1С Сервер linux и AD Windows Авторизация Kerberos
Добрый день.
1С:ERP Управление предприятием 2 (2.5.17.95) и 1С:Предприятие 8.3 (8.3.25.1286)
Есть сервер 1С linux на RedOS 7.3.4 (Не в домене)
Есть windows AD
Есть терминальный windows server (в домене) с которого идет попытка авторизации доменным пользователем.
При попытке авторизации выдает ошибку:
GSS-API error accepting context: Request ticket server usr1cv8/plk-dev-1c@ROOT.TEST.COM kvno 8 enctype rc4-hmac found in keytab but cannot decrypt ticket
Содержимое krb5.conf
в 1С настроена авторизация \\root.test.com\mmagomadov
Есть выпущенный кейтаб ключ usr1cv8/plk-dev-1c@ROOT.TEST.COM с kvno 8
Это последняя ошибка перед авторизацией, если сможет расшифровать то авторизация пройдет успешно но не понятно по какой причине не удалось расшифровать. Поддержка RC4-HMAC на AD есть, как и на 1C сервере.
по инструкции из
kinit -k -t usr1cv8.keytab usr1cv8/plk-dev-1c@ROOT.TEST.COM успешно проходит, т.е проблем с ключом я не вижу.
Пробовал кейтаб выпущенный из AD через ktpass а также кейтаб который я сам получил через ktutil, результат один и тот же.
1С:ERP Управление предприятием 2 (2.5.17.95) и 1С:Предприятие 8.3 (8.3.25.1286)
Есть сервер 1С linux на RedOS 7.3.4 (Не в домене)
Есть windows AD
Есть терминальный windows server (в домене) с которого идет попытка авторизации доменным пользователем.
При попытке авторизации выдает ошибку:
GSS-API error accepting context: Request ticket server usr1cv8/plk-dev-1c@ROOT.TEST.COM kvno 8 enctype rc4-hmac found in keytab but cannot decrypt ticket
Содержимое krb5.conf
KRB5.CONF |
|---|
| includedir /etc/krb5.conf.d/
[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = ROOT.TEST.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt spake_preauth_groups = edwards25519 default_ccache_name = FILE:/tmp/krb5cc_%{uid} dns_canonicalize_hostname = fallback udp_preference_limit = 1 default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC #ignore_acceptor_hostname = true [realms] ROOT.TEST.COM = { kdc = AD.root.test.com admin_server = root.test.com default_domain = root.test.com } [domain_realm] .root.test.com = ROOT.TEST.COM root.test.com = ROOT.TEST.COM |
в 1С настроена авторизация \\root.test.com\mmagomadov
Есть выпущенный кейтаб ключ usr1cv8/plk-dev-1c@ROOT.TEST.COM с kvno 8
Это последняя ошибка перед авторизацией, если сможет расшифровать то авторизация пройдет успешно но не понятно по какой причине не удалось расшифровать. Поддержка RC4-HMAC на AD есть, как и на 1C сервере.
по инструкции из
kinit -k -t usr1cv8.keytab usr1cv8/plk-dev-1c@ROOT.TEST.COM успешно проходит, т.е проблем с ключом я не вижу.
Пробовал кейтаб выпущенный из AD через ktpass а также кейтаб который я сам получил через ktutil, результат один и тот же.
По теме из базы знаний
- Сервер 1С: Предприятие на Linux: настройка доменной авторизации из различных доменов
- В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Рецепты от Капитана
- В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Точки над Ё
- Переход на Linux+PostgreSQL для информационной базы 2 Tb
Найденные решения
Решение:
в файле /etc/krb5.conf.d/crypto-policies добавить поддержку RC4-HMAC
В моем случае, я добавил следующие строки, куда входит все те что указаны в krb5.conf а достаточно будет и одного RC4-HMAC для 1С
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
в файле /etc/krb5.conf.d/crypto-policies добавить поддержку RC4-HMAC
В моем случае, я добавил следующие строки, куда входит все те что указаны в krb5.conf а достаточно будет и одного RC4-HMAC для 1С
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
Решение:
в файле /etc/krb5.conf.d/crypto-policies добавить поддержку RC4-HMAC
В моем случае, я добавил следующие строки, куда входит все те что указаны в krb5.conf а достаточно будет и одного RC4-HMAC для 1С
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
в файле /etc/krb5.conf.d/crypto-policies добавить поддержку RC4-HMAC
В моем случае, я добавил следующие строки, куда входит все те что указаны в krb5.conf а достаточно будет и одного RC4-HMAC для 1С
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот