Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов

23.11.22

Появилась задача авторизовать пользователей из разных и ничем не связанных доменов на сервере 1С на debian 11.

В статье будем использовать: Microsoft AD, 1c Сервер, Debian 11.

В связи с событиями в мире, появилась идея перевода всех серверов на linux, и как говорится из названия, авторизации множества пользователей из разных доменов, скажу сразу, домены находятся не в лесу и на разных площадках.

За основу беру:

srv-1cserver - целевой сервер 1с предприятия.
domain.loc - 1 домен.
master.loc - 2 домен.
office.loc - 3 домен.

На данном этапе будем считать что у нас уже функционирует сервер на нашем Debian и там есть пара баз.

Kerberos-аутентификация

На каждом сервере необходимо создать пользователя, с которым будут ассоциироваться запросы к 1с серверу.

Для простоты будем использовать пользователя в Windows usr1cv8 , в Debian usr1cv8 .

При создании пользователя, обязательно снять галочку в пункте «Use DES encryption types with this account».

Сделаем для этого пользователя секрутный ключ .keytab c помощью утилиты ktpass.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

После этого в корне диска С:\ у нас будет файл usr1cv8.keytab и теперь с пользователем usr1cv8 ассоциируется служба usr1cv8/srv-1cserver.domain.ru@domain.loc.

Проделаем эту процедуру на всех Windows серверах и сформированные файлы поместим в удобные папки на Debian для нас.

Дальнейшие действия тоже довольно простые, запустим уже на Debian утилиту ktutil.

И проделаем следующее:

root@srv-1cserver:~# ktutil
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
Читаем кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_domain.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
читаем второй кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_master.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
читаем третий кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_office.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
   3    1            HTTP/srv-1cserver.domain.ru@OFFICE.LOC
Добавилось, т.е. успешно объединили три keytab

Записываем
ktutil:  wkt /etc/krb5.keytab

После этого перезапустим 1С сервер, и можно заходить в тонкий клиент и прописать настройки пользователю.

Для этого переходим в «Администрирование», слева в списке выбрать «Пользователи».

В свойствах пользователя выбрать «Аутентификация операционной системы» и в поле «Пользователь» прописать \\MASTER.LOC\e.ivanov

В 1С домен прописать обязательно большими буквами.

Данное действие проделаем на нужных серверах, и на данном этапе авторизация с различных серверов будет работать.

Вступайте в нашу телеграмм-группу Инфостарт

1c системное администрирование linux

+13 –

См. также

Сценарий для восстановления баз данных PostgreSQL в Linux

Архивирование (backup) Linux Системный администратор Программист Россия Абонемент ($m)

Сценарий предназначен для восстановления баз данных PostgreSQL в Linux под учетной записью postgres из резервных копий, сформированных программой pg_dump в формате plain или custom.

1 стартмани

20.02.2026 156 0 Магнат 2

Архивирование баз данных PostgreSQL на Linux Astra

Архивирование (backup) Администрирование СУБД Linux Системный администратор Программист 1С:Предприятие 8 Россия Абонемент ($m)

Сценарий предназначен для избирательного создания ротационных резервных копий баз данных по дисциплине 2-1 (2 копии, одна на другом физическом диске, другая на компьютере вне серверной комнаты) в форматах custom и/или plain кластера PostgreSQL, а также глобальных свойств кластера: пользователи, пароли и т.д.

2 стартмани

19.02.2026 127 0 Магнат 1

Cценарий python для автоматизации процессов установки и обновления СУБД PostgreSQL +1с в Astra Linux 1.8

Разработка внешних компонент Администрирование СУБД Linux Обновление 1С Системный администратор Программист Россия Абонемент ($m)

Cценарий python предназначен для автоматизации процессов установки СУБД PostgreSQL, клиентского приложения и сервера 1С, службы RAS а также и деинсталляции последних в cреде операционной системы Astra Linux. Полный режим работы выполняет деинсталляцию предшествующей версии 1С и установку последующей. Возможны также только деинсталляция или только установка. Сценарий тестирован в среде ОС Astra Linux SE v.1.7.x,v.1.8.x

2 стартмани

03.02.2026 406 3 Магнат 1

Концепция защищенной IT инфраструктуры малого предприятия и пошаговая реализация под Astra Linux+1c+ PostgresSQL + Ideco UTM + Zabbix

Информационная безопасность Архивирование (backup) Linux Администрирование СУБД Системный администратор Программист Россия Абонемент ($m)

В публикации рассматриваются не только принципы проектирования IT инфраструктуры малого и среднего предприятия в фокусе последних требований законодательства о защите ПДн, но и дается пошаговая инструкция по установке и настройке полного пакета ПО на основе использования Российских компонентов. Данная структура программ полностью покрывает все потребности организации по использованию, архивированию и защите IT инфраструктуры. Практическое применение протестировано на различных предприятиях в течении 5 лет. Все программы протестированы на Astra Linux 1.8 Пример формы описания процессов установки пункт 20.9

10 стартмани

29.01.2026 604 5 Магнат 16

Ошибка загрузки библиотеки libsoup при запуске 1С на Debian 13.2

Linux Системный администратор 1С 8.3 Бесплатно (free)

Устранение ошибки "libsoup3 symbols detected. Using libsoup2 and libsoup3 in the same process is not supported" при запуске 1С на Debian 13.

05.01.2026 774 kot1c 4

Сборка PostgreSQL 17 с патчами от 1С из исходников

Linux Системный администратор Бесплатно (free)

Есть великолепная инструкция по сборке постгреса из сорцов от Алмаза Шарипова https://almaz-sharipov.ru/article/linux-1c/pg1c, низкий ему поклон. Но с июня 2025 у 1С что-то внутре cломалось: ейные девопсы затупили и вендор начал выкладывать архив с битым файлом dsc.

10.10.2025 3846 Cocky_Idiot 7

Astra Linux: установка платформы 1С с зависимостями

Linux Системный администратор Бесплатно (free)

Особенности настройки Astra Linux для получения зависимостей пакетов на примере установки платформы 8.3.27.1688.

18.08.2025 2658 Bessome 0

Linux debian 3.1-13 для сборки внешних компонент через шаблон VNCOMP82 для 1С 8.2 и 1С 8.3

Linux Системный администратор Бесплатно (free)

Статья рассматривает следующие вопросы для ОС Debian: - правильную установку компилятора gcc для сборки компонент из шаблона VNCOMP82, а также скрипт для обновления до версии gcc 3.4.6 (минимально рекомендуемая версия) под старые версии debian 3.x - актуальную ссылку на учебный диск фирмы 1С (свободная лицензия), который содержит шаблоны для внешних компонент по технологии NATIVE. - доработка шаблона VNCOMP82 под debian 64 bit. Использованные в статье скрипты можно использовать для настройки основного окружения. В статье не рассматриваются вопросы, связанные с установкой дистрибутивов.

11.08.2025 2224 Dima1205 12

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. efin 23.11.22 12:28 Сейчас в теме

Если сеть на домене ALD Pro от Astra Linux SE, там же 1С - тонкие или веб-клиенты, как настроить доменную авторизацию для входа в 1С без пароля?

2. Lost_Alaska 13 23.11.22 12:55 Сейчас в теме

(1)

ALD Pro от Astra Linux SE

Если все в одном домене, то наверное нужно сначала посмотреть, а видит ли 1с пользователей домена, если видит то прописать его и посмотреть тех.журнал.
А если не видит, то уже смотреть что с правами пользователя от которого происходит запуск 1с сервера.

3. idGreen 12.01.23 01:28 Сейчас в теме

У меня такое выдает, АД на 2019 стоит, домен и пользователей 1С видит, серв на Астре 1.7 стоит, сам сервер 1С в домене и на стороне АД 2019 регнут и в списке и при входе в домен под пользователем, автоматический вход в 1С не происходит по домену, хотя пользователей всех в 1С добавил, должно автоматом пускать по доменной авторизации пользователя, но увы.
А, если в ручную вбить в окно авторизации, выдает: Идентификация пользователя не выполнена.
Не подскажите, как решить проблему с автоматическим входом пользователя по ад домену?

4. user1913563 22.02.23 16:06 Сейчас в теме

Добрый день!
Мы тоже перешли на Linux и сейчас дошли руки для доменной авторизации и не совсем понял последовательность действий.
Мы имеем такую структуру:
домен: contoso.local
DC1 - Контроллер Windows
1СWEB - веб-сервер Apache на котором публикуются базы и стоит веб-компонет 1С (Debian 11)
1СSRV - сам сервер 1С (Debian 11).

1. Нужно ли вводить сервера Linux в домен (1СWEB и 1CSRV)?

2.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Это мы делаем на контроллере?

srv-1cserver.domain.ru@domain.loc - тут получается у меня будет веб-сервер или сам 1С (1CSRV)?

7. Lost_Alaska 13 01.08.23 15:07 Сейчас в теме

(4)

Да, keytab делается на контроллере домена.
Сервер не нужно вводить в домен, но у них должна быть связь по по 389 порту.

5. walerjahn 27.07.23 18:54 Сейчас в теме

Не могу никак получить key, выдаёт ошибку

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Куда копать подскажите пожалуйста

6. Lost_Alaska 13 01.08.23 15:05 Сейчас в теме

(5)

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Вы это делаете на своем AD?
необходимый пользователь создан?

8. walerjahn 01.08.23 15:56 Сейчас в теме

(6)
Да, делаю на AD.
Пользователь создан и в AD и соответственно в Debian

9. Lost_Alaska 13 03.08.23 19:11 Сейчас в теме

(8)
ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Выполняете в какой-то находясь папке и cmd от админа?

10. walerjahn 06.08.23 07:43 Сейчас в теме

(6) CMD от админа, нахожусь в корне диска С.
А этому пользователю usr1cv8 который создаётся в AD какие нужно права дать?
Да на самом деле эта команда "C:\>ktpass -princ uers/srv-1cserver.domain.ru@domain.loc -mapuser users -pass XxXxXx -out users.keytab" не работает даже на админа домена, вообще ни для какого пользователя домена.

11. semon80 06.12.23 13:28 Сейчас в теме

(10)Здравствуйте
как решилась задача?
Я имею сообщение об ошибке:
Target domain controller: srv1.domain.org
failed to set property 'servicePrincipalName' to 'usr1cv8/srv1c.domain.org' on Dn 'CN=usr1cv8, OU=Services, DC=domain, DC=org': 0x13

Файл в итоге создается, но учитывая сообщения кажется он может быть не корректным.

12. walerjahn 07.12.23 06:23 Сейчас в теме

(11)Нет, так и не победил...

16. user2090631 04.06.24 11:48 Сейчас в теме

(12)
При указании пользователя в части -mapuser usr1cv8 -pass XxXxXx надо указать домен, например:

-mapuser PPP.LOCAL\usr1cv8 -pass XxXxXx

13. semon80 14.12.23 15:08 Сейчас в теме

(11) Проблема решена - создан новый пользователь в АД с чистым spn.

В целом настройка аутентификации прошла успешно - сквозная авторизация работает. Клиенты Win, сервер приложений РЕДОС.

14. shaulyn 26.04.24 10:29 Сейчас в теме

Подскажите пжл а как настроить ад авторизацию когда в кластере 2 сервера 1с. сейчас кейтабы лежат на двух серверах, но авторизирует только первый добавленный в кластер сервер. если его выключить или переименовать кейтаб, авторизация перестает работать. оба сервера в класетре добавлены как центральные.

15. user2090631 04.06.24 11:44 Сейчас в теме

(14)
Надо для каждой ноды кластера 1С делать key.tab

Для отправки сообщения требуется регистрация/авторизация

Автор:

Евгений . (Lost_Alaska)

Рейтинг: 13

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 1762389

Создание 23.11.22 11:30

Обновление 23.11.22 11:30

Статистика:

Просмотры 11739

Загрузки 0

Рейтинг 13

Комментарии 16

Характеристики:

Код открыт Да

Рубрики Linux

Кому Системный администратор

Тип файла Нет файла

Платформа 1С:Предприятие 8

Конфигурация Универсальные

Операционная система Debian

Страна Россия

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)