#0
by 1CIlya
Добрый день! Пытаемся настроить доменную авторизацию при работе с информационной базой в браузере. Что не так: Даже когда IE запрашивает авторизацию, 1С показывает окно выбора пользователей, игнорирует факт, что пользователь только что ввел доменные учетные данные. Сервера 2008 R2, Уровень Домена 2008, 1С клиент-сервер 8.3.9.2233, IIS7, База Документооборот КОРП 2.1 демо развернута на сервере 1С. Что сделали: Все сервера в домене. Прописали в конфигураторе ДО привязку Пользователей к доменным уч. записям. Под тонким, толстым клиентом автоматическая авторизация. Установили ISS, все галки. В дополнительных параметрах Пула приложений разрешили 32-разрядные приложения. Дали полные права на папку bin пользователям IUSR, IIS_IUSRS. Опубликовали ИБ под локальным администратором с галкой Использовать аутентификацию операционной системы. В IIS для сайта отключили Анонимную проверку подлинности, включена только Проверка подлинности Windows. В групповых политиках AD добавили сервер ISS в интранет 2-мя строчками: просто имя сервера ISS и имяISS.домен.local. Везде обновили групповые политики. Уже даже не знаю где ему еще почесать чтобы замурлыкал.
#1
by 1CIlya
+ Добавили в ограничения ISAPI и CGI библиотеку wsisapi.dll. На всякий случай отключили брендмауер на сервере ISS.
#3
by 1CIlya
нашел , но здесь для Server 2003. В домене 2008 у пользователей уже нет закладки Делегация.
#5
by Мыш
Или вот пишут: Сталкивался с такой же проблемой, вызвана невозможностью передавать учетку NTLM с сервера на сервер для ряда ситуаций(NTLM double hop). Мне удалось запустить подобный стенд (сервера 1С и IIS на разных машинах) в двух вариантах, к сожалению оба не идеальны: 1. Kerberos - тут все просто - в AD для сервера IIS включаем делегирование Kerberos, для веб-приложения на сервере IIS отключаем проверку подлинности в режиме ядра и добавляем поставщика KERBEROS, выставив ему высший приоритет. После этого все должно работать, если есть проблемы, то можно проверить какой поставщик реально используется при логоне в журнале безопасности сервера IIS событие входа в систему нашего пользователя должно содержать "Сведения о проверке подлинности: Процесс входа: Kerberos Пакет проверки подлинности: Kerberos " и событие с аналогичным содержанием должно быть на сервере приложений 1С. К сожалению такой вариант у меня заработал только если пользователь идет с доменой машины(тот же домен или траст). Клиенты из внешней сети будут пытаться авторизоваться по NTLM 2. NTLM - на сервере IIS включаем передачу учетных данных через ClearText, в качестве сервера 1С используем Windows server 2003, заставить 2008-ой принимать NTLM имперсонализацию у меня не получилось. Работают любые клиенты(доменные и внешние), но безопасность под большим вопросом, кроме того пришлось использовать старую операционку на сервере 1С, но это скорей всего моя криворукость виновата.
#6
by 1CIlya
По пункту 1: оставили единственного поставщика Negotiate:Kerberos, выключили проверку подлинности в режиме ядра. В Журнале Windows / Безопасность видим авторизацию пользователя: Процесс входа: Kerberos Пакет проверки подлинности: Kerberos При единственной попытке доступа записей в журнале 10, последняя на вход Kerberos. В итоге IE предгалает выбрать пользователя из списка.
#8
by 1CIlya
В AD КомпьютерыСерверIIS, СвойстваДелегирование выбран пункт Этот компьютер доверенный для делегирования служб (Kerberos).
#9
by ТупойЖадный
Я когда настраивал автоматическую авторизацию что-то там в настройках браузера менял, после этого заработало. Сейчас не вспомню что, абырвалг
#10
by 1CIlya
Если имеется в виду Свойства браузера Дополнительно Enable Integrated Windows Authentication*, то включено. Также через доменную политику серверIIS добавлен в зону 1 (зона интрасети).
#11
by Вафель
А можно в IIS и доменную авторизацию и обычную оставить. Для ДО. Типа заходишь по ссылке - без пароля. Но для ЕРП-ДО нужно логин/пароль
Тэги: 1С 8
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
В этой группе 1С
- отладка правил обмена 1с
- Две ККТ на одном компе, как заставить службу eou читать два порта?
- resize. работа с ImageMagick из 1С
- Первичная и вторичные покупки. Как лучше разделить?
- ЗУП 2.5 квартальная премия в расчете отпускных
- v8: СБ РФ: Эквайринговая система
- v7: Скрыть калькулятор из меню сервис
- ERP 2.2 Анализ себестоимости с разузлованием
- Какой mime-type прописать для файлов epf для загрузки на сайт?
- СКД на 8.3. Вывод группировок в колонках
- Не будет ли проблем с двумя usb-ключами на сервере 1С 8.3 ?
- При выполнении запроса - "В данной транзакции уже происходили ошибки"
- Определить объект метаданных по наименованию таблицы
- УТ 11.1 В отчет "Ведомость расчетов с поставщиками" отображается сумма без НДС
- УНФ 1.6 чеки ККМ
- Пробитие чека при отказе от УТМ
- 54ФЗ ИНН Кассира
- Где хранить ТЗ с неизвестной наперед структурой колонок?
- 1C 8.3 и АТОЛ 30Ф
- Фискальный признак сообщения в чеке ККМ это что?