8.х Проблемы в настройке Kerberos-аутентификации для Linux сервера 1С:Предприятия 8.3

Тема в разделе "Установка платформы "1С:Предприятие 8"", создана пользователем Daimos12, 3 авг 2017.

  1. TopicStarter Overlay
    Daimos12
    Offline

    Daimos12

    Регистрация:
    2 авг 2017
    Сообщения:
    2
    Симпатии:
    0
    Баллы:
    1
    Добрый день форумчане. Уже пол дня мучаюсь с настройкой доменной аутентификации. [​IMG][​IMG]
    Помогите советом.
    Итак, исходные данные:
    1) Сервер 1С Предприятие установлен на Debian
    2) Active directory - Windows server 2008
    3) Пользователи пользуются тонким клиентом, установленным на свои рабочие станции.
    Настраивал аутентификацию по инструкции: https://its.1c.ru/db/metod8dev/content/2799/hdoc

    Как сказано в конце инструкции "Далее проверим возможность работы Kerberos без пароля с использованием секретного ключа. С помощью команды kinit..."
    Выполняю команду - kinit -k -t /opt/1C/v8.1/i386/usr1cv81.keytab usr1cv81/srv1c.krb.local@KRB.LOCAL
    консоль ее проглатывает без ошибок. Со стороны AD сервера вижу запрос в логах:
    Запрошен билет проверки подлинности Kerberos(TGT).
    Сведения об учетной записи:
    Имя учетной записи: usr1cv8
    Запрос прошел, но вот при запуске 1С я не вижу даже попыток запроса.
    Подскажите, в какую сторону копать или помогите советом. [​IMG]

    P.S. Да, в инструкции указана версия 1С 8.2, но подумал что схожи методы настройки.

    Включение журнала показало в логах 2 любопытные строчки:
    15:06.780000-0,EXCP,2,process=rphost,processName=BASE,t:clientID=791,t:applicationName=1 CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure. Minor code may provide more information
    15:06.780001-0,EXCP,2,process=rphost,processName=BASE,t:clientID=791,t:applicationName=1 CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: No such file or directory
  2. nomad_irk
    Online

    nomad_irk Гуру в 1С

    Регистрация:
    20 окт 2008
    Сообщения:
    9.407
    Симпатии:
    973
    Баллы:
    204
    эээээ.....если правильно понимаю суть проблемы:

    usr1cv81/srv1c - это ж локальный пользователь на машине srv1c, AD про него вообще ничего не знает.
    Нужно делать <UserName>/krb тогда и запускать 1С от пользователя, к которому привязан доменный аккаунт \\krb\<UserName>
  3. TopicStarter Overlay
    Daimos12
    Offline

    Daimos12

    Регистрация:
    2 авг 2017
    Сообщения:
    2
    Симпатии:
    0
    Баллы:
    1
    AD про него знает, исходя из команды, которую выполняют для генерации keytab:
    ktpass -princ usr1cv81/srv1c.krb.local@KRB.LOCAL -mapuser usr1cv8 -pass pass1cv8 -out usr1cv81.keytab
    Происходит маппинг пользователя linux usr1cv81 c пользователем AD - usr1cv8

Поделиться этой страницей