1CLinux

Форум посвящённый вопросам работы 1С:Предприятия на ОС Linux => Установка Серверной части 1С 8.х на Linux => Тема начата: shurale от Ноябрь 23, 2010, 03:05:55

Название: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 23, 2010, 03:05:55
В общем то сабж. Не работает сквозная доменная авторизация/аутентификация в домене Windows 2003 AD. Настройку делал как тут: http://www.lissyara.su/archive/1c_8.2+postgresql/

Постгрес 8.4.5 собрал из исходников. По настройке как в статье все ок, все работает. Но когда в 1С конфигураторе прописываешь юзера и говоришь ему авторизоваться не базой пользователей 1С, а доменной учётной записью - ничего не получается. 1С-ка как не видит доменных пользователей.

Помогите, кто чем может. Башку сломал уже...
ЗЫ Клиент - Win XP SP3
ЗЗЫ Связка виндовый клиент-1С под виндовый сервер в таком конфиге пашет на ура.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 23, 2010, 04:19:16
Ну разумеется первым делом вопрос - Линуксовая машина входит в домен? пользователи нормально проходят проверку в домене?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 23, 2010, 05:58:40
Да, конечно. Введена в домен посредством пакетов samba, winbind и krb5-user. Команды wbinfo -t, wbinfo -u, wbinfo -g, getent passwd, getent group отрабатывают без проблем. Завтра приду на работу с утра и выложу krb5.conf и smb.conf. При помощи утилиты ktpass на контроллере домена сделан файл ключа Kerberos для авторизации сервиса srv1cv82 от имени пользователя usr1cv8 в домене AD.
Как я писал в первом посте, у меня отрабатывает авторизация при помощи ключевого файла. То есть сервис (служба) в домене получает авторизацию в домене.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 24, 2010, 07:33:40
http://77.221.143.204/showthread.php?p=650443 - похожая тема. Создание симлинка также не устранило проблему. Есть у кого какие нить мысли?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 24, 2010, 07:48:40
Блин озадачил, буду эксперементировать ...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 24, 2010, 08:24:37
Бьюсь 2 неделю. На разных дистрибутивах (Убунту 10.04 и 9.04). Результат - нуль. Написал в техподдержку 1С, сказали, что отправили в отдел разработки программ мое письмо. Чует мое сердце - с концами.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 25, 2010, 07:38:56
тока не сдавайся!
я тоже попробую сделать авторизацию у себя с помощью домена...
Если будет решение, опубликуй пожалуйста!
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 07:48:06
Да уже поздно сдаваться. Тем паче я же русский! :) В общем ща замутил установку того же на CentOS Server 4.7. Результат тот же. Я вот склоняюсь к мысли - а нужно ли на контроллере домена под виндой устанавливать дополнительный компонент "Службы для UNIX" или нет? Я, конечно, попробую. Хотя об этом вроде нигде нет упоминания. Отпишу результат.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 25, 2010, 07:59:10
Ок! я чё-то только щаз сообразил, что ни разу не пользовался авторизацией винды для 1С.
А клиенты локальные(на сервере которые) и удалённые(не на сервере которые) себя по разному ведут при авторизации?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 08:31:00
По идее ты же при логоне в домен получаешь SID, так? Так. Причём ты получаешь SID не с локальной базы SAM, в с доменной. То есть из AD. Тогда по идее раз у 1С имеется возможность авторизации пользователя из доменной базы SAM, то тебе достаточно прописать в конфигурации пользователя сопоставив ему вход под доменной учётной записью, а не под учёткой, взятой из базы 1С. Такое прекрасно работает на связке виндовый клиент-виндовый сервер 1С. Пользователь лишь стартует 1С_предприятие и оно тут же запускается, не спрашивая логин и пароль (они и так уже автоматически подхватываются 1С-кой на основе полученног доменного SID. В общем идея - чтобы юзеру при запуске клиентской части 1С не вводить имя и пароль.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 08:38:21
