Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов

23.11.22

Появилась задача авторизовать пользователей из разных и ничем не связанных доменов на сервере 1С на debian 11.

В статье будем использовать: Microsoft AD, 1c Сервер, Debian 11.

В связи с событиями в мире, появилась идея перевода всех серверов на linux, и как говорится из названия, авторизации множества пользователей из разных доменов, скажу сразу, домены находятся не в лесу и на разных площадках.

За основу беру:

srv-1cserver - целевой сервер 1с предприятия.
domain.loc - 1 домен.
master.loc - 2 домен.
office.loc - 3 домен.

На данном этапе будем считать что у нас уже функционирует сервер на нашем Debian и там есть пара баз.

Kerberos-аутентификация

На каждом сервере необходимо создать пользователя, с которым будут ассоциироваться запросы к 1с серверу.

Для простоты будем использовать пользователя в Windows usr1cv8 , в Debian usr1cv8 .

При создании пользователя, обязательно снять галочку в пункте «Use DES encryption types with this account».

Сделаем для этого пользователя секрутный ключ .keytab c помощью утилиты ktpass.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

После этого в корне диска С:\ у нас будет файл usr1cv8.keytab и теперь с пользователем usr1cv8 ассоциируется служба usr1cv8/srv-1cserver.domain.ru@domain.loc.

Проделаем эту процедуру на всех Windows серверах и сформированные файлы поместим в удобные папки на Debian для нас.

Дальнейшие действия тоже довольно простые, запустим уже на Debian утилиту ktutil.

И проделаем следующее:

root@srv-1cserver:~# ktutil
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
Читаем кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_domain.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
читаем второй кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_master.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
читаем третий кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_office.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
   3    1            HTTP/srv-1cserver.domain.ru@OFFICE.LOC
Добавилось, т.е. успешно объединили три keytab

Записываем
ktutil:  wkt /etc/krb5.keytab

После этого перезапустим 1С сервер, и можно заходить в тонкий клиент и прописать настройки пользователю.

Для этого переходим в «Администрирование», слева в списке выбрать «Пользователи».

В свойствах пользователя выбрать «Аутентификация операционной системы» и в поле «Пользователь» прописать \\MASTER.LOC\e.ivanov

В 1С домен прописать обязательно большими буквами.

Данное действие проделаем на нужных серверах, и на данном этапе авторизация с различных серверов будет работать.

1c системное администрирование linux

+13 –

См. также

Активация community лицензии в linux

Linux Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

В очередной раз решая проблему с доступом к файлу программной лицензии - решил сделать памятку на будущее для себя и коллег.

10.03.2025 826 unichkin 10

Подходы к рефакторингу платформеннозависимого кода

Linux Рефакторинг и качество кода Программист Платформа 1С v8.3 Бесплатно (free)

В третьей статье по докладу Александра Кириллова, с которым он выступил на конференции INFOSTART TECH EVENT 2024, обсудим подходы к рефакторингу платформеннозависимого кода

11.02.2025 1055 it-expertise 0

Анализ конфигурации 1С на наличие платформеннозависимого кода

Рефакторинг и качество кода Linux Программист Платформа 1С v8.3 Бесплатно (free)

Во второй статье по докладу Александра Кириллова, с которым он выступил на конференции INFOSTART TECH EVENT 2024, поговорим об особенностях анализа конфигурации 1С на наличие платформеннозависимого кода.

31.01.2025 1719 it-expertise 1

Ubuntu, 1С, буфер обмена и зависание компьютера

Linux Системный администратор Платформа 1С v8.3 Россия Бесплатно (free)

Как устроить зависание системы (Ubuntu) из 1С (толстый клиент) с помощью буфера обмена и что с этим делать.

29.01.2025 1129 Klok22 4

Платформа 1C: Предприятие 8.3 в корпоративной сети РедОС. Тысяча мелочей

Linux Системный администратор Программист Платформа 1С v8.3 1C:Бухгалтерия Бесплатно (free)

Задача разработки перед выполнением проходит пять стадий принятия: отрицание, гнев, поиск в интернете, депрессия и чтение документации. Некоторым темы, затронутые в публикации, будут знакомы, некоторым покажутся банальными, но, надеюсь, некоторым они сэкономят немного времени и нервов. По сути это шпаргалка самому себе по тем вещам, которые потребовали более часа поисков.

23.12.2024 2636 capitan 7

Особенности работы информационных систем 1С под управлением Linux

Linux Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

Александр Кириллов, руководитель группы разработки компании «ИТ-Экспертиза», на конференции INFOSTART TECH EVENT 2024 выступил с докладом на тему «Как найти и устранить платформеннозависимый код менее, чем за 5 лет». Материал получился интересным и объемным, поэтому мы решили сделать на базе выступления Александра цикл статей. В первой части начнем с особенностей работы информационных систем 1С под управлением ОС Linux.

06.12.2024 2204 it-expertise 8

Высокие риски и неопределенность: успешный перевод всей инфраструктуры 1С Авито на PostgreSQL+Linux

Linux Системный администратор Программист Бесплатно (free)

Проект перевода 10+ систем 1С на 2000+ пользователей в Авито завершен успешно, преодолев технические трудности и «черных лебедей» в виде неопределенности, демотивации, потерь производительности и нереалистичных требований руководства. Расскажем об опыте проекта, в котором было «очень страшно», но в итоге всё получилось.

29.11.2024 2048 kirill.skoromykin 1

Переход на Linux+PostgreSQL для информационной базы 2 Tb

Linux Программист Бесплатно (free)

При многолетней эксплуатации 1С на Windows и MS SQL в базе накапливаются не самые оптимальные запросы, COM-объекты и скрипты, зависящие от ОС. Из-за этого процесс перехода на PostgreSQL и переноса сервера 1С на Linux неизбежно осложняется длительным исправлением кода и оптимизацией запросов. Расскажем о том, как с задачей такого рефакторинга справились в компании Avito.

13.11.2024 7311 klimat12 17

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. efin 23.11.22 12:28 Сейчас в теме

Если сеть на домене ALD Pro от Astra Linux SE, там же 1С - тонкие или веб-клиенты, как настроить доменную авторизацию для входа в 1С без пароля?

2. Lost_Alaska 13 23.11.22 12:55 Сейчас в теме

(1)

ALD Pro от Astra Linux SE

Если все в одном домене, то наверное нужно сначала посмотреть, а видит ли 1с пользователей домена, если видит то прописать его и посмотреть тех.журнал.
А если не видит, то уже смотреть что с правами пользователя от которого происходит запуск 1с сервера.

3. idGreen 12.01.23 01:28 Сейчас в теме

У меня такое выдает, АД на 2019 стоит, домен и пользователей 1С видит, серв на Астре 1.7 стоит, сам сервер 1С в домене и на стороне АД 2019 регнут и в списке и при входе в домен под пользователем, автоматический вход в 1С не происходит по домену, хотя пользователей всех в 1С добавил, должно автоматом пускать по доменной авторизации пользователя, но увы.
А, если в ручную вбить в окно авторизации, выдает: Идентификация пользователя не выполнена.
Не подскажите, как решить проблему с автоматическим входом пользователя по ад домену?

4. user1913563 22.02.23 16:06 Сейчас в теме

Добрый день!
Мы тоже перешли на Linux и сейчас дошли руки для доменной авторизации и не совсем понял последовательность действий.
Мы имеем такую структуру:
домен: contoso.local
DC1 - Контроллер Windows
1СWEB - веб-сервер Apache на котором публикуются базы и стоит веб-компонет 1С (Debian 11)
1СSRV - сам сервер 1С (Debian 11).

1. Нужно ли вводить сервера Linux в домен (1СWEB и 1CSRV)?

2.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Это мы делаем на контроллере?

srv-1cserver.domain.ru@domain.loc - тут получается у меня будет веб-сервер или сам 1С (1CSRV)?

7. Lost_Alaska 13 01.08.23 15:07 Сейчас в теме

(4)

Да, keytab делается на контроллере домена.
Сервер не нужно вводить в домен, но у них должна быть связь по по 389 порту.

5. walerjahn 27.07.23 18:54 Сейчас в теме

Не могу никак получить key, выдаёт ошибку

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Куда копать подскажите пожалуйста

6. Lost_Alaska 13 01.08.23 15:05 Сейчас в теме

(5)

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Вы это делаете на своем AD?
необходимый пользователь создан?

8. walerjahn 01.08.23 15:56 Сейчас в теме

(6)
Да, делаю на AD.
Пользователь создан и в AD и соответственно в Debian

9. Lost_Alaska 13 03.08.23 19:11 Сейчас в теме

(8)
ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Выполняете в какой-то находясь папке и cmd от админа?

10. walerjahn 06.08.23 07:43 Сейчас в теме

(6) CMD от админа, нахожусь в корне диска С.
А этому пользователю usr1cv8 который создаётся в AD какие нужно права дать?
Да на самом деле эта команда "C:\>ktpass -princ uers/srv-1cserver.domain.ru@domain.loc -mapuser users -pass XxXxXx -out users.keytab" не работает даже на админа домена, вообще ни для какого пользователя домена.

11. semon80 06.12.23 13:28 Сейчас в теме

(10)Здравствуйте
как решилась задача?
Я имею сообщение об ошибке:
Target domain controller: srv1.domain.org
failed to set property 'servicePrincipalName' to 'usr1cv8/srv1c.domain.org' on Dn 'CN=usr1cv8, OU=Services, DC=domain, DC=org': 0x13

Файл в итоге создается, но учитывая сообщения кажется он может быть не корректным.

12. walerjahn 07.12.23 06:23 Сейчас в теме

(11)Нет, так и не победил...

16. user2090631 04.06.24 11:48 Сейчас в теме

(12)
При указании пользователя в части -mapuser usr1cv8 -pass XxXxXx надо указать домен, например:

-mapuser PPP.LOCAL\usr1cv8 -pass XxXxXx

13. semon80 14.12.23 15:08 Сейчас в теме

(11) Проблема решена - создан новый пользователь в АД с чистым spn.

В целом настройка аутентификации прошла успешно - сквозная авторизация работает. Клиенты Win, сервер приложений РЕДОС.

14. shaulyn 26.04.24 10:29 Сейчас в теме

Подскажите пжл а как настроить ад авторизацию когда в кластере 2 сервера 1с. сейчас кейтабы лежат на двух серверах, но авторизирует только первый добавленный в кластер сервер. если его выключить или переименовать кейтаб, авторизация перестает работать. оба сервера в класетре добавлены как центральные.

15. user2090631 04.06.24 11:44 Сейчас в теме

(14)
Надо для каждой ноды кластера 1С делать key.tab

Оставьте свое сообщение

E-mail:

Автор:

Евгений . (Lost_Alaska)

Рейтинг: 13

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 1762389

Создание 23.11.22 11:30

Обновление 23.11.22 11:30

Статистика:

Просмотры 8870

Загрузки 0

Рейтинг 13

Комментарии 16

Характеристики:

Код открыт Да

Рубрики Linux

Кому Системный администратор

Тип файла Нет файла

Платформа Платформа 1С v8.3

Конфигурация Универсальные

Операционная система Debian

Страна Россия

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)