Отдельный веб сервер для публикации 1С и сквозная аутентификация
Доброго времени суток, подскажите кто сталкивался.
Хочу использовать отдельный сервер для публикации баз 1С.
Есть сервер приложения 1С Windows 2012.
Есть отдельный сервер Windows 2012R2 с ролью IIS.
Публикую базу на веб сервере, все параметры по умолчанию, ставлю галку использовать аутентификацию операционной системы, публикация выполнена успешно.
Далее по мануалу настраиваю IIS и все необходимые параметры по статье .
В итоге публикация работает, но спрашивает логин и пароль.
Если запускать браузер не посредственно с веб сервера, то сквозная аутентификация работает, если с клиента из сети то нет, спрашивает логин и пароль.
Если Веб сервер установить на машине с 1С сервером, то все работает как надо, от любых клиентов все открывается автоматически не спрашивая логин и пароль.
Хочу использовать отдельный сервер для публикации баз 1С.
Есть сервер приложения 1С Windows 2012.
Есть отдельный сервер Windows 2012R2 с ролью IIS.
Публикую базу на веб сервере, все параметры по умолчанию, ставлю галку использовать аутентификацию операционной системы, публикация выполнена успешно.
Далее по мануалу настраиваю IIS и все необходимые параметры по статье .
В итоге публикация работает, но спрашивает логин и пароль.
Если запускать браузер не посредственно с веб сервера, то сквозная аутентификация работает, если с клиента из сети то нет, спрашивает логин и пароль.
Если Веб сервер установить на машине с 1С сервером, то все работает как надо, от любых клиентов все открывается автоматически не спрашивая логин и пароль.
По теме из базы знаний
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
Решил проблему для всех используемых у нас браузеров (IE, Firefox, Chrome)
После настройки IIS из первого поста я настроил работу пула от доменной учетки по этой ссылке
IE начинает работать после включения в AD делегирования для хоста веб сервера (2 пост)
Firefox, заходим по адресу about:config.
И для параметров ниже выставляем значения (ваши значения) :
network.negotiate-auth.trusted-uris > .domain.local
network.automatic-ntlm-auth.trusted-uris > iisservername.domain.local
Chrome, создал следующие значения реестра:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Google]
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome]
"AuthNegotiateDelegateWhitelist"="iisservername.domain.local"
"AuthServerWhitelist"="iisservername.domain.local"
"AuthSchemes"="negotiate,basic,digest,ntlm"
Если работаете через прокси необходимо добавить в исключения *.domain.local
И в безопасности IE добавить для интрасети сайт *.domain.local
Вроде все, надеюсь кому-то поможет.
После настройки IIS из первого поста я настроил работу пула от доменной учетки по этой ссылке
IE начинает работать после включения в AD делегирования для хоста веб сервера (2 пост)
Firefox, заходим по адресу about:config.
И для параметров ниже выставляем значения (ваши значения) :
network.negotiate-auth.trusted-uris > .domain.local
network.automatic-ntlm-auth.trusted-uris > iisservername.domain.local
Chrome, создал следующие значения реестра:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Google]
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome]
"AuthNegotiateDelegateWhitelist"="iisservername.domain.local"
"AuthServerWhitelist"="iisservername.domain.local"
"AuthSchemes"="negotiate,basic,digest,ntlm"
Если работаете через прокси необходимо добавить в исключения *.domain.local
И в безопасности IE добавить для интрасети сайт *.domain.local
Вроде все, надеюсь кому-то поможет.
Это можно реализовать через GPO с использованием admx пакета хрома
В политиках редактируются параметры
Kerberos delegation server whitelist
Supported authentication schemes
Authentication server whitelist
в ветке Computer Configuration-Policies-Administrative templates-Google-Chrome-Polisies for HTTP authentication
В политиках редактируются параметры
Kerberos delegation server whitelist
Supported authentication schemes
Authentication server whitelist
в ветке Computer Configuration-Policies-Administrative templates-Google-Chrome-Polisies for HTTP authentication
Это можно реализовать через GPO с использованием admx пакета хрома
В политиках редактируются параметры
Kerberos delegation server whitelist
Supported authentication schemes
Authentication server whitelist
в ветке Computer Configuration-Policies-Administrative templates-Google-Chrome-Polisies for HTTP authentication
В политиках редактируются параметры
Kerberos delegation server whitelist
Supported authentication schemes
Authentication server whitelist
в ветке Computer Configuration-Policies-Administrative templates-Google-Chrome-Polisies for HTTP authentication
В некоторых случаях, несмотря на корректно указанного пользователя операционной системы в пользователе информационной базы, при попытке входа в опубликованную базу через браузер аутентификация операционной системы не проходит. Такая ситуация может возникать, если веб-сервер IIS и сервер 1с находятся на разных машинах.
При возникновении такой ситуации необходимо проверить следующие настройки:
1) Убедиться, что процессы сервера 1С запущены от имени доменной учетной записи, входящей в группу Domain Users.
2) Убедиться, что веб-сервер IIS настроен корректно.
В публикации информационной базы найти настройки аутентификации
В настройках аутентификации отключить анонимную аутентификацию и включить Windows-аутентификацию. В Windows-аутентификации упорядочить доступных провайдеров так, чтобы на первом месте был Negotiate.
Пул приложений публикации не нуждается в настройках, в нем можно оставить все по умолчанию.
После изменения настроек перезапустить веб-сервер с помощью команды iisreset в командной строке.
3) Убедиться, что в контроллере домена в свойствах компьютера, на котором запущен веб-сервер, на вкладке делегирование установлено "Доверять компьютеру делегирование любых служб (только Kerberos)"
Для этого откройте оснастку Active Directory Users and Computers (dsa.msc), в компьютерах найдите веб-сервер, перейдите в его свойства и на вкладке Делегирование установить значение "Доверять компьютеру делегирование любых служб (только Kerberos)" и нажать применить.
4) Убедиться, что на клиенте в свойствах обозревателя разрешена встроенная проверка подлинности Windows.
После выполнения всех действий необходимо перезагрузить клиентский компьютер (рабочие серверы перезагрузки не требуют) и убедиться, что аутентификация операционной системы успешно выполняется.
Важно: аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах в тонком клиенте работает, начиная с версии 8.3.10.2620 (для тестирования).
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот