Всех приветствую!
Есть машинка на Астре на которую установлен 1С сервер. Задача - организовать прозрачную авторизацию клиентов в домене. Клиенты пока на винде. Следуя многочисленным инструкциям завел в домене пользователя сопоставленного с локальной учеткой usr1cv8 сервера 1с, создал keytab на контроллере домена, переложил файл кейтаба на сервер 1с, назначил нужные права и положил в нужную папку. Проверил работоспособность данного кейтаба на сервере от имени пользователя 1с.
/opt/1cv8/x86_64/8.3.22.2239
-rw------- 1 usr1cv8 grp1cv8 85 июн 5 19:36 usr1cv8.keytab
Права корректные
Переходим в шелл пользователя 1с
su - usr1cv8
Получаем билет
kinit -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL
Билет получен:
usr1cv8@ASTRA-1C-2:~$ klist
Ticket cache: FILE:/tmp/krb5cc_997
Default principal: usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL
Valid starting Expires Service principal
05.06.2024 21:09:39 06.06.2024 07:09:39 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
renew until 06.06.2024 07:09:39
Устанавливаю для пользователя 1с авторизацию :
Галочка "Аутентификация операционной системы"
Поле пользователь: "\\DOMAIN.LOCAL\user_ab"
Запускаю в сеансе пользователя клиент 1с. Входа нет. Выдает меню с выбором вариантов локальных пользователей.
Как быть? Где смотреть логи? Я не 1сник, а сисадмин -)
Заранее спасибо.
Есть машинка на Астре на которую установлен 1С сервер. Задача - организовать прозрачную авторизацию клиентов в домене. Клиенты пока на винде. Следуя многочисленным инструкциям завел в домене пользователя сопоставленного с локальной учеткой usr1cv8 сервера 1с, создал keytab на контроллере домена, переложил файл кейтаба на сервер 1с, назначил нужные права и положил в нужную папку. Проверил работоспособность данного кейтаба на сервере от имени пользователя 1с.
/opt/1cv8/x86_64/8.3.22.2239
-rw------- 1 usr1cv8 grp1cv8 85 июн 5 19:36 usr1cv8.keytab
Права корректные
Переходим в шелл пользователя 1с
su - usr1cv8
Получаем билет
kinit -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL
Билет получен:
usr1cv8@ASTRA-1C-2:~$ klist
Ticket cache: FILE:/tmp/krb5cc_997
Default principal: usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL
Valid starting Expires Service principal
05.06.2024 21:09:39 06.06.2024 07:09:39 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
renew until 06.06.2024 07:09:39
Устанавливаю для пользователя 1с авторизацию :
Галочка "Аутентификация операционной системы"
Поле пользователь: "\\DOMAIN.LOCAL\user_ab"
Запускаю в сеансе пользователя клиент 1с. Входа нет. Выдает меню с выбором вариантов локальных пользователей.
Как быть? Где смотреть логи? Я не 1сник, а сисадмин -)
Заранее спасибо.
По теме из базы знаний
- Веб приложение для управления сервером 1С в Linux.
- Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов
- В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Рецепты от Капитана
- В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Точки над Ё
- Высокие риски и неопределенность: успешный перевод всей инфраструктуры 1С Авито на PostgreSQL+Linux
Найденные решения
Проблема победилась следующим образом:
root@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239# cat /etc/hosts
127.0.0.1 localhost
10.10.90.54 ASTRA-1C-2.domain.local
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
А было (НЕ ПРАВИЛЬНО) так:
127.0.0.1 localhost
127.0.1.1 ASTRA-1C-2
root@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239# cat /etc/hosts
127.0.0.1 localhost
10.10.90.54 ASTRA-1C-2.domain.local
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
А было (НЕ ПРАВИЛЬНО) так:
127.0.0.1 localhost
127.0.1.1 ASTRA-1C-2
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(2) Здравствуйте!
Прикладываю скриншот. Порядок действий такой:
1) Запускаю клиент
2) Выбираю базу
3) Система выдает список локальных учеток и запрос на ввод пароля (вместо автоматического перехвата доменной сессии)
4) Авторизуюсь администратором
5) Открываю журнал
В журнале отражается только логин недоменной учеткой администратора. Клиент как будто и не пытается стукнутся на сервер доменным сеансом. При этом в настройках базы в списке указано "Вариант аутентификации выбирать автоматически".
Прикладываю скриншот. Порядок действий такой:
1) Запускаю клиент
2) Выбираю базу
3) Система выдает список локальных учеток и запрос на ввод пароля (вместо автоматического перехвата доменной сессии)
4) Авторизуюсь администратором
5) Открываю журнал
В журнале отражается только логин недоменной учеткой администратора. Клиент как будто и не пытается стукнутся на сервер доменным сеансом. При этом в настройках базы в списке указано "Вариант аутентификации выбирать автоматически".
Прикрепленные файлы:

В службе сервера 1С какое имя keytab прописано? На одном сервере авторизация заработала после того, как сменил имя с usr1cv8 на usr1cv83.keytab.
также /etc/resolv.conf - указать в нем IP адрес контроллера домена.
Проверить что ключ читается
klist -e -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv83.keytab
Как получили ключ? У меня получилось после включения всех видов шифрования "ktpass -crypto all -kvno 1 -ptype KRB5_NT_PRINCIPAL -princ ...."
также /etc/resolv.conf - указать в нем IP адрес контроллера домена.
Проверить что ключ читается
klist -e -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv83.keytab
Как получили ключ? У меня получилось после включения всех видов шифрования "ktpass -crypto all -kvno 1 -ptype KRB5_NT_PRINCIPAL -princ ...."
Прикрепленные файлы:

(4)
Определяем значение переменной в конфиге:
/opt/1cv8/x86_64/8.3.22.2239# cat srv1cv8-8.3.22.2239@.service
Environment=SRV1CV8_KEYTAB=/opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
Путь и название брал именно из сервиса.
Проверяем работоспособность кейтаба из под пользователя usr1cv8:
su - usr1cv8
kinit -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL
Билет операционной системой получен.
Ключ получил путем выполнения на контроллере следующей команды:
ktpass -princ usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL -mapuser astra1c2usr@DOMAIN.LOCAL -pass ***** -out usr1cv8.keytab
Дополнение. Переделал кейтаб:
ktpass -crypto all -ptype KRB5_NT_PRINCIPAL -princ usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL -mapuser astra1c2usr@DOMAIN.LOCAL -pass ***** -out usr1cv8.keytab
После переноса на сервер и назначения прав результат аналогичный - клиент не пускает.
usr1cv8@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239$ klist -e -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
Keytab name: FILE:/opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:des-cbc-crc)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:des-cbc-md5)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:arcfour-hmac)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (aes256-cts-hmac-sha1-96)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (aes128-cts-hmac-sha1-96)
Определяем значение переменной в конфиге:
/opt/1cv8/x86_64/8.3.22.2239# cat srv1cv8-8.3.22.2239@.service
Environment=SRV1CV8_KEYTAB=/opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
Путь и название брал именно из сервиса.
Проверяем работоспособность кейтаба из под пользователя usr1cv8:
su - usr1cv8
kinit -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL
Билет операционной системой получен.
Ключ получил путем выполнения на контроллере следующей команды:
ktpass -princ usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL -mapuser astra1c2usr@DOMAIN.LOCAL -pass ***** -out usr1cv8.keytab
Дополнение. Переделал кейтаб:
ktpass -crypto all -ptype KRB5_NT_PRINCIPAL -princ usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL -mapuser astra1c2usr@DOMAIN.LOCAL -pass ***** -out usr1cv8.keytab
После переноса на сервер и назначения прав результат аналогичный - клиент не пускает.
usr1cv8@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239$ klist -e -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
Keytab name: FILE:/opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:des-cbc-crc)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:des-cbc-md5)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:arcfour-hmac)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (aes256-cts-hmac-sha1-96)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (aes128-cts-hmac-sha1-96)
Проблема победилась следующим образом:
root@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239# cat /etc/hosts
127.0.0.1 localhost
10.10.90.54 ASTRA-1C-2.domain.local
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
А было (НЕ ПРАВИЛЬНО) так:
127.0.0.1 localhost
127.0.1.1 ASTRA-1C-2
root@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239# cat /etc/hosts
127.0.0.1 localhost
10.10.90.54 ASTRA-1C-2.domain.local
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
А было (НЕ ПРАВИЛЬНО) так:
127.0.0.1 localhost
127.0.1.1 ASTRA-1C-2
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот