ubuntu + 1Cv8. Как правильно задать права доступа к базе в терминальном режиме

30.03.16

Администрирование - Информационная безопасность

Очень часто возникает проблема с установкой прав доступа в Linux. Один пользователь заходит в базу 1С нормально, а вот второго уже не пускает. Решение проблемы очень простое.

Статья предназначена для начинающих сисадминов, которые молодцы и переходят с Windows server на Ubuntu server.

Вы установили терминальный сервер с помощью статьи Установка терминального сервера на базе Ubuntu Server 12.04 LTS 64-bit для работы c платформой 1C 8.3. и у Вас возникают проблемы с запуском 1С.  Или не пускает второго и последующего пользователя.

Самая главная проблема, из-за которой возникает данная ошибка, это неправильно выставленная маска umask

Я не буду долго описывать эту команду, скажу только, что она устанавливает права доступа на вновь создаваемые файлы.

Запустите терминал под обычным пользователем  и наберите

umask

Если результат 0022, то, скорее всего, проблема именно в этом. Необходимо поменять значение umask для системы.

Под администратором нужно отредактировать два файла

/etc/pam.d/common-session

/etc/pam.d/common-session-noninteractive

и отредактировать строку session    optional     pam_umask.so к виду

session    optional     pam_umask.so umask=0002

Перегрузите сервер и снова проверьте umask под обычным пользователем. Результат должен быть 0002

Далее нужно просто установить права доступа на программу и базы.

 

Предполагаем, что программа установлена в каталог /opt/1C

Базы находятся в в каталоге /usr/local/1c_bases

Тогда устанавливаем пользователя и группу на каталог и подкаталоги программы

sudo chown -R usr1cv8:grp1cv8 /opt/1C

устанавливаем права доступа и владельцев на каталоги и подкаталоги баз данных

sudo chown -R usr1cv8:grp1cv8 /usr/local/1c_bases

sudo chmod -R g+sw /usr/local/1c_bases


Ну, и конечно, все пользователи, которые работают с 1С, должны принадлежать группе grp1cv8.


Все, можно работать. А как настроить печать, я написал в этой статье.

Linux Ubuntu Terminal server права доступа 1c umask chown chmod viptextil.ru

См. также

AUTO VPN (portable)

Информационная безопасность Системный администратор Программист Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    14576    23    32    

34

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    3676    PROSTO-1C    10    

35

Device flow аутентификация, или туда и обратно

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    1888    platonov.e    1    

23

Анализатор безопасности базы сервера 1С

Информационная безопасность Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    5650    17    soulner    7    

31

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    6226    34    Silenser    12    

23

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022    9638    Tavalik    46    

114
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. baracuda 2 02.04.16 08:47 Сейчас в теме
Спасибо, позновательно. Наверное в скором времени решусь поставить 1с на Linux.
2. viptextil 41 04.04.16 08:51 Сейчас в теме
(1) baracuda, Ставьте обязательно. Только сначала тестируйте. Там не все функции работают так как в винде.Есть определенные проблемы. Но разработчики программу дорабатывают. Так что пробовать нужно. Возможно, скоро все будем работать на чем-то вроде Linux.
3. Fragster 1140 05.04.16 10:23 Сейчас в теме
(1) baracuda, сейчас в линуксе намного проще через веб-сервер и тонкий клиент работать.
4. viptextil 41 05.04.16 12:10 Сейчас в теме
(3) Fragster, А файловый режим при этом поддерживается?
5. Fragster 1140 05.04.16 16:00 Сейчас в теме
6. jeromi 16.06.16 19:26 Сейчас в теме
Я не далее как три дня назад ставил файловый вариант Бух.8.3 (x64) на Ubuntu Server 16.04.
Да, действительно, с правами на Linux всё жестко. Особенно, после входа через web клиента, файлам блокировки присваивался владелец www-data.
Я папке базы 1с присвоил права:
Чтение: Владелец и группа
Запись: Владелец и группа.
При этом, база закачивалась под первым созданным пользователем Ubuntu - user. К нему в группу я добавил, всех других создаваемых пользователей и www-data.
А в группу www-data - этих же пользователей и user.
www-data создаёт 1с при публикации веб сервера.
Пользователя grp1cv8 и его группу при администрировании я никак не задействовал.
7. jeromi 16.06.16 23:19 Сейчас в теме
Уточняю свой пост выше.
Сейчас получил лицензию на одного пользователя, к сожалению, при регистрации 1С в Ubuntu не было кнопки регистрации сетевой лицензии (5комп.) сразу на комп, надо регистрировать отдельно на каждого пользователя.
И так, пользователя www-data создает апач и если заходить через web браузер на 1с, то файлы блокировки создаются от его имени. Первую лицензию я получил для пользователя term1, поэтому web доступ не работал. Я изменил в /etc/apache2/envvars
export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
на своего term1
и вставил строку в этот файл, чтоб апач создавал файлы с правами 666 на файлы и 777 на папки:
umask 000
web доступ к 1с заработал.
8. jeromi 17.06.16 01:13 Сейчас в теме
Дополнение.
web доступ заработал, только если пользователь term1 не был в терминальной сессии.
export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
www-data в файле etc/apache2/envvars я вернул назад, umask 000 оставил.
зарегистрировал вторую лицензию на пользователя, лицензии складываются в пользовательский профиль:
/home/Пользователь/.1cv8/1C/1cv8/conf (включите показ скрытых файлов)
я их перенёс, в папку /var/1C/licenses
!!НЕ Копировать!!, (для сохранности можно за архивировать) если 1С при запуске найдёт на компе две одинаковые лицензии, будет ругаться.
Теперь одновременно может работать один терминальный + один web.
Более лицензии активировать не стану, пусть бухи потренируются.
Спасибо, viptextil, наставил меня командой umask на путь истинный. :)
9. viptextil 41 17.06.16 09:48 Сейчас в теме
(8) jeromi, Я не использую web доступ к базе, но все же, может стоило попробовать
export APACHE_RUN_USER=usr1cv8
export APACHE_RUN_GROUP=grp1cv8
10. jeromi 17.06.16 15:17 Сейчас в теме
(9) viptextil, может быть, если бы мне удалось активировать лицензию (5комп) "На этот компьютер", но 1С дала только "Для текущего пользователя".
Но думаю, что не получится, так как при web доступе, апач создаёт файл блокировки 1Cv8.1CL c правами на
чтение: Владелец и группа , а вот запись: только Владелец. , а надо бы Владелец и группа.
То есть, на запись и изменения были бы права только у usr1cv8 и для остальных база была бы залочена.
Так, что я поправил etc/apache2/envvars, внеся umask 000 и апач стал создавать файлы блокировок доступные на запись: Владельца + группа
1с базу я загружал на Ubuntu под именем user, он Владелец базы 1С, его группа выглядит так (/etc/group):
user:x:1000:term1,term2,term3,user,www-data
Сейчас заходим и с web браузера (2подключения) + терминально, всё гуд.
ещё раз, Спасибо за статью.
11. viptextil 41 20.06.16 10:18 Сейчас в теме
(10) jeromi, владельца и группу файла всегда поменять можно. sudo chown Так что не важно, под каким пользователем загружалась база.
12. makus 24.08.16 13:28 Сейчас в теме
Спасибо за статью!

Некоторые поправки (мое ИМХО):
1. Не уверен, что нужно менять владельцев на папку с самой платформой. Как они изменятся после ее обновления? Да и нужно ли это? Не уверен.
2. Очень важно устанавливать umask именно в /etc/pam.d, т.к. установка в ~/.bashrc, как я делал раньше, не помогает, файлы блокировок все равно создаются с неверными правами.
3. При этом, мне хватило установки umask=0007, как рекомендуется в документации Wine@ETERSOFT (да, у меня на терминале еще и 7-ка работает :)).
4. В той же документации от Этерсофта говорится, что нежелательно устанавливать sticky bit на файлы, но только на папки, поэтому я применил к папке с базами данных 8.3 скрипт setwineshare от Этерсофта, который устанавливает права на каталоги с базами в 2770 (rwxrws---). Ссылка на эту документацию.
viptextil; +1 Ответить
13. viptextil 41 25.08.16 10:20 Сейчас в теме
(12) makus, Да, правы Вы. Но только отсутствие прав доступа для всех периодически создает проблемы при расшаривании ресурсов через samba. А так, да, Вы правы.
14. MaCCapAkIII 16.11.22 14:49 Сейчас в теме
Приветствую. Столкнулся с проблемой, которую не могу решить уже три дня.
Исходные данные - на локальном ПК с Linux Mint 21 установлен из коробки Apache 2.4. Рядом поставил базу 1С и опубликовал ее на веб-сервере. Связка необходима для тестирования http запросов.
1. Если запускается конфигуратор - при запросе из Postman апач пишет что нет доступа к заблокированному файлу 1CD. Если же даю права на этот файл 777 апач отрабатывает запрос, но перестает запускаться конфигуратор по причине отсутствующего доступа к файлу 1CD
2. При каждом перезапуске апач сбрасывает файл настроек apache2.conf на дефолтный, приходится каждый раз править руками.
3. При запуске запроса из Postman апач меняет группу в правах файлов на www-data и конфигуратор перестает открываться.

Прошу помощи - как правильно настроить права на папку с базой данных, чтобы связка 1С+Apache2 работала нормально?

https://pastebin.com/nuc31yFs - apache2.conf
15. viptextil 41 17.11.22 10:23 Сейчас в теме
(14) 1. По-видимому 1CD открывается в монопольном режиме. Скорее всего изменить не получится.
2. Чудеса да и только А по какому пути правите apache2.conf
3. При наличии прав 777 группа не имеет значения.
16. MaCCapAkIII 17.11.22 14:34 Сейчас в теме
(15) 1. Интересно. То есть работать в таком режиме как я написал в лиукс с файловой базой и апачем в принципе невозможно без постоянного перетыкивания двух строк ы терминале с переназначением правил на папки с базами?\
2. /etc/apache2/apache2.conf
3. При наличии прав 777 на что? На всю папку с базами, включая вложенные папки и файлы? Или только на файл 1CD?
Оставьте свое сообщение