Доменная авторизация 1С в Linux

1. user2090949 05.06.24 21:18 Сейчас в теме
Всех приветствую!

Есть машинка на Астре на которую установлен 1С сервер. Задача - организовать прозрачную авторизацию клиентов в домене. Клиенты пока на винде. Следуя многочисленным инструкциям завел в домене пользователя сопоставленного с локальной учеткой usr1cv8 сервера 1с, создал keytab на контроллере домена, переложил файл кейтаба на сервер 1с, назначил нужные права и положил в нужную папку. Проверил работоспособность данного кейтаба на сервере от имени пользователя 1с.

/opt/1cv8/x86_64/8.3.22.2239
-rw------- 1 usr1cv8 grp1cv8 85 июн 5 19:36 usr1cv8.keytab

Права корректные

Переходим в шелл пользователя 1с

su - usr1cv8

Получаем билет

kinit -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL

Билет получен:

usr1cv8@ASTRA-1C-2:~$ klist
Ticket cache: FILE:/tmp/krb5cc_997
Default principal: usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL

Valid starting Expires Service principal
05.06.2024 21:09:39 06.06.2024 07:09:39 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
renew until 06.06.2024 07:09:39

Устанавливаю для пользователя 1с авторизацию :
Галочка "Аутентификация операционной системы"
Поле пользователь: "\\DOMAIN.LOCAL\user_ab"

Запускаю в сеансе пользователя клиент 1с. Входа нет. Выдает меню с выбором вариантов локальных пользователей.

Как быть? Где смотреть логи? Я не 1сник, а сисадмин -)
Заранее спасибо.
По теме из базы знаний
Найденные решения
6. user2090949 06.06.24 11:46 Сейчас в теме
Проблема победилась следующим образом:

root@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239# cat /etc/hosts
127.0.0.1 localhost
10.10.90.54 ASTRA-1C-2.domain.local

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

А было (НЕ ПРАВИЛЬНО) так:
127.0.0.1 localhost
127.0.1.1 ASTRA-1C-2
Остальные ответы
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
2. RustamZz 06.06.24 09:11 Сейчас в теме
(1) В ЖР посмотрите как выглядит попытка входа с WA
Прикрепленные файлы:
3. user2090949 06.06.24 09:43 Сейчас в теме
(2) Здравствуйте!

Прикладываю скриншот. Порядок действий такой:
1) Запускаю клиент
2) Выбираю базу
3) Система выдает список локальных учеток и запрос на ввод пароля (вместо автоматического перехвата доменной сессии)
4) Авторизуюсь администратором
5) Открываю журнал

В журнале отражается только логин недоменной учеткой администратора. Клиент как будто и не пытается стукнутся на сервер доменным сеансом. При этом в настройках базы в списке указано "Вариант аутентификации выбирать автоматически".
Прикрепленные файлы:
4. rintik 19 06.06.24 10:41 Сейчас в теме
В службе сервера 1С какое имя keytab прописано? На одном сервере авторизация заработала после того, как сменил имя с usr1cv8 на usr1cv83.keytab.
также /etc/resolv.conf - указать в нем IP адрес контроллера домена.
Проверить что ключ читается
klist -e -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv83.keytab
Как получили ключ? У меня получилось после включения всех видов шифрования "ktpass -crypto all -kvno 1 -ptype KRB5_NT_PRINCIPAL -princ ...."
Прикрепленные файлы:
5. user2090949 06.06.24 10:57 Сейчас в теме
(4)
Определяем значение переменной в конфиге:
/opt/1cv8/x86_64/8.3.22.2239# cat srv1cv8-8.3.22.2239@.service
Environment=SRV1CV8_KEYTAB=/opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab

Путь и название брал именно из сервиса.

Проверяем работоспособность кейтаба из под пользователя usr1cv8:
su - usr1cv8

kinit -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL
Билет операционной системой получен.


Ключ получил путем выполнения на контроллере следующей команды:

ktpass -princ usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL -mapuser astra1c2usr@DOMAIN.LOCAL -pass ***** -out usr1cv8.keytab


Дополнение. Переделал кейтаб:

ktpass -crypto all -ptype KRB5_NT_PRINCIPAL -princ usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL -mapuser astra1c2usr@DOMAIN.LOCAL -pass ***** -out usr1cv8.keytab

После переноса на сервер и назначения прав результат аналогичный - клиент не пускает.

usr1cv8@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239$ klist -e -k -t /opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
Keytab name: FILE:/opt/1cv8/x86_64/8.3.22.2239/usr1cv8.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:des-cbc-crc)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:des-cbc-md5)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (DEPRECATED:arcfour-hmac)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (aes256-cts-hmac-sha1-96)
9 01.01.1970 03:00:00 usr1cv8/astra-1c-2.domain.local@DOMAIN.LOCAL (aes128-cts-hmac-sha1-96)
6. user2090949 06.06.24 11:46 Сейчас в теме
Проблема победилась следующим образом:

root@ASTRA-1C-2:/opt/1cv8/x86_64/8.3.22.2239# cat /etc/hosts
127.0.0.1 localhost
10.10.90.54 ASTRA-1C-2.domain.local

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

А было (НЕ ПРАВИЛЬНО) так:
127.0.0.1 localhost
127.0.1.1 ASTRA-1C-2
Оставьте свое сообщение

Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот