ДО КОРП , мобильное подключение и безопасность. Как ?
Имеется ДО Корп. Встала задача подключения мобильного клиента как внутри локальной сети так и снаружи.
Это нужно для руководства
Но тогда возникают проблемы с безопасностью базы. Так как она по сути будет полностью открыта снаружи
Как реализовать безопасность? Самое простое что приходит это отключить вебклиент у пользователей.
Но в ДО нет таких настроек в режиме предприятия, да и нужно ли? Не помешает ли этот способ для мобильного клиента не понятно
Может есть какие то другие способ? У нас под веб сервером используется apache
Переход на IIS поможет ?
Это нужно для руководства
Но тогда возникают проблемы с безопасностью базы. Так как она по сути будет полностью открыта снаружи
Как реализовать безопасность? Самое простое что приходит это отключить вебклиент у пользователей.
Но в ДО нет таких настроек в режиме предприятия, да и нужно ли? Не помешает ли этот способ для мобильного клиента не понятно
Может есть какие то другие способ? У нас под веб сервером используется apache
Переход на IIS поможет ?
Найденные решения
Добрый день. Я вижу 2 пути:
1. VPN - клиенты есть на все платформы, на устройстве нужно два движения лишних сделать, чтобы подключить клиент.
2. Авторизация клиентским сертификатом на web-сервере, но эту возможность точно можно реализовать для тонкого клиента и web-клиента, но не знаю, есть ли поддержка мобильного клиента. Раньше не было. Точно работают в таком режиме мобильные браузеры Chrome и Safari, ну и тонкий клиент с соответствующим ключом в параметрах.
Дополнительно можно использовать нестандартный порт, чтобы запутать противника. И Apache и IIS в данном вопросе дают одинаковую функциональность, и тут главное в чём больше разбирается админ, т.к. это внешний ресурс и его нужно грамотно настроить. Ну и как вы генерируете сертификаты, если XCA или консоль, но не важен web-сервер, если сервер сертификации Microsoft, тогда выбор очевиден.
1. VPN - клиенты есть на все платформы, на устройстве нужно два движения лишних сделать, чтобы подключить клиент.
2. Авторизация клиентским сертификатом на web-сервере, но эту возможность точно можно реализовать для тонкого клиента и web-клиента, но не знаю, есть ли поддержка мобильного клиента. Раньше не было. Точно работают в таком режиме мобильные браузеры Chrome и Safari, ну и тонкий клиент с соответствующим ключом в параметрах.
Дополнительно можно использовать нестандартный порт, чтобы запутать противника. И Apache и IIS в данном вопросе дают одинаковую функциональность, и тут главное в чём больше разбирается админ, т.к. это внешний ресурс и его нужно грамотно настроить. Ну и как вы генерируете сертификаты, если XCA или консоль, но не важен web-сервер, если сервер сертификации Microsoft, тогда выбор очевиден.
(6) Поэкспериментировал с мобильным клиентом у себя. Через OpenVPN сервер у меня прекрасно заработал мобильный клиент 1С:Документооборот, пробовал версию 2.1 и 2.2. Причём внутри тоннеля VPN подключался к web-серверу с использованием протокола http, TLS (ранее SSL) в данном случае излишен.
Тут все зависит от вашего админа. У меня VPN-сервер развёрнут на оборудовании Mikrotik. Для этого оборудования в сети есть хорошие пошаговые инструкции по настройке и подготовке файлов-профилей для мобильных устройств.
Тут все зависит от вашего админа. У меня VPN-сервер развёрнут на оборудовании Mikrotik. Для этого оборудования в сети есть хорошие пошаговые инструкции по настройке и подготовке файлов-профилей для мобильных устройств.
Остальные ответы
Подписаться на ответы
Сортировка:
Древо развёрнутое
Свернуть все
Добрый день. Я вижу 2 пути:
1. VPN - клиенты есть на все платформы, на устройстве нужно два движения лишних сделать, чтобы подключить клиент.
2. Авторизация клиентским сертификатом на web-сервере, но эту возможность точно можно реализовать для тонкого клиента и web-клиента, но не знаю, есть ли поддержка мобильного клиента. Раньше не было. Точно работают в таком режиме мобильные браузеры Chrome и Safari, ну и тонкий клиент с соответствующим ключом в параметрах.
Дополнительно можно использовать нестандартный порт, чтобы запутать противника. И Apache и IIS в данном вопросе дают одинаковую функциональность, и тут главное в чём больше разбирается админ, т.к. это внешний ресурс и его нужно грамотно настроить. Ну и как вы генерируете сертификаты, если XCA или консоль, но не важен web-сервер, если сервер сертификации Microsoft, тогда выбор очевиден.
1. VPN - клиенты есть на все платформы, на устройстве нужно два движения лишних сделать, чтобы подключить клиент.
2. Авторизация клиентским сертификатом на web-сервере, но эту возможность точно можно реализовать для тонкого клиента и web-клиента, но не знаю, есть ли поддержка мобильного клиента. Раньше не было. Точно работают в таком режиме мобильные браузеры Chrome и Safari, ну и тонкий клиент с соответствующим ключом в параметрах.
Дополнительно можно использовать нестандартный порт, чтобы запутать противника. И Apache и IIS в данном вопросе дают одинаковую функциональность, и тут главное в чём больше разбирается админ, т.к. это внешний ресурс и его нужно грамотно настроить. Ну и как вы генерируете сертификаты, если XCA или консоль, но не важен web-сервер, если сервер сертификации Microsoft, тогда выбор очевиден.
(2)
для мобильного клиента и не нужно
В самом ДО Корп настраивается каким пользователям 1с можно подключаться к ДО, заполняется регистр сведений такими пользователями, иначе подключиться нельзя.
Не понимаю как использовать VPN . Он имеется, с помощью него как я понимаю нужно запретить тонкие и веб клиенты. Просто у нас админ не знает как это сделать, ранее не сталкивался в подобными задачами.
Он используется для создания тоннеля удаленным организациям а какой используется не знаю.
И я с vpn не сталкивалась, разве что для chrome подключила на своем компьютере
Админы как я понимаю имеют дело с другим vpn
Просто не знаю даже что конкретно подсказать админу
VPN - клиенты
Спасибо
для мобильного клиента и не нужно
В самом ДО Корп настраивается каким пользователям 1с можно подключаться к ДО, заполняется регистр сведений такими пользователями, иначе подключиться нельзя.
Не понимаю как использовать VPN . Он имеется, с помощью него как я понимаю нужно запретить тонкие и веб клиенты. Просто у нас админ не знает как это сделать, ранее не сталкивался в подобными задачами.
Он используется для создания тоннеля удаленным организациям а какой используется не знаю.
И я с vpn не сталкивалась, разве что для chrome подключила на своем компьютере
Админы как я понимаю имеют дело с другим vpn
Просто не знаю даже что конкретно подсказать админу
(3) А как это реализовано сейчас? И тонкие и web-клиенты и мобильные только изнутри. Я почему спрашиваю, вы их в одном контексте упоминаете, а они могут подключаться по разному.
Тонкий - может подключиться напрямую к серверу 1С, а может и к web-серверу.
Web-клиент и мобильный только к web-серверу.
Вы написали, что у вас есть web-сервер Apache.
Все остальные вопросы подключения лежат в компетенции ваших админов. VPN может быть 2-х видов (работать на двух уровнях стека протоколов). Например OpenVPN может использоваться для сращивания двух и более сетей в режиме Ethernet и для клиентского подключения в режиме IP.
Клиент, подключается к VPN-серверу, получает адрес, маршрутизируемый во внутренней сети, и работает снаружи, как будто сидит внутри. Соответственно получает доступ к web-серверу организации и может подключиться любым 1С клиентом.
Тонкий - может подключиться напрямую к серверу 1С, а может и к web-серверу.
Web-клиент и мобильный только к web-серверу.
Вы написали, что у вас есть web-сервер Apache.
Все остальные вопросы подключения лежат в компетенции ваших админов. VPN может быть 2-х видов (работать на двух уровнях стека протоколов). Например OpenVPN может использоваться для сращивания двух и более сетей в режиме Ethernet и для клиентского подключения в режиме IP.
Клиент, подключается к VPN-серверу, получает адрес, маршрутизируемый во внутренней сети, и работает снаружи, как будто сидит внутри. Соответственно получает доступ к web-серверу организации и может подключиться любым 1С клиентом.
(5) добрый день
Спасибо за ответы. Уточнила у админа, он использует прокси kerio. Блокирует http и ничего не работает уже, связи нет. Я ещё сама ошиблась, установила apache без ssl, т.е. только http.
Пока без vpn. Извне желательно использование только мобильного приложения. У нас же имеется rdp. Админ хочет такую схему, чтобы подключаться могли все, кроме тех кто с админскими правами.
Сейчас подключение настроено единое для всех как обычный клиент сервер. Но имея ссылку можно настроить и свое подключение, хоть тонкий, хоть через вебмервер.
Я с этим вопросом столкнулась впервые, и админ тоже, ранее таких задач не было. Пытаюсь разобраться в какую сторону двигаться настраивая безопасность подключения из внешней сети интернета. Не хотелось бы проблем
Спасибо за ответы. Уточнила у админа, он использует прокси kerio. Блокирует http и ничего не работает уже, связи нет. Я ещё сама ошиблась, установила apache без ssl, т.е. только http.
Пока без vpn. Извне желательно использование только мобильного приложения. У нас же имеется rdp. Админ хочет такую схему, чтобы подключаться могли все, кроме тех кто с админскими правами.
Сейчас подключение настроено единое для всех как обычный клиент сервер. Но имея ссылку можно настроить и свое подключение, хоть тонкий, хоть через вебмервер.
Я с этим вопросом столкнулась впервые, и админ тоже, ранее таких задач не было. Пытаюсь разобраться в какую сторону двигаться настраивая безопасность подключения из внешней сети интернета. Не хотелось бы проблем
(6) Поэкспериментировал с мобильным клиентом у себя. Через OpenVPN сервер у меня прекрасно заработал мобильный клиент 1С:Документооборот, пробовал версию 2.1 и 2.2. Причём внутри тоннеля VPN подключался к web-серверу с использованием протокола http, TLS (ранее SSL) в данном случае излишен.
Тут все зависит от вашего админа. У меня VPN-сервер развёрнут на оборудовании Mikrotik. Для этого оборудования в сети есть хорошие пошаговые инструкции по настройке и подготовке файлов-профилей для мобильных устройств.
Тут все зависит от вашего админа. У меня VPN-сервер развёрнут на оборудовании Mikrotik. Для этого оборудования в сети есть хорошие пошаговые инструкции по настройке и подготовке файлов-профилей для мобильных устройств.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот