1С через web требует доменный пароль
Добрый день. Опубликовал зарплатную базу на сервере 1С (на iis), подгрузил в профили пользователей доменные данные. Но оказалось, что войти через Web интерфейс в базу с использованием доменной аутентификации могут не все. Многим выдает запрос на ввод доменных логина и пароля (само окно запроса не 1С-ное, а системное) и после ввода пускает в базу, не спрашивая пароля от 1С. Пробовали на разных браузерах (IE, Гугл, Файфокс, Спутник)-у кого заходит в одном браузере, заходит и во всех остальных, у кого не заходит в одном, так и в прочих не работает. Получается проблемы на конкретных машинах, а не в настройках сервера или домена. Куда копать? ЗЫ хочу еще раз отметить-браузер требует ввода пароля от домена, а не от 1С.
По теме из базы знаний
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1)
Права одинаковые у пользователей? (доменных учеток)
кого заходит в одном браузере, заходит и во всех остальных, у кого не заходит в одном, так и в прочих не работает. Получается проблемы на конкретных машинах, а не в настройках сервера или домена. Куда копать? ЗЫ хочу еще раз отметить-браузер требует ввода пароля от домена, а не от 1С.
Права одинаковые у пользователей? (доменных учеток)
(1)
Но оказалось, что войти через Web интерфейс в базу с использованием доменной аутентификации могут не все. Многим выдает запрос на ввод доменных логина и пароля (само окно запроса не 1С-ное, а системное) и после ввода пускает в базу, не спрашивая пароля от 1С.
Попробуйте выполнить следующие настройки:
На клиентской рабочей станции настройте Internet Explorer таким образом, чтобы он использовал аутентификацию Windows, а также добавьте адрес сайта в зону локальной сети, поскольку для зоны Internet браузер не использует аутентификацию Windows. Для этого:
- Запустите браузер Internet Explorer. В строке меню выберите пункт "Tools" и выберите команду "Internet Options". Перейдите на вкладку "Advanced" установите флажок напротив пункта "Enable Integrated Windows Authentication".
- Перейдите на вкладку "Security" выберите зону для изменения "Local intranet", нажмите кнопку "Sites" укажите имя web-сервера, нажмите "Add".
Настройте Web-сервер таким образом, чтобы он использовал аутентификацию Windows и отключите использование анонимного доступа, так как если он включен то web-сервер сначала пытается воспользоваться этим способом аутентификации. Для этого:
- Запустите оснастку iis.msc находящуюся в каталоге "%SystemRoot%\system32\inetsrv\iis.msc" перейдите в раздел "Web Sites - Default Web Sites - <ИмяОпубликованнойИБ>" из контекстного меню выберите "Properties". Перейдите на вкладку "Directory Security" нажмите кнопку "Edit" в разделе "Authentication and access control". Установите флажок "Integrated Windows authentication". Остальные флажки должны быть обязательно сняты.
Настройте Active Directory для делегирования полномочий Kerberos (необходимы права администратора домена). Для этого:
- Разрешите делегирование web-серверу. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Computers" выберите компьютер являющийся web-сервером, откройте его свойства. Если функциональный уровень домена "Windows Server 2003", то выберите вкладку "Delegation" и установите флажок "Trust this computer for delegation to any services (Kerberos only)", если функциональный уровень домена "Windows 2000", то на вкладке "General" установите флажок "Trust this computer for delegation".
- Разрешите делегирование пользователю. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Users" выберите пользователя, откройте его свойства. На вкладке "Delegation" установите флажок "Trust this user for delegation to any services (Kerberos only)" и убедитесь, что на вкладке "Account" в разделе "Account options" снят флажок для пункта "Account is sensitive and cannot be delegated".
На клиентской рабочей станции настройте Internet Explorer таким образом, чтобы он использовал аутентификацию Windows, а также добавьте адрес сайта в зону локальной сети, поскольку для зоны Internet браузер не использует аутентификацию Windows. Для этого:
- Запустите браузер Internet Explorer. В строке меню выберите пункт "Tools" и выберите команду "Internet Options". Перейдите на вкладку "Advanced" установите флажок напротив пункта "Enable Integrated Windows Authentication".
- Перейдите на вкладку "Security" выберите зону для изменения "Local intranet", нажмите кнопку "Sites" укажите имя web-сервера, нажмите "Add".
Настройте Web-сервер таким образом, чтобы он использовал аутентификацию Windows и отключите использование анонимного доступа, так как если он включен то web-сервер сначала пытается воспользоваться этим способом аутентификации. Для этого:
- Запустите оснастку iis.msc находящуюся в каталоге "%SystemRoot%\system32\inetsrv\iis.msc" перейдите в раздел "Web Sites - Default Web Sites - <ИмяОпубликованнойИБ>" из контекстного меню выберите "Properties". Перейдите на вкладку "Directory Security" нажмите кнопку "Edit" в разделе "Authentication and access control". Установите флажок "Integrated Windows authentication". Остальные флажки должны быть обязательно сняты.
Настройте Active Directory для делегирования полномочий Kerberos (необходимы права администратора домена). Для этого:
- Разрешите делегирование web-серверу. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Computers" выберите компьютер являющийся web-сервером, откройте его свойства. Если функциональный уровень домена "Windows Server 2003", то выберите вкладку "Delegation" и установите флажок "Trust this computer for delegation to any services (Kerberos only)", если функциональный уровень домена "Windows 2000", то на вкладке "General" установите флажок "Trust this computer for delegation".
- Разрешите делегирование пользователю. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Users" выберите пользователя, откройте его свойства. На вкладке "Delegation" установите флажок "Trust this user for delegation to any services (Kerberos only)" и убедитесь, что на вкладке "Account" в разделе "Account options" снят флажок для пункта "Account is sensitive and cannot be delegated".
(2) Вот именно что-бы избежать очевидных советов я и добавил в конце, что браузер просит пароль домена, а не 1с, а после ввода доменного логина и пароля, аутентификация проходит уже без ввода логина и пароля 1С. Ну и так-это все имело бы смысл, если бы ни у кого не работало.
(5) Не пробовал. Пинг до сервера 1С или до доменного? До сервера 1С особого смысла нет проверять-прочие базы работают через клиент (зарплатную базу опубликовали только ради личного кабинета, в котором можно посмотреть расчетку, что бы на +1000 человек не ставить клиент) и проблем с подключением к серверу нет.
(8) Более того, с этих-же машин можно зайти в опубликованную базу, но через клиент без ввода пароля, а только через доменную учетку. Т.е. сама аутентификация работает как надо. Вопрос только к web интерфейсу и только на некоторых машинах. Никакой системы я не наблюдаю. Если бы у всех не работало, я бы еще понял-где-то не так настроил, а так вообще не понятно.
(9)
Если у пользователя включена аутентификация операционной системы, то ничего удивительного, что после ввода логина и пароля от доменной учетки он входит в базу 1С без пароля.
через клиент без ввода пароля, а только через доменную учетку
Если у пользователя включена аутентификация операционной системы, то ничего удивительного, что после ввода логина и пароля от доменной учетки он входит в базу 1С без пароля.
(12) Я уже видимо засыпаю и не соображаю - т.е. одни и те же пользователи в одну и ту же базу с тех же ПК тонким клиентом 1С входят без аутентификации, а при входе браузером требуется ввести логин и пароль от доменной учетки, так?
(17) Для полноты картины наоборот тоже имеет смысл попробовать - на беспроблемных машинах зайти под учетками проблемных юзеров.
После этого можно будет локализовать проблема в машинах или юзерах.
P. S.
ИМХО проблема в юзерах, а не в машинах.
После этого можно будет локализовать проблема в машинах или юзерах.
P. S.
ИМХО проблема в юзерах, а не в машинах.
(18) Облом. Полная неразбериха. У того, у кого заходило на своем ПК, на компе на котором сосед не может зайти-на его компе тоже не заходит, а у того, у которого на своем ПК не заходило, так и не заходит на ПК соседа. Хоть бубен иди покупай...
(20) была похожая проблема; из того что удалось выяснить (на нашем ладшафте) доменная авторизация (без запроса пароля) работала только в IE на клиентских машинах; все остальные браузеры запрашивали пароль;
Попробуйте составить список из беспроблемных машин, запишите версию ОС, версию IE; Возможно это поможет как то локализовать проблему;
Попробуйте составить список из беспроблемных машин, запишите версию ОС, версию IE; Возможно это поможет как то локализовать проблему;
Внимание! Тема сдана в архив
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот