Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов

23.11.22

Администрирование - Linux

+13
Появилась задача авторизовать пользователей из разных и ничем не связанных доменов на сервере 1С на debian 11.

В статье будем использовать: Microsoft AD, 1c Сервер, Debian 11.

В связи с событиями в мире, появилась идея перевода всех серверов на linux, и как говорится из названия, авторизации множества пользователей из разных доменов, скажу сразу, домены находятся не в лесу и на разных площадках.

За основу беру:

srv-1cserver - целевой сервер 1с предприятия.
domain.loc - 1 домен.
master.loc - 2 домен.
office.loc - 3 домен.

На данном этапе будем считать что у нас уже функционирует сервер на нашем Debian и там есть пара баз.

Kerberos-аутентификация

На каждом сервере необходимо создать пользователя, с которым будут ассоциироваться запросы к 1с серверу.

Для простоты будем использовать пользователя в Windows usr1cv8 , в Debian usr1cv8 .

При создании пользователя, обязательно снять галочку в пункте  «Use DES encryption types with this account».

Сделаем для этого пользователя секрутный ключ .keytab c помощью утилиты ktpass.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

После этого в корне диска С:\ у нас будет файл usr1cv8.keytab и теперь с пользователем usr1cv8 ассоциируется служба usr1cv8/srv-1cserver.domain.ru@domain.loc.

Проделаем эту процедуру на всех Windows серверах и сформированные файлы поместим в удобные папки на Debian для нас.

Дальнейшие действия тоже довольно простые, запустим уже на Debian утилиту ktutil.

И проделаем следующее:

root@srv-1cserver:~# ktutil
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
Читаем кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_domain.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
читаем второй кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_master.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
читаем третий кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_office.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
   3    1            HTTP/srv-1cserver.domain.ru@OFFICE.LOC
Добавилось, т.е. успешно объединили три keytab

Записываем
ktutil:  wkt /etc/krb5.keytab

После этого перезапустим 1С сервер, и можно заходить в тонкий клиент и прописать настройки пользователю.

Для этого переходим в «Администрирование», слева в списке выбрать «Пользователи»

В свойствах пользователя выбрать «Аутентификация операционной системы» и в поле «Пользователь» прописать \\MASTER.LOC\e.ivanov

В 1С домен прописать обязательно большими буквами.

Данное действие проделаем на нужных серверах, и на данном этапе авторизация с различных серверов будет работать.

1c системное администрирование linux

+13

См. также

Переход на Linux+PostgreSQL для информационной базы 2 Tb

Linux Программист Бесплатно (free)

При многолетней эксплуатации 1С на Windows и MS SQL в базе накапливаются не самые оптимальные запросы, COM-объекты и скрипты, зависящие от ОС. Из-за этого процесс перехода на PostgreSQL и переноса сервера 1С на Linux неизбежно осложняется длительным исправлением кода и оптимизацией запросов. Расскажем о том, как с задачей такого рефакторинга справились в компании Avito.

13.11.2024    4535    klimat12    15    

25
В облако на работу: Вишенка на торте. Быстродействие оборудования, нагрузочное тестирование, балансировка нагрузки в кластере серверов 1С на базе РЕД ОС 8

Облачные сервисы, хостинг Linux Тестирование QA Сервера Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

Завершающая публикация цикла "В облако на работу:.. Рецепты от Капитана", в ходе которых был собран полнофункциональный рабочий контур 1С в сети на отечественной Ред ОС. С веб-серверами, доменной авторизацией, архивированием, отказоустойчивостью и прочая, прочая... В этой статье мы определяемся с быстродействием системы, проводим нагрузочное тестирование и отпускаем ее в свободное плавание (зачеркнуто) выпускаем ее в продуктовый контур, где, конечно же, придется отлавливать ошибки, мониторить состояние и т.п.

