ubuntu + 1Cv8. Как правильно задать права доступа к базе в терминальном режиме

30.03.16

Администрирование - Информационная безопасность

Очень часто возникает проблема с установкой прав доступа в Linux. Один пользователь заходит в базу 1С нормально, а вот второго уже не пускает. Решение проблемы очень простое.

Статья предназначена для начинающих сисадминов, которые молодцы и переходят с Windows server на Ubuntu server.

Вы установили терминальный сервер с помощью статьи Установка терминального сервера на базе Ubuntu Server 12.04 LTS 64-bit для работы c платформой 1C 8.3. и у Вас возникают проблемы с запуском 1С. Или не пускает второго и последующего пользователя.

Самая главная проблема, из-за которой возникает данная ошибка, это неправильно выставленная маска umask

Я не буду долго описывать эту команду, скажу только, что она устанавливает права доступа на вновь создаваемые файлы.

Запустите терминал под обычным пользователем и наберите

umask

Если результат 0022, то, скорее всего, проблема именно в этом. Необходимо поменять значение umask для системы.

Под администратором нужно отредактировать два файла

/etc/pam.d/common-session

/etc/pam.d/common-session-noninteractive

и отредактировать строку session optional pam_umask.so к виду

session optional pam_umask.so umask=0002

Перегрузите сервер и снова проверьте umask под обычным пользователем. Результат должен быть 0002

Далее нужно просто установить права доступа на программу и базы.

Предполагаем, что программа установлена в каталог /opt/1C

Базы находятся в в каталоге /usr/local/1c_bases

Тогда устанавливаем пользователя и группу на каталог и подкаталоги программы

sudo chown -R usr1cv8:grp1cv8 /opt/1C

устанавливаем права доступа и владельцев на каталоги и подкаталоги баз данных

sudo chown -R usr1cv8:grp1cv8 /usr/local/1c_bases

sudo chmod -R g+sw /usr/local/1c_bases

Ну, и конечно, все пользователи, которые работают с 1С, должны принадлежать группе grp1cv8.

Все, можно работать. А как настроить печать, я написал в этой статье.

Linux Ubuntu Terminal server права доступа 1с 1c umask chown chmod viptextil.ru

+24 –

См. также

AUTO VPN (portable) - автоматический ВПН

Информационная безопасность Системный администратор Программист Платные (руб)

AUTO VPN (portable) - автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020 15365 25 32

Работа с бинарными файлами, форматом ASN1 и криптографией в 1С8

Информационная безопасность Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016 30054 9 1

Хранение секретов в Hashicorp Vault для 1С

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024 6209 kamisov 17

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024 7317 PROSTO-1C 10

Device flow аутентификация, или туда и обратно

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023 2410 platonov.e 1

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023 4639 capitan 9

Анализатор безопасности базы сервера 1С

Информационная безопасность Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023 6252 20 soulner 8

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022 7278 50 Silenser 12

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. baracuda 2 02.04.16 08:47 Сейчас в теме

Спасибо, позновательно. Наверное в скором времени решусь поставить 1с на Linux.

2. viptextil 42 04.04.16 08:51 Сейчас в теме

(1) baracuda, Ставьте обязательно. Только сначала тестируйте. Там не все функции работают так как в винде.Есть определенные проблемы. Но разработчики программу дорабатывают. Так что пробовать нужно. Возможно, скоро все будем работать на чем-то вроде Linux.

3. Fragster 1151 05.04.16 10:23 Сейчас в теме

(1) baracuda, сейчас в линуксе намного проще через веб-сервер и тонкий клиент работать.

4. viptextil 42 05.04.16 12:10 Сейчас в теме

(3) Fragster, А файловый режим при этом поддерживается?

5. Fragster 1151 05.04.16 16:00 Сейчас в теме

(4) viptextil, да

6. jeromi 16.06.16 19:26 Сейчас в теме

Я не далее как три дня назад ставил файловый вариант Бух.8.3 (x64) на Ubuntu Server 16.04.
Да, действительно, с правами на Linux всё жестко. Особенно, после входа через web клиента, файлам блокировки присваивался владелец www-data.
Я папке базы 1с присвоил права:
Чтение: Владелец и группа
Запись: Владелец и группа.
При этом, база закачивалась под первым созданным пользователем Ubuntu - user. К нему в группу я добавил, всех других создаваемых пользователей и www-data.
А в группу www-data - этих же пользователей и user.
www-data создаёт 1с при публикации веб сервера.
Пользователя grp1cv8 и его группу при администрировании я никак не задействовал.

7. jeromi 16.06.16 23:19 Сейчас в теме

Уточняю свой пост выше.
Сейчас получил лицензию на одного пользователя, к сожалению, при регистрации 1С в Ubuntu не было кнопки регистрации сетевой лицензии (5комп.) сразу на комп, надо регистрировать отдельно на каждого пользователя.
И так, пользователя www-data создает апач и если заходить через web браузер на 1с, то файлы блокировки создаются от его имени. Первую лицензию я получил для пользователя term1, поэтому web доступ не работал. Я изменил в /etc/apache2/envvars
export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
на своего term1
и вставил строку в этот файл, чтоб апач создавал файлы с правами 666 на файлы и 777 на папки:
umask 000
web доступ к 1с заработал.

8. jeromi 17.06.16 01:13 Сейчас в теме

Дополнение.
web доступ заработал, только если пользователь term1 не был в терминальной сессии.
export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
www-data в файле etc/apache2/envvars я вернул назад, umask 000 оставил.
зарегистрировал вторую лицензию на пользователя, лицензии складываются в пользовательский профиль:
/home/Пользователь/.1cv8/1C/1cv8/conf (включите показ скрытых файлов)
я их перенёс, в папку /var/1C/licenses
!!НЕ Копировать!!, (для сохранности можно за архивировать) если 1С при запуске найдёт на компе две одинаковые лицензии, будет ругаться.
Теперь одновременно может работать один терминальный + один web.
Более лицензии активировать не стану, пусть бухи потренируются.
Спасибо, viptextil, наставил меня командой umask на путь истинный. :)

9. viptextil 42 17.06.16 09:48 Сейчас в теме

(8) jeromi, Я не использую web доступ к базе, но все же, может стоило попробовать
export APACHE_RUN_USER=usr1cv8
export APACHE_RUN_GROUP=grp1cv8

10. jeromi 17.06.16 15:17 Сейчас в теме

(9) viptextil, может быть, если бы мне удалось активировать лицензию (5комп) "На этот компьютер", но 1С дала только "Для текущего пользователя".
Но думаю, что не получится, так как при web доступе, апач создаёт файл блокировки 1Cv8.1CL c правами на
чтение: Владелец и группа , а вот запись: только Владелец. , а надо бы Владелец и группа.
То есть, на запись и изменения были бы права только у usr1cv8 и для остальных база была бы залочена.
Так, что я поправил etc/apache2/envvars, внеся umask 000 и апач стал создавать файлы блокировок доступные на запись: Владельца + группа
1с базу я загружал на Ubuntu под именем user, он Владелец базы 1С, его группа выглядит так (/etc/group):
user:x:1000:term1,term2,term3,user,www-data
Сейчас заходим и с web браузера (2подключения) + терминально, всё гуд.
ещё раз, Спасибо за статью.

11. viptextil 42 20.06.16 10:18 Сейчас в теме

(10) jeromi, владельца и группу файла всегда поменять можно. sudo chown Так что не важно, под каким пользователем загружалась база.

12. makus 24.08.16 13:28 Сейчас в теме

Спасибо за статью!

Некоторые поправки (мое ИМХО):
1. Не уверен, что нужно менять владельцев на папку с самой платформой. Как они изменятся после ее обновления? Да и нужно ли это? Не уверен.
2. Очень важно устанавливать umask именно в /etc/pam.d, т.к. установка в ~/.bashrc, как я делал раньше, не помогает, файлы блокировок все равно создаются с неверными правами.
3. При этом, мне хватило установки umask=0007, как рекомендуется в документации Wine@ETERSOFT (да, у меня на терминале еще и 7-ка работает :)).
4. В той же документации от Этерсофта говорится, что нежелательно устанавливать sticky bit на файлы, но только на папки, поэтому я применил к папке с базами данных 8.3 скрипт setwineshare от Этерсофта, который устанавливает права на каталоги с базами в 2770 (rwxrws---). Ссылка на эту документацию.

13. viptextil 42 25.08.16 10:20 Сейчас в теме

(12) makus, Да, правы Вы. Но только отсутствие прав доступа для всех периодически создает проблемы при расшаривании ресурсов через samba. А так, да, Вы правы.

14. MaCCapAkIII 16.11.22 14:49 Сейчас в теме

Приветствую. Столкнулся с проблемой, которую не могу решить уже три дня.
Исходные данные - на локальном ПК с Linux Mint 21 установлен из коробки Apache 2.4. Рядом поставил базу 1С и опубликовал ее на веб-сервере. Связка необходима для тестирования http запросов.
1. Если запускается конфигуратор - при запросе из Postman апач пишет что нет доступа к заблокированному файлу 1CD. Если же даю права на этот файл 777 апач отрабатывает запрос, но перестает запускаться конфигуратор по причине отсутствующего доступа к файлу 1CD
2. При каждом перезапуске апач сбрасывает файл настроек apache2.conf на дефолтный, приходится каждый раз править руками.
3. При запуске запроса из Postman апач меняет группу в правах файлов на www-data и конфигуратор перестает открываться.

Прошу помощи - как правильно настроить права на папку с базой данных, чтобы связка 1С+Apache2 работала нормально?

https://pastebin.com/nuc31yFs - apache2.conf

15. viptextil 42 17.11.22 10:23 Сейчас в теме

(14) 1. По-видимому 1CD открывается в монопольном режиме. Скорее всего изменить не получится.
2. Чудеса да и только А по какому пути правите apache2.conf
3. При наличии прав 777 группа не имеет значения.

16. MaCCapAkIII 17.11.22 14:34 Сейчас в теме

(15) 1. Интересно. То есть работать в таком режиме как я написал в лиукс с файловой базой и апачем в принципе невозможно без постоянного перетыкивания двух строк ы терминале с переназначением правил на папки с базами?\
2. /etc/apache2/apache2.conf
3. При наличии прав 777 на что? На всю папку с базами, включая вложенные папки и файлы? Или только на файл 1CD?

Оставьте свое сообщение

E-mail:

Автор:

Виктор Пинчуков (viptextil)

Рейтинг: 42

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 508147

Создание 30.03.16 13:43

Обновление 30.03.16 13:43

Статистика:

Просмотры 30309

Загрузки 0

Рейтинг 24

Комментарии 16

Характеристики:

Код открыт Не указано

Рубрики Информационная безопасность

Кому Системный администратор ,
Программист

Тип файла Нет файла

Платформа Платформа 1С v8.3

Конфигурация Не имеет значения

Операционная система Linux

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)