Гибридная авторизация в 1С 7.7 с использованием доменных учетных записей

24.11.11

Администрирование - Информационная безопасность

Решение, позволяющее привязать пользователей базы данных 1С к доменным учетным записям и избавиться от неудобных паролей 1С.

Скачать файлы

Наименование Файл Версия Размер
Скрипт установки разрешений
.cmd 2,37Kb
15
.cmd 2,37Kb 15 Скачать
Пример списка соответствия пользователей
.txt 0,86Kb
9
.txt 0,86Kb 9 Скачать
Кусок глобального модуля
.txt 0,43Kb
9
.txt 0,43Kb 9 Скачать
Скрипт запуска с автовыбором пользователя 1С
.cmd 1,76Kb
10
.cmd 1,76Kb 10 Скачать

Решение по привязке пользователей 1С к доменным учетным записям основано на том факте, что 1С не разрешает вход пользователя при отсутствующем или недоступном рабочем каталоге. Таким образом, если обеспечить доступ правами NTFS к каждому рабочему каталогу только для одного пользователя - задачу можно считать решенной, однако существуют варианты обхода. Первый заключается в том, что рабочий каталог можно указать в командной строке при запуске 1С, второй - в возможности удалить или переименовать файл users.usr.

Для закрытия первой дыры используется маленькая вставка в глобальный модуль, проверяющая рабочий каталог при старте, а для защиты самого глобального модуля - установка на MD-файл разрешений NTFS. Для закрытия второго пути также используются права NTFS.

Если быть совсем точным - при недоступном рабочем каталоге остается возможность войти в Конфигуратор, а в режимы "Монитор" и "Отладчик" возможно войти с ручным указанием каталога, код глобального модуля тут не сработает. Так что мы защищаем вход только в режим "Предприятие", считая, что от конфигуратора нас защищают разрешения на файл MD и папку ExtForms, а от входа в отладчик и монитор большой беды не случится.

Суть решения на этом заканчивается. Для удобства установки прав на файлы и папки я создал файл соответствия пользователей 1С и Windows и скрипт для установки NTFS-разрешений. Приложен также кусочек глобального модуля. Последним приложен файл для запуска 1С с автоматическим выбором имени пользователя, который можно использовать на терминальных серверах. Кроме собственно запуска 1С, он может еще добавить в реестр путь к базе данных, но это закомментировано.

Как этим пользоваться:

  • При добавлении пользователя в 1С указываете рабочий каталог в виде .\usrdef\;
  • После добавления пользователя вносите запись соответствия в файл userlist.txt;
  • Файл userlist.txt должен находиться в папке usrdef;
  • Файл SetSecurity.cmd может находиться в любом месте, удобнее всего в каталоге ИБ, т.к. в этом случае можно запускать его без указания пути. Запускать его нужно после каждого изменения файла userlist.txt. Скрипт сам на себя разрешения не задает, если считаете, что его опасно показывать пользователям - положите в менее доступное место;
  • Пароли всем пользователям ставите пустыми.

Решение предоставляется "как есть", никаких гарантий автор не дает.
Обсуждение решения возможно в комментариях к публикации, но участие автора в обсуждении, также как исправление найденных ошибок и добавление новых функций, не гарантируется. 

Поскольку решение в основном ориентировано на компании с достаточно большим количеством пользователей, и Вы сочтете данную разработку полезной для Вашей компании, можете поблагодарить автора путем перечисления на Яндекс-кошелек 41001410419858.

См. также

Проверка часового пояса

Информационная безопасность Универсальные функции Платформа 1С v7.7 Бесплатно (free)

При использовании терминалок для удаленных баз, иногда при входе в базу данных необходимо исключить возможность входа пользователей с компьютеров с другим часовым поясом. Например, работают в Новосибирской базе с временем UTC +6 и пытаются зайти в базу с UTC +3.

16.05.2016    12782    kudenzov    3    

10

Злоумышленник зашифровал базы 1С и другие файлы

Информационная безопасность Защита ПО и шифрование Платформа 1С v7.7 Конфигурации 1cv7 Абонемент ($m)

Звонит пользователь, на экране сообщение ваши данные зашифрованы, введите пароль, пишите письма и т.д.

