Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов

23.11.22

Администрирование - Linux

+13
Появилась задача авторизовать пользователей из разных и ничем не связанных доменов на сервере 1С на debian 11.

В статье будем использовать: Microsoft AD, 1c Сервер, Debian 11.

В связи с событиями в мире, появилась идея перевода всех серверов на linux, и как говорится из названия, авторизации множества пользователей из разных доменов, скажу сразу, домены находятся не в лесу и на разных площадках.

За основу беру:

srv-1cserver - целевой сервер 1с предприятия.
domain.loc - 1 домен.
master.loc - 2 домен.
office.loc - 3 домен.

На данном этапе будем считать что у нас уже функционирует сервер на нашем Debian и там есть пара баз.

Kerberos-аутентификация

На каждом сервере необходимо создать пользователя, с которым будут ассоциироваться запросы к 1с серверу.

Для простоты будем использовать пользователя в Windows usr1cv8 , в Debian usr1cv8 .

При создании пользователя, обязательно снять галочку в пункте  «Use DES encryption types with this account».

Сделаем для этого пользователя секрутный ключ .keytab c помощью утилиты ktpass.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

После этого в корне диска С:\ у нас будет файл usr1cv8.keytab и теперь с пользователем usr1cv8 ассоциируется служба usr1cv8/srv-1cserver.domain.ru@domain.loc.

Проделаем эту процедуру на всех Windows серверах и сформированные файлы поместим в удобные папки на Debian для нас.

Дальнейшие действия тоже довольно простые, запустим уже на Debian утилиту ktutil.

И проделаем следующее:

root@srv-1cserver:~# ktutil
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
Читаем кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_domain.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
читаем второй кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_master.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
читаем третий кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_office.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
   3    1            HTTP/srv-1cserver.domain.ru@OFFICE.LOC
Добавилось, т.е. успешно объединили три keytab

Записываем
ktutil:  wkt /etc/krb5.keytab

После этого перезапустим 1С сервер, и можно заходить в тонкий клиент и прописать настройки пользователю.

Для этого переходим в «Администрирование», слева в списке выбрать «Пользователи»

В свойствах пользователя выбрать «Аутентификация операционной системы» и в поле «Пользователь» прописать \\MASTER.LOC\e.ivanov

В 1С домен прописать обязательно большими буквами.

Данное действие проделаем на нужных серверах, и на данном этапе авторизация с различных серверов будет работать.

Вступайте в нашу телеграмм-группу Инфостарт

1c системное администрирование linux

+13

См. также

Как выявить и устранить проблемы в конфигурации 1С перед миграцией на Linux

Linux Системный администратор Программист Бесплатно (free)

Расскажем, какие инструменты помогают анализировать и адаптировать код под Linux, приведем реальные примеры рефакторинга и разберем этапы тестирования перед переходом. А также представим чек-лист для проверки готовности конфигурации к работе на серверной платформе 1С под Linux.

28.07.2025    692    aidar_safin    3    

7
Настройка поддержки аутентификации ОС на веб-клиенте 1С через Apache 2.4 (Linux)

Администрирование веб-серверов Linux Системный администратор Программист 1С v8.3 Бесплатно (free)

Проблема: При переходе с Windows на Linux многие сталкиваются с затруднениями при настройке аутентификации ОС в веб-клиенте 1С через Apache 2.4 (Debian). Решение: Команда Magnit Tech (Центр экспертизы 1С и Сопровождение 1C) разработала готовую инструкцию по настройке веб-клиента 1С на Debian 12 с поддержкой как Windows, так и Linux-серверов. Экономьте время — внедряйте проверенное!

25.07.2025    1086    biryukmikh    7    

21
Автоматизированная настройка сервера приложений 1С на Linux через Ansible. Опыт Magnit Tech.

Linux Системный администратор Бесплатно (free)

Благодаря Ansible процесс развертывания и тонкой настройки сервера 1С на Linux можно полностью автоматизировать. В статье расскажем, как с помощью Ansible-плейбуков быстро и без ошибок подготовить инфраструктуру для работы 1С:Предприятие. Разберемся, как подготовить WSL для локального тестирования Ansible-сценариев перед их запуском на реальных серверах. Рассмотрим автоматизированное создание виртуальных машин с помощью Ansible, которое значительно ускоряет развертывание инфраструктуры. На практическом примере покажем, как дорабатывать роли в плейбуках для адаптации под конкретные задачи. Уделим внимание оптимизации Linux-сервера для 1С: настройке ОС, установке необходимых зависимостей и параметров для стабильной работы. Разберем процесс установки платформы 1С, настройки службы и логирования, а также интеграцию систем мониторинга (Zabbix и других) для контроля состояния сервера в реальном времени.

23.07.2025    884    aidar_safin    0    

9
Настройка 1С окружения в Windows WSL (Docker, Linux)

Администрирование СУБД Linux Сервера Системный администратор Программист Бесплатно (free)

В современных Windows 10 и 11 можно использовать WSL (Windows Subsystem for Linux) для запуска Linux окружения. Возникает соблазнительная мысль: может, PostgreSQL и сервер 1С запустить в WSL. Или даже хуже: в Docker на WSL. Знал бы, что будет сложно - даже не начинал :) Сложность кроется в том, что WSL это не полноценные виртуалки, а легковестные контейнеры Hyper-V с особенностями сети и GUI. Из плюсов, наверно, только размер и скорость запуска.

21.07.2025    1158    FSerg    2    

7
Преимущества использования PostgreSQL и Linux

Администрирование СУБД Linux Системный администратор Программист 1С v8.3 Бесплатно (free)

Преимущества использования PostgreSQL как объектно-реляционной СУБД и Linux в качестве операционной системы сервера

02.06.2025    3849    PROSTO-1C    12    

2
Порядок обновления платформы 1С на сервере Linux Debian

Обновление 1С Linux Системный администратор Программист Бесплатно (free)

Пошаговая инструкция для обновления платформы 1С на сервере Linux Debian.

28.03.2025    2453    California_Dreaming    3    

5
Активация community лицензии в linux

Linux Системный администратор Программист 1С v8.3 Бесплатно (free)

В очередной раз решая проблему с доступом к файлу программной лицензии - решил сделать памятку на будущее для себя и коллег.

10.03.2025    2553    unichkin    12    

13
Подходы к рефакторингу платформеннозависимого кода

Linux Рефакторинг и качество кода Программист 1С v8.3 Бесплатно (free)

В третьей статье по докладу Александра Кириллова, с которым он выступил на конференции INFOSTART TECH EVENT 2024, обсудим подходы к рефакторингу платформеннозависимого кода

11.02.2025    1592    it-expertise    0    

4
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. efin 23.11.22 12:28 Сейчас в теме
Если сеть на домене ALD Pro от Astra Linux SE, там же 1С - тонкие или веб-клиенты, как настроить доменную авторизацию для входа в 1С без пароля?
+ Ответить
2. Lost_Alaska 13 23.11.22 12:55 Сейчас в теме
(1)
ALD Pro от Astra Linux SE


Если все в одном домене, то наверное нужно сначала посмотреть, а видит ли 1с пользователей домена, если видит то прописать его и посмотреть тех.журнал.
А если не видит, то уже смотреть что с правами пользователя от которого происходит запуск 1с сервера.
+ Ответить
3. idGreen 12.01.23 01:28 Сейчас в теме
У меня такое выдает, АД на 2019 стоит, домен и пользователей 1С видит, серв на Астре 1.7 стоит, сам сервер 1С в домене и на стороне АД 2019 регнут и в списке и при входе в домен под пользователем, автоматический вход в 1С не происходит по домену, хотя пользователей всех в 1С добавил, должно автоматом пускать по доменной авторизации пользователя, но увы.
А, если в ручную вбить в окно авторизации, выдает: Идентификация пользователя не выполнена.
Не подскажите, как решить проблему с автоматическим входом пользователя по ад домену?
Alexey_GPMH; +1 Ответить
4. user1913563 22.02.23 16:06 Сейчас в теме
Добрый день!
Мы тоже перешли на Linux и сейчас дошли руки для доменной авторизации и не совсем понял последовательность действий.
Мы имеем такую структуру:
домен: contoso.local
DC1 - Контроллер Windows
1СWEB - веб-сервер Apache на котором публикуются базы и стоит веб-компонет 1С (Debian 11)
1СSRV - сам сервер 1С (Debian 11).

1. Нужно ли вводить сервера Linux в домен (1СWEB и 1CSRV)?

2.
C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Это мы делаем на контроллере?

srv-1cserver.domain.ru@domain.loc - тут получается у меня будет веб-сервер или сам 1С (1CSRV)?
+ Ответить
7. Lost_Alaska 13 01.08.23 15:07 Сейчас в теме
(4)

Да, keytab делается на контроллере домена.
Сервер не нужно вводить в домен, но у них должна быть связь по по 389 порту.
+ Ответить
5. walerjahn 27.07.23 18:54 Сейчас в теме
Не могу никак получить key, выдаёт ошибку

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Куда копать подскажите пожалуйста
+ Ответить
6. Lost_Alaska 13 01.08.23 15:05 Сейчас в теме
(5)
DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.



Вы это делаете на своем AD?
необходимый пользователь создан?
+ Ответить
8. walerjahn 01.08.23 15:56 Сейчас в теме
(6)
Да, делаю на AD.
Пользователь создан и в AD и соответственно в Debian
+ Ответить
9. Lost_Alaska 13 03.08.23 19:11 Сейчас в теме
(8)
ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Выполняете в какой-то находясь папке и cmd от админа?
+ Ответить
10. walerjahn 06.08.23 07:43 Сейчас в теме
(6) CMD от админа, нахожусь в корне диска С.
А этому пользователю usr1cv8 который создаётся в AD какие нужно права дать?
Да на самом деле эта команда "C:\>ktpass -princ uers/srv-1cserver.domain.ru@domain.loc -mapuser users -pass XxXxXx -out users.keytab" не работает даже на админа домена, вообще ни для какого пользователя домена.
+ Ответить
11. semon80 06.12.23 13:28 Сейчас в теме
(10)Здравствуйте
как решилась задача?
Я имею сообщение об ошибке:
Target domain controller: srv1.domain.org
failed to set property 'servicePrincipalName' to 'usr1cv8/srv1c.domain.org' on Dn 'CN=usr1cv8, OU=Services, DC=domain, DC=org': 0x13

Файл в итоге создается, но учитывая сообщения кажется он может быть не корректным.
+ Ответить
12. walerjahn 07.12.23 06:23 Сейчас в теме
(11)Нет, так и не победил...
+ Ответить
16. user2090631 04.06.24 11:48 Сейчас в теме
(12)
При указании пользователя в части -mapuser usr1cv8 -pass XxXxXx надо указать домен, например:

-mapuser PPP.LOCAL\usr1cv8 -pass XxXxXx
+ Ответить
13. semon80 14.12.23 15:08 Сейчас в теме
(11) Проблема решена - создан новый пользователь в АД с чистым spn.

В целом настройка аутентификации прошла успешно - сквозная авторизация работает. Клиенты Win, сервер приложений РЕДОС.
+ Ответить
14. shaulyn 26.04.24 10:29 Сейчас в теме
Подскажите пжл а как настроить ад авторизацию когда в кластере 2 сервера 1с. сейчас кейтабы лежат на двух серверах, но авторизирует только первый добавленный в кластер сервер. если его выключить или переименовать кейтаб, авторизация перестает работать. оба сервера в класетре добавлены как центральные.
+ Ответить
15. user2090631 04.06.24 11:44 Сейчас в теме
(14)
Надо для каждой ноды кластера 1С делать key.tab
+ Ответить
Оставьте свое сообщение