8.х Kerberos аутентификация на windows

Тема в разделе "Установка платформы "1С:Предприятие 8"", создана пользователем spiderman, 10 ноя 2011.

  1. TopicStarter Overlay
    spiderman
    Offline

    spiderman

    Регистрация:
    10 ноя 2011
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Имеется сервер предприятия 8.1 и 8.2 на Windows сервере

    Необходимо организовать прозрачную kerberos аутентификацию для клиентов. Если в настройках пользователя в 1C поставить Windows авторизацию то керберос авторизация не проходит. Я так понимаю 1С пытается авторизироваться по NTLM.

    Kerberos аутентификация нужна для организации прозрачной аутентификации на Citrix терминальном сервере с использованием смарт-карт.

    Про керберос аутентификацию везде встречаются варианты только в связке 1С сервера на Linux платформе, а мне необходимо на Windows платформе.

    Кто нить может подсказать,направить куда смотреть, где искать?
  2. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    Чета стока новых слов.
    1С пытается авторизоваться под именем пользователя, запустившим 1С.
    Т.е. если клиент, через цитрикс или еще как подключился к серверу Windows и прошел аутентификацию на этом сервере (под учеткой Windows пользователя - что характерно), то 1С при старте попытается сопоставить имя текущей учетки Windows с данными, хранящимися в списке пользователей 1С.

    Например мы авторизовались в винде пользвателем USERNAME с сервера ADSERVERNAME. При запуске 1С (при входе в БД) 1С попробует найти в списке пользователей такого:
    1) стоит галочка Аутентификация Windows
    2) В поле Пользователь указанно \\ADSERVERNAME\USERNAME (или просто USERNAME, если речь идет о локальных (для сервера) пользователях.
  3. TopicStarter Overlay
    spiderman
    Offline

    spiderman

    Регистрация:
    10 ноя 2011
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Все не так просто. Да, 1С пытается авторизоваться под именем пользователя запустившим 1С, но какой она при этом использует протокол авторизации NTLM или Kerberos?

    Клиент подключается к цитрикс посредством прозрачной аутентификации Kerberos (клиент вводит пинкод только когда входит на локальную рабочую станцию). и поэтому удаленные сервер имеет только Kerberos тикет. И чтобы на этом сервере 1С могла прозрачно авторизовать пользователя, она должна уметь делать это по протоколу Kerberos.

    Экспериментально установлено, что 1С не авторизует в этом случае клиенте, что говорит о том что она не настроена на использование Kerberos (вероятнее всего авторизует по NTLM). Так вот у меня вопрос, как настроить сервер 1С предприятия, чтобы он мог авторизовать по Kerberos.
  4. vartanet
    Offline

    vartanet Опытный в 1С Команда форума

    Регистрация:
    16 ноя 2010
    Сообщения:
    2.698
    Симпатии:
    15
    Баллы:
    29
    специфика 8.2.

    в базовом курсе spec8 категорически рекомендуют ставить пароль пользователя 1С, даже если у него используется windows авторизация. это связано с тем, что пользователь может при запуске базы из списка поменять вариант авторизации, и как следствие, зайти под любым пользователем у которого нет пароля 1С.

    так что может не парится c этой керберос аутентификацией, а просто оставить аутентификацию 1С предприятия раз уж она обязательно должна быть.

    ну или как вариант, можно всем пользователям в обязательном порядке проставить одинаковый мегасложный пароль администратора. и только потом использовать авторизацию windows..
  5. TopicStarter Overlay
    spiderman
    Offline

    spiderman

    Регистрация:
    10 ноя 2011
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Это все понятно, но вопрос не в этом, вопрос в том как использовать windows аутентификацию с использованием протокола Kerberos.
  6. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    Везет. Мне вот, честноя, ничего не понятно.
    Лично мне хватило полутора лет садомического угара под Citrix'ом еще в 1С 7ке чтобы для себя решить "нет, такой БДСМ не для меня". Но там были свои нюансы и особенности. Да и не об этом сейчас.

    А вот скажите. Ну автоматом в 1С войти не можете, а по логину паролю получается?
    Если да, то напишите обработку, войдите в 1С из под цитриха и выполните следующий код в 1Ске (в обработке)

    Код:
    WshNetwork = Новый COMОбъект("WScript.Network");
    ИмяПользователяWindows    = WshNetwork.UserName;
    ИмяДоменаWindows        = WshNetwork.UserDomain;
    Сообщить("Текущий пользователь WINDOWS = """ + ИмяПользователяWindows + """; ДОМЕН = """ + ИмяДоменаWindows + """");
    
    
    Затем авторизуйтесь под другим пользователем Citrix и выполните этот код еще раз.

    Результирующие строки совпадают?
  7. TopicStarter Overlay
    spiderman
    Offline

    spiderman

    Регистрация:
    10 ноя 2011
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Я не знаю как понятней объяснить. В среде Windows используются в основном два протокола аутентификации - NTLM и Kerberos. Так вот мне надо, чтобы 1С сервер Предприятия принимал Kerberos аутентификацию от клиентов, когда в настройках пользователя стоит аутентификация средствами Windows.

    Вот как настроить Kerberos аутентификацию, если сервер 1С предприятия находится на Linux я видел.

    По логину и паролю это же будет аутентификация средствами 1С, а мне нужно средствами Windows
    Честно говоря не знаю где вставлять это код и выполнять, я не программист 1С.
    Но из кода я вижу, что там будет только имя пользователя и домен, но метода аутентификации там нет.
  8. vartanet
    Offline

    vartanet Опытный в 1С Команда форума

    Регистрация:
    16 ноя 2010
    Сообщения:
    2.698
    Симпатии:
    15
    Баллы:
    29
    _http://stfw.ru/page.php?id=8672]http://stfw.ru/page.php?id=8672
    Конфигурирование Kerberos в Windows Server 2003
    Интеграция со смарт-картами

    PS. сам не делал ;) но видимо такое возможно штатными средствами windows сервера. без цитрикса.
  9. TopicStarter Overlay
    spiderman
    Offline

    spiderman

    Регистрация:
    10 ноя 2011
    Сообщения:
    5
    Симпатии:
    0
    Баллы:
    1
    Ну там ни слова про 1С, мне нужно не конфигурирование Kerberos в Windows 2003, а конфигурирование аутентификации на сервере 1С предприятия с использованием протокола Kerberos.

    Начина с Windows 2000 по умолчанию сначала пытается использовать Kerberos аутентификацию, и если она не удалась то использует NTLM аутентификацию
  10. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    Выполните код который я давал ранее (3 строчки в обработке).
    Доложите о результатах.
    Там возможно и станет понятнее куда Вам далее копать.

Поделиться этой страницей