Кстати, что нарыл... Оказывается у меня AD крутится на 2003 Enterprise Server. Так вот, в нем, по-умолчанию, нет служб (компонентов) SFU (Services For Unix). Их нуно качать: http://technet.microsoft.com/ru-ru/interopmigration/bb380242.aspx. НО! Если сервер, который контроллер домена работает под управлением 2003R2, то в нем такой компонент есть и его можно установить. В общем я тут на статейку случайно набрёл, когда CentOS ставил (все таки разные дистры Ubuntu и дериватив RedHat), так там даже при планировании ввода линуксовых машин в домен автор ставил эту службу (NFS). Вот адрес статьи: http://blog.wazollc.com/Lists/Posts/Post.aspx?ID=2.
В опщим, докачаю SFU, поставлю ее и напишу. Мне кажется в ней затык. ХОТЯ об этом нигде не упоминается.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 25, 2010, 08:39:15
вот ещё не понятно, ты запустил сеанс, дальше ты проходишь авторизацию на клиенте, а клиент передаёт регистрационные данные на сервер ...
дак вот кто проводит проверку SID - СЕРВЕ ИЛИ КЛИЕНТ!?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 08:58:00
Как я понимаю схема такая. Включил рабочую станцию с виндой. Дальше залогинился в домен и получил от контроллера домена SID. С этим сидом запускаешь клиентское приложение. Клиент передает SID серверу с Линухом. А сервер в свою очередь ломится также в AD, проверить - есть ли такой доменный пользователь, которому сопоставлена учётная запись в 1С (ты же в конфигурации всеравно создаешь пользователей). Вот и все вроде. Если предоставляемый сид и сид, который проверит сервер 1С на линуксе совпадут - то ок, если нет - то нет. Вроде так :)
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 09:02:33
ИМХО SID (а точнее SSID) должен проверять сервер. То есть сервис к которому ты пытаешься обратиться. В данном случае - 1С сервер.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 25, 2010, 09:32:51
зная компанию 1С не первый десяток лет ... я предполагаю что это делает клиент, а серверу сообщает, что за юзер ...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 09:42:32
Ну если следовать концептуальной модели MS, то мы говорим об одном.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 25, 2010, 10:07:32
Тогда проверь, что будет если авторизоваться на клиенте 1С  установленном на сервере .... и клиенте установленном на другой машинке... будет разница?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 12:24:27
По идее какой тип аутентификации ты выберешь - так и будет. Поставишь клиенту на сервере прям который аутентифицироваться AD - должен аутентифицироваться AD. Какая разница? Ты же просто в 1С маппинг имен делаешь и все.
ЗЫ Поставил на виртуалке Win2003Enterprise Server. Ввел в домен. Промоутировал до добавочного контроллера домена. Поставил FSU (как я писал выше). Результат - ноль. :(
Блин, куда копать?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 06:07:42
Написал в личку автору статьи. Можт чо прояснит?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 25, 2010, 06:21:07
И ещё, вот о чем я говорил http://v8.1c.ru/overview/AdminAut.htm
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Ноябрь 26, 2010, 07:05:58
Продолжая биться над проблемой, нашёл пару ссылок, призванных помочь в этом непростом деле. Отсюда http://forum.windowsfaq.ru/showthread.php?t=132443

Сами ссылки: http://partners.v8.1c.ru/forum/thread.jsp?id=565796#565796 и http://partners.v8.1c.ru/forum/thread.jsp?id=658108#658108

2Lion. Так и не пробовал мой вариант у себя поставить?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Ноябрь 26, 2010, 08:08:16
нет ещё я пока на форуме порядок навожу, но попробую обязательно ...
пытаюсь nginx настроить без apach.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Декабрь 03, 2010, 09:06:08
Пробовал установку на CentOS 5.5 x64. Результат не изменился. Прислали из техподдержки рекомендации установить 32-разрядную версию дистрибутива (соответственно сервер придётся "с нуля" устанавливать). Попробую на UBUNTU 10.04.1 i386 и отправлю логи в техподдержку 1С. Результат отпишу.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 06, 2010, 06:52:51
Ваще капец с 64 версией, мучался с vpn pptp скриптом, так и не смог поставить, пакетов с нужными библиотеками нет, и не компилятся... в общем я считаю пока 32ую версию по лучше ...
а ещё такой момент комманды для 64х битной адресации возрастают практически вдвое - и тут тоже замедление возникает как не крути!!!

Ядра практически всех 32х битных дистрибутивов поддерживают PAE - т.е. спокойно работают с памятью больше 3х гигабайт, спокойно! Зачем тогда платить больше :-)

Если честно до сих пор не настроил на стенде АД :-( но обязательно сделаю, но только на 32х битах...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Декабрь 06, 2010, 07:15:27
Я вот тоже откатил сервер на 32 бита. Вначале ругался на отсутствие библиотеки libgssapi_krb5.so. Сделал симлинк. Сейчас говорит, что хочет ключ защиты. Вечером попробую подсунуть ему ключ (сейчас ключ в рабочем сервере под Виндой).
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 06, 2010, 07:21:34
Пока дошёл до момента:

на серверах 1С запущенных под linux, наложены ограничения по протоколам авторазиации:

"аутентификация на сервере выполняется по протоколу Kerberos;"

http://www.v8.1c.ru/overview/cluster_linux.htm (http://www.v8.1c.ru/overview/cluster_linux.htm)
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Декабрь 07, 2010, 05:27:58
Смотрим здесь: http://ru.wikipedia.org/wiki/%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F.
Цитировать
Протоколы аутентификации

Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация должна быть взаимной.
В частности, в операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 07, 2010, 01:59:36
два бандита напавшие на Анатолия Вассермана, случайно получили два высших образования...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Декабрь 10, 2010, 07:26:57
Неделю развлекаюсь с АД, линукс и 1с. Разница только в том, что я сразу после убунты 10.04 попробовал Центос 5.5 (обе х64), но при том же результате) Shurale, есть успехи с х32?

В логах сервака:
09:07.5330-0,EXCP,2,process=rphost,t:clientID=6,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure.  Minor code may provide more information'
09:07.5331-0,EXCP,2,process=rphost,t:clientID=6,Descr='GSS-API error gss_acquire_cred: No principal in keytab matches desired name'
В логах клиента:
33:37.3422-0,EXCP,1,process=1cv8,Descr=InitializeSecurityContext: Error 80090308!


P.S. у меня, правда, уже куплена 1с х64, так что придется обойтись без аутентификации в АД, если дело в разрядности... Но так, для интереса.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 10, 2010, 01:28:08
Не отказываться не стоит ... я думаю, что дело не именно в 64х битах! А 64х битная версия проигрывает прежде всего, тем что пакеты надо самому компилировать и ставить, но ведь научиться пользоваться make и make install - ну не такая уж беда!!! Чем линух и подкупает, взял исходники - скомпилил под себя и проблем нету!!!

А по поводу, AD и 8ки нифига хорошей документации нет ... может кто расскажет последовательность действий, как для ребёнка 5 лет?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Декабрь 10, 2010, 01:37:22
А по поводу, AD и 8ки нифига хорошей документации нет ... может кто расскажет последовательность действий, как для ребёнка 5 лет?
Таки смысл если не работает? :-)
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 10, 2010, 01:49:14
ну вот допустим, я бы щаз зная, что вы делали в какой последовательности, прошёл бы тот же путь и думаю, узнал бы что дальше попробовать, например хотябы что я на Мандриве тоже самое пробовал...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Декабрь 11, 2010, 06:38:40
Я пробовал и на 32 разрядной версии сервера убунты. И ключ втыкал рабочий (USB). Система не ругается на керберос и авторизацию, а тихонько меня в логах посылает - мол нет ключа (хаспа) и все тут. В понедельник буду на работе, попробую выложить логи с сервера и клиента. Sealancer-у. У вас кажись не так файл кейтаба сформирован или в krb5.conf ошибочка или недописано что то. Надо гугля спросить по этому поводу. Также в понедельник отошлю логи в техподдержку 1С. И будем ждать ответ.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 12, 2010, 04:32:16
а если пропатчить bkend ? ну для пробы разумеется ....
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Декабрь 13, 2010, 05:54:03
Сорри, немного не вкурил, причем тут Bkend?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Декабрь 13, 2010, 07:57:38
. Sealancer-у. У вас кажись не так файл кейтаба сформирован или в krb5.conf ошибочка или недописано что то. Надо гугля спросить по этому поводу. Также в понедельник отошлю логи в техподдержку 1С. И будем ждать ответ.
Таки пробовал и по Гилеву и по другим инструкциям, один фиг, не работает. Да, собственно, и путаться то негде - билет получает и с паролем и с ключем, wbinfo отрабатывает нормально. Настроил там же самбу и шары уж для интереса, тоже все без проблем, кого надо из домена, пускает, кого не надо - не пускает. Все работает, кроме этой *** аутентификации в 1с...
Файл генерил этой командой:
C:\>ktpass -princ usr1cv82/db-tst.sar.biz@SAR.BIZ -mapuser usr1cv8 -pass pass1cv8 -out c:\usr1cv82.keytab

В krb5.conf тоже плутать негде:
root@mskdb1:/etc# cat krb5.conf
[logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log

[libdefaults]
        default_realm = sar.biz
        dns_lookup_realm = false
        dns_lookup_kdc = false
        default_tkt_enctypes = rc4-hmac
        default_tgs_enctypes = rc4-hmac

[realms]
        SAR.BIZ = {
                kdc = mskdc1.sar.biz:88
                default_domain = sar.biz
                        }
[domain_realm]
        sar.biz = SAR.BIZ
        .sar.biz = SAR.BIZ
        SAR.BIZ = SAR.BIZ
        .SAR.BIZ = SAR.BIZ

[kdc]
Profile = /etc/krb5kdc/kdc.conf

[appdefaults]
        pam = {
        debug = true
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = false
        krb4_convert = false
}
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Декабрь 13, 2010, 01:08:26
У меня, кстати, прогресс. Клиент ошибок не пишет, а в логах сервака:

35:45.4172-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Unspecified GSS failure.  Minor code may provide more information
35:45.4173-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Wrong principal in request

 :)
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 29, 2010, 08:36:49
"и что значит оказалось..."

когда начинаешь выбирать пользователя для авторизации через Windows, в 8.2 под wine 1.3.5

"fixme:netapi32:NetQueryDisplayInformation Level 1 partially implemented"

:-) я так понимаю придётся и это библиотечку и её зависимости тоже в комплект dll вталкивать :-)
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Декабрь 29, 2010, 08:39:25
У меня, кстати, прогресс. Клиент ошибок не пишет, а в логах сервака:

35:45.4172-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Unspecified GSS failure.  Minor code may provide more information
35:45.4173-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Wrong principal in request

 :)

А чё делали то?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Январь 12, 2011, 08:04:29
У меня, кстати, прогресс. Клиент ошибок не пишет, а в логах сервака:

35:45.4172-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Unspecified GSS failure.  Minor code may provide more information
35:45.4173-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Wrong principal in request

 :)

