Авторизация Active Directory на Linux сервере 1С
В 1С у пользователей есть возможность авторизоваться не только с помощью пароля, но и пользователем операционной системы. Это повышает управляемость и доступность системы, так как пользователь, авторизовавшись в операционной системе, может просто открыть 1С и база откроется от его имени без ввода дополнительных паролей. Это также повышает общую безопасность системы, так как не остается учетных записей, для которых не установлен пароль или установлен не надежный. В организации роль глобального каталога пользователей, как правило, выполняет контроллер домена. Как правило, применяются доменные службы Active Directory под управлением Windows. Для работы с пользователями в такой среде с Linux сервером 1С необходимо выполнить ряд манипуляций, чтобы к пользователям баз 1с, размещенным на нем, могла применяться сквозная авторизация (Single-Sign-On).
Для работы сервера в такой среде потребуется сделать всего несколько дел, при этом вводить сервер в домен не обязательно, нужно только вручную добавить статическую запись DNS в доменной зоне, чтобы сервер мог правильно пинговаться. Также следует заранее позаботиться о синхронности времени на сервере 1С и контроллере домена. Далее необходимо настроить домен поиска и сервера имен в файле resolv.conf:
domain example.com search example.com nameserver MY_NS_IPДалее необходимо выполнить ряд действий на контроллере домена. Необходимо создать на контроллере домена учетную запись, имя которой совпадает с именем учетной записи сервера 1С. Как правило, это usr1cv8. Затем на контроллере домена необходимо создать файл с секретным ключом:
ktpass -princ usr1cv8/ИМЯ_СЕРВЕРА.example.com@EXAMPLE.COM -mapuser usr1cv8 -pass ПАРОЛЬ_СОЗДАННОГО_ПОЛЬЗОВАТЕЛЯ -out usr1cv8.keytabВ результате создастся файл usr1cv8.keytab в текущей директории, а c пользователем usr1cv8 будет ассоциировано имя участника службы usr1cv81/ИМЯ_СЕРВЕРА.example.com@EXAMPLE.COM. Его необходимо разместить на сервере 1С в каталоге /opt/1C/v8.3/x86_64/ и задать соответствующие права:
chown usr1cv8:grp1cv8 usr1cv8.keytab chmod 600 usr1cv8.keytabНа сервере 1С необходимо установить и настроить Kerberos для авторизации в домене. Установка выполняется командой apt install krb5-user (apt или не apt зависит от используемой операционной системы). Далее его необходимо сконфигурировать. В общем случае конфиг выглядит следующим образом:
[logging] default = FILE:/var/log/krb5libs.log default = SYSLOG:DEBUG:DAEMON kdc = FILE:/var/log/krb5kdc.log kdc = SYSLOG:DEBUG:DAEMON admin_server = FILE:/var/log/kadmind.log admin_server = SYSLOG:DEBUG:DAEMON [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = < host = < rcmd = host ftp = ftp >plain = < something = something-else >> fcc-mit-ticketflags = true [realms] EXAMPLE.COM = < kdc = КОНТРОЛЛЕР_ДОМЕНА.example.com:88 default_domain = example.com >[domain_realm] EXAMPLE.COM = EXAMPLE.COM .EXAMPLE.COM = EXAMPLE.COM EXAMPLE.COM = EXAMPLE.COM .EXAMPLE.COM = EXAMPLE.COM [appdefaults] pam =
Теперь можно проверить правильность сделанных настроек и попробовать авторизовать пользователя.
Результат
После того, как все действия выполнены, можно проверить правильность сделанных настроек:
kinit -k -t /opt/1C/v8.3/x86_64/usr1cv8.keytab usr1cv8/ИМЯ_СЕРВЕРА.example.com@EXAMPLE.COMКоманда должна выполниться без какого либо вывода и запросов. После этого команда klist дляжна отобразить полученный тикет пользователя:
# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: usr1cv8/ИМЯ_СЕРВЕРА.example.com@EXAMPLE.COM Valid starting Expires Service principal 06.04.2020 19:08:24 07.04.2020 05:08:24 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 07.04.2020 19:08:24Теперь можно установить пользователю в настройках в базе 1С галочку Авторизация операционной системы и вписать или выбрать нужного пользователя домена. При следующем входе этот пользователь будет авторизован в базе 1С без запроса пароля. В случае блокировки пользователя в домене, соответственно, зайти в базу 1С, не важно откуда, у пользователя уже не выйдет.