1С через web требует доменный пароль

1. 26.10.21 12:43 Сейчас в теме
Добрый день. Опубликовал зарплатную базу на сервере 1С (на iis), подгрузил в профили пользователей доменные данные. Но оказалось, что войти через Web интерфейс в базу с использованием доменной аутентификации могут не все. Многим выдает запрос на ввод доменных логина и пароля (само окно запроса не 1С-ное, а системное) и после ввода пускает в базу, не спрашивая пароля от 1С. Пробовали на разных браузерах (IE, Гугл, Файфокс, Спутник)-у кого заходит в одном браузере, заходит и во всех остальных, у кого не заходит в одном, так и в прочих не работает. Получается проблемы на конкретных машинах, а не в настройках сервера или домена. Куда копать? ЗЫ хочу еще раз отметить-браузер требует ввода пароля от домена, а не от 1С.
Ответы
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
4. krasnodar-it 26.10.21 20:18 Сейчас в теме
(1)
кого заходит в одном браузере, заходит и во всех остальных, у кого не заходит в одном, так и в прочих не работает. Получается проблемы на конкретных машинах, а не в настройках сервера или домена. Куда копать? ЗЫ хочу еще раз отметить-браузер требует ввода пароля от домена, а не от 1С.

Права одинаковые у пользователей? (доменных учеток)
6. psviridov 26.10.21 21:39 Сейчас в теме
10. krasnodar-it 26.10.21 22:28 Сейчас в теме
(1)
Но оказалось, что войти через Web интерфейс в базу с использованием доменной аутентификации могут не все. Многим выдает запрос на ввод доменных логина и пароля (само окно запроса не 1С-ное, а системное) и после ввода пускает в базу, не спрашивая пароля от 1С.


https://its.1c.ru/db/metod8dev/content/5944/hdoc
14. psviridov 26.10.21 22:56 Сейчас в теме
(10) Ну вот вроде в самом посте два раза указал (и особо подчеркнул) на то, что браузер требует ввести пароль ДОМЕНА и только у НЕКОТОРЫХ, в одном из ответов это повторил, а Капитан Очевидность все равно пришел...
2. Оберон 12 26.10.21 17:54 Сейчас в теме
Попробуйте выполнить следующие настройки:

На клиентской рабочей станции настройте Internet Explorer таким образом, чтобы он использовал аутентификацию Windows, а также добавьте адрес сайта в зону локальной сети, поскольку для зоны Internet браузер не использует аутентификацию Windows. Для этого:
- Запустите браузер Internet Explorer. В строке меню выберите пункт "Tools" и выберите команду "Internet Options". Перейдите на вкладку "Advanced" установите флажок напротив пункта "Enable Integrated Windows Authentication".
- Перейдите на вкладку "Security" выберите зону для изменения "Local intranet", нажмите кнопку "Sites" укажите имя web-сервера, нажмите "Add".
Настройте Web-сервер таким образом, чтобы он использовал аутентификацию Windows и отключите использование анонимного доступа, так как если он включен то web-сервер сначала пытается воспользоваться этим способом аутентификации. Для этого:
- Запустите оснастку iis.msc находящуюся в каталоге "%SystemRoot%\system32\inetsrv\iis.msc" перейдите в раздел "Web Sites - Default Web Sites - <ИмяОпубликованнойИБ>" из контекстного меню выберите "Properties". Перейдите на вкладку "Directory Security" нажмите кнопку "Edit" в разделе "Authentication and access control". Установите флажок "Integrated Windows authentication". Остальные флажки должны быть обязательно сняты.
Настройте Active Directory для делегирования полномочий Kerberos (необходимы права администратора домена). Для этого:
- Разрешите делегирование web-серверу. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Computers" выберите компьютер являющийся web-сервером, откройте его свойства. Если функциональный уровень домена "Windows Server 2003", то выберите вкладку "Delegation" и установите флажок "Trust this computer for delegation to any services (Kerberos only)", если функциональный уровень домена "Windows 2000", то на вкладке "General" установите флажок "Trust this computer for delegation".
- Разрешите делегирование пользователю. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Users" выберите пользователя, откройте его свойства. На вкладке "Delegation" установите флажок "Trust this user for delegation to any services (Kerberos only)" и убедитесь, что на вкладке "Account" в разделе "Account options" снят флажок для пункта "Account is sensitive and cannot be delegated".
3. psviridov 26.10.21 19:03 Сейчас в теме
(2) Вот именно что-бы избежать очевидных советов я и добавил в конце, что браузер просит пароль домена, а не 1с, а после ввода доменного логина и пароля, аутентификация проходит уже без ввода логина и пароля 1С. Ну и так-это все имело бы смысл, если бы ни у кого не работало.
5. Online-Ufa 26.10.21 21:33 Сейчас в теме
До ввода логина и пароля домена пинг до сервера с этих машин идет?
7. psviridov 26.10.21 21:42 Сейчас в теме
(5) Не пробовал. Пинг до сервера 1С или до доменного? До сервера 1С особого смысла нет проверять-прочие базы работают через клиент (зарплатную базу опубликовали только ради личного кабинета, в котором можно посмотреть расчетку, что бы на +1000 человек не ставить клиент) и проблем с подключением к серверу нет.
8. Online-Ufa 26.10.21 21:56 Сейчас в теме
(7) Т.е. с этих же машин можно открыть неопубликованные на веб базы на этом же сервере ?
Тогда, железку пинговать смысла не имеет)
9. psviridov 26.10.21 22:10 Сейчас в теме
(8) Более того, с этих-же машин можно зайти в опубликованную базу, но через клиент без ввода пароля, а только через доменную учетку. Т.е. сама аутентификация работает как надо. Вопрос только к web интерфейсу и только на некоторых машинах. Никакой системы я не наблюдаю. Если бы у всех не работало, я бы еще понял-где-то не так настроил, а так вообще не понятно.
11. Online-Ufa 26.10.21 22:37 Сейчас в теме
(9)
через клиент без ввода пароля, а только через доменную учетку

