Декабрь 12, 2017, 12:11:22

Автор Тема: 1C 8.2.12-96 на Ubuntu Server 10.04 x64 и аутентификация в домене AD.  (Прочитано 44295 раз)

SeaLancer

  • Опытный пользователь
  • ***
  • Сообщений: 115
  • Карма: +1/-0
    • Просмотр профиля
А по поводу, AD и 8ки нифига хорошей документации нет ... может кто расскажет последовательность действий, как для ребёнка 5 лет?
Таки смысл если не работает? :-)

lion

  • Administrator
  • Супер пользователь
  • *****
  • Сообщений: 279
  • Карма: +2/-0
    • Просмотр профиля
    • SoftLine
    • Email
ну вот допустим, я бы щаз зная, что вы делали в какой последовательности, прошёл бы тот же путь и думаю, узнал бы что дальше попробовать, например хотябы что я на Мандриве тоже самое пробовал...

shurale

  • Новичок
  • *
  • Сообщений: 40
  • Карма: +1/-0
    • Просмотр профиля
Я пробовал и на 32 разрядной версии сервера убунты. И ключ втыкал рабочий (USB). Система не ругается на керберос и авторизацию, а тихонько меня в логах посылает - мол нет ключа (хаспа) и все тут. В понедельник буду на работе, попробую выложить логи с сервера и клиента. Sealancer-у. У вас кажись не так файл кейтаба сформирован или в krb5.conf ошибочка или недописано что то. Надо гугля спросить по этому поводу. Также в понедельник отошлю логи в техподдержку 1С. И будем ждать ответ.

lion

  • Administrator
  • Супер пользователь
  • *****
  • Сообщений: 279
  • Карма: +2/-0
    • Просмотр профиля
    • SoftLine
    • Email
а если пропатчить bkend ? ну для пробы разумеется ....

shurale

  • Новичок
  • *
  • Сообщений: 40
  • Карма: +1/-0
    • Просмотр профиля
Сорри, немного не вкурил, причем тут Bkend?

SeaLancer

  • Опытный пользователь
  • ***
  • Сообщений: 115
  • Карма: +1/-0
    • Просмотр профиля
. Sealancer-у. У вас кажись не так файл кейтаба сформирован или в krb5.conf ошибочка или недописано что то. Надо гугля спросить по этому поводу. Также в понедельник отошлю логи в техподдержку 1С. И будем ждать ответ.
Таки пробовал и по Гилеву и по другим инструкциям, один фиг, не работает. Да, собственно, и путаться то негде - билет получает и с паролем и с ключем, wbinfo отрабатывает нормально. Настроил там же самбу и шары уж для интереса, тоже все без проблем, кого надо из домена, пускает, кого не надо - не пускает. Все работает, кроме этой *** аутентификации в 1с...
Файл генерил этой командой:
C:\>ktpass -princ usr1cv82/db-tst.sar.biz@SAR.BIZ -mapuser usr1cv8 -pass pass1cv8 -out c:\usr1cv82.keytab

В krb5.conf тоже плутать негде:
root@mskdb1:/etc# cat krb5.conf
[logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log

[libdefaults]
        default_realm = sar.biz
        dns_lookup_realm = false
        dns_lookup_kdc = false
        default_tkt_enctypes = rc4-hmac
        default_tgs_enctypes = rc4-hmac

[realms]
        SAR.BIZ = {
                kdc = mskdc1.sar.biz:88
                default_domain = sar.biz
                        }
[domain_realm]
        sar.biz = SAR.BIZ
        .sar.biz = SAR.BIZ
        SAR.BIZ = SAR.BIZ
        .SAR.BIZ = SAR.BIZ

[kdc]
Profile = /etc/krb5kdc/kdc.conf

[appdefaults]
        pam = {
        debug = true
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = false
        krb4_convert = false
}

SeaLancer

  • Опытный пользователь
  • ***
  • Сообщений: 115
  • Карма: +1/-0
    • Просмотр профиля
У меня, кстати, прогресс. Клиент ошибок не пишет, а в логах сервака:

35:45.4172-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Unspecified GSS failure.  Minor code may provide more information
35:45.4173-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Wrong principal in request

 :)

lion

  • Administrator
  • Супер пользователь
  • *****
  • Сообщений: 279
  • Карма: +2/-0
    • Просмотр профиля
    • SoftLine
    • Email
"и что значит оказалось..."

когда начинаешь выбирать пользователя для авторизации через Windows, в 8.2 под wine 1.3.5

"fixme:netapi32:NetQueryDisplayInformation Level 1 partially implemented"

:-) я так понимаю придётся и это библиотечку и её зависимости тоже в комплект dll вталкивать :-)

lion

  • Administrator
  • Супер пользователь
  • *****
  • Сообщений: 279
  • Карма: +2/-0
    • Просмотр профиля
    • SoftLine
    • Email
У меня, кстати, прогресс. Клиент ошибок не пишет, а в логах сервака:

35:45.4172-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Unspecified GSS failure.  Minor code may provide more information
35:45.4173-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Wrong principal in request

 :)

А чё делали то?

SeaLancer

  • Опытный пользователь
  • ***
  • Сообщений: 115
  • Карма: +1/-0
    • Просмотр профиля
У меня, кстати, прогресс. Клиент ошибок не пишет, а в логах сервака:

35:45.4172-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Unspecified GSS failure.  Minor code may provide more information
35:45.4173-0,EXCP,2,process=rphost,t:clientID=67,Descr='GSS-API error accepting context: Wrong principal in request

 :)

А чё делали то?
Танцы с бубном и разнообразные варианты конфигов. Описывать пока не вижу смысла, т.к. все равно не работает...

lion

  • Administrator
  • Супер пользователь
  • *****
  • Сообщений: 279
  • Карма: +2/-0
    • Просмотр профиля
    • SoftLine
    • Email
я тоже долго бился с Wine для 7ки ... (месяца два) ...
тема то реально интересная, а решения нет ... и я пока торможу ... может будет хоть намёк, пишите ...

shurale

  • Новичок
  • *
  • Сообщений: 40
  • Карма: +1/-0
    • Просмотр профиля
Недавно встретил одноклассника. Разговорились. Он мне также сказал , что они пробовали сделать это давно и под КраснойШапкой, но у них это тоже не получилось. Похоже на гонево от 1С. Хотя есть в инете спецы, которые пишут, что работает. Но к сожалению информации - мизер.

AlexYankee

  • Новичок
  • *
  • Сообщений: 1
  • Карма: +0/-0
    • Просмотр профиля
Специально зарегистрировался ради этой темы. Такая же ситуация.
AD на Windows, x64 Сервер на Debian Squeeze GNU\Linux AMD64.
Всё работает, кроме авторизации через домен. Keytab-файл работает как надо, пуская под собой в Kerberos.
В логах 1С всё тоже беспристрастное Wrong principal in request.
Кстати, посмотрел лог сервера на Windows, там немного другая последовательность строк, относящихся к GSS-API. Хотя это конечно может быть и из-за различий реализации.
Ребят, не забрасывайте тему :(

SeaLancer

  • Опытный пользователь
  • ***
  • Сообщений: 115
  • Карма: +1/-0
    • Просмотр профиля
Ребят, не забрасывайте тему :(
Лично я планирую опять вернутся к этому вопросу когда разберусь с вылетами юзверей...

DustKiller

  • Новичок
  • *
  • Сообщений: 1
  • Карма: +0/-0
    • Просмотр профиля
    • Email
Столкнулись с этой же проблемой при переходе с 8.1 на 8.2. Делали всё по инструкции, тесты успешны, 1С авторизует только через пароль. В итоге опытным путём было обнаружено, что если в настройках пользователя 1С в разделе Аутентификация Windows в ручную изменить предлагаемый путь вида \\DOMAIN\user на \\DOMAIN.RU\user авторизация начинает работать. В указанном примере DOMAIN.RU - полное имя нашего домена.