Windows-авторизация на веб-сервере посредством тонкого клиента: глюк бета-версии или что-то с настройками?
Привет всем!
Тема такая: на сервере win 2012 крутится база, опубликованная на веб-сервере. У всех пользователей настроена windows-авторизация. Учитывая, что IIS8 воспринимает только 8.2.17 - поставил бету... пока. Новый сервак, только отлаживаю.
Если подключаться посредством браузера - все нормально. Вводим юзверя/пароль венды и нормально. Другое дело, что не работает нормально (на любом браузере). То ли это глюки бета-версии платформы, то ли IIS слишком новый, не знаю.
Если подключаться посредством тонкого клиента - начинаются странности.
1) Если подключаться с другого компьютера (по веб, локалке, не важно) - никаким образом не принимаются данные пользователя и пароля (при windows-авторизации). Если на веб-сервере включить анонимную проверку подлинности - посредством 1Совского юзверя и пароля все проходит нормально.
2) Если подключаться локально (т.е. по - то windows-авторизация проходит нормально.
Таким образом, можно сказать, что веб-сервер не воспринимает windows-авторизацию при удаленном подключении с тонкого клиента.
В чем может быть проблема?
Тема такая: на сервере win 2012 крутится база, опубликованная на веб-сервере. У всех пользователей настроена windows-авторизация. Учитывая, что IIS8 воспринимает только 8.2.17 - поставил бету... пока. Новый сервак, только отлаживаю.
Если подключаться посредством браузера - все нормально. Вводим юзверя/пароль венды и нормально. Другое дело, что не работает нормально (на любом браузере). То ли это глюки бета-версии платформы, то ли IIS слишком новый, не знаю.
Если подключаться посредством тонкого клиента - начинаются странности.
1) Если подключаться с другого компьютера (по веб, локалке, не важно) - никаким образом не принимаются данные пользователя и пароля (при windows-авторизации). Если на веб-сервере включить анонимную проверку подлинности - посредством 1Совского юзверя и пароля все проходит нормально.
2) Если подключаться локально (т.е. по - то windows-авторизация проходит нормально.
Таким образом, можно сказать, что веб-сервер не воспринимает windows-авторизацию при удаленном подключении с тонкого клиента.
В чем может быть проблема?
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(2) awk, во всех других режимах отлично все работает. Веб-сервер не принимает данные пользователя домена от тонкого клиента.
Подчеркиваю - от тонкого клиента вин-авторизация на веб-сервере на локальной машине отлично работает. Т.е. проблема только с удаленным веб-доступом. Что-то непонятное в настройках венды.
Подчеркиваю - от тонкого клиента вин-авторизация на веб-сервере на локальной машине отлично работает. Т.е. проблема только с удаленным веб-доступом. Что-то непонятное в настройках венды.
(4) awk, что имеется в виду под "веб-сервер"? Служба веб-публикации работает от system. Пул приложений работает от network system.
Способ авторизации как раз определяется веб-сервером (раздел консоли IIS "Проверка подлинности"). Если поставить анонимную проверку подлинности, то 1Ска затребует пользователя и пароль 1С (т.к. сработает пользователь IUSR). Если поставить проверку подлинности Windows - 1С запрашивает данные веб-сервера. Если я пытаюсь зайти через браузер - аутентификация проходит. Если с тонкого клиента - облом.
Да, кстати - домен есть (уже). Изначально пробовал без него.
Способ авторизации как раз определяется веб-сервером (раздел консоли IIS "Проверка подлинности"). Если поставить анонимную проверку подлинности, то 1Ска затребует пользователя и пароль 1С (т.к. сработает пользователь IUSR). Если поставить проверку подлинности Windows - 1С запрашивает данные веб-сервера. Если я пытаюсь зайти через браузер - аутентификация проходит. Если с тонкого клиента - облом.
Да, кстати - домен есть (уже). Изначально пробовал без него.
(6) awk, если с браузера - отлично проходит. Сама по себе работа в 1С (веб-интерфейс) - глючная (в чем причина - не знаю, но очевидно до финального релиза платформы нечего ждать). В тонком клиенте база подключена как положено. Подчеркиваю - с локального компа тонкий клиент замечательно заходит (т.е. через , а удаленно (допустим с компа в локалке через - уже никак.
(8) awk, да, авторизацию запрашивает. Авторизация на веб-сервере (данные домена) - не проходит. Проходит только 1С авторизация (если включить анонимную проверку подлинности на IIS).
И, кстати, ошибочка вышла. Через тонкий клиент (если, к примеру, зайти 1С-авторизацией) - тоже гибло работает... Все-таки не все еще нормально работа с IIS 8 налажена, стоит подождать... пока на IIS 7.5 посидим.
Думаю тему можно закрыть в виду ее нерешаемости в настоящий момент.
И, кстати, ошибочка вышла. Через тонкий клиент (если, к примеру, зайти 1С-авторизацией) - тоже гибло работает... Все-таки не все еще нормально работа с IIS 8 налажена, стоит подождать... пока на IIS 7.5 посидим.
Думаю тему можно закрыть в виду ее нерешаемости в настоящий момент.
(9) Tronen, Я вообще IIS на дух не перевариваю. Апачем пользуюсь.
Итог:
Авторизация вин:
Толстый клиент - работает
Тонкий клиент протокол смб - работает
Тонкий клиент веб - не работает
Натив авторизация работает во всех режимах.
Вывод:
Что-то мне подсказывает, что там проблема с доменным именем. То есть либо домен по умолчанию не правильно подставляется, либо дублит домен. Ты вводишь A@domen.ru, а он пишет A@domen.ru@local.
Итог:
Авторизация вин:
Толстый клиент - работает
Тонкий клиент протокол смб - работает
Тонкий клиент веб - не работает
Натив авторизация работает во всех режимах.
Вывод:
Что-то мне подсказывает, что там проблема с доменным именем. То есть либо домен по умолчанию не правильно подставляется, либо дублит домен. Ты вводишь A@domen.ru, а он пишет A@domen.ru@local.
(10) awk, да, я тоже предпочитаю апачу.
Единственное, чего я не разумею до сих пор, как посредством апачи использовать проверку подлинности windows? Именно из-за этого вся тема.
ЗЫ. Если проблема с доменом, тогда два вопроса - почему была проблема, когда домена не было и почему нормально работает авторизация с браузера?
Единственное, чего я не разумею до сих пор, как посредством апачи использовать проверку подлинности windows? Именно из-за этого вся тема.
ЗЫ. Если проблема с доменом, тогда два вопроса - почему была проблема, когда домена не было и почему нормально работает авторизация с браузера?
(11) Tronen,
1.
Вариант А. Вгоняешь сервер freebsd или linux в домен и используешь PAM авторизацию апача.
Вариант Б. Используешь LDAP авторизацию апача.
2.
1. Когда домена было не видно ты хотел сказать. По умолчанию в виндах домен <имя машины>.local. То есть ты вводил <name>, а должно было быть <name>@<имя машины>.local (хотя не факт).
2. Скоре всего связано с хранением имен пользователей в 1С. То есть она проверяет прошла ли авторизация и если прошла, то ищет пользователя в списке. При авторизации через браузер отправляется полное имя, а при авторизации на тонком клиенте не полное (или наоборот). Если расшарить базу и подключится тонким клиентом к файловой базе (минуя веб сервер), то должно пройти нормально.
1.
Вариант А. Вгоняешь сервер freebsd или linux в домен и используешь PAM авторизацию апача.
Вариант Б. Используешь LDAP авторизацию апача.
2.
1. Когда домена было не видно ты хотел сказать. По умолчанию в виндах домен <имя машины>.local. То есть ты вводил <name>, а должно было быть <name>@<имя машины>.local (хотя не факт).
2. Скоре всего связано с хранением имен пользователей в 1С. То есть она проверяет прошла ли авторизация и если прошла, то ищет пользователя в списке. При авторизации через браузер отправляется полное имя, а при авторизации на тонком клиенте не полное (или наоборот). Если расшарить базу и подключится тонким клиентом к файловой базе (минуя веб сервер), то должно пройти нормально.
(12) awk,
Что касается имен: провал и через user@domain.local, и через domain\user и через user и всяко разно. Бесполезно. В браузере набирал domain\user.
Мне кажется это проблема тонкого клиента при работе с веб-сервером. Опять же - бета. IIS уже полноценный, а 1Ска пока бета, все лишь от 29/10
1.
Вариант А. Вгоняешь сервер freebsd или linux в домен и используешь PAM авторизацию апача.
Вариант Б. Используешь LDAP авторизацию апача.
- На счет этих тем - не силен, надо изучить вопрос.
Вариант А. Вгоняешь сервер freebsd или linux в домен и используешь PAM авторизацию апача.
Вариант Б. Используешь LDAP авторизацию апача.
Когда домена было не видно ты хотел сказать
- нет, я хотел сказать, что домена вообще не было в природе. Обычная машина в рабочей группе.
Что касается имен: провал и через user@domain.local, и через domain\user и через user и всяко разно. Бесполезно. В браузере набирал domain\user.
Мне кажется это проблема тонкого клиента при работе с веб-сервером. Опять же - бета. IIS уже полноценный, а 1Ска пока бета, все лишь от 29/10
(13) Tronen,
не было в природе
Не бывает такого. Тем более в вынь виста и выше. Кстати WORKGROUP не что иное как домен WORKGROUP.LOCAL, но без LDAP и KERBEROS.
это проблема тонкого клиента при работе с веб-сервером
Скорее всего. Не знаю как Тонкий клиент, а хранилище конфигурации использует http протокол как обертку. Если тонкий клиент делает то же самое - тогда все совсем понятно.
Не знаю, оно не оно, но очень похожая ситуация была, где windows-авторизация (через браузер) срабатывала только локально, а по сети нет. Решилось все тем что не были указанны учетные данные на IIS для доступа к AD (в Дополнительных параметрах "приложения") ну и тип там же "Тип входа с использованием учетных данных для доступа к физическому пути" поставил Interactive.
Здравствуйте! Понимаю, что тема старая и вряд ли кто-то за ней еще следит. У меня похожая ситуация, только авторизация средствами Windows не проходит вообще ни под каким соусом. Вроде все делаю по инструкциям, коих в интернете полно, однако же не работает.
При настройке IIS на этапе создания приложения вот в нажав на кнопку "Тест настроек..." получаю . Если вернуться и нажать на кнопку "Подкл. как..." и ввести учетные данные администратора - авторизация проходит, но 1С открывается от имени администратора, а не того пользователя, которого я вводил в ответ на запрос веб-клиента 1С.
Короче, мне не хватает мозгов, чтобы все это понять. Может, кто-нибудь в курсе, что нужно сделать, чтобы работало?
При настройке IIS на этапе создания приложения вот в нажав на кнопку "Тест настроек..." получаю . Если вернуться и нажать на кнопку "Подкл. как..." и ввести учетные данные администратора - авторизация проходит, но 1С открывается от имени администратора, а не того пользователя, которого я вводил в ответ на запрос веб-клиента 1С.
Короче, мне не хватает мозгов, чтобы все это понять. Может, кто-нибудь в курсе, что нужно сделать, чтобы работало?
Задача сама по себе:
1. решаемая
2. имеет 100500+ вариантов исходных условий
3. не имеет универсального решения (т.к. см. п.2)
Суть в том, что:
1. web- и http-сервисы могут работать на одном сервере, а сервер 1с - совсем на другом, что делает делегирование авторизации мягко говоря затруднительным (особенно, если без домена)
2. внимательно относимся к пользователям, под которыми работаю ВСЕ службы, в т.ч. и пулы приложений.
3. внимательно относимся к параметрам безопасности каталога файловой системы, где прописано веб-приложение
4. внимательно относимся к параметрам безопасности каталога ИБ, если файловая и сетевым параметрам если веб-служба обращается к службе 1с по сети
5. не забываем, что авторизация одного и того же пользователя должна пройди и на веб-сервере и в 1С
6. не забываем о разделении труда: задача не 1с-ная а чистой воды сисадминская: в 99 случаев из 100 1с-ник бьется как муха об стекло при наличии штатного бородача в свитере, который отморозился со словами "тож адынэс, причем тут я?"
1. решаемая
2. имеет 100500+ вариантов исходных условий
3. не имеет универсального решения (т.к. см. п.2)
Суть в том, что:
1. web- и http-сервисы могут работать на одном сервере, а сервер 1с - совсем на другом, что делает делегирование авторизации мягко говоря затруднительным (особенно, если без домена)
2. внимательно относимся к пользователям, под которыми работаю ВСЕ службы, в т.ч. и пулы приложений.
3. внимательно относимся к параметрам безопасности каталога файловой системы, где прописано веб-приложение
4. внимательно относимся к параметрам безопасности каталога ИБ, если файловая и сетевым параметрам если веб-служба обращается к службе 1с по сети
5. не забываем, что авторизация одного и того же пользователя должна пройди и на веб-сервере и в 1С
6. не забываем о разделении труда: задача не 1с-ная а чистой воды сисадминская: в 99 случаев из 100 1с-ник бьется как муха об стекло при наличии штатного бородача в свитере, который отморозился со словами "тож адынэс, причем тут я?"
Доброго всем дня!
Конфигурация:
MS Windows Server Standart 2016 с установленным IIS 64, Windows
аутентификация доступа. Домена нет.
MS SQL Standart 2016 64
Сервер 1C Предприятие 64 8.3.10.2299
Проблема
Подключение и работа в системе происходит без ошибок. НО: при работе в
тонком клиенте постоянно происходит переаутентификация Windows
пользователя (см скриншот)
В ВЕБ клиенте - все ОК, аутентификация происходит один раз при входе.
Вопрос: Как избавиться от постоянных перелогинов в тонком клиенте? У кого какие мысли?
Конфигурация:
MS Windows Server Standart 2016 с установленным IIS 64, Windows
аутентификация доступа. Домена нет.
MS SQL Standart 2016 64
Сервер 1C Предприятие 64 8.3.10.2299
Проблема
Подключение и работа в системе происходит без ошибок. НО: при работе в
тонком клиенте постоянно происходит переаутентификация Windows
пользователя (см скриншот)
В ВЕБ клиенте - все ОК, аутентификация происходит один раз при входе.
Вопрос: Как избавиться от постоянных перелогинов в тонком клиенте? У кого какие мысли?
Прикрепленные файлы:
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот