Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов

23.11.22

–

Появилась задача авторизовать пользователей из разных и ничем не связанных доменов на сервере 1С на debian 11.

В статье будем использовать: Microsoft AD, 1c Сервер, Debian 11.

В связи с событиями в мире, появилась идея перевода всех серверов на linux, и как говорится из названия, авторизации множества пользователей из разных доменов, скажу сразу, домены находятся не в лесу и на разных площадках.

За основу беру:

srv-1cserver - целевой сервер 1с предприятия.
domain.loc - 1 домен.
master.loc - 2 домен.
office.loc - 3 домен.

На данном этапе будем считать что у нас уже функционирует сервер на нашем Debian и там есть пара баз.

Kerberos-аутентификация

На каждом сервере необходимо создать пользователя, с которым будут ассоциироваться запросы к 1с серверу.

Для простоты будем использовать пользователя в Windows usr1cv8 , в Debian usr1cv8 .

При создании пользователя, обязательно снять галочку в пункте «Use DES encryption types with this account».

Сделаем для этого пользователя секрутный ключ .keytab c помощью утилиты ktpass.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

После этого в корне диска С:\ у нас будет файл usr1cv8.keytab и теперь с пользователем usr1cv8 ассоциируется служба usr1cv8/srv-1cserver.domain.ru@domain.loc.

Проделаем эту процедуру на всех Windows серверах и сформированные файлы поместим в удобные папки на Debian для нас.

Дальнейшие действия тоже довольно простые, запустим уже на Debian утилиту ktutil.

И проделаем следующее:

root@srv-1cserver:~# ktutil
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
Читаем кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_domain.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
читаем второй кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_master.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
читаем третий кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_office.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
   3    1            HTTP/srv-1cserver.domain.ru@OFFICE.LOC
Добавилось, т.е. успешно объединили три keytab

Записываем
ktutil:  wkt /etc/krb5.keytab

После этого перезапустим 1С сервер, и можно заходить в тонкий клиент и прописать настройки пользователю.

Для этого переходим в «Администрирование», слева в списке выбрать «Пользователи».

В свойствах пользователя выбрать «Аутентификация операционной системы» и в поле «Пользователь» прописать \\MASTER.LOC\e.ivanov

В 1С домен прописать обязательно большими буквами.

Данное действие проделаем на нужных серверах, и на данном этапе авторизация с различных серверов будет работать.

1c системное администрирование linux

–

См. также

В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Рецепты от Капитана

Облачные сервисы, хостинг Linux Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

В публикации рассматриваются все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Как случаи, когда сервер 1С авторизирует веб и обычных клиентов 1С в active directory, так и когда сам сервер является клиентом, например при HTTP запросах выполняемых сервером 1С.

18.03.2024 524 capitan 0

Три пингвина под окном… Точки над Ё. Обзор рабочих мест пользователя 1С, собранных на отечественных дистрибутивах linux

Облачные сервисы, хостинг Linux Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Прошлая публикация "Три пингвина под окном… Обзор рабочих мест пользователя 1С, собранных на отечественных дистрибутивах linux" набрала более 20К просмотров. В моем случае это абсолютный рекорд. Как и обещал в ней, рассказываю, как установить неподдерживаемый дистрибутив ОС у облачного провайдера.

25.02.2024 2230 capitan 0

Тестовый кластер 1С на UBUNTU 23.10

Linux Платформа 1С v8.3 Россия Абонемент ($m)

Описан процесс создания простого кластера 1С в связке: отдельный сервер UBUNTU версия 23.10 + сервер 1С версия 8.3.23.1997 + PostgreSQL версия 15. Автор не претендует на новизну решения, но пошаговая упорядоченная инструкция позволяет стандартными методами быстро и просто создать кластер 1С на серверах Linux.

1 стартмани

08.02.2024 1453 janerev1956 7

В облаке, как дома: Устраиваемся поудобнее. Рабочее место пользователя 1С на базе РЕД ОС (HTTPS и архивирование)

Linux Облачные сервисы, хостинг Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

На прошедшем вебинаре "В облаке, как дома: Как настроить рабочее место пользователя 1С на базе РЕД ОС" мы договорились, что продолжением будет установка соединения по HTTPS и архивирование. Это финальные штрихи в настройке рабочего места. Вот и оно (продолжение) или они (штрихи), прошу под кат...

29.01.2024 772 capitan 5

Определение длительности аудиофайла (Linux)

Linux Разное Платформа 1С v8.3 Абонемент ($m)

Пример обработки для определения длительности аудиофайла в среде Linux.

1 стартмани

12.01.2024 389 0 ErAK 2

Три пингвина под окном... Обзор рабочих мест пользователя 1С, собранных на отечественных дистрибутивах linux

Linux Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

На прошедшем вебинаре "В облаке, как дома: Как настроить рабочее место пользователя 1С на базе РЕД ОС" мы договорились, что продолжением будет обзор рабочих мест на других отечественных ОС. Вот и оно (продолжение) или он (обзор), прошу под кат...

25.12.2023 2098 capitan 6

Интерпретатор команд (только Linux)

Linux Платформа 1С v8.3 Конфигурации 1cv8 Абонемент ($m)

Интерпретатор команд для Linux, позволяет выполнять команды в среде Linux под правами пользователя сервера 1С. Полезно, когда необходимо выполнить команду на сервере, а доступа к командной строке нет.

1 стартмани

11.12.2023 509 3 Svb84 0

Автоматическое монтирование целевых папок по ключу при изменении местоположения источника (раздела диска)

Linux Бесплатно (free)

Вариант динамического автоматического монтирование целевых папок по ключу папки при изменении местоположения источника (раздела диска).

16.11.2023 512 NeSPEC 3

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. efin 23.11.22 12:28 Сейчас в теме

Если сеть на домене ALD Pro от Astra Linux SE, там же 1С - тонкие или веб-клиенты, как настроить доменную авторизацию для входа в 1С без пароля?

2. Lost_Alaska 13 23.11.22 12:55 Сейчас в теме

(1)

ALD Pro от Astra Linux SE

Если все в одном домене, то наверное нужно сначала посмотреть, а видит ли 1с пользователей домена, если видит то прописать его и посмотреть тех.журнал.
А если не видит, то уже смотреть что с правами пользователя от которого происходит запуск 1с сервера.

3. idGreen 12.01.23 01:28 Сейчас в теме

У меня такое выдает, АД на 2019 стоит, домен и пользователей 1С видит, серв на Астре 1.7 стоит, сам сервер 1С в домене и на стороне АД 2019 регнут и в списке и при входе в домен под пользователем, автоматический вход в 1С не происходит по домену, хотя пользователей всех в 1С добавил, должно автоматом пускать по доменной авторизации пользователя, но увы.
А, если в ручную вбить в окно авторизации, выдает: Идентификация пользователя не выполнена.
Не подскажите, как решить проблему с автоматическим входом пользователя по ад домену?

4. user1913563 22.02.23 16:06 Сейчас в теме

Добрый день!
Мы тоже перешли на Linux и сейчас дошли руки для доменной авторизации и не совсем понял последовательность действий.
Мы имеем такую структуру:
домен: contoso.local
DC1 - Контроллер Windows
1СWEB - веб-сервер Apache на котором публикуются базы и стоит веб-компонет 1С (Debian 11)
1СSRV - сам сервер 1С (Debian 11).

1. Нужно ли вводить сервера Linux в домен (1СWEB и 1CSRV)?

2.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Это мы делаем на контроллере?

srv-1cserver.domain.ru@domain.loc - тут получается у меня будет веб-сервер или сам 1С (1CSRV)?

7. Lost_Alaska 13 01.08.23 15:07 Сейчас в теме

(4)

Да, keytab делается на контроллере домена.
Сервер не нужно вводить в домен, но у них должна быть связь по по 389 порту.

5. walerjahn 27.07.23 18:54 Сейчас в теме

Не могу никак получить key, выдаёт ошибку

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Куда копать подскажите пожалуйста

6. Lost_Alaska 13 01.08.23 15:05 Сейчас в теме

(5)

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Вы это делаете на своем AD?
необходимый пользователь создан?

8. walerjahn 01.08.23 15:56 Сейчас в теме

(6)
Да, делаю на AD.
Пользователь создан и в AD и соответственно в Debian

9. Lost_Alaska 13 03.08.23 19:11 Сейчас в теме

(8)
ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Выполняете в какой-то находясь папке и cmd от админа?

10. walerjahn 06.08.23 07:43 Сейчас в теме

(6) CMD от админа, нахожусь в корне диска С.
А этому пользователю usr1cv8 который создаётся в AD какие нужно права дать?
Да на самом деле эта команда "C:\>ktpass -princ uers/srv-1cserver.domain.ru@domain.loc -mapuser users -pass XxXxXx -out users.keytab" не работает даже на админа домена, вообще ни для какого пользователя домена.

11. semon80 06.12.23 13:28 Сейчас в теме

(10)Здравствуйте
как решилась задача?
Я имею сообщение об ошибке:
Target domain controller: srv1.domain.org
failed to set property 'servicePrincipalName' to 'usr1cv8/srv1c.domain.org' on Dn 'CN=usr1cv8, OU=Services, DC=domain, DC=org': 0x13

Файл в итоге создается, но учитывая сообщения кажется он может быть не корректным.

12. walerjahn 07.12.23 06:23 Сейчас в теме

(11)Нет, так и не победил...

13. semon80 14.12.23 15:08 Сейчас в теме

(11) Проблема решена - создан новый пользователь в АД с чистым spn.

В целом настройка аутентификации прошла успешно - сквозная авторизация работает. Клиенты Win, сервер приложений РЕДОС.

Оставьте свое сообщение

E-mail:

Автор:

Евгений . (Lost_Alaska)

Рейтинг: 13

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 1762389

Создание 23.11.22 11:30

Обновление 23.11.22 11:30

Статистика:

Просмотры 5252

Загрузки 0

Рейтинг 13

Комментарии 13

Характеристики:

Код открыт Да

Рубрики Linux

Кому Системный администратор

Тип файла Нет файла

Платформа Платформа 1С v8.3

Конфигурация Не имеет значения

Операционная система Debian

Страна Россия

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)