1 стартмани

08.11.2014    40169    44    aleksch21    85    

47

Отчет по правам пользователей для любой конфигурации "1С:Предприятия 7.7"

Информационная безопасность Платформа 1С v7.7 Конфигурации 1cv7 Абонемент ($m)

Инструмент для наглядного анализа и сравнения наборов прав доступа в 1С 7.7 Работает в любых конфигурациях. В одной из обслуживаемых мной баз 40 наборов прав пользователей (120 пользователей). Этим отчетом очень наглядно выходит анализировать разницу в правах и просто описывать права пользователей в документации. Обновлено: - В новой версии отчета добавил сравнение двух разных баз и анализ внешней БД. - объекты метаданных представлены в виде дерева (объект "Дерево-Таблица значений" FormEx)

1 стартмани

11.02.2014    25193    162    Amel2010    15    

14

Проверка прав доступа текущего пользователя. 1с 7.7

Информационная безопасность Платформа 1С v7.7 Конфигурации 1cv7 Украина Абонемент ($m)

Показывает права доступа текущего пользователя в базе 1с 7.7 .

1 стартмани

10.06.2013    20885    49    demon_sw    11    

6

Индивидуальная установка даты запрета редактирования документов в торговле 1С 7.7

Информационная безопасность Закрытие периода Оперативный учет 7.7 1С:Торговля и склад 7.7 Россия Управленческий учет Абонемент ($m)

Установка даты запрета редактирования документов индивидуально для каждого пользователя,а также предоставление в индивидуальном порядке разрешения изменения конкретных документов в определенные периоды или в конкретные дни.Срок действия установок устанавливается вами. Вы можете спокойно настроить и уехать в отпуск.

1 стартмани

17.01.2013    30977    50    agent007_1    10    

4

Управление правами в 7.7 - "на лету" до каждой кнопочки!

Информационная безопасность Платформа 1С v7.7 Конфигурации 1cv7 Абонемент ($m)

Система управления правами доступа "на лету" для конфигураций на платформе 1С:Предприятие 7.7. - Онлайн :: Не требует выхода пользователей. - Умная :: Позволяет управлять доступом хоть к каждой кнопке на форме. - Универсальная :: Встраивается в любую конфигурацию за 1 минуту! - Преемственная :: Сохраняет настройки существующих наборов прав.

1 стартмани

22.11.2012    34449    171    gavlexx    48    

39

Блокиратор запуска Информационной Базы

Инструменты администратора БД Информационная безопасность Платформа 1С v7.7 Конфигурации 1cv7 Абонемент ($m)

Блокирует запуск Информационной базы при входе пользователя

1 стартмани

25.10.2012    15126    14    sam-soft    9    

6
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. TrinitronOTV 14 24.11.11 10:35 Сейчас в теме
вот это да, отличная вещь, спасибо
2. pavlo 24.11.11 18:54 Сейчас в теме
не понял, а брать права откуда будет?
3. tedkuban 42 24.11.11 20:10 Сейчас в теме
Права в SetSecurity.CMD прописаны. Если мои не нравятся - можно его подправить под собственные нужды.
4. tedkuban 42 24.11.11 20:56 Сейчас в теме
pavlo, я так понимаю, у Вас есть какой-то скрипт по вытаскиванию пользователей из AD. Есть интересная мысль - если в какое-нибудь поле в AD записать имя юзверя 1С, то файл userlist можно будет формировать на лету, а если автоматический запуск не нужен - то и вообще без него обойтись.
5. dicwork 25.12.11 22:31 Сейчас в теме
Интересное решение. Если я правильно понял, то с конкретного рабочего места может зайти только тот кто залогинился на этом компьютере?
6. tedkuban 42 26.12.11 00:32 Сейчас в теме
Хм... Не совсем. Конкретному пользователю домена можно зайти только теми пользователями из базы 1С, которым разрешил войти админ. Но механизм позволяет и более гибкую настройку, там в описании рассказано. Собственно, есть метод, который каждый может заточить под себя.
7. avko 21.02.12 18:04 Сейчас в теме
8. tedkuban 42 21.02.12 19:27 Сейчас в теме
(7) Lapo4ka.ru, это не совсем такая же штука. Там требуется патчить файлы 1С, а у меня нет.
9. shurix 25.05.12 02:37 Сейчас в теме
(7) Lapo4ka.ru, хотя я сейчас сам использую патч Ромикса, однако в нём есть одна неприятная особенность. Суть её можно понять на следующем примере:
в файле NtUser.ini прописаны такие связи:
vasya = Вася
kolya = Коля
Если в систему входит пользователь vasya, то он без проблем войдёт под своим win-паролем в 1с, выбрав пользователя "Вася";
Если в систему входит пользователь kolya, то он без проблем войдёт под своим win-паролем в 1с, выбрав пользователя "Коля";
Однако, если у vasya возникнет необходимость войти в 1с как "Коля", то ему придётся вводить пароль 1с, а не win-пароль. И это создает некоторые неудобства.

Буду искать альтернативу - попробую это решение и Сквозная доменная авторизация в 1С 7.7.
Оставьте свое сообщение