|S)zPrepares Hi
        Hi(password, salt, iterations) where Hi(p,s,i) is defined as
        PBKDF2 (HMAC, p, s, i, output length of H).
        sr)Úencoder4Úranger-)r3r.r/r5ÚpwÚhiZauxÚ_r'r'r)Ú_higsz#MySQLLdapSaslPasswordAuthPlugin._hi)Ústringr&cCs*t|}t|}|dk    r&td||S)Nz broken_rule: )Ú    norm_ustrÚ
valid_normr )r<Znorm_strZbroken_ruler'r'r)Ú
_normalizets
z*MySQLLdapSaslPasswordAuthPlugin._normalize)r&cCsHd}tt dd¡|_|j| |j¡|jd}t|trD| d¡}|S)aqThis method generates the first message to the server to start the
 
        The client-first message consists of a gs2-header,
        the desired username, and a randomly generated client nonce cnonce.
 
        The first message from the server has the form:
            b'n,a=<user_name>,n=<user_name>,r=<client_nonce>
 
        Returns client's first message
        z.n,a={user_name},n={user_name},r={client_nonce}ú-Ú)Ú    user_namerÚutf8)    ÚstrrÚreplacerÚformatr?Ú    _usernameÚ
isinstancer6)r3Z
cfm_fprnatZcfmr'r'r)Ú_first_message|s
þ
 
z.MySQLLdapSaslPasswordAuthPlugin._first_messagec
 Csütjjj|j d¡tjjd}zpt ¡}t     
d¡z
|jWnNtjjj k
r}z*t     d|¡| |¡td||W5d}~XYnXWn¬tjjjk
r:}z|js¾td||z0t     
d¡tjj||j d¡d    d
}|d}Wn:tjjjk
r(}ztd||W5d}~XYnXW5d}~XYnXtjjtjjtjjf}|jrb|j}nd }t     
d|¡tj|tjjd}||_tj||t|d    d|_ z|j  !¡}    Wn:tjjjk
rê}ztd||W5d}~XYnXt     
d|    ¡|    S)zGet a TGT Authentication request and initiates security context.
 
        This method will contact the Kerberos KDC in order of obtain a TGT.
        rC)Z    name_typezE# Stored credentials found, if password was given it will be ignored.z Credentials has expired: %szCredentials has expired: Nz-Unable to retrieve stored credentials error: z5# Attempt to retrieve credentials with given passwordZinitiate)Úusagerz8Unable to retrieve credentials with the given password: z ldap/ldapauthz# service principal: %s)ÚnameÚcredsÚflagsrJz%Unable to initiate security context: z# initial client token: %s)"ÚgssapiÚrawÚnamesÚimport_namerGr6ZNameTypeÚuserZCredentialsrÚdebugZlifetimeÚ
exceptionsZExpiredCredentialsErrorÚwarningÚacquirer ÚmiscZGSSErrorÚ    _passwordZacquire_cred_with_passwordrZRequirementFlagZmutual_authenticationZextended_errorZdelegate_to_peerrÚNameZkerberos_principalr ÚSecurityContextÚsumr!Ústep)
r3rBÚcredÚerrZacquire_cred_resultZerr2Zflags_lZservice_principalZservkZinitial_client_tokenr'r'r)Ú_first_message_krbsz
ÿÿ
 
&ÿþ
 
ýÿþ&ýÿÿ"z2MySQLLdapSaslPasswordAuthPlugin._first_message_krb)Útgt_auth_challenger&cCs@t d|¡|j |¡}t d|¡t d|jj¡||jjfS)a Continue with the Kerberos TGT service request.
 
        With the TGT authentication service given response generate a TGT
        service request. This method must be invoked sequentially (in a loop)
        until the security context is completed and an empty response needs to
        be send to acknowledge the server.
 
        Args:
            tgt_auth_challenge the challenge for the negotiation.
 
