Заказы на доработку 1С (сервис удаленной работы)
Хранилище
База знаний
Неназначенных незавершенных заказов: 2, свеженьких 1
 Бесплатные отчеты, обработки, конфигурации, внешние компоненты для 1С Статьи, описание работы, методики по работе с 1С

Здравствуйте, гость ( Вход | Зарегистрироваться )



> Проблемы в настройке Kerberos-аутентификации для Linux сервера 1С:Предприятия 8.3          
daimos12 Подменю пользователя
сообщение 02.08.17, 11:40
Сообщение #1

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

Добрый день форумчане. Уже пол дня мучаюсь с настройкой доменной аутентификации. 47046430.gif 09000000.gif
Помогите советом.
Итак, исходные данные:
1) Сервер 1С Предприятие установлен на Debian
2) Active directory - Windows server 2008
3) Пользователи пользуются тонким клиентом, установленным на свои рабочие станции.
Настраивал аутентификацию по инструкции: [необходимо зарегистрироваться для просмотра ссылки]

Как сказано в конце инструкции "Далее проверим возможность работы Kerberos без пароля с использованием секретного ключа. С помощью команды kinit..."
Выполняю команду - kinit -k -t /opt/1C/v8.1/i386/usr1cv81.keytab usr1cv81/srv1c.krb.local@KRB.LOCAL
консоль ее проглатывает без ошибок. Со стороны AD сервера вижу запрос в логах:
Запрошен билет проверки подлинности Kerberos(TGT).
Сведения об учетной записи:
Имя учетной записи: usr1cv8
Запрос прошел, но вот при запуске 1С я не вижу даже попыток запроса.
Подскажите, в какую сторону копать или помогите советом. help.gif help.gif

P.S. Да, в инструкции указана версия 1С 8.2, но подумал что схожи методы настройки.

Flexy Подменю пользователя
сообщение 02.08.17, 12:39
Сообщение #2

Танцор с Бубном
Иконка группы
Группа: Местный
Сообщений: 1121
Из: Днепра
Спасибо сказали: 230 раз
Рейтинг: 0

Как вариант: Сделать симлинк на либу libgssapi_krb5.so. В инструкции про это не написано.
Или включить технологический журнал на сервере 1с и курить, что в него напишет.
<config xmlns="http://v8.1c.ru/v8/tech-log">
    <log location="/tmp/v82-logs" history="24">
        <event>
            <eq property="name" value="EXCP"/>
        </event>
        <event>
            <eq property="name" value="CONN"/>
        </event>
        <property name="all">
        </property>
    </log>
</config>

daimos12 Подменю пользователя
сообщение 02.08.17, 14:37
Сообщение #3

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

Flexy @ Сегодня, 13:39 * ,
Спасибо, за совет, но в /usr/lib/ есть libgssapi_krb5.so, libgssapi_krb5.so.2, libgssapi_krb5.so.2.2

Включение журнала показало в логах 2 любопытные строчки:
15:06.780000-0,EXCP,2,process=rphost,p:processName=BASE,t:clientID=791,t:applicationName=1CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure. Minor code may provide more information
'^
15:06.780001-0,EXCP,2,process=rphost,p:processName=BASE,t:clientID=791,t:applicationName=1CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: No such file or directory
'^

Flexy Подменю пользователя
сообщение 02.08.17, 14:57
Сообщение #4

Танцор с Бубном
Иконка группы
Группа: Местный
Сообщений: 1121
Из: Днепра
Спасибо сказали: 230 раз
Рейтинг: 0

Цитата(daimos12 @ 02.08.17, 14:37) *
GSS-API error gss_acquire_cred: No such file or directory

Видно, что не находит либу.

daimos12 Подменю пользователя
сообщение 02.08.17, 15:07
Сообщение #5

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

Flexy @ Сегодня, 15:57 * ,
Стоп, тут поподробнее. Либу libgssapi_krb5.sо?
Выполняю s1capp:/opt/1C/v8.3/x86_64# find / -name "libgssapi*.*" -print
Плучаю выхлоп:
/emul/ia32-linux/usr/lib/libgssapi_krb5.so.2.2
/emul/ia32-linux/usr/lib/libgssapi_krb5.so.2
/usr/lib/libgssapi_krb5.so.2.2
/usr/lib/libgssapi_krb5.so
/usr/lib/libgssapi_krb5.so.2

На команду: ln -s /usr/lib/libgssapi_krb5.so{.2,}
Выхлоп: ln: creating symbolic link `/usr/lib/libgssapi_krb5.so': File exists

Или должна быть libkrb5.so?

Flexy Подменю пользователя
сообщение 02.08.17, 15:22
Сообщение #6

Танцор с Бубном
Иконка группы
Группа: Местный
Сообщений: 1121
Из: Днепра
Спасибо сказали: 230 раз
Рейтинг: 0

Цитата(daimos12 @ 02.08.17, 15:07) *
Или должна быть libkrb5.so?

Попробуйте. По памяти, вроде да.

daimos12 Подменю пользователя
сообщение 02.08.17, 15:30
Сообщение #7

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

Flexy @ Сегодня, 16:22 * ,
Ничего не изменилось в логе по прежнему та же запись. Может это связано с директорией из которой запускаю команду?
/opt/1C/v8.3/x86_64#

Flexy Подменю пользователя
сообщение 02.08.17, 15:43
Сообщение #8

Танцор с Бубном
Иконка группы
Группа: Местный
Сообщений: 1121
Из: Днепра
Спасибо сказали: 230 раз
Рейтинг: 0

А что у пользователя в настройках 1С в поле пользователь написано? Должно быть что-то типа: \\mydomain.local\user1c. mydomain.local - должно быть полное имя домена.

daimos12 Подменю пользователя
сообщение 02.08.17, 15:54
Сообщение #9

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

Flexy @ Сегодня, 16:43 * ,
Сейчас прописано \\DOMAIN\pupkin.v
Попробую сделать \\DOMAIN\pupkin.v.DOMAIN

Flexy Подменю пользователя
сообщение 02.08.17, 15:57
Сообщение #10

Танцор с Бубном
Иконка группы
Группа: Местный
Сообщений: 1121
Из: Днепра
Спасибо сказали: 230 раз
Рейтинг: 0

daimos12 @ Сегодня, 15:54 * ,
Хз как в Debian, но в Centos без указания полного FQDN домена не работало...

Сообщение отредактировал Flexy - 02.08.17, 15:57

daimos12 Подменю пользователя
сообщение 02.08.17, 16:13
Сообщение #11

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

Flexy @ Сегодня, 16:57 * ,
Не помогло не с дописанным Domain, не без Domain.

Flexy Подменю пользователя
сообщение 02.08.17, 16:52
Сообщение #12

Танцор с Бубном
Иконка группы
Группа: Местный
Сообщений: 1121
Из: Днепра
Спасибо сказали: 230 раз
Рейтинг: 0

Что говорит klist -e -k -t /opt/1C/v8.1/i386/usr1cv81.keytab ?

daimos12 Подменю пользователя
сообщение 03.08.17, 10:14
Сообщение #13

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

s1capp:/# klist -e -k -t /opt/1C/v8.3/x86_64/usr1cv83.keytab
Keytab name: FILE:/opt/1C/v8.3/x86_64/usr1cv83.keytab
KVNO Timestamp Principal
---- ----------------- --------------------------------------------------------
15 01/01/70 03:00:00 usr1cv82/s1capp.domain@DOMAIN (ArcFour with HMAC/md5)

В конфиге krb5.conf указан тип шифрования:

[libdefaults]
default_realm = DOMAIN
forwardable = true
proxiable = true
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
KRB5CCNAME=DIR:/tmp/

Flexy Подменю пользователя
сообщение 03.08.17, 10:18
Сообщение #14

Танцор с Бубном
Иконка группы
Группа: Местный
Сообщений: 1121
Из: Днепра
Спасибо сказали: 230 раз
Рейтинг: 0

Версия ядра Debian?

daimos12 Подменю пользователя
сообщение 03.08.17, 10:21
Сообщение #15

Общительный
**
Группа: Пользователи
Сообщений: 15
Спасибо сказали: 0 раз
Рейтинг: 0

Flexy @ Сегодня, 11:18 * ,
Ядро - Linux 2.6.26-2-amd64 x86_64
Дистрибутив:

Distributor ID: Debian
Description: Debian GNU/Linux 5.0.6 (lenny)
Release: 5.0.6
Codename: lenny

Не нашли ответа на свой вопрос?
Зарегистрируйтесь и задайте новый вопрос.

 

Ответить Новая тема
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

RSS Текстовая версия Сейчас: 18.04.24, 21:45
Форум IP.Board © 2024  IPS, Inc.
1С Предприятие 8.3, 1С Предприятие 8.2, 1С Предприятие 8.1, 1С Предприятие 8.0, 1С Предприятие 7.7, Литература 1С, Общие вопросы по администрированию 1С, Методическая поддержка 1С - всё в одном месте: на Украинском 1С форуме!