webinterface.git

1) <?php
2) 

3) require_once('inc/base.php');

4) require_once('inc/debug.php');
5) require_once('inc/error.php');
6) 
7) require_once('inc/db_connect.php');
8) 
9) define('ROLE_ANONYMOUS', 0);

10) define('ROLE_MAILACCOUNT', 1);

11) define('ROLE_VMAIL_ACCOUNT', 2);
12) define('ROLE_SYSTEMUSER', 4);
13) define('ROLE_CUSTOMER', 8);
14) define('ROLE_SYSADMIN', 16);

15) define('ROLE_SUBUSER', 32);

16) 
17) 
18) // Gibt die Rolle aus, wenn das Passwort stimmt
19) 

20) function find_role($login, $password, $i_am_admin = False)

21) {
22)   $login = mysql_real_escape_string($login);
23)   // Domain-Admin?  <not implemented>
24)   // System-User?
25)   $uid = (int) $login;
26)   if ($uid == 0)
27)     $uid = 'NULL';

28)   $result = db_query("SELECT passwort AS password, kundenaccount AS `primary`, status, ((SELECT acc.uid FROM system.v_useraccounts AS acc LEFT JOIN system.gruppenzugehoerigkeit USING (uid) LEFT JOIN system.gruppen AS g ON (g.gid=gruppenzugehoerigkeit.gid) WHERE g.name='admin' AND acc.uid=u.uid) IS NOT NULL) AS admin FROM system.v_useraccounts AS u LEFT JOIN system.passwoerter USING(uid) WHERE u.uid={$uid} OR username='{$login}' LIMIT 1;");

29)   if (@mysql_num_rows($result) > 0)
30)   {

31)     $entry = mysql_fetch_object($result);
32)     $db_password = $entry->password;

33)     $hash = crypt($password, $db_password);

34)     if (($entry->status == 0 && $hash == $db_password) || $i_am_admin)

35)     {
36)       $role = ROLE_SYSTEMUSER;
37)       if ($entry->primary)
38)         $role = $role | ROLE_CUSTOMER;
39)       if ($entry->admin)
40)         $role = $role | ROLE_SYSADMIN;

41)       logger(LOG_INFO, "session/checkuser", "login", "logged in systemuser »{$login}«.");

42)       return $role;
43)     }

44)     logger(LOG_WARNING, "session/checkuser", "login", "wrong password for existing useraccount »{$login}«.");

45)   } else {

46)     logger(LOG_WARNING, "session/checkuser", "login", "did not find useraccount »{$login}«. trying other roles...");

47)   }
48) 
49)   // Customer?
50)   $customerno = (int) $login;
51)   $pass = sha1($password);

52)   $result = db_query("SELECT passwort AS password FROM kundendaten.kunden WHERE status=0 AND id={$customerno} AND passwort='{$pass}';");

53)   if ($i_am_admin)
54)     $result = db_query("SELECT passwort AS password FROM kundendaten.kunden WHERE status=0 AND id={$customerno}");

55)   if (@mysql_num_rows($result) > 0)
56)   {
57)     return ROLE_CUSTOMER;
58)   }
59) 

60)   // Mail-Account
61)   $account = $login;
62)   if (! strstr($account, '@')) {

63)     $account .= '@'.config('masterdomain');

64)   }
65)   $result = db_query("SELECT cryptpass FROM mail.courier_mailaccounts WHERE account='{$account}' LIMIT 1;");
66)   if (@mysql_num_rows($result) > 0)
67)   {
68)     $entry = mysql_fetch_object($result);
69)     $db_password = $entry->cryptpass;
70)     $hash = crypt($password, $db_password);
71)     if ($hash == $db_password || $i_am_admin)
72)     {

73)       logger(LOG_INFO, "session/checkuser", "login", "logged in e-mail-account »{$account}«.");

74)       return ROLE_MAILACCOUNT;
75)     }

76)     logger(LOG_WARNING, "session/checkuser", "login", "wrong password for existing e-mail-account »{$account}«.");

77)   }
78)   

79)   // virtueller Mail-Account
80)   $account = $login;
81)   $result = db_query("SELECT cryptpass FROM mail.courier_virtual_accounts WHERE account='{$account}' LIMIT 1;");
82)   if (@mysql_num_rows($result) > 0)
83)   {
84)     $entry = mysql_fetch_object($result);
85)     $db_password = $entry->cryptpass;
86)     $hash = crypt($password, $db_password);
87)     if ($hash == $db_password || $i_am_admin)
88)     {