31.10.2024    1308    capitan    0    

0
Построение отказоустойчивого кластера 1С: Предприятие 8.3. Требования назначения функциональности. MythBusters

Облачные сервисы, хостинг Linux Сервера Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

Одна из завершающих публикаций цикла "В облако на работу:.. Рецепты от Капитана", в ходе которых был собран полнофункциональный рабочий контур 1С в сети на отечественной Ред ОС. С веб-серверами, доменной авторизацией, архивированием и прочая, прочая... На закуску разбираемся с отказоустойчивостью. В этой публикации для серверов 1С заодно попробуем подобно сериалу «Разрушители легенд» подтвердить или опровергнуть пару устойчивых мифов о требованиях назначения функциональности.

18.10.2024    1701    capitan    5    

12
1C + Linux. Установка 1С: Предприятие 8.3 в среде Linux RedOS 8

Сервера Linux Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

1С Предприятие 8.3. Установка и запуск в среде Linux RedOS 8.

17.10.2024    1505    m_aster    5    

2
1C и Postgres 2024. Часть 1

Linux Системный администратор Программист Стажер Платформа 1С v8.3 Россия Бесплатно (free)

1C > Postgres > (Linux) > мы (=проблемы в 2024). Информация будет полезна начинающим 1С программистам (и сисадминам). Без ИТС. Часть 1.

01.07.2024    5167    AlOkt    30    

19
Подключение и настройка сканера штрих-кодов в ALT Linux

Сканер штрих-кода Linux Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Бесплатно (free)

Драйвер сканера штрих-кодов в 1С выполнен по технологии NativeAPI, следовательно, поддерживается возможность работы в Linux, но сама настройка оказалось не такой простой, как в Windows, понадобились навыки администрирования linux. В данной публикации представлен опыт установки сканера Mercury CL-2200 P2D BT в ALT Linux.

18.06.2024    1344    MOleg82    1    

9
Построение отказоустойчивого кластера PostgreSQL. HAProxy, давай до свидания. Рецепты от Капитана

Облачные сервисы, хостинг Linux Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

Одна из завершающих публикаций цикла "В облако на работу:.. Рецепты от Капитана" в ходе которых был собран полнофункциональный рабочий контур 1С в сети на отечественной Ред ОС. С веб-серверами, доменной авторизацией, архивированием и прочая прочая... Это основное блюдо, на закуску разберемся с отказоустойчивостью. В этой публикации для PostgreSQL, заодно попробуем сделать это по новому.

17.06.2024    7644    capitan    18    

40
(Видео) Установка 1С + PostgreSQL на Linux Ubuntu за 5 минут

Сервера Linux Системный администратор Россия Бесплатно (free)

Тема Ubuntu, PostgreSQL и 1С уже избитая. Но все же, следуя инструкциям всех мануалов, пришлось потратить около 3-х дней. И как результат — готовые скрипты для установки сервера 1С и PostgreSQL на свежей Ubuntu за 5 минут.

14.06.2024    3871    user1389975    15    

38
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. efin 23.11.22 12:28 Сейчас в теме
Если сеть на домене ALD Pro от Astra Linux SE, там же 1С - тонкие или веб-клиенты, как настроить доменную авторизацию для входа в 1С без пароля?
+ Ответить
2. Lost_Alaska 13 23.11.22 12:55 Сейчас в теме
(1)
ALD Pro от Astra Linux SE


Если все в одном домене, то наверное нужно сначала посмотреть, а видит ли 1с пользователей домена, если видит то прописать его и посмотреть тех.журнал.
А если не видит, то уже смотреть что с правами пользователя от которого происходит запуск 1с сервера.
+ Ответить
3. idGreen 12.01.23 01:28 Сейчас в теме
У меня такое выдает, АД на 2019 стоит, домен и пользователей 1С видит, серв на Астре 1.7 стоит, сам сервер 1С в домене и на стороне АД 2019 регнут и в списке и при входе в домен под пользователем, автоматический вход в 1С не происходит по домену, хотя пользователей всех в 1С добавил, должно автоматом пускать по доменной авторизации пользователя, но увы.
А, если в ручную вбить в окно авторизации, выдает: Идентификация пользователя не выполнена.
Не подскажите, как решить проблему с автоматическим входом пользователя по ад домену?
Alexey_GPMH; +1 Ответить
4. user1913563 22.02.23 16:06 Сейчас в теме
Добрый день!
Мы тоже перешли на Linux и сейчас дошли руки для доменной авторизации и не совсем понял последовательность действий.
Мы имеем такую структуру:
домен: contoso.local
DC1 - Контроллер Windows
1СWEB - веб-сервер Apache на котором публикуются базы и стоит веб-компонет 1С (Debian 11)
1СSRV - сам сервер 1С (Debian 11).