        Returns: tuple (bytearray TGS service request,
                        bool True if context is completed otherwise False).
        ztgt_auth challenge: %sz# context step response: %sz# context completed?: %s)rrSr!r\Úcomplete)r3r`Úrespr'r'r)Úauth_continue_krbÛs
z1MySQLLdapSaslPasswordAuthPlugin.auth_continue_krb)Úmessager&c
CsÒ|jjstdt d|¡t d|jj¡z|j |¡}t d|¡Wn8tjj    j
k
r}ztd||W5d}~XYnXt d|¡td}t d    |¡|jj |d
d}t d|d t|d ¡|jS)aPAccept handshake and generate closing handshake message for server.
 
        This method verifies the server authenticity from the given message
        and included signature and generates the closing handshake for the
        server.
 
        When this method is invoked the security context is already established
        and the client and server can send GSSAPI formated secure messages.
 
        To finish the authentication handshake the server sends a message
        with the security layer availability and the maximum buffer size.
 
        Since the connector only uses the GSSAPI authentication mechanism to
        authenticate the user with the server, the server will verify clients
        message signature and terminate the GSSAPI authentication and send two
        messages; an authentication acceptance b'' and a
        OK packet (that must be received after sent the returned message from
        this method).
 
        Args:
            message a wrapped hssapi message from the server.
 
        Returns: bytearray closing handshake message to be send to the server.
        z"Security context is not completed.z# servers message: %sz# GSSAPI flags in use: %sz# unwraped: %sz!Unable to unwrap server message: Nz# unwrapped server message: %ssz# message response: %sF)Zencryptz*# wrapped message response: %s, length: %dr)r!rarrrSZactual_flagsÚunwraprNrOrTZBadMICErrorr Ú    bytearrayÚwrapÚlenrd)r3rdZunwrapedr^ÚresponseZwrapedr'r'r)Úauth_accept_close_handshakeós&"
ýz;MySQLLdapSaslPasswordAuthPlugin.auth_accept_close_handshake)Ú    auth_datar&cCs|}|j ¡}||_t d|¡||jkr`d |jdd¡}td|d|d|jddd    |jkrr| ¡S|jd
krt    |_
| ¡S)zThis method will prepare the fist message to the server.
 
        Returns bytes to send to the server as the first message.
        z read_method_name_from_server: %sz", "Néÿÿÿÿz The sasl authentication method "z4" requested from the server is not supported. Only "z" and "z" are supportedsGSSAPIs SCRAM-SHA-256)Ú
_auth_dataÚdecoderrrSrÚjoinr r_rrrI)r3rkrZauth_mechanismZauth_mechanismsr'r'r)Ú auth_response's
 
ÿ
 
z-MySQLLdapSaslPasswordAuthPlugin.auth_responsecCsÐ|jstd| |j¡}| |t|j|j¡}t     dt
| ¡¡| |d¡}t     dt
| ¡¡|  |¡ ¡}t     dt
| ¡¡| |d¡}t     dt
| ¡¡d d    | |j¡d
|jg¡}t     d|¡t
d| |j¡d ¡ ¡}d ||jd |d
|jg¡}t     d|¡| || ¡¡}    t     dt
|     ¡¡| ||    ¡}
t     dt
|
 ¡¡t
| || ¡¡ ¡|_t     d|j¡d d |d
|jdt
|
 ¡g¡}t     d|¡| ¡S)a¥This method generates the second message to the server
 
        Second message consist on the concatenation of the client and the
        server nonce, and cproof.
 
        c=<n,a=<user_name>>,r=<server_nonce>,p=<client_proof>
        where:
            <client_proof>: xor(<client_key>, <client_signature>)
 
            <client_key>: hmac(salted_password, b"Client Key")
            <client_signature>: hmac(<stored_key>, <auth_msg>)
            <stored_key>: h(<client_key>)
            <auth_msg>: <client_first_no_header>,<servers_first>,
                        c=<client_header>,r=<server_nonce>
            <client_first_no_header>: n=<username>r=<client_nonce>
        z"Missing authentication data (seed)zsalted_password: %ss
Client Keyzclient_key: %szstored_key: %ss
Server Keyzserver_key: %sú,zn=úr=zclient_first_no_header: %szn,a=zc=zauth_msg: %szclient_signature: %szclient_proof: %szserver_auth_var: %szp=zsecond_message: %s)rmr r?rXr;rrrrrSrrnr4rr2rorGrr6r"r#r-r)r3ZpasswZsalted_passwordZ
client_keyZ
stored_keyZ
server_keyZclient_first_no_headerZ client_headerZauth_msgZclient_signatureZclient_proofÚmsgr'r'r)Ú_second_messageCsX
þÿÿ
üÿÿ
 
ýÿz/MySQLLdapSaslPasswordAuthPlugin._second_message)r"r&c
CsR|rt|ttfs$tdt|z"| ¡}||_| d¡\}}}Wn$tk
rjtd|dYnX|     d¡r|     d¡r|     d¡std||j
|krÀ|dd|_t  d    |j¡ntd
||dd|_t  d|jt|j¡z&|dd}t  d|¡t||_Wn4tk
rL}ztd ||W5d}~XYnXdS)zâValidates first message from the server.
 
        Extracts the server's salt and iterations from the servers 1st response.
        First message from the server is in the form:
            <server_salt>,i=<iterations>
        zUnexpected server message: rqNrrzs=zi=z$Incomplete reponse from the server: rzserver_nonce: %sz:Unable to authenticate response: response not well formed zserver_salt: %s length: %sziterations: %sz-Unable to authenticate: iterations not found )rHrfr+r Úreprrnr"ÚsplitÚ
ValueErrorÚ
startswithrr#rrSrrhÚintrÚ    Exception)r3r"Zservers_first_strZr_server_nonceZs_saltZ    i_counterr^r'r'r)Ú_validate_first_reponsesVÿþÿþýÿ
ÿýÿþz7MySQLLdapSaslPasswordAuthPlugin._validate_first_reponse)Úservers_first_responser&cCs| |¡| ¡S)zwreturn the second message from the client.
 
        Returns bytes to send to the server as the second message.
        )r{rt)r3r|r'r'r)Ú auth_continue¿s
z-MySQLLdapSaslPasswordAuthPlugin.auth_continue)Úservers_secondr&cCsR|r$t|tr$t|dks$| d¡s,td|dd ¡}t d|¡|j|kS)aXValidates second message from the server.
 
        The client and the server prove to each other they have the same Auth
        variable.
 
        The second message from the server consist of the server's proof:
            server_proof = HMAC(<server_key>, <auth_msg>)
            where:
                <server_key>: hmac(<salted_password>, b"Server Key")
                <auth_msg>: <client_first_no_header>,<servers_first>,
                            c=<client_header>,r=<server_nonce>
 
        Our server_proof must be equal to the Auth variable send on this second
        response.
        rsv=z'The server's proof is not well formatedNzserver auth variable: %s)    rHrfrhrxr rnrrSr)r3r~Z
server_varr'r'r)Ú_validate_second_reponseÇsÿþ
ýüz8MySQLLdapSaslPasswordAuthPlugin._validate_second_reponse)Úservers_second_responser&cCs| |¡stddS)zºfinalize the authentication process.
 
        Raises InterfaceError if the ervers_second_response is invalid.
 
        Returns True in successful authentication False otherwise.
        z6Authentication failed: Unable to proof server identityT)rr )r3rr'r'r)Ú auth_finalizeâs
 
ÿz-MySQLLdapSaslPasswordAuthPlugin.auth_finalize)N)1Ú__name__Ú
__module__Ú__qualname__Ú__doc__rrrDÚ__annotations__rÚboolrrrrrr    rrrrrrryrr rNrYr!rZr"r#Ústaticmethodr+r-r4r;r?rIr_r
rcrjrprtr{r}rfrrr'r'r'r)r=sJ
 Jþ6þýL0)!rr0Úbase64rrÚhashlibrrÚtypingrrrr    r
ÚuuidrÚerrorsr rrÚtypesrrNÚImportErrorÚutilsrr=rr>rArZAUTHENTICATION_PLUGIN_CLASSrr'r'r'r)Ú<module>s(ÿü