89)       logger(LOG_INFO, "session/checkuser", "login", "logged in virtual e-mail-account »{$account}«.");

90)       return ROLE_VMAIL_ACCOUNT;
91)     }

92)     logger(LOG_WARNING, "session/checkuser", "login", "wrong password for existing virtual e-mail-account »{$account}«.");

93)   }
94)   

95) 

96)   // Sub-User
97) 

98)   $result = db_query("SELECT password FROM system.subusers WHERE username='{$login}'");

99)   if (@mysql_num_rows($result) > 0)
100)   {

101)     $entry = mysql_fetch_object($result);
102)     $db_password = $entry->password;

103)     // SHA1 für alte Subuser (kaylee), SHA256 für neue Subuser
104)     if (hash("sha1", $password) == $db_password || hash("sha256", $password) == $db_password || $i_am_admin)

105)     {
106)       logger(LOG_INFO, "session/checkuser", "login", "logged in virtual subuser »{$login}«.");
107)       return ROLE_SUBUSER;
108)     }
109)     logger(LOG_WARNING, "session/checkuser", "login", "wrong password for existing subuser »{$login}«.");

110)   }
111) 

112) 

113)   // Nothing?
114)   return NULL;
115) }
116) 
117) 

118) function get_customer_info($customer)

119) {

120)   if (! $_SESSION['role'] & ROLE_CUSTOMER)
121)     return array();

122)   $ret = array();

123)   $customerno = (int) $customer;
124)   if ($customerno != 0)
125)   {
126)     DEBUG('Looking up customerinfo for customer no. '.$customerno);

127)     $result = db_query("SELECT id, anrede, firma, CONCAT_WS(' ', vorname, nachname) AS name, COALESCE(email,email_rechnung,email_extern) AS email FROM kundendaten.kunden WHERE id={$customerno} LIMIT 1;");

128)   }
129)   else
130)   {
131)     $username = mysql_real_escape_string($customer);
132)     DEBUG('looking up customer info for username '.$username);

133)     $result = db_query("SELECT id, anrede, firma, CONCAT_WS(' ', vorname, nachname) AS name, COALESCE(email,email_rechnung,email_extern) AS email FROM kundendaten.kunden AS k JOIN system.v_useraccounts AS u ON (u.kunde=k.id) WHERE u.username='{$username}'");

134)   }

135)   if (@mysql_num_rows($result) == 0)
136)     system_failure("Konnte Kundendaten nicht auslesen!");

137)   $data = mysql_fetch_assoc($result);
138)   DEBUG($data);
139)   $ret['customerno'] = $data['id'];
140)   $ret['title'] = $data['anrede'];
141)   $ret['company'] = $data['firma'];
142)   $ret['name'] = $data['name'];
143)   $ret['email'] = $data['email'];

144)   
145)   return $ret;
146) }
147) 
148) 

149) function get_subuser_info($username)
150) {
151)   $result = db_query("SELECT uid, modules FROM system.subusers WHERE username='{$username}'");
152)   if (mysql_num_rows($result) < 1)
153)   {
154)     logger(LOG_ERR, "session/checkuser", "login", "error reading subuser's data: »{$username}«");
155)     system_failure('Das Auslesen Ihrer Benutzerdaten ist fehlgeschlagen. Bitte melden Sie dies einem Administrator');
156)   }
157)   $data = mysql_fetch_assoc($result);
158)   $userinfo = get_user_info($data['uid']);
159)   $userinfo['modules'] = $data['modules'];
160)   return $userinfo;
161) }
162) 
163) 

164) function get_user_info($username)
165) {
166)   $username = mysql_real_escape_string($username);

167)   $result = db_query("SELECT kunde AS customerno, username, uid, homedir, name, server

168)                       FROM system.v_useraccounts WHERE username='{$username}' OR uid='{$username}' LIMIT 1");

169)   if (mysql_num_rows($result) < 1)

170)   {

171)     logger(LOG_ERR, "session/checkuser", "login", "error reading user's data: »{$username}«");

172)     system_failure('Das Auslesen Ihrer Benutzerdaten ist fehlgeschlagen. Bitte melden Sie dies einem Administrator');

173)   }

174)   $val = @mysql_fetch_object($result);
175)   return array(
176)           'username'      => $val->username,
177)           'customerno'    => $val->customerno,
178)           'uid'           => $val->uid,
179)           'homedir'       => $val->homedir,

180)           'server'        => $val->server,

181)           'name'          => $val->name,
182)           );
183) }
184) 