А чё делали то?
Танцы с бубном и разнообразные варианты конфигов. Описывать пока не вижу смысла, т.к. все равно не работает...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: lion от Январь 23, 2011, 07:08:20
я тоже долго бился с Wine для 7ки ... (месяца два) ...
тема то реально интересная, а решения нет ... и я пока торможу ... может будет хоть намёк, пишите ...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Февраль 28, 2011, 05:51:39
Недавно встретил одноклассника. Разговорились. Он мне также сказал , что они пробовали сделать это давно и под КраснойШапкой, но у них это тоже не получилось. Похоже на гонево от 1С. Хотя есть в инете спецы, которые пишут, что работает. Но к сожалению информации - мизер.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: AlexYankee от Апрель 13, 2011, 02:50:52
Специально зарегистрировался ради этой темы. Такая же ситуация.
AD на Windows, x64 Сервер на Debian Squeeze GNU\Linux AMD64.
Всё работает, кроме авторизации через домен. Keytab-файл работает как надо, пуская под собой в Kerberos.
В логах 1С всё тоже беспристрастное Wrong principal in request.
Кстати, посмотрел лог сервера на Windows, там немного другая последовательность строк, относящихся к GSS-API. Хотя это конечно может быть и из-за различий реализации.
Ребят, не забрасывайте тему :(
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Апрель 15, 2011, 05:28:43
Ребят, не забрасывайте тему :(
Лично я планирую опять вернутся к этому вопросу когда разберусь с вылетами юзверей...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: DustKiller от Июнь 27, 2011, 11:58:27
Столкнулись с этой же проблемой при переходе с 8.1 на 8.2. Делали всё по инструкции, тесты успешны, 1С авторизует только через пароль. В итоге опытным путём было обнаружено, что если в настройках пользователя 1С в разделе Аутентификация Windows в ручную изменить предлагаемый путь вида \\DOMAIN\user на \\DOMAIN.RU\user авторизация начинает работать. В указанном примере DOMAIN.RU - полное имя нашего домена.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Июль 11, 2011, 06:47:14
Столкнулись с этой же проблемой при переходе с 8.1 на 8.2. Делали всё по инструкции, тесты успешны, 1С авторизует только через пароль. В итоге опытным путём было обнаружено, что если в настройках пользователя 1С в разделе Аутентификация Windows в ручную изменить предлагаемый путь вида \\DOMAIN\user на \\DOMAIN.RU\user авторизация начинает работать. В указанном примере DOMAIN.RU - полное имя нашего домена.
!!!!! Охренеть! Ведь пробовал же раньше так, не работало! А тепереь вообще без проблем аутентифицировалось!

P.S. Хотя я , возможно, пробовал так делать на предыдущей платформе, а на текущей (8.2.13.219) только стандартную настройку проводил.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Август 03, 2011, 03:45:14
Блин, обновили до 14.519 платформу, опять не работает... :-(
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Август 04, 2011, 02:37:05
UPD.
1) Пересоздал файлик keytab.
2) chown -R usr1cv82:grp1cv82 /opt/1c

Все работает.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: Virtul от Август 23, 2011, 11:51:39
Доброго дня, ставил 1С по этому (http://www.gilev.ru/1c/app) ману, с керберосом вроде никаких проблем нет, всё работает штатно
Но вот в логах всё тот же No principal in keytab matches desired name и, соответственно, доменная аутентификация не работает =(

Подскажите зачем вообще нужна учётка в домене (usr1cv8)? И, тем более, зачем её сопоставлять с локальной учёткой на сервере?
По ману получается нужно её просто создать, но нигде не использовать...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Сентябрь 12, 2011, 09:55:46
Доброго дня, ставил 1С по этому (http://www.gilev.ru/1c/app) ману, с керберосом вроде никаких проблем нет, всё работает штатно
Но вот в логах всё тот же No principal in keytab matches desired name и, соответственно, доменная аутентификация не работает =(

Подскажите зачем вообще нужна учётка в домене (usr1cv8)? И, тем более, зачем её сопоставлять с локальной учёткой на сервере?
По ману получается нужно её просто создать, но нигде не использовать...
На сколько я понимаю, с помощью учетной записи usr1cv82 в домене сервер 1С проверяет пользователей в АД. Т.е. к этой учетке привязан keytab, с помощью которого мы получаем kerberos ticket без ввода пароля (в обычном варианте, получение тикета выполняется командой kinit "юзверь" и вводом пароля этого юзверя).

