получалось ли у кого подружить веб-клиент и аутентификацию операционной системы? #438226

Пробовал - нифига. сначала просит доменные имя/пароль, потом все равно появляется окно авторизации 1С, и если ввести пароль учетки 1С, то все равно не пускает - "Bad http request". как победить?

ап

Без выбора из списка заходить для веб-клиента? У тебя Апач 22? Я не делал так ещё, но тоже нужно.

да, заходить без выбора пользователя для веб-клиента. апач 2.2

в логах апача после ручной аутентификации фигурирует domain\user, но далее один фик выскакивает окно авторизации

равзернул базу на ИИС - аутентификация операционной системы прекрасно заработала. с апачи вопрос открытый.

Апач то под венду был или Linux?

Спс за информацию. ИИС в Linux есть?

Нет, с каких пор ему там быть

да, апач под винду был

А модуль для SSPI/Kerberos где взяли, сами компилировали?

, кербероза даже и не пытался прикручивать, т.к. под винду его не нашел

Ну как он тогда заработает, если модуля нету.

ну дык и не заработал )))))) куда хотя бы копать? хотя ИИС 6.0 на первый взгляд не плохо работает

Компилировать модуль по ссылке указаный вами, чтобы была dll'ка, а дальше все должно быть без проблем. Ну и не забыть про SPN, если он не создан на той машине где будет апач.

в архиве по ссылке выше нет ни одного файла со словом "kerberos" хотя sspipkgs.exe говорит о том, что pakage kerberos присутствует

SSPI/GSSAPI это набор интерфейсов которые задают стандартный набор функции — запросить билет, продлить билет и т.п. SSPI/GSSAPI являеться посредником между программой и KDC сервером ну или kerberos протоколом проще говоря. Поэтому протокол может использоваться любой, например Kerberos или NTLM, сервер или клиент может даже не уметь с ним работать. SSPI - это Windows реализация GSSAPI, открытого стандарта.

то есть тот модуль SSPI собран без протокола kerberos, бишь о нем ничего не знает? тогда нифига не понимаю! авторизация с помощью протокола NTLM проходила же успешно, о чем свидетельствует запись в логах. насколько я понимаю, после удачной авторизации этот модуль должен поместить имя авторизованного пользователя в какую-то переменную и все, на этом его работа заказнчивается. а вот модуль авторизации 1С уже должен это имя подхватить и использовать его для входа.

Клиент(браузер) ничего не знает о том как генерировать запросы, он лишь вызывает SSPI/GSSAPI (в зависимости ОС) запросы. И пересылает их серверу тот тоже ничего незнает о том как все это закодированно он лишь передает это нужным библиотекам в ОС. Поэтому если браузер например умеет работать с SSPI, он сможет работать с любым протоколом, который ОС может использовать, будьто NTLM, Kerberos v4/5, и т.д. В твоем случае была прямая NTLM аунтификация, которую клиент мог послать не используя SSPI. Это я тебе расписал чтобы бы ты понял в архиве и не будет слов Kerberos, SSPI это программный интерфейс для доступа к службам безопасности, которую всю работу делают в Windows 2000 и выше это Kerberos v5.

это понятно более-менее. непонятно как скомпилить нужный модуль, и чем уже скомпиленный модуль из не подходит?

Там .so файл это для Linux версии

позволю себе не согласиться. у этого файла виндовый заголовок. каким же образом он может быть линуксовым?

Ну тогда какие проблемы, вперед, загружай модуль, настраивай и готово :)

дык в том и дело, что не получается - перепробовал все возможные настройки)))) а разобраться и получить результат очень хочется!

Каким браузером пробуешь?

IE, opera

Больше на багу похоже в модуле для апача от 1С.

Держись! Через пару дней присоединюсь))

А возможно дело в разном представлении, сферы и логина. В вендовом домене это обычно Domainuser, хотя стандарт это user@DOMAIN. Апач под винду в логах показывает мне как бы Domain\user, апач под линем user@DOMAIN. Меня смущают именно 2 слеша, например в IIS DOMAINuser.

вот-вот, меня 2 слэша тоже смутили. в принципе есть исходники модуля - можно поправить и перекомпилить. тока хз чем перекомпилить. ВизуалСтудио?

Судя по Makefile, не должно быть проблем с перекомпиляции под Visual Studio. В 1С вобще странно юзер доменный показываеться как DOMAINuser ;)

Есть патч, который позволяет редактировать как будет выводиться имя пользователя т.е. можно будет использовать переменую SSPIUsernameFormat %D%u или SSPIUsernameFormat %u@%D

Собрал я из исходников, с горем пополам, но апач с ним даже не стартанул. Я все же подозреваю, что это гдето с 1С бага. Я поднимал mediawiki и там пользователь был виден как Domainuser хоть и в логах было Domain\user.

да, проблема скорее всего в самой 1С. ведь если публиковать базу из конфигуратора, то для ИИСа есть галка "использовать аутентификацию операционной системы", а для апача она исчезает. выходит, в текущей платформе такая возможность в принципе не предусмотрена.

Спс тебе огромное. Просто поставил ИИС и всё с аутентификацией ок. :)

да не за что)))