1. Нужно ли вводить сервера Linux в домен (1СWEB и 1CSRV)?

2.
C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Это мы делаем на контроллере?

srv-1cserver.domain.ru@domain.loc - тут получается у меня будет веб-сервер или сам 1С (1CSRV)?
+ Ответить
7. Lost_Alaska 13 01.08.23 15:07 Сейчас в теме
(4)

Да, keytab делается на контроллере домена.
Сервер не нужно вводить в домен, но у них должна быть связь по по 389 порту.
+ Ответить
5. walerjahn 27.07.23 18:54 Сейчас в теме
Не могу никак получить key, выдаёт ошибку

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Куда копать подскажите пожалуйста
+ Ответить
6. Lost_Alaska 13 01.08.23 15:05 Сейчас в теме
(5)
DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.



Вы это делаете на своем AD?
необходимый пользователь создан?
+ Ответить
8. walerjahn 01.08.23 15:56 Сейчас в теме
(6)
Да, делаю на AD.
Пользователь создан и в AD и соответственно в Debian
+ Ответить
9. Lost_Alaska 13 03.08.23 19:11 Сейчас в теме
(8)
ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Выполняете в какой-то находясь папке и cmd от админа?
+ Ответить
10. walerjahn 06.08.23 07:43 Сейчас в теме
(6) CMD от админа, нахожусь в корне диска С.
А этому пользователю usr1cv8 который создаётся в AD какие нужно права дать?
Да на самом деле эта команда "C:\>ktpass -princ uers/srv-1cserver.domain.ru@domain.loc -mapuser users -pass XxXxXx -out users.keytab" не работает даже на админа домена, вообще ни для какого пользователя домена.
+ Ответить
11. semon80 06.12.23 13:28 Сейчас в теме
(10)Здравствуйте
как решилась задача?
Я имею сообщение об ошибке:
Target domain controller: srv1.domain.org
failed to set property 'servicePrincipalName' to 'usr1cv8/srv1c.domain.org' on Dn 'CN=usr1cv8, OU=Services, DC=domain, DC=org': 0x13

Файл в итоге создается, но учитывая сообщения кажется он может быть не корректным.
+ Ответить
12. walerjahn 07.12.23 06:23 Сейчас в теме
(11)Нет, так и не победил...
+ Ответить
16. user2090631 04.06.24 11:48 Сейчас в теме
(12)
При указании пользователя в части -mapuser usr1cv8 -pass XxXxXx надо указать домен, например:

-mapuser PPP.LOCAL\usr1cv8 -pass XxXxXx
+ Ответить
13. semon80 14.12.23 15:08 Сейчас в теме
(11) Проблема решена - создан новый пользователь в АД с чистым spn.

В целом настройка аутентификации прошла успешно - сквозная авторизация работает. Клиенты Win, сервер приложений РЕДОС.
+ Ответить
14. shaulyn 26.04.24 10:29 Сейчас в теме
Подскажите пжл а как настроить ад авторизацию когда в кластере 2 сервера 1с. сейчас кейтабы лежат на двух серверах, но авторизирует только первый добавленный в кластер сервер. если его выключить или переименовать кейтаб, авторизация перестает работать. оба сервера в класетре добавлены как центральные.
+ Ответить
15. user2090631 04.06.24 11:44 Сейчас в теме
(14)
Надо для каждой ноды кластера 1С делать key.tab
+ Ответить
Оставьте свое сообщение