Выложите содержание krb.conf/ А аткже проверьте ещё раз получение тикета с помощью логина-пароля, а затем с помощью фалика keytab
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: Virtul от Сентябрь 20, 2011, 06:48:25
На сколько я понимаю, с помощью учетной записи usr1cv82 в домене сервер 1С проверяет пользователей в АД. Т.е. к этой учетке привязан keytab, с помощью которого мы получаем kerberos ticket без ввода пароля (в обычном варианте, получение тикета выполняется командой kinit "юзверь" и вводом пароля этого юзверя).

Выложите содержание krb.conf/ А аткже проверьте ещё раз получение тикета с помощью логина-пароля, а затем с помощью фалика keytab

т.е. этой учётке в домене никаких прав давать не нужно?

cat /etc/krb5.conf
Цитировать
[libdefaults]
default_realm = CM
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
default_tgs_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
default_tkt_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
preferred_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC

[domain_realm]
.cm = CM
cm = CM
.CM = CM
CM = CM

[dbdefaults]
ldap_kerberos_container_dn = "cn=kerberos,ou=kdcroot,dc=cm"

[dbmodules]
cm = {
    db_library = kldap
    ldap_kdc_dn = cn=kdc,ou=kdcroot,dc=cm
    ldap_kadmind_dn = cn=kadmin,ou=kdcroot,dc=cm
    ldap_service_password_file = /var/lib/kerberos/krb5kdc/cm.ldapkey
    ldap_servers = ldap://localhost/
    ldap_conns_per_server = 5
}
[realms]
CM = {
    default_domain = cm
    database_module = cm
}

[kdc]
Profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
Pam = {
    Debug = true
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = false
    krb4_convert = false
}

с получением билетиков вроде проблемы нет:
[root@vcisrv05 /]# kinit admin
Password for admin@CM:
[root@vcisrv05 /]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@CM

Valid starting     Expires            Service principal
09/20/11 10:33:51  09/20/11 20:33:56  krbtgt/CM@CM
        renew until 09/21/11 10:33:51


klist -e -k -t /opt/1C/v8.2/i386/usr1cv82.keytab
Цитировать
Keytab name: FILE:/opt/1C/v8.2/i386/usr1cv82.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   4 01/01/70 03:00:00 usr1cv82/vcisrv05.cm@CM (ArcFour with HMAC/md5)


kinit -k -t /opt/1C/v8.2/i386/usr1cv82.keytab usr1cv82/vcisrv05.cm@CM
не выдаёт ничего

klist
Цитировать
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: usr1cv82/vcisrv05.cm@CM

Valid starting     Expires            Service principal
09/20/11 10:45:05  09/20/11 20:45:07  krbtgt/CM@CM
        renew until 09/21/11 10:45:05
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: Virtul от Сентябрь 20, 2011, 07:07:00
и в логах вот это:
02:28.9215-0,EXCP,2,process=rphost,t:clientID=21,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure.  Minor code may provide more information
02:28.9216-0,EXCP,2,process=rphost,t:clientID=21,Descr='GSS-API error gss_acquire_cred: No principal in keytab matches desired name

и ещё
KRB5CCNAME environment variable is not set!
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Сентябрь 26, 2011, 04:53:49
Все работает. Версия 1С 8.2.13.202. Действительно пользователя надо прописывать \\FQDN домена\пользователь. Спасибо за подсказки.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: Virtul от Сентябрь 28, 2011, 10:42:39
Все работает. Версия 1С 8.2.13.202. Действительно пользователя надо прописывать \\FQDN домена\пользователь. Спасибо за подсказки.
а можно Ваш krb5.conf увидеть?

в отличии от этой (http://www.lissyara.su/archive/1c_8.2+postgresql/) статьи на команду klist -e -k -t /opt/1C/v8.2/x86_64/usr1cv82.keytab у меня выводится
Цитировать
4 01/01/70 03:00:00 usr1cv82/vcisrv05.cm@CM (DES cbc mode with CRC-32)
а в статье DES cbc mode with RSA-MD5
может из-за этого проблема?...
поменял в krb5.conf строки:
default_tkt_enctypes = des-cbc-crc des-cbc-md5
default_tgs_enctypes = des-cbc-crc des-cbc-md5
не помогло =(
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Сентябрь 28, 2011, 10:53:02
Вот мой текущий рабочий файлик, единственное замечание, у меня CentOS 5.5 (платформа 533) а не убунта:

[root@mskdb1 httpd]# cat /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = SAR.BIZ
 dns_lookup_realm = false
 dns_lookup_kdc = false
 default_tkt_enctypes = rc4-hmac
 default_tgs_enctypes = rc4-hmac

[realms]
 SAR.BIZ = {
  kdc = mskdc1.sar.biz:88
  default_domain = sar.biz
 }

[domain_realm]
 .sar.biz = .SAR.BIZ
 sar.biz = SAR.BIZ
 .SAR.BIZ = .SAR.BIZ
 SAR.BIZ = SAR.BIZ

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
   debug = true
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = false
   krb4_convert = false
 }
[root@mskdb1 httpd]#
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: Virtul от Сентябрь 28, 2011, 11:13:21
Вот мой текущий рабочий файлик, единственное замечание, у меня CentOS 5.5 (платформа 533) а не убунта:
у меня тоже не убунта
всё равно CRC-32 и не работает авторизация
перейти чтоли на другой дистрибутив...
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Сентябрь 28, 2011, 12:51:14
Вот мой текущий рабочий файлик, единственное замечание, у меня CentOS 5.5 (платформа 533) а не убунта:
у меня тоже не убунта
всё равно CRC-32 и не работает авторизация
перейти чтоли на другой дистрибутив...
В процессе поиска решения по аутентификации, я набредал на статью, где описана активация дополнительных алгоритмов на контроллере домена, я это в свое время проделывал (правда тогда это ничего не изменило)... Но сейчас уже не помню, что и как, помню что это касалось DC на Windows 2008.
Может поумолчанию контроллер не поддерживает HMAC/md5, поэтому при генерации кейтаба он и не использовал его...

У меня выводит на кейтаб вот это:

[root@mskdb1 httpd]# klist -e -k -t /opt/1C/v8.2/x86_64/usr1cv82.keytab
Keytab name: FILE:/opt/1C/v8.2/x86_64/usr1cv82.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
  28 01/01/70 03:00:00 usr1cv82/mskdb1.sar.biz@SAR.BIZ (ArcFour with HMAC/md5)
[root@mskdb1 httpd]#
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Октябрь 04, 2011, 01:20:27
На 533 платформе опять не работает аутентификация. ******* как же надоели эти **** из 1с со своими кривыми руками....
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: damon от Октябрь 10, 2011, 11:31:04
Работает авторизация  в 533 релизе. CentOS 6.0 . Windows 2003R2
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Октябрь 13, 2011, 07:50:31
Работает авторизация  в 533 релизе. CentOS 6.0 . Windows 2003R2
Значит дело в Центосе, а точнее в версии кербероса, который он использует. В 5,5 версия 1.6.1 и обновлений нет.
А какой алгоритм использовали при генерации keytab?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: damon от Октябрь 14, 2011, 05:09:39
по дефолту

ktpass -princ usr1cv82/dbs.domain.local@DOMAIN.LOCAL -mapuser user1c -pass password -out usr1cv82.keytab
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Октябрь 20, 2011, 07:17:19
В общем я лох чилийский и мне очень стыдно.
Зачем то в конфиге кербероса я поставил точку, которая мне казалась логичной. Итог, керберос не работал, а я убил 3 дня на поиски:

Было:

[domain_realm]
        sar.biz = SAR.BIZ
        .sar.biz = .SAR.BIZ

Надо:

[domain_realm]
        sar.biz = SAR.BIZ
        .sar.biz = SAR.BIZ


Короче, СентОС 5.5 + 537-ой релиз, полет нормальный.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: shurale от Октябрь 28, 2011, 06:18:57
2 Virtul. Вот мой krb5.conf

cat /etc/krb5.conf

[libdefaults]
   default_realm = GEPVOCE.LOCAL
   dns_lookup_realm = false
   dns_lookup_kdc = false
   default_tkt_enctypes = rc4-hmac
   default_tgs_enctypes = rc4-hmac

# The following krb5.conf variables are only for MIT Kerberos.
   krb4_config = /etc/krb.conf
   krb4_realms = /etc/krb.realms
   kdc_timesync = 1
   ccache_type = 4
   forwardable = true
   proxiable = true

[realms]
   GEPVOCE.LOCAL = {
      kdc = vega.gepvoce.local:88
      kdc = gamma.gepvoce.local:88
      admin_server = vega.gepvoce.local
      default_domain = gepvoce.local
   }

[domain_realm]
   .gepvoce.local = GEPVOCE.LOCAL
   gepvoce.local = GEPVOCE.LOCAL
   GEPVOCE.LOCAL = GEPVOCE.LOCAL
   .GEPVOCE.LOCAL = GEPVOCE.LOCAL

[login]
   krb4_convert = true
   krb4_get_tickets = false
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: Ситх от Ноябрь 25, 2011, 12:27:45
За прошедший месяц кто-нибудь достиг успехов в аутентификации в домене?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: SeaLancer от Декабрь 13, 2011, 09:28:05
На CentOS 5.5, 5.6 и 6.0 все работает корректно, на Ubuntu проблемы, потому лучше выбрать другой дистрибутив.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: zmn от Март 30, 2012, 08:44:57
Может уже и поздно отвечаю, но по поводу вот этой ошибки:

Цитировать
09:07.5331-0,EXCP,2,process=rphost,t:clientID=6,Descr='GSS-API error gss_acquire_cred: No principal in keytab matches desired name'


скорей всего проблема в том что в файле /etc/hosts не прописано fqdn имя.
Например там должно вместо имени  (srv1c)  надо писать полностью имя:  (srv1c.example.com) то есть оно должно совпадать с principal именем в файле keytab (ktpass -princ usr1cv82/srv1c.example.com@EXAMPLE.COM -mapuser usr1cv8 -pass pass1cv8 -out usr1cv82.keytab) , а оно соответственно srv1c.example.com

Хотелось бы получить подтверждение этого предположения.
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: vaikea от Июль 17, 2012, 09:53:34
возможно кому-то будет полезна следующая информация.
у меня debian 6
делал все по инструкции, но, как водится, ничего не заработало.
сначала сервер 1с ругался на отсутствие libgssapi_krb5.so, после создания симлинка - на wrong principal.
klist,kinit,wbinfo и проч. - работает отлично. с DNS проблем нет. Пользователя прописывал и как //домен/юзер, и как //домен.полное.имя/юзер. Тоже не помогло.
А помогло вот что! Я взял и скачал krb5libs от 5й центоси.
Например, здесь: http://mirror.centos.org/centos/5/os/x86_64/CentOS/krb5-libs-1.6.1-70.el5.i386.rpm
взял оттуда libgssapi_krb5.so.2.2
переименовал в libgssapi_krb5.so.2.3
скопировал его в /usr/lib
создал симлинк libgssapi_krb5.so.
после таких плясок все заработало. :) УРА!
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: railman от Июль 24, 2012, 06:33:53
Прошу прощения за глупый вопрос, а зачем вообще нужна аутентификация в домене, если можно заходить в базу через логин и пароль?
Название: Re: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.
Отправлено: altuhov от Январь 10, 2013, 01:27:54
Если у кого ещё проблема Wrong principal in request.

Так вот. Если ошибка "Wrong principal in request" - значит КЛИЕНТ (платформа 1С на рабочей станции) неверно отправляет имя домена или неполное имя домена.

Например. Имеем рабочую станцию Windows 7 или сервер Windows 2008 R2.
Попробуйте залогиниться на рабочей станции (войти в Windows) как user@domain (без .local). И получите ошибку Wrong principal in request.

Но стоит залогиниться с полным именем user@domain.local и всё работает.

Решения чтобы работало и user@domain пока не нашёл.