185) function set_customer_verified($customerno)
186) {
187)   $customerno = (int) $customerno;
188)   db_query("UPDATE kundendaten.kunden SET status=0 WHERE id={$customerno};");

189)   logger(LOG_INFO, "session/checkuser", "register", "set customer's status to 0.");

190) }
191) 
192) function set_customer_lastlogin($customerno)
193) {
194)   $customerno = (int) $customerno;
195)   db_query("UPDATE kundendaten.kunden SET lastlogin=NOW() WHERE id={$customerno};");
196) }
197) 

198) function set_customer_password($customerno, $newpass)
199) {
200)   $customerno = (int) $customerno;
201)   $newpass = sha1($newpass);

202)   db_query("UPDATE kundendaten.kunden SET passwort='$newpass' WHERE id='".$customerno."' LIMIT 1");

203)   logger(LOG_INFO, "session/checkuser", "pwchange", "changed customer's password.");

204) }
205) 
206) function set_subuser_password($subuser, $newpass)
207) {
208)   $subuser = mysql_real_escape_string($subuser);
209)   $uid = (int) $_SESSION['userinfo']['uid'];
210)   $newpass = sha1($newpass);
211)   db_query("UPDATE system.subusers SET password='$newpass' WHERE username='{$subuser}' AND uid={$uid}");
212)   logger(LOG_INFO, "session/checkuser", "pwchange", "changed subuser's password.");

213) }
214) 
215) function set_systemuser_password($uid, $newpass)
216) {
217)   $uid = (int) $uid;
218)   require_once('inc/base.php');

219)   if (defined("CRYPT_SHA512") && CRYPT_SHA512 == 1)
220)   {
221)     $rounds = rand(1000, 5000);
222)     $salt = "rounds=".$rounds."$".random_string(8);
223)     $newpass = crypt($newpass, "\$6\${$salt}\$");
224)   }
225)   else
226)   {
227)     $salt = random_string(8);
228)     $newpass = crypt($newpass, "\$1\${$salt}\$");
229)   }

230)   db_query("UPDATE system.passwoerter SET passwort='$newpass' WHERE uid='".$uid."' LIMIT 1");

231)   logger(LOG_INFO, "session/checkuser", "pwchange", "changed user's password.");

232) }
233) 

234) 
235) function setup_session($role, $useridentity)
236) {
237)   session_regenerate_id();
238)   $_SESSION['role'] = $role;

239)   if ($role & ROLE_SUBUSER)
240)   {
241)     DEBUG("We are a sub-user");
242)     $info = get_subuser_info($useridentity);
243)     $_SESSION['userinfo'] = $info;
244)     $_SESSION['subuser'] = $useridentity;

245)     $customer = get_customer_info($_SESSION['userinfo']['username']);
246)     $_SESSION['customerinfo'] = $customer;
247)     $_SESSION['role'] = ROLE_SYSTEMUSER | ROLE_CUSTOMER | ROLE_SUBUSER;

248)     $_SESSION['restrict_modules'] = explode(',', $info['modules']);
249)     logger(LOG_INFO, "session/start", "login", "logged in user »{$info['username']}«");
250)   }

251)   if ($role & ROLE_SYSTEMUSER)
252)   {
253)     DEBUG("We are system user");
254)     $info = get_user_info($useridentity);
255)     $_SESSION['userinfo'] = $info;

256)     logger(LOG_INFO, "session/start", "login", "logged in user »{$info['username']}«");

257)     $useridentity = $info['customerno'];
258)   }
259)   if ($role & ROLE_CUSTOMER)
260)   {
261)     $info = get_customer_info($useridentity);
262)     $_SESSION['customerinfo'] = $info;

263)     if (!isset($_SESSION['admin_user'])) {
264)       set_customer_lastlogin($info['customerno']);
265)     }

266)     logger(LOG_INFO, "session/start", "login", "logged in customer no »{$info['customerno']}«");

267)   }

268)   if ($role & ROLE_MAILACCOUNT)
269)   {
270)     $id = $useridentity;
271)     if (! strstr($id, '@'))

272)       $id .= '@'.config('masterdomain');

273)     $_SESSION['mailaccount'] = $id;
274)     DEBUG("We are mailaccount: {$_SESSION['mailaccount']}");
275)   }

276)   if ($role & ROLE_VMAIL_ACCOUNT)
277)   {
278)     $id = $useridentity;
279)     $_SESSION['mailaccount'] = $id;
280)     DEBUG("We are virtual mailaccount: {$_SESSION['mailaccount']}");
281)   }

282) 

283) }
284)