Добрый день форумчане. Уже пол дня мучаюсь с настройкой доменной аутентификации.
Помогите советом.
Итак, исходные данные:
1) Сервер 1С Предприятие установлен на Debian
2) Active directory - Windows server 2008
3) Пользователи пользуются тонким клиентом, установленным на свои рабочие станции.
Настраивал аутентификацию по инструкции: http://pro1c.org.ua/redirect.php?https://its.1c.ru/db/metod8dev/content/2799/hdoc
Как сказано в конце инструкции "Далее проверим возможность работы Kerberos без пароля с использованием секретного ключа. С помощью команды kinit..."
Выполняю команду - kinit -k -t /opt/1C/v8.1/i386/usr1cv81.keytab usr1cv81/srv1c.krb.local@KRB.LOCAL
консоль ее проглатывает без ошибок. Со стороны AD сервера вижу запрос в логах:
Запрошен билет проверки подлинности Kerberos(TGT).
Сведения об учетной записи:
Имя учетной записи: usr1cv8
Запрос прошел, но вот при запуске 1С я не вижу даже попыток запроса.
Подскажите, в какую сторону копать или помогите советом.
P.S. Да, в инструкции указана версия 1С 8.2, но подумал что схожи методы настройки.
Как вариант: Сделать симлинк на либу libgssapi_krb5.so. В инструкции про это не написано.
Или включить технологический журнал на сервере 1с и курить, что в него напишет.
<config xmlns="http://v8.1c.ru/v8/tech-log">
<log location="/tmp/v82-logs" history="24">
<event>
<eq property="name" value="EXCP"/>
</event>
<event>
<eq property="name" value="CONN"/>
</event>
<property name="all">
</property>
</log>
</config>
Flexy @ Сегодня, 13:39
,
Спасибо, за совет, но в /usr/lib/ есть libgssapi_krb5.so, libgssapi_krb5.so.2, libgssapi_krb5.so.2.2
Включение журнала показало в логах 2 любопытные строчки:
15:06.780000-0,EXCP,2,process=rphost,p:processName=BASE,t:clientID=791,t:applicationName=1CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure. Minor code may provide more information
'^
15:06.780001-0,EXCP,2,process=rphost,p:processName=BASE,t:clientID=791,t:applicationName=1CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: No such file or directory
'^
Flexy @ Сегодня, 15:57
,
Стоп, тут поподробнее. Либу libgssapi_krb5.sо?
Выполняю s1capp:/opt/1C/v8.3/x86_64# find / -name "libgssapi*.*" -print
Плучаю выхлоп:
/emul/ia32-linux/usr/lib/libgssapi_krb5.so.2.2
/emul/ia32-linux/usr/lib/libgssapi_krb5.so.2
/usr/lib/libgssapi_krb5.so.2.2
/usr/lib/libgssapi_krb5.so
/usr/lib/libgssapi_krb5.so.2
На команду: ln -s /usr/lib/libgssapi_krb5.so{.2,}
Выхлоп: ln: creating symbolic link `/usr/lib/libgssapi_krb5.so': File exists
Или должна быть libkrb5.so?
Flexy @ Сегодня, 16:22
,
Ничего не изменилось в логе по прежнему та же запись. Может это связано с директорией из которой запускаю команду?
/opt/1C/v8.3/x86_64#
А что у пользователя в настройках 1С в поле пользователь написано? Должно быть что-то типа: \\mydomain.local\user1c. mydomain.local - должно быть полное имя домена.
Flexy @ Сегодня, 16:43
,
Сейчас прописано \\DOMAIN\pupkin.v
Попробую сделать \\DOMAIN\pupkin.v.DOMAIN
daimos12 @ Сегодня, 15:54
,
Хз как в Debian, но в Centos без указания полного FQDN домена не работало...
Flexy @ Сегодня, 16:57
,
Не помогло не с дописанным Domain, не без Domain.
Что говорит klist -e -k -t /opt/1C/v8.1/i386/usr1cv81.keytab ?
s1capp:/# klist -e -k -t /opt/1C/v8.3/x86_64/usr1cv83.keytab
Keytab name: FILE:/opt/1C/v8.3/x86_64/usr1cv83.keytab
KVNO Timestamp Principal
---- ----------------- --------------------------------------------------------
15 01/01/70 03:00:00 usr1cv82/s1capp.domain@DOMAIN (ArcFour with HMAC/md5)
В конфиге krb5.conf указан тип шифрования:
[libdefaults]
default_realm = DOMAIN
forwardable = true
proxiable = true
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
KRB5CCNAME=DIR:/tmp/
Версия ядра Debian?
Flexy @ Сегодня, 11:18
,
Ядро - Linux 2.6.26-2-amd64 x86_64
Дистрибутив:
Distributor ID: Debian
Description: Debian GNU/Linux 5.0.6 (lenny)
Release: 5.0.6
Codename: lenny
Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7
https://pro1c.org.ua