В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Точки над Ё

02.05.24

В одном из лучших руководств администраторов "UNIX and Linux System Administration Handbook, © 2018 Pearson Education lnc." описывается такой метод настройки систем: "Копируй, вставляй, молись". Какой бы ни была подробной инструкция и на какой бы типовой системе она ни составлялась, всегда что-то может пойти не так. В этой публикации рассмотрим, как искать и устранять ошибки авторизации ОС сервером 1С на базе linux.

Дай человеку рыбу, и он будет сыт один день.
Дай человеку леща, и он пойдет на работу.
вероятно не © Лао-цзы

Отладка, как для программистов, так и для системных администраторов, занимает значительно большую часть времени, чем самая тщательная первичная настройка систем.

Все течет, все меняется. Темные силы электричества готовы обрушить работу любого проекта, особенно если он никогда и не работал.

Поэтому сразу надо понимать как, где и с помощью чего, искать баги.

Все счастливые семьи похожи друг на друга,
а каждая несчастливая семья несчастлива по-своему.
© Л.Н. Толстой

В схеме с доменной авторизацией 1С будет почти по Толстому, на стороне клиента ошибки будут выглядеть одинаково - окно ввода пароля при попытке открыть базу 1С (как следствие, письмо от пользователя: "Не могу войти в 1С, пробовал все пароли, ни один не подходит"), но под капотом, мы имеем несколько точек отказа, которые могут случиться все или по отдельности, в огромном количестве комбинаций зависящих как от настроек, так и от версии платформы и ранга домена.

Исходные данные остаются прежними, в смешанном домене windows (linux & windows рабочие станции) сервер 1С на базе РедОС.

Описаны в публикации "В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Рецепты от Капитана", поэтому уберу подробности под спойлер

Те, кто больше любит видео, могут и сейчас посмотреть его вместо чтения статьи, желательно и то, и другое.

Аксиома: Контроллер домена, сеть и рабочие станции настроены и работают штатно.

Хорошие новости: Сеть, настроенную по инструкции из упомянутой выше публикации, достаточно сложно поломать. Когда я для написания этой публикации пробовал воспроизвести встречавшиеся в моей практике ошибки, часть из них повторить не удалось, часть удалось, но действиями, которые трудно представить в реальной жизни и требующих административных прав, например ручной установкой времени на станции клиента.

Свежая платформа 1С также более лояльно относится например к различиям в KVNO.

Грешил сначала на то, что работаю под лицензиями разработчика, но потом добрые люди дали на выходные штатную лицензию и все осталось точно так же.

Раз уж вспомнились добрые люди... Если у кого будет возможность на несколько дней (выходные) дать лицензии уровня КОРП или попросить временные у 1С, то получится написать статью об отказоустойчивом кластере.

Лицензии разработчика не дают его собрать.

Конфиденциальность гарантирую или наоборот, могу упомянуть в разделе "Благодарности"

Методика расследования:

Не буду употреблять иностранных слов и заменю модное "дихотомия" на "танцуем от печки".
(тем более, что дихотомия, это зачастую не тот процесс, за который его выдают искатели ошибок).

В любом случае, первое с чем надо определиться, это задать себе и ответить на несколько вопросов:

ошибка возникает у всех пользователей и во всех базах всех серверов 1С (если вы при этом еще видите бегущих сисадминов с горящими ~~вырезано цензурой~~ глазами, то возможно весь домен устал и надо просто подождать) или у одного (нескольких).
ошибка возникает во всех типах клиентов 1С сервера 1С или только в веб. За исключением одного случая, если авторизация не работает в тонком клиенте, в веб она тоже не заработает
ошибка возникает во всех базах, размещенных на сервере 1С, или в одной (нескольких)
немаловажный вопрос: работало ли все изначально и сломалось или не работало никогда

Первые действия в расследовании, это выполнить в консоли:

timedatectl status (или та система с помощью которой вы синхронизируете время с контроллером домена) проверяем что работает
nslookup dc.test.loc проверяем что видится контроллер домена
id usr1cv83 проверяем что отрабатываются запросы в домене
kinit usr1cv83 получаем тикет Kerberos интерактивно
klist -e -k -t /1c/usr1cv83.keytab и hostname сверяемся, что файл существует, корректен и имена служб в нем выданы для настраиваемого сервера
kinit -k -t /1c/usr1cv83.keytab usr1cv83@TEST.LOC получаем тикет Kerberos используя файл keytab

Все эти команды должны отработать без ошибок, при наличии сообщений об ошибках здесь, двигаться дальше и переходить к настройкам 1С нет смысла.

Если при первом взгляде все выглядит пристойно, углубиться в расследование помогут журналы:

технологический журнал 1С с мониторингом событий CONN и EXCP, можно отдельно посмотреть VRSREQUEST и VRSRESPONSE, но в случае веб-клиента, по сути это будет дубль логов apache.

<?xml version="1.0" encoding="UTF-8"?>
<config xmlns="http://v8.1c.ru/v8/tech-log">
<log location="\1c\tg" history="2">
<event>
<eq property="Name" value="CONN"/>
</event>
<event>
<eq property="Name" value="EXCP"/>
</event>
<property name="all"/>
</log>
</config>

На время первичной наладки системы такой ТЖ желательно иметь под рукой.
регистрации apache, если расследуется ошибка на веб-клиенте. Настроен по умолчанию и находится в /var/log/httpd. Если запросы идут по протоколу http, то это файлы access_log error_log и ssl_access_log ssl_error_log если используется https.

Ошибки, связанные с единичными пользователями

Ошибка в имени пользователя или некорректно составленное имя пользователя домена.

Если имя пользователя обычно выбирают из выпадающего списка и в нем ошибиться трудно, то имени домена будет два как минимум короткое TEST и длинное TEST.LOC в нашем случае. Я видел варианты настройки систем, где они не взаимозаменяемы. В технологическом журнале 1С вы увидите с каким именем пытается авторизоваться пользователь.

Расхождение во времени с контроллером домена на клиенте

В технологическом журнале будет выглядеть clock skew too great (или похожие со словом clock/время)
Если настроен веб-сервер, то надо пробовать веб-клиент, в нем ошибки не будет.

Не работает авторизация в браузере

Браузеры, кроме Edge, нуждаются в дополнительной настройке для доменной авторизации.
Проще всего проверить попробовав подключиться клиентом 1С в режиме веб-клиента.

Ошибки связанные со всеми пользователями и во всех типах клиентов ведут на сервер 1С (веб-сервер)

Расхождение во времени с контроллером домена или его недоступность на сервере 1С.

Это первые две вещи, которые стоит проверить, попав в консоль сервера, до просмотра всех журналов.
В стабильном продуктовом контуре их вероятность не велика, но в тестовом наиболее вероятна.

Не отключенный/не настроенный Selinux

Порождает загадочные ошибки, поэтому тоже до просмотра журналов желательно отключить Selinux, хотя бы и в тестовых целях.

Некорректный/отсутствующий/недоступный файл keytab

В технологическом журнале будет выглядеть как "Ошибка доступа к файлу" или "Unsupported key table format"
Если настроен веб-сервер, то аналогично в логах ahache.
Если файл присутствует, мы же его видели на шаге предпроверки, то надо проверить права доступа и владельца.

Отсутствие в файл keytab записи для службы 1С (службы веб-сервера)

В технологическом журнале будет выглядеть как "Не найдена запись в файле для ..."

Если настроен веб-сервер, то аналогично в логах ahache.

Как вариант, запись в файле может присутствовать, но не будет для нее записи SPN.

Также на шаге предпроверки мы эту ошибку должны были поймать.

Ошибки связанные со всеми пользователями, только в веб клиенте

Ошибки возникают в одной (нескольких) базах, в других все работает.

Очевидно, это связано с файлом публикации информационной базы. Как вариант поменять строку соединения в рабочем файле публикации или наоборот из рабочей публикации скопировать в нерабочую строки относящиеся к авторизации kerberos.

Знаменитая ошибка 402 Payment Required

Связана с тем, что в свойствах учетных записей пользователя под которым запускается служба 1С и для компьютера на котором она работает не настроено делегирование kerberos.

Некорректный/отсутствующий/недоступный файл keytab или смена KVNO пользователя

Веб-сервер, в этом отношении более категоричен, чем актуальные редакции платформы 1С, для него смена KVNO это повод отказать в доступе.

Конечно, вариаций ошибок может быть и больше. Напишите пожалуйста в комментариях, какие встречались вам.

По поводу предложений настроить вам сеть под ключ.

Спасибо всем, кто отписался. По моему убеждению настраивать/пробовать настроить сеть должен тот, кто будет в ней жить.

А вот если у вас что-то не получается/не получилось или есть задачи категории 1С:Эксперта, которые можно выполнять за пределами рабочего времени, то вы знаете где меня искать.

Благодарности:

Благодарю компанию ©Serverspace за предоставленное оборудование, без поддержки собрать такой пингвинариум мне было бы негде.

Итог и планы на будущее:

Так вот не торопясь мы после настройки персонального рабочего места на РедОС 7.3, посмотрели РедОС 8 и почти полностью собрали рабочую сеть 1С на отечественной ОС подходящую для работы среднего размера компании.

С веб-серверами, доменной авторизацией и прочая прочая...

Осталось настроить регулярное архивирование, чтобы не потерять нажитое, к нему и перейдем в следующей публикации, если все пойдет по плану.

Если найдутся серверные лицензии 1С, то есть достаточно свежее решение по построению отказоустройчивого кластера. Гораздо красивее, чем предлагаемое в ИТС (по крайней мере по скорости).

В итоге получится мини-курс Импортозамещение ОС в контексте 1С Предприятие. Жалко, что коллеги из Яндекса не взялись помочь оформить его именно как курс.

Статья продолжает серию публикаций:

Серия "Рецепты от Капитана" на всякий случай

#изменяем локаль на русскую
localectl
dnf install glibc-langpack-ru -y
localectl set-locale LANG=ru_RU.utf8
localectl

#изменяем профиль производительности на высокую производительность
dnf install tuned -y
systemctl enable --now tuned
tuned-adm active
tuned-adm profile throughput-performance
tuned-adm active

#обновляем установленные пакеты
dnf update -y
dnf install mc -y

#Отключение SeLinux
perl -i"*_$(date +'%Y%m%d_%H%M%S').bak" -pE 's/SELINUX=enforcing/SELINUX=permissive/i' /etc/selinux/config
setenforce 0

#Настройка сети и имени хоста
hostnamectl set-hostname red-srv.test.loc
sh -c "echo '127.0.0.1 `hostname -f` `hostname -s`' >> /etc/hosts"
cat /etc/hosts
nmtui
# или
#ls -1 /etc/NetworkManager/system-connections/
#mcedit /etc/NetworkManager/system-connections/ххх.nmconnection
systemctl restart NetworkManager

reboot

nslookup dc
nslookup dc.test.loc
#mcedit /etc/resolv.conf

#Настройка синхронизации времени
#systemctl disable chronyd --now
#mcedit /etc/systemd/timesyncd.conf
#systemctl restart systemd-timesyncd
#timedatectl status
#timedatectl timesync-status
#mcedit /etc/systemd/timesyncd.conf
#systemctl restart systemd-timesyncd
#timedatectl status
timedatectl list-timezones
timedatectl set-timezone Europe/Moscow

sed -i 's/server/#server/g' /etc/chrony.conf
sh -c "echo 'server dc.test.loc iburst' >> /etc/chrony.conf"
systemctl restart chronyd
chronyc tracking

#Ввод в домен
dnf install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
realm discover test.loc
realm join -U -v administrator test.loc
realm discover test.loc

sed -i 's/use_fully_qualified_names = True/use_fully_qualified_names = False/g' /etc/sssd/sssd.conf
sh -c "echo 'ad_gpo_access_control = permissive' >> /etc/sssd/sssd.conf"
authselect select sssd with-fingerprint with-gssapi with-mkhomedir with-smartcard --force
sh -c "echo '* - nofile 16384' >> /etc/security/limits.conf"
sh -c "echo 'root - nofile 16384' >> /etc/security/limits.conf"

sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf
sed -i '/krb5cc_%{uid}/a default_realm = TEST.LOC' /etc/krb5.conf

sh -c "echo '%Domain\ Admins ALL=(ALL) ALL' >> /etc/sudoers"
sh -c "echo '%администраторы\ домена ALL=(ALL) ALL' >> /etc/sudoers"

#mcedit /etc/krb5.conf

#default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
#default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
#preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

perl -i"*_$(date +'%Y%m%d_%H%M%S').bak" -pE 's/permitted_enctypes = aes256-cts-hmac-sha1-96/#permitted_enctypes = aes256-cts-hmac-sha1-96/i' /etc/krb5.conf.d/crypto-policies

service sssd restart
service sssd status

id usr1cv83
kinit usr1cv83
su usr1cv83
#login usr1cv83

#Установка 1С
mkdir -p /1c
chmod -R +777 /1c
tar xvzf *.tar.gz
unzip *.zip
./setup-full-8.3.*.run --enable-components server
usermod -aG grp1cv8 usr1cv83
chown -R usr1cv83:grp1cv8 /1c

chmod -R +777 /1c
chown -R usr1cv83:grp1cv8 /var/1C/licenses/
chown -R usr1cv83:grp1cv8 /home/usr1cv83@test.loc/
chown -R usr1cv83:grp1cv8 /1c

mcedit /opt/1cv8/x86_64/8.3.*/srv*@.service

systemctl link /opt/1cv8/x86_64/8.3.24.1467/srv1cv8-8.3.24.1467@.service
systemctl enable srv1cv8-8.3.24.1467@default --now
systemctl restart srv1cv8-8.3.24.1467@default && sleep 10 && systemctl status srv1cv8-8.3.24.1467@default --no-pager -l
systemctl status srv1cv8-8.3.24.1467@default --no-pager -l
dnf install msttcore-fonts-installer -y

#Установка postgreSQL
wget https://repo.postgrespro.ru/1c-16/keys/pgpro-repo-add.sh
sh pgpro-repo-add.sh
#wget https://rpms.remirepo.net/enterprise/8/remi/x86_64/libicu65-65.1-1.el8.remi.x86_64.rpm
#rename -v -n 'so.6' 'so.6.bak' /opt/1cv8/x86_64/8.3.2*.*/libstdc++.so.6
#для рабочей станции
#find '/opt' -name 'libstdc++.so.6' -print0 | xargs -n1 -0 -t rename -v -n 'so.6' 'so.6.bak'
#find '/opt' -name 'libstdc++.so.6' -print0 | xargs -n1 -0 -t rename -v 'so.6' 'so.6.bak'
yum install postgrespro-1c-16 -y
sudo -u postgres psql -U postgres -c "alter user postgres with password '123456';"

#/opt/1cv8/x86_64/8.3.*/ras cluster --port=1545

#Кейтаб domain controller
ktpass -princ usr1cv83@TEST.LOC -mapuser usr1cv83 -pass 123456 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out %userprofile%\downloads\usr1cv83.keytab -setupn
ktpass -princ usr1cv83/red-srv.test.loc@TEST.LOC -mapuser usr1cv83 -pass 123456 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -pass 123456 -setpass /in %userprofile%\downloads\usr1cv83.keytab /out %userprofile%\downloads\usr1cv83_1.keytab -setupn
ktpass -princ HTTP/red-srv.test.loc@TEST.LOC -mapuser usr1cv83 -pass 123456 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -pass 123456 -setpass /in %userprofile%\downloads\usr1cv83_1.keytab /out %userprofile%\downloads\usr1cv83.keytab -setupn

klist -e -k -t /1c/usr1cv83.keytab
kinit -k -t /1c/usr1cv83.keytab usr1cv83@TEST.LOC

#Веб сервер
dnf install httpd -y
systemctl enable httpd --now
touch /etc/httpd/conf.d/demo.conf
/opt/1cv8/x86_64/8.3.*/webinst -publish -apache24 -wsdir demo -dir /var/www/demo -connstr "Srvr=red-srv;Ref=demo" -confpath /etc/httpd/conf.d/demo.conf
mcedit /etc/httpd/conf.d/demo.conf

# 1c publication
Alias "/demo" "/var/www/demo/"
<Directory "/var/www/demo/">
AllowOverride None
Options None
Order allow,deny
Allow from all
SetHandler 1c-application
AuthName "1C:Enterprise web client"
AuthType Kerberos
Krb5Keytab /1c/usr1cv83.keytab
KrbVerifyKDC off
KrbDelegateBasic off
KrbServiceName HTTP/red-srv.test.loc@TEST.LOC
#KrbServiceName any
KrbSaveCredentials on
KrbMethodK5Passwd off
KrbAuthRealms TEST.LOC
KrbMethodNegotiate on
Require valid-user
# Require all granted
ManagedApplicationDescriptor "/var/www/demo/default.vrd"
</Directory>

dnf install mod_auth_kerb -y
systemctl restart httpd
systemctl status httpd --no-pager -l

#Обратная авторизация 1С
id -u usr1cv83
kinit -k -t /1c/usr1cv83.keytab usr1cv83@TEST.LOC
mv /tmp/krb5cc_0 /tmp/krb5cc_149401151
chown -R usr1cv83:grp1cv8 /tmp/krb5cc_149401151

#настройка браузеров на линукс клиенте
mkdir -p /etc/chromium/policies/managed/
touch /etc/chromium/policies/managed/mydomain.json
mcedit /etc/chromium/policies/managed/mydomain.json

mkdir -p /etc/opt/yandex/browser/policies/managed/
touch /etc/opt/yandex/browser/policies/managed/mydomain.json
mcedit /etc/opt/yandex/browser/policies/managed/mydomain.json
{
"AuthServerAllowlist": "*.test.loc",
"AuthNegotiateDelegateAllowlist": "*.test.loc"
}

Вступайте в нашу телеграмм-группу Инфостарт

+12 –

См. также

Выгрузка в SPOT 2D / ОРИМИ с произвольной структурой полей в файле для ЛЮБЫХ конфигураций платформы 8.3 +

Оптовая торговля Розничная торговля Логистика, склад и ТМЦ Облачные сервисы, хостинг Программист Пользователь 1С:Предприятие 8 1С:Управление торговлей 10 1С:ERP Управление предприятием 2 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х Платные (руб)

Данная система предназначена всем, кому нужно выгружать данные в SPOT 2D или в ОРИМИ. Позволяет гибко настроить получение данных для каждого поля файла и файла выгрузки в целом. Имеет отборы по организации, складу, и папкам номенклатуры. Есть возможность выгружать данные как вручную, с выбором конкретного файла, за конкретный период, так и в автоматическом режиме в указанное вами время. Выгрузка может выполняться в файл или через http напрямую. Имеется подробная справка по настройке, а также примеры запросов для приведенных в примерах файлов выгрузки. Может работать в составе любой конфигурации!

18300 руб.

19.10.2018 30282 9 1

Виртуальная АТС Ростелеком - интеграция с 1С

Телефония, SIP Облачные сервисы, хостинг Пользователь 1С:Предприятие 8 1C:Бухгалтерия 1С:Управление торговлей 11 1C:ERP 1С:КА 1С:УНФ Управленческий учет Платные (руб)

Продукт интеграции возможностей Виртуальной АТС Ростелеком в систему 1С Предприятие 8. Звонки прямо из программы 1С, уведомления о текущих звонках, регистрация пропущенных и завершенных вызовов, динамическая маршрутизация входящих звонков, ведение журнала, анализ использования связи.

12200 руб.

04.02.2021 24264 24 2

Сценарий для восстановления баз данных PostgreSQL в Linux

Архивирование (backup) Linux Системный администратор Программист Россия Абонемент ($m)

Сценарий предназначен для восстановления баз данных PostgreSQL в Linux под учетной записью postgres из резервных копий, сформированных программой pg_dump в формате plain или custom.

1 стартмани

20.02.2026 206 0 Магнат 2

Архивирование баз данных PostgreSQL на Linux Astra

Архивирование (backup) Администрирование СУБД Linux Системный администратор Программист 1С:Предприятие 8 Россия Абонемент ($m)

Сценарий предназначен для избирательного создания ротационных резервных копий баз данных по дисциплине 2-1 (2 копии, одна на другом физическом диске, другая на компьютере вне серверной комнаты) в форматах custom и/или plain кластера PostgreSQL, а также глобальных свойств кластера: пользователи, пароли и т.д.

2 стартмани

19.02.2026 166 0 Магнат 1

Cценарий python для автоматизации процессов установки и обновления СУБД PostgreSQL +1с в Astra Linux 1.8

Разработка внешних компонент Администрирование СУБД Linux Обновление 1С Системный администратор Программист Россия Абонемент ($m)

Cценарий python предназначен для автоматизации процессов установки СУБД PostgreSQL, клиентского приложения и сервера 1С, службы RAS а также и деинсталляции последних в cреде операционной системы Astra Linux. Полный режим работы выполняет деинсталляцию предшествующей версии 1С и установку последующей. Возможны также только деинсталляция или только установка. Сценарий тестирован в среде ОС Astra Linux SE v.1.7.x,v.1.8.x

2 стартмани

03.02.2026 421 3 Магнат 1

Концепция защищенной IT инфраструктуры малого предприятия и пошаговая реализация под Astra Linux+1c+ PostgresSQL + Ideco UTM + Zabbix

Информационная безопасность Архивирование (backup) Linux Администрирование СУБД Системный администратор Программист Россия Абонемент ($m)

В публикации рассматриваются не только принципы проектирования IT инфраструктуры малого и среднего предприятия в фокусе последних требований законодательства о защите ПДн, но и дается пошаговая инструкция по установке и настройке полного пакета ПО на основе использования Российских компонентов. Данная структура программ полностью покрывает все потребности организации по использованию, архивированию и защите IT инфраструктуры. Практическое применение протестировано на различных предприятиях в течении 5 лет. Все программы протестированы на Astra Linux 1.8 Пример формы описания процессов установки пункт 20.9

10 стартмани

29.01.2026 622 5 Магнат 16

Ошибка загрузки библиотеки libsoup при запуске 1С на Debian 13.2

Linux Системный администратор 1С 8.3 Бесплатно (free)

Устранение ошибки "libsoup3 symbols detected. Using libsoup2 and libsoup3 in the same process is not supported" при запуске 1С на Debian 13.

05.01.2026 782 kot1c 4

YandexMQ: простые очереди сообщений в облаке

Облачные сервисы, хостинг WEB-интеграция Программист Бесплатно (free)

Очереди сообщений – это инструмент обмена данными между системами. На примере Yandex Message Queue разбираем, как брокер от Яндекс.Облака помогает решать практические задачи. Даем бесплатную библиотеку для 1С, которая упрощает работу с YandexMQ и другими SQS-сервисами.

17.11.2025 2952 leemuar 37

Подписаться на ответы Инфостарт бот

Свернуть все

Для отправки сообщения требуется регистрация/авторизация

Автор:

(capitan)

Рейтинг: 2557

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 2071706

Создание 02.05.24 11:00

Обновление 02.05.24 11:00

Статистика:

Просмотры 3714

Загрузки 0

Рейтинг 12

Комментарии 0

Характеристики:

Код открыт Да

Рубрики Облачные сервисы, хостинг Linux

Кому Системный администратор

Тип файла Нет файла

Платформа 1С:Предприятие 8

Конфигурация 1C:Бухгалтерия

Операционная система Linux

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)