File: //lib64/python3.6/site-packages/zmq/auth/__pycache__/base.cpython-36.pyc
3
VS�_�9�������������������@���st���d�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z�m�Z�m�Z�m Z ��d�d�l
m�Z���d�d�l�m
Z
��d�Z�d Z�G�d
d���d�e���Z�d�d�g�Z�d�S�)
z*Base implementation of 0MQ authentication.�����N)���z85)���bytes��unicode��b��u)���_check_version�����)���load_certificates��*s����1.0c����������������@���s����e�Z�d�Z�d�Z�d$d�d���Z�d�d���Z�d�d ��Z�d
d���Z�d�d
��Z�d%d�d���Z d&d�d���Z
d'd�d���Z�d�d���Z�d(d�d���Z
d�d���Z�d�d���Z�d�d���Z�d�d ��Z�d)d"d#��Z�d�S�)*�
Authenticatora����Implementation of ZAP authentication for zmq connections.
Note:
- libzmq provides four levels of security: default NULL (which the Authenticator does
not see), and authenticated NULL, PLAIN, CURVE, and GSSAPI, which the Authenticator can see.
- until you add policies, all incoming NULL connections are allowed.
(classic ZeroMQ behavior), and all PLAIN and CURVE connections are denied.
- GSSAPI requires no configuration.
N��utf-8c����������������C���sb���t�d�d�����|�p�t�j�j���|�_�|�|�_�d�|�_�i�|�_�d�|�_�t ��|�_
t ��|�_�i�|�_�i�|�_
|�pZt�j�d���|�_�d�S�)�N�����r����Z�securityFz�zmq.auth)�r
���r����)�r������zmqZ�Context��instance��context��encoding� allow_any��credentials_providers�
zap_socket��set� whitelist� blacklist� passwords��certs��loggingZ getLogger��log)���selfr����r����r������r������/usr/lib64/python3.6/base.py��__init__����s������
�������������������z�Authenticator.__init__c����������������C���s4���|�j�j�t�j���|�_�d�|�j�_�|�j�j�d�����|�j�j�d�����d�S�)�z�Create and bind the ZAP socketr����z�inproc://zeromq.zap.01Z�StartingN) r����Z�socketr����Z�REPr����Z�lingerZ�bindr������debug)�r����r����r����r������start0���s������������z�Authenticator.startc����������������C���s����|�j�r�|�j�j�����d�|�_�d�S�)�z�Close the ZAP socketN)�r������close)�r����r����r����r������stop7���s��������
�z�Authenticator.stopc����������������G���s2���|�j�r�t�d�����|�j�j�d�d�j�|�������|�j�j�|�����d�S�)�aa���Allow (whitelist) IP address(es).
Connections from addresses not in the whitelist will be rejected.
- For NULL, all clients from this address will be accepted.
- For real auth setups, they will be allowed to continue with authentication.
whitelist is mutually exclusive with blacklist.
z-Only use a whitelist or a blacklist, not bothz�Allowing %s��,N)�r�����
ValueErrorr����r �����joinr������update)�r����� addressesr����r����r������allow=���s�����
������z�Authenticator.allowc����������������G���s2���|�j�r�t�d�����|�j�j�d�d�j�|�������|�j�j�|�����d�S�)�z�Deny (blacklist) IP address(es).
Addresses not in the blacklist will be allowed to continue with authentication.
Blacklist is mutually exclusive with whitelist.
z-Only use a whitelist or a blacklist, not bothz
Denying %sr$���N)�r����r%���r����r ���r&���r����r'���)�r����r(���r����r����r������denyL���s������������z�Authenticator.denyr
���c����������������C���s ���|�r�|�|�j�|�<�|�j�j�d�|�����d�S�)�z�Configure PLAIN authentication for a given domain.
PLAIN authentication uses a plain-text password file.
To cover all domains, use "*".
You can modify the password file at any time; it is reloaded automatically.
z�Configure plain: %sN)�r����r����r ���)�r������domainr����r����r����r������configure_plainX���s��������
�z�Authenticator.configure_plainc����������������C���sp���|�j�j�d�|�|�����|�t�k�r d�|�_�nLd�|�_�y�t�|���|�j�|�<�W�n2��t�k
rj��}���z�|�j�j�d�|�|�����W�Y�d�d�}�~�X�n�X�d�S�)�a+���Configure CURVE authentication for a given domain.
CURVE authentication uses a directory that holds all public client certificates,
i.e. their public keys.
To cover all domains, use "*".
You can add and remove certificates in that directory at any time. configure_curve must be called
every time certificates are added or removed, in order to update the Authenticator's state
To allow all client keys without checking, specify CURVE_ALLOW_ANY for the location.
z�Configure curve: %s[%s]TFz&Failed to load CURVE certs from %s: %sN)�r����r �����CURVE_ALLOW_ANYr����r ���r����� Exception��error)�r����r+�����location��er����r����r������configure_curvec���s��������������������z�Authenticator.configure_curvec����������������C���s,���d�|�_�|�d�k r�|�|�j�|�<�n�|�j�j�d�|�����d�S�)�a����Configure CURVE authentication for a given domain.
CURVE authentication using a callback function validating
the client public key according to a custom mechanism, e.g. checking the
key against records in a db. credentials_provider is an object of a class which
implements a callback method accepting two parameters (domain and key), e.g.::
class CredentialsProvider(object):
def __init__(self):
...e.g. db connection
def callback(self, domain, key):
valid = ...lookup key and/or domain in db
if valid:
logging.info('Authorizing: {0}, {1}'.format(domain, key))
return True
else:
logging.warning('NOT Authorizing: {0}, {1}'.format(domain, key))
return False
To cover all domains, use "*".
To allow all client keys without checking, specify CURVE_ALLOW_ANY for the location.
FNz0None credentials_provider provided for domain:%s)�r����r����r����r/���)�r����r+���Z�credentials_providerr����r����r������configure_curve_callback|���s������������z&Authenticator.configure_curve_callbackc����������������C���s����t�j�|���j�d���S�)�a����Return the User-Id corresponding to a CURVE client's public key
Default implementation uses the z85-encoding of the public key.
Override to define a custom mapping of public key : user-id
This is only called on successful authentication.
Parameters
----------
client_public_key: bytes
The client public key used for the given message
Returns
-------
user_id: unicode
The user ID as text
��ascii)�r������encode��decode)�r����Z�client_public_keyr����r����r�����
curve_user_id����s������z�Authenticator.curve_user_idc����������������C���s����d�S�)�z�Configure GSSAPI authentication
Currently this is a no-op because there is nothing to configure with GSSAPI.
Nr����)�r����r+���r0���r����r����r������configure_gssapi����s������z�Authenticator.configure_gssapic��������������������s����t�|���d�k�rJ��j�j�d�|�����t�|���d�k�r4��j�j�d�����n���j�|�d���d�d�����d�S�|�d�d�����\�}�}�}�}�}�}�|�d�d�����}�t�|���j�d ��}�t�|���j�d ��}�|�t�k�r���j�j�d
|�������j�|�d�d�����d�S���j�j�d�|�|�|�|�|�|�����d
} d
}
d�}���j���r�|���j�k�r�d�} ��j�j�d�|�����n�d�}
d�}���j�j�d�|�����n>��j ��rR|���j k���r@d�}
d�}���j�j�d�|�����n�d�} ��j�j�d�|�����t�d���}�|
��s�|�d�k���r�| ����r���j�j�d�����d�} ��n�|�d�k���r�t�|���d�k���r���j�j�d�|�������j�|�d�d�����d�S���f�d�d���|�D���\�}�}
��j
|�|�|
��\�} }�n�|�d�k���rJt�|���d�k���r ��j�j�d�|�������j�|�d�d�����d�S�|�d ��}���j�|�|���\�} }�| ��r���j�|���}�nT|�d!k���r�t�|���d�k���r���j�j�d"|�������j�|�d�d�����d�S�|�d ����}�}���j
|�|���\�} }�| ��r���j�|�d#d$|�����n���j�|�d�|�����d�S�)%z�Perform ZAP authentication�����z*Invalid ZAP message, not enough frames: %r�����z�Not enough information to replyr����s����400s����Not enough framesN��replacez�Invalid ZAP version: %rs����Invalid versionzQversion: %r, request_id: %r, domain: %r, address: %r, identity: %r, mechanism: %rFs ���NO ACCESSTz�PASSED (whitelist) address=%ss����Address not in whitelistz$DENIED (not in whitelist) address=%ss����Address is blacklistedz�DENIED (blacklist) address=%sz$PASSED (not in blacklist) address=%s� anonymouss����NULLz�ALLOWED (NULL)s����PLAINz�Invalid PLAIN credentials: %rs����Invalid credentialsc��������������������s����g�|�]�}�t�|���j�d�����q�S�)�r;���)�r����r����)���.0��c)�r����r����r�����
<listcomp>����s������z4Authenticator.handle_zap_message.<locals>.<listcomp>s����CURVEz�Invalid CURVE credentials: %rr����s����GSSAPIz�Invalid GSSAPI credentials: %rs����200s����OK)���lenr����r/�����_send_zap_replyr����r������VERSIONr ���r����r������_authenticate_plain��_authenticate_curver7�����_authenticate_gssapi)�r������msg��version�
request_idr+���Z�addressZ�identityZ mechanismZ�credentials��allowedZ�denied��reason��username��password��key� principalr����)�r����r������handle_zap_message����s��������������������������������������
���������
�����������������������������������
�������������
�����������������
�����������������z Authenticator.handle_zap_messagec����������������C���s����d�}�d�}�|�j�r~|�s�d�}�|�|�j�k�rR|�|�j�|���k�rL|�|�j�|���|���k�rFd�}�qPd�}�qVd�}�n�d�}�|�rn|�j�j�d�|�|�|�����q�|�j�j�d |�����n�d
}�|�j�j�d�|�����|�|�f�S�)�z�PLAIN ZAP authenticationF�����r
���Ts����Invalid passwords����Invalid usernames����Invalid domainz1ALLOWED (PLAIN) domain=%s username=%s password=%sz DENIED %ss����No passwords definedz�DENIED (PLAIN) %s)�r����r����r ���)�r����r+���rK���rL���rI���rJ���r����r����r����rC�������s&���������������
�������������������������z!Authenticator._authenticate_plainc����������������C���s����d�}�d�}�|�j�r$d�}�d�}�|�j�j�d�����n�|�j�i�k�r�|�s6d�}�|�|�j�k�r�t�j�|���}�|�j�|���j�|�|���rfd�}�d�}�n�d�}�|�rrd�n�d }�|�j�j�d
|�|�|�����q�d�}�n^|�s�d�}�|�|�j�k�r�t�j�|���}�|�j�|���j�|���r�d�}�d�}�n�d�}�|�r�d�n�d }�|�j�j�d�|�|�|�����n�d�}�|�|�f�S�)
z�CURVE ZAP authenticationFrP���Ts����OKz ALLOWED (CURVE allow any client)r
���s����Unknown keyZ�ALLOWEDZ�DENIEDz0%s (CURVE auth_callback) domain=%s client_key=%ss����Unknown domainz"%s (CURVE) domain=%s client_key=%s) r����r����r ���r����r����r5�����callbackr������get)�r����r+���Z
client_keyrI���rJ���Z�z85_client_keyZ�statusr����r����r����rD���9���s@�����������������
�����
�
���������������������
�
�����������������z!Authenticator._authenticate_curvec����������������C���s����|�j�j�d�|�|�����d�S�)�zPNothing to do for GSSAPI, which has already been handled by an external service.z'ALLOWED (GSSAPI) domain=%s principal=%sT�����OK)�TrS���)�r����r ���)�r����r+���rN���r����r����r����rE���l���s��������z"Authenticator._authenticate_gssapir<���c����������������C���s\���|�d�k�r�|�n�d�}�t�|�t���r(|�j�|�j�d���}�d�}�|�j�j�d�|�|�����t�|�|�|�|�|�g�}�|�j�j�|�����d�S�)�z.Send a ZAP reply to finish the authentication.s����200rP���r;���z�ZAP reply code=%s text=%sN) �
isinstancer����r5���r����r����r ���rB���r����Z�send_multipart)�r����rH���Z�status_codeZ�status_textZ�user_idZ�metadataZ�replyr����r����r����rA���q���s��������
���������z�Authenticator._send_zap_reply)�Nr����N)�r
���N)�r
���N)�r
���N)�r
���N)�r<���)���__name__�
__module__��__qualname__��__doc__r����r!���r#���r)���r*���r,���r2���r3���r7���r8���rO���rC���rD���rE���rA���r����r����r����r����r��������s ����
��
���������
�
�
"��
��^�!�3��r����r-���)�rX���r����r����Z zmq.utilsr����Z�zmq.utils.strtypesr����r����r����r����Z zmq.errorr����r����r ���r-���rB�����objectr������__all__r����r����r����r������<module>����s�������������������������j