Подключить доменную авторизацию при работе в браузере #799726

Добрый день! Пытаемся настроить доменную авторизацию при работе с информационной базой в браузере. Что не так: Даже когда IE запрашивает авторизацию, 1С показывает окно выбора пользователей, игнорирует факт, что пользователь только что ввел доменные учетные данные. Сервера 2008 R2, Уровень Домена 2008, 1С клиент-сервер 8.3.9.2233, IIS7, База Документооборот КОРП 2.1 демо развернута на сервере 1С. Что сделали: Все сервера в домене. Прописали в конфигураторе ДО привязку Пользователей к доменным уч. записям. Под тонким, толстым клиентом автоматическая авторизация. Установили ISS, все галки. В дополнительных параметрах Пула приложений разрешили 32-разрядные приложения. Дали полные права на папку bin пользователям IUSR, IIS_IUSRS. Опубликовали ИБ под локальным администратором с галкой Использовать аутентификацию операционной системы. В IIS для сайта отключили Анонимную проверку подлинности, включена только Проверка подлинности Windows. В групповых политиках AD добавили сервер ISS в интранет 2-мя строчками: просто имя сервера ISS и имяISS.домен.local. Везде обновили групповые политики. Уже даже не знаю где ему еще почесать чтобы замурлыкал.

+ Добавили в ограничения ISAPI и CGI библиотеку wsisapi.dll. На всякий случай отключили брендмауер на сервере ISS.

Что-то там было с делегированием Kerberos. Ща смутно помню.

нашел , но здесь для Server 2003. В домене 2008 у пользователей уже нет закладки Делегация.

У сервера наверное есть что-то такое. Тут почитай.

Или вот пишут: Сталкивался с такой же проблемой, вызвана невозможностью передавать учетку NTLM с сервера на сервер для ряда ситуаций(NTLM double hop). Мне удалось запустить подобный стенд (сервера 1С и IIS на разных машинах) в двух вариантах, к сожалению оба не идеальны: 1. Kerberos - тут все просто - в AD для сервера IIS включаем делегирование Kerberos, для веб-приложения на сервере IIS отключаем проверку подлинности в режиме ядра и добавляем поставщика KERBEROS, выставив ему высший приоритет. После этого все должно работать, если есть проблемы, то можно проверить какой поставщик реально используется при логоне в журнале безопасности сервера IIS событие входа в систему нашего пользователя должно содержать "Сведения о проверке подлинности: Процесс входа:    Kerberos Пакет проверки подлинности:    Kerberos " и событие с аналогичным содержанием должно быть на сервере приложений 1С. К сожалению такой вариант у меня заработал только если пользователь идет с доменой машины(тот же домен или траст). Клиенты из внешней сети будут пытаться авторизоваться по NTLM 2. NTLM - на сервере IIS включаем передачу учетных данных через ClearText, в качестве сервера 1С используем Windows server 2003, заставить 2008-ой принимать NTLM имперсонализацию у меня не получилось. Работают любые клиенты(доменные и внешние), но безопасность под большим вопросом, кроме того пришлось использовать старую операционку на сервере 1С, но это скорей всего моя криворукость виновата.

По пункту 1: оставили единственного поставщика Negotiate:Kerberos, выключили проверку подлинности в режиме ядра. В Журнале Windows / Безопасность видим авторизацию пользователя: Процесс входа:        Kerberos Пакет проверки подлинности:    Kerberos При единственной попытке доступа записей в журнале 10, последняя на вход Kerberos. В итоге IE предгалает выбрать пользователя из списка.

Серверу с IIS разрешено делегирование в Active Directory ?

В AD КомпьютерыСерверIIS, СвойстваДелегирование выбран пункт Этот компьютер доверенный для делегирования служб (Kerberos).

Я когда настраивал автоматическую авторизацию что-то там в настройках браузера менял, после этого заработало. Сейчас не вспомню что, абырвалг

Если имеется в виду Свойства браузера Дополнительно Enable Integrated Windows Authentication*, то включено. Также через доменную политику серверIIS добавлен в зону 1 (зона интрасети).

А можно в IIS и доменную авторизацию и обычную оставить. Для ДО. Типа заходишь по ссылке - без пароля. Но для ЕРП-ДО нужно логин/пароль