fume-manage-python.git

U  
£ý°dNDã@sdZddlZddlZddlZddlmZddlmZmZm    Z    ddl
mZmZddl m Z zddlZWn,ek
rdZejdkred    dYnXzddlZddlZWnek
rÂdZdZYnXd
dlmZejdkrÞdnd ZGdd d eZGdddeZdS)zKerberos Authentication Plugin.éN)ÚPath)ÚAnyÚOptionalÚTupleé)ÚInterfaceErrorÚProgrammingError)ÚloggerÚntzwModule gssapi is required for GSSAPI authentication mechanism but was not found. Unable to authenticate with the serveré)ÚBaseAuthPluginÚMySQLSSPIKerberosAuthPluginÚMySQLKerberosAuthPluginc@sÜeZdZUdZdZeed<dZeed<dZ    e
ejed<e edd    d
Ze edddZeejjjd ddZe eeeefdddZde
ee
edddZe
eee
eefdddZeedddZdS)rz3Implement the MySQL Kerberos authentication plugin.Úauthentication_kerberos_clientÚplugin_nameFÚrequires_sslNÚcontext)ÚreturncCsbz:tjdd}t|j}| d¡dkr6| dd¡\}}|WStjjjk
r\t     
¡YSXdS)z(Get user from credentials without realm.Úinitiate©Úusageú@éÿÿÿÿrN)ÚgssapiÚCredentialsÚstrÚnameÚfindÚsplitÚrawÚmiscÚGSSErrorÚgetpassÚgetuser)ÚcredsÚuserÚ_©r'úmd:\z\workplace\vscode\pyvenv\venv\Lib\site-packages\mysql/connector/plugins/authentication_kerberos_client.pyÚget_user_from_credentialsLs
z1MySQLKerberosAuthPlugin.get_user_from_credentialscCs`tj dtjdkr dt ¡ntd d¡¡}|s<tdt     d|¡dd    | 
d
¡i}|S)zäGet a credentials store dictionary.
 
        Returns:
            dict: Credentials store dictionary with the krb5 ccache name.
 
        Raises:
            InterfaceError: If 'KRB5CCNAME' environment variable is empty.
        Z
KRB5CCNAMEÚposixz/tmp/krb5cc_z%TEMP%Zkrb5ccz5The 'KRB5CCNAME' environment variable is set to emptyzUsing krb5 ccache name: FILE:%ssccachezFILE:úutf-8)ÚosÚenvironÚgetrÚgetuidrÚjoinpathrr    ÚdebugÚencode)Z
krb5ccnameÚstorer'r'r(Ú    get_storeXs
ÿüÿz!MySQLKerberosAuthPlugin.get_store)Úupnrc
Cst d¡t |tjj¡}|j d¡}z:tjj    ||dd}|j
}tjj| ¡|tj jdddWn8tjjjk
r}ztd||W5d}~XYnX|S)    zÆAcquire and store credentials through provided password.
 
        Args:
            upn (str): User Principal Name.
 
        Returns:
            gssapi.raw.creds.Creds: GSSAPI credentials.
        z8Attempt to acquire credentials through provided passwordr+rrT)r$ZmechÚ    overwriteÚset_defaultz7Unable to acquire credentials with the given password: N)r    r1rÚNameÚNameTyper%Ú    _passwordr2rZacquire_cred_with_passwordr$Zstore_cred_intor4ÚMechTypeÚkerberosr r!r)Úselfr5r%ÚpasswordZacquire_cred_resultr$Úerrr'r'r(Ú_acquire_cred_with_passwordps0    
ÿû
ÿþz3MySQLKerberosAuthPlugin._acquire_cred_with_password©ÚpacketrcCst d|dd¡d}|dd}t d|d|d|¡d}||d}t d|dd¡d}t d|d|dd¡d}| ¡| ¡fS©aYParse authentication data.
 
        Get the SPN and REALM from the authentication data packet.
 
        Format:
            SPN string length two bytes <B1> <B2> +
            SPN string +
            UPN realm string length two bytes <B1> <B2> +
            UPN realm string
 
        Returns:
            tuple: With 'spn' and 'realm'.
        z<HNrrú<Ús©ÚstructÚunpackÚdecode©rBZspn_lenÚspnZ    realm_lenÚrealmr'r'r(Ú_parse_auth_datas  z(MySQLKerberosAuthPlugin._parse_auth_data©Ú    auth_datarc
Cs¼d}d}|rTz| |¡\}}Wn4tjk
rR}ztd||W5d}~XYnX|dkrd| ¡S|jrz|jd|nd}t d|¡t d|¡zÎtj    dd}t
|j}t d¡t d    |¡| d¡d
krä|  dd¡\}}    n|}d}    |jr|jd|n|}|jr<|j|kr<t d¡|jdk    r<| |¡}|    rb|    |krb|jdk    rb| |¡}Wn®tjjjk
r¼}z2|r|jdk    r| |¡}ntd ||W5d}~XYnXtjjjk
r}z2|rò|jdk    rò| |¡}ntd||W5d}~XYnXtjjtjjtjjf}
tj|tjjd}| tjj¡}tj ||t!|
dd|_"z|j" #¡} Wn:tjjjk
rª}ztd||W5d}~XYnXt d| ¡| S)ú(Prepare the first message to the server.NúInvalid authentication data: rúService Principal: %sú    Realm: %srrzCached credentials foundzCached credentials UPN: %srrzBThe user from cached credentials doesn't match with the given userzCredentials has expired: z-Unable to retrieve cached credentials error: )Z    name_type)rr$Úflagsrú%Unable to initiate security context: úInitial client token: %s)$rMrGÚerrorÚInterruptedErrorZprepare_passwordÚ    _usernamer    r1rrrrrrr:r@rÚ
exceptionsZExpiredCredentialsErrorrr r!ZRequirementFlagZmutual_authenticationZextended_errorZdelegate_to_peerr8r9Zkerberos_principalÚcanonicalizer;r<ÚSecurityContextÚsumrÚstep)r=rOrKrLr?r5r$Z    creds_upnZ
creds_userZcreds_realmrTrÚcnameÚinitial_client_tokenr'r'r(Ú auth_response©sx"
 
ÿ
 ÿþýÿ"z%MySQLKerberosAuthPlugin.auth_response©Útgt_auth_challengercCs@t d|¡|j |¡}t d|¡t d|jj¡||jjfS)á!Continue with the Kerberos TGT service request.
 
        With the TGT authentication service given response generate a TGT
        service request. This method must be invoked sequentially (in a loop)
        until the security context is completed and an empty response needs to
        be send to acknowledge the server.
 
        Args:
            tgt_auth_challenge: the challenge for the negotiation.
 
        Returns:
            tuple (bytearray TGS service request,
            bool True if context is completed otherwise False).
        útgt_auth challenge: %szContext step response: %súContext completed?: %s)r    r1rr^Úcomplete)r=rcÚrespr'r'r(Ú auth_continue÷s
z%MySQLKerberosAuthPlugin.auth_continue)Úmessagerc
CsÞ|jjstdt d|¡t d|jj¡z|j |¡}t d|¡WnDtjj    j
k
r}z t d|¡td||W5d}~XYnXt d|¡td    }t d
|¡|jj |dd}t d |dt|d¡|jS)a_Accept handshake and generate closing handshake message for server.
 
        This method verifies the server authenticity from the given message
        and included signature and generates the closing handshake for the
        server.
 
        When this method is invoked the security context is already established
        and the client and server can send GSSAPI formated secure messages.
 
        To finish the authentication handshake the server sends a message
        with the security layer availability and the maximum buffer size.
 
        Since the connector only uses the GSSAPI authentication mechanism to
        authenticate the user with the server, the server will verify clients
        message signature and terminate the GSSAPI authentication and send two
        messages; an authentication acceptance b'' and a
        OK packet (that must be received after sent the returned message from
        this method).
 
        Args:
            message: a wrapped gssapi message from the server.
 
        Returns:
            bytearray (closing handshake message to be send to the server).
        z!Security context is not completedzServer message: %szGSSAPI flags in use: %szUnwraped: %sz#Unable to unwrap server message: %sz!Unable to unwrap server message: NzUnwrapped server message: %sszMessage response: %sF)Zencryptz(Wrapped message response: %s, length: %dr)rrgrr    r1Zactual_flagsÚunwraprrrZZBadMICErrorrÚ    bytearrayÚwrapÚlenrj)r=rjZunwrapedr?ÚresponseZwrapedr'r'r(Úauth_accept_close_handshakes("
ýz3MySQLKerberosAuthPlugin.auth_accept_close_handshake)N)Ú__name__Ú
__module__Ú__qualname__Ú__doc__rrÚ__annotations__rÚboolrrrr\Ústaticmethodr)Údictr4rr$ZCredsr@ÚbytesrrMrarirpr'r'r'r(rEs 
Oþc@seZdZUdZdZeed<dZeed<dZ    e
ed<dZe
ed<ee eeefd    d
dZdee ee dd dZee eee efdddZdS)r zDImplement the MySQL Kerberos authentication plugin with Windows SSPIrrFrNrÚ
clientauthrAcCst d|dd¡d}|dd}t d|d|d|¡d}||d}t d|dd¡d}t d|d|dd¡d}| ¡| ¡fSrCrFrJr'r'r(rMPs  z,MySQLSSPIKerberosAuthPlugin._parse_auth_datarNc
Cst d¡d}d}|r^z| |¡\}}Wn4tjk
r\}ztd||W5d}~XYnXt d|¡t d|¡tdkstdkrtdtj    tj
f}|jr¶|jr¶|j||jf}nd}|}t d|¡t d|dk¡tj d    ||t|tjd
|_zZd}|j |¡\}}    t d|¡t d|    ¡t d |jj¡|    dj}
t d|jj¡Wn4tk
r}ztd||W5d}~XYnXt d|
¡|
S)rPzauth_response for sspiNrQrRrSzKPackage "pywin32" (Python for Win32 (pywin32) extensions) is not installed.z targetspn: %sz_auth_info is None: %sZ    Negotiate)Ú    targetspnZ    auth_infoZscflagsZdatarepúContext step err: %súContext step out_buf: %srfrzpkg_info: %srUrV)r    r1rMrGrWrXÚsspiconÚsspirZISC_REQ_MUTUAL_AUTHZISC_REQ_DELEGATErYr:Z
ClientAuthr]ZSECURITY_NETWORK_DREPrzÚ    authorizeÚ authenticatedÚBufferÚpkg_infoÚ    Exceptionr)r=rOrKrLr?rTZ
_auth_infor{ÚdataÚout_bufr`r'r'r(rajsP
"ÿû
"z)MySQLSSPIKerberosAuthPlugin.auth_responserbcCsft d|¡|j |¡\}}t d|¡t d|¡|dj}t d|¡t d|jj¡||jjfS)rdrer|r}rzContext step resp: %srf)r    r1rzrrr)r=rcr?rrhr'r'r(ri³s
z)MySQLSSPIKerberosAuthPlugin.auth_continue)N)rqrrrsrtrrrurrvrrrzrwryrrMrrarir'r'r'r(r Hs
Jþ)rtr"r,rGÚpathlibrÚtypingrrrÚerrorsrrr    rÚImportErrorrrr~ÚrZAUTHENTICATION_PLUGIN_CLASSrr r'r'r'r(Ú<module>s<
ÿü
ÿ