Если у пользователя включена аутентификация операционной системы, то ничего удивительного, что после ввода логина и пароля от доменной учетки он входит в базу 1С без пароля.
12. psviridov 26.10.21 22:42 Сейчас в теме
(11) Я имею ввиду, что при входе через клиент не требует вводить логин и пароль ни домена, ни 1С, а через вэб морду просит ввести логин и пароль от домена, а дальше уже пускает без пароля.
13. Online-Ufa 26.10.21 22:54 Сейчас в теме
(12) Я уже видимо засыпаю и не соображаю - т.е. одни и те же пользователи в одну и ту же базу с тех же ПК тонким клиентом 1С входят без аутентификации, а при входе браузером требуется ввести логин и пароль от доменной учетки, так?
15. psviridov 26.10.21 23:00 Сейчас в теме
16. Online-Ufa 26.10.21 23:07 Сейчас в теме
(15) Пробовали войти в домен на проблемной машине с учеткой пользователя, у которого проблем не наблюдается?
17. psviridov 26.10.21 23:14 Сейчас в теме
(16) Не пробовал. Попробую. Если не зайдет, есть варианты?
18. Online-Ufa 26.10.21 23:22 Сейчас в теме
(17) Для полноты картины наоборот тоже имеет смысл попробовать - на беспроблемных машинах зайти под учетками проблемных юзеров.
После этого можно будет локализовать проблема в машинах или юзерах.

P. S.
ИМХО проблема в юзерах, а не в машинах.
19. psviridov 26.10.21 23:39 Сейчас в теме
(18) Попробую и так и так. Отпишусь по результатам.
20. psviridov 27.10.21 16:05 Сейчас в теме
(18) Облом. Полная неразбериха. У того, у кого заходило на своем ПК, на компе на котором сосед не может зайти-на его компе тоже не заходит, а у того, у которого на своем ПК не заходило, так и не заходит на ПК соседа. Хоть бубен иди покупай...
23. Vitaly1C8 24.11.22 18:30 Сейчас в теме
(20) была похожая проблема; из того что удалось выяснить (на нашем ладшафте) доменная авторизация (без запроса пароля) работала только в IE на клиентских машинах; все остальные браузеры запрашивали пароль;
Попробуйте составить список из беспроблемных машин, запишите версию ОС, версию IE; Возможно это поможет как то локализовать проблему;
22. info1i 197 24.11.22 16:46 Сейчас в теме
По данной ссылке есть решение, выход из ситуации, но только для браузера Google Chrome: http://pyatilistnik.org/through-authorization-in-google-chrome/?ysclid=lauz5ddaps460213066
При анализе логов IIS я обнаружил, что браузеры не передают доменное имя пользователя - это является причиной появления окна доменной авторизации.
Оставьте свое сообщение
Вакансии
Ведущий разработчик 1С
Новосибирск
зарплата от 120 000 руб. до 150 000 руб.
Полный день

Ведущий Консультант/Аналитик 1С
Москва
зарплата от 150 000 руб. до 250 000 руб.
Полный день

Программист, аналитик, эксперт 1С
Санкт-Петербург
По совместительству

Программист 1С
Великие Луки
зарплата от 100 000 руб. до 120 000 руб.
Полный день

Программист 1С
Красноярск
зарплата от 160 000 руб. до 180 000 руб.
Полный день