Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов

23.11.22

Администрирование - Linux

Появилась задача авторизовать пользователей из разных и ничем не связанных доменов на сервере 1С на debian 11.

В статье будем использовать: Microsoft AD, 1c Сервер, Debian 11.

В связи с событиями в мире, появилась идея перевода всех серверов на linux, и как говорится из названия, авторизации множества пользователей из разных доменов, скажу сразу, домены находятся не в лесу и на разных площадках.

За основу беру:

srv-1cserver - целевой сервер 1с предприятия.
domain.loc - 1 домен.
master.loc - 2 домен.
office.loc - 3 домен.

На данном этапе будем считать что у нас уже функционирует сервер на нашем Debian и там есть пара баз.

Kerberos-аутентификация

На каждом сервере необходимо создать пользователя, с которым будут ассоциироваться запросы к 1с серверу.

Для простоты будем использовать пользователя в Windows usr1cv8 , в Debian usr1cv8 .

При создании пользователя, обязательно снять галочку в пункте  «Use DES encryption types with this account».

Сделаем для этого пользователя секрутный ключ .keytab c помощью утилиты ktpass.

C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

После этого в корне диска С:\ у нас будет файл usr1cv8.keytab и теперь с пользователем usr1cv8 ассоциируется служба usr1cv8/srv-1cserver.domain.ru@domain.loc.

Проделаем эту процедуру на всех Windows серверах и сформированные файлы поместим в удобные папки на Debian для нас.

Дальнейшие действия тоже довольно простые, запустим уже на Debian утилиту ktutil.

И проделаем следующее:

root@srv-1cserver:~# ktutil
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
Читаем кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_domain.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
читаем второй кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_master.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
читаем третий кейтаб
ktutil:  rkt /opt/1cv8/x86_64/8.3.21.1393/keytab_office.loc/usr1cv8.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/srv-1cserver.domain.ru@DOMAIN.LOC
   2    1            HTTP/srv-1cserver.domain.ru@MASTER.LOC
   3    1            HTTP/srv-1cserver.domain.ru@OFFICE.LOC
Добавилось, т.е. успешно объединили три keytab

Записываем
ktutil:  wkt /etc/krb5.keytab

После этого перезапустим 1С сервер, и можно заходить в тонкий клиент и прописать настройки пользователю.

Для этого переходим в «Администрирование», слева в списке выбрать «Пользователи»

В свойствах пользователя выбрать «Аутентификация операционной системы» и в поле «Пользователь» прописать \\MASTER.LOC\e.ivanov

В 1С домен прописать обязательно большими буквами.

Данное действие проделаем на нужных серверах, и на данном этапе авторизация с различных серверов будет работать.

1c системное администрирование linux

См. также

Linux Программист Бесплатно (free)

При многолетней эксплуатации 1С на Windows и MS SQL в базе накапливаются не самые оптимальные запросы, COM-объекты и скрипты, зависящие от ОС. Из-за этого процесс перехода на PostgreSQL и переноса сервера 1С на Linux неизбежно осложняется длительным исправлением кода и оптимизацией запросов. Расскажем о том, как с задачей такого рефакторинга справились в компании Avito.

13.11.2024    4546    klimat12    15    

25

Облачные сервисы, хостинг Linux Тестирование QA Сервера Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

Завершающая публикация цикла "В облако на работу:.. Рецепты от Капитана", в ходе которых был собран полнофункциональный рабочий контур 1С в сети на отечественной Ред ОС. С веб-серверами, доменной авторизацией, архивированием, отказоустойчивостью и прочая, прочая... В этой статье мы определяемся с быстродействием системы, проводим нагрузочное тестирование и отпускаем ее в свободное плавание (зачеркнуто) выпускаем ее в продуктовый контур, где, конечно же, придется отлавливать ошибки, мониторить состояние и т.п.

31.10.2024    1308    capitan    0    

0

Облачные сервисы, хостинг Linux Сервера Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

Одна из завершающих публикаций цикла "В облако на работу:.. Рецепты от Капитана", в ходе которых был собран полнофункциональный рабочий контур 1С в сети на отечественной Ред ОС. С веб-серверами, доменной авторизацией, архивированием и прочая, прочая... На закуску разбираемся с отказоустойчивостью. В этой публикации для серверов 1С заодно попробуем подобно сериалу «Разрушители легенд» подтвердить или опровергнуть пару устойчивых мифов о требованиях назначения функциональности.

18.10.2024    1703    capitan    5    

12

Linux Системный администратор Программист Стажер Платформа 1С v8.3 Россия Бесплатно (free)

1C > Postgres > (Linux) > мы (=проблемы в 2024). Информация будет полезна начинающим 1С программистам (и сисадминам). Без ИТС. Часть 1.

01.07.2024    5170    AlOkt    30    

19

Сканер штрих-кода Linux Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Бесплатно (free)

Драйвер сканера штрих-кодов в 1С выполнен по технологии NativeAPI, следовательно, поддерживается возможность работы в Linux, но сама настройка оказалось не такой простой, как в Windows, понадобились навыки администрирования linux. В данной публикации представлен опыт установки сканера Mercury CL-2200 P2D BT в ALT Linux.

18.06.2024    1346    MOleg82    1    

9

Облачные сервисы, хостинг Linux Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

Одна из завершающих публикаций цикла "В облако на работу:.. Рецепты от Капитана" в ходе которых был собран полнофункциональный рабочий контур 1С в сети на отечественной Ред ОС. С веб-серверами, доменной авторизацией, архивированием и прочая прочая... Это основное блюдо, на закуску разберемся с отказоустойчивостью. В этой публикации для PostgreSQL, заодно попробуем сделать это по новому.

17.06.2024    7646    capitan    18    

40

Сервера Linux Системный администратор Россия Бесплатно (free)

Тема Ubuntu, PostgreSQL и 1С уже избитая. Но все же, следуя инструкциям всех мануалов, пришлось потратить около 3-х дней. И как результат — готовые скрипты для установки сервера 1С и PostgreSQL на свежей Ubuntu за 5 минут.

14.06.2024    3873    user1389975    15    

38
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. efin 23.11.22 12:28 Сейчас в теме
Если сеть на домене ALD Pro от Astra Linux SE, там же 1С - тонкие или веб-клиенты, как настроить доменную авторизацию для входа в 1С без пароля?
2. Lost_Alaska 13 23.11.22 12:55 Сейчас в теме
(1)
ALD Pro от Astra Linux SE


Если все в одном домене, то наверное нужно сначала посмотреть, а видит ли 1с пользователей домена, если видит то прописать его и посмотреть тех.журнал.
А если не видит, то уже смотреть что с правами пользователя от которого происходит запуск 1с сервера.
3. idGreen 12.01.23 01:28 Сейчас в теме
У меня такое выдает, АД на 2019 стоит, домен и пользователей 1С видит, серв на Астре 1.7 стоит, сам сервер 1С в домене и на стороне АД 2019 регнут и в списке и при входе в домен под пользователем, автоматический вход в 1С не происходит по домену, хотя пользователей всех в 1С добавил, должно автоматом пускать по доменной авторизации пользователя, но увы.
А, если в ручную вбить в окно авторизации, выдает: Идентификация пользователя не выполнена.
Не подскажите, как решить проблему с автоматическим входом пользователя по ад домену?
Alexey_GPMH; +1 Ответить
4. user1913563 22.02.23 16:06 Сейчас в теме
Добрый день!
Мы тоже перешли на Linux и сейчас дошли руки для доменной авторизации и не совсем понял последовательность действий.
Мы имеем такую структуру:
домен: contoso.local
DC1 - Контроллер Windows
1СWEB - веб-сервер Apache на котором публикуются базы и стоит веб-компонет 1С (Debian 11)
1СSRV - сам сервер 1С (Debian 11).

1. Нужно ли вводить сервера Linux в домен (1СWEB и 1CSRV)?

2.
C:\>ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Это мы делаем на контроллере?

srv-1cserver.domain.ru@domain.loc - тут получается у меня будет веб-сервер или сам 1С (1CSRV)?
7. Lost_Alaska 13 01.08.23 15:07 Сейчас в теме
(4)

Да, keytab делается на контроллере домена.
Сервер не нужно вводить в домен, но у них должна быть связь по по 389 порту.
5. walerjahn 27.07.23 18:54 Сейчас в теме
Не могу никак получить key, выдаёт ошибку

DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.

Куда копать подскажите пожалуйста
6. Lost_Alaska 13 01.08.23 15:05 Сейчас в теме
(5)
DsCrackNames returned 0x2 in the name entry for usr1cv8.
ktpass:failed getting target domain for specified user.



Вы это делаете на своем AD?
необходимый пользователь создан?
8. walerjahn 01.08.23 15:56 Сейчас в теме
(6)
Да, делаю на AD.
Пользователь создан и в AD и соответственно в Debian
9. Lost_Alaska 13 03.08.23 19:11 Сейчас в теме
(8)
ktpass -princ usr1cv8/srv-1cserver.domain.ru@domain.loc -mapuser usr1cv8 -pass XxXxXx -out usr1cv8.keytab

Выполняете в какой-то находясь папке и cmd от админа?
10. walerjahn 06.08.23 07:43 Сейчас в теме
(6) CMD от админа, нахожусь в корне диска С.
А этому пользователю usr1cv8 который создаётся в AD какие нужно права дать?
Да на самом деле эта команда "C:\>ktpass -princ uers/srv-1cserver.domain.ru@domain.loc -mapuser users -pass XxXxXx -out users.keytab" не работает даже на админа домена, вообще ни для какого пользователя домена.
11. semon80 06.12.23 13:28 Сейчас в теме
(10)Здравствуйте
как решилась задача?
Я имею сообщение об ошибке:
Target domain controller: srv1.domain.org
failed to set property 'servicePrincipalName' to 'usr1cv8/srv1c.domain.org' on Dn 'CN=usr1cv8, OU=Services, DC=domain, DC=org': 0x13

Файл в итоге создается, но учитывая сообщения кажется он может быть не корректным.
12. walerjahn 07.12.23 06:23 Сейчас в теме
(11)Нет, так и не победил...
16. user2090631 04.06.24 11:48 Сейчас в теме
(12)
При указании пользователя в части -mapuser usr1cv8 -pass XxXxXx надо указать домен, например:

-mapuser PPP.LOCAL\usr1cv8 -pass XxXxXx
13. semon80 14.12.23 15:08 Сейчас в теме
(11) Проблема решена - создан новый пользователь в АД с чистым spn.

В целом настройка аутентификации прошла успешно - сквозная авторизация работает. Клиенты Win, сервер приложений РЕДОС.
14. shaulyn 26.04.24 10:29 Сейчас в теме
Подскажите пжл а как настроить ад авторизацию когда в кластере 2 сервера 1с. сейчас кейтабы лежат на двух серверах, но авторизирует только первый добавленный в кластер сервер. если его выключить или переименовать кейтаб, авторизация перестает работать. оба сервера в класетре добавлены как центральные.
15. user2090631 04.06.24 11:44 Сейчас в теме
(14)
Надо для каждой ноды кластера 1С делать key.tab
Оставьте свое сообщение