Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7 > Проблемы в настройке Kerberos-аутентификации для Linux сервера 1С:Предприятия 8.3

Помощь - Поиск - Пользователи - Календарь

Полная версия этой страницы: Проблемы в настройке Kerberos-аутентификации для Linux сервера 1С:Предприятия 8.3

Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7 > Администратору 1С / Системному администратору / Администратору баз данных > Администрирование и настройка 1С

daimos12

02.08.17, 11:40

Добрый день форумчане. Уже пол дня мучаюсь с настройкой доменной аутентификации.

Помогите советом.
Итак, исходные данные:
1) Сервер 1С Предприятие установлен на Debian
2) Active directory - Windows server 2008
3) Пользователи пользуются тонким клиентом, установленным на свои рабочие станции.
Настраивал аутентификацию по инструкции: необходимо зарегистрироваться для просмотра ссылки

Как сказано в конце инструкции "Далее проверим возможность работы Kerberos без пароля с использованием секретного ключа. С помощью команды kinit..."
Выполняю команду - kinit -k -t /opt/1C/v8.1/i386/usr1cv81.keytab usr1cv81/srv1c.krb.local@KRB.LOCAL
консоль ее проглатывает без ошибок. Со стороны AD сервера вижу запрос в логах:
Запрошен билет проверки подлинности Kerberos(TGT).
Сведения об учетной записи:
Имя учетной записи: usr1cv8
Запрос прошел, но вот при запуске 1С я не вижу даже попыток запроса.
Подскажите, в какую сторону копать или помогите советом.

P.S. Да, в инструкции указана версия 1С 8.2, но подумал что схожи методы настройки.

Flexy

02.08.17, 12:39

Как вариант: Сделать симлинк на либу libgssapi_krb5.so. В инструкции про это не написано.
Или включить технологический журнал на сервере 1с и курить, что в него напишет.

<config xmlns="http://v8.1c.ru/v8/tech-log">
    <log location="/tmp/v82-logs" history="24">
        <event>
            <eq property="name" value="EXCP"/>
        </event>
        <event>
            <eq property="name" value="CONN"/>
        </event>
        <property name="all">
        </property>
    </log>
</config>

daimos12

02.08.17, 14:37

Flexy @ Сегодня, 13:39 необходимо зарегистрироваться для просмотра ссылки ,
Спасибо, за совет, но в /usr/lib/ есть libgssapi_krb5.so, libgssapi_krb5.so.2, libgssapi_krb5.so.2.2

Включение журнала показало в логах 2 любопытные строчки:
15:06.780000-0,EXCP,2,process=rphost,p:processName=BASE,t:clientID=791,t:applicationName=1CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure. Minor code may provide more information
'^
15:06.780001-0,EXCP,2,process=rphost,p:processName=BASE,t:clientID=791,t:applicationName=1CV8C,t:computerName=TEST-PC,t:connectID=384,Descr='GSS-API error gss_acquire_cred: No such file or directory
'^

Flexy

02.08.17, 14:57

Цитата(daimos12 @ 02.08.17, 14:37) необходимо зарегистрироваться для просмотра ссылки

GSS-API error gss_acquire_cred: No such file or directory

Видно, что не находит либу.

daimos12

02.08.17, 15:07

Flexy @ Сегодня, 15:57 необходимо зарегистрироваться для просмотра ссылки ,
Стоп, тут поподробнее. Либу libgssapi_krb5.sо?
Выполняю s1capp:/opt/1C/v8.3/x86_64# find / -name "libgssapi*.*" -print
Плучаю выхлоп:
/emul/ia32-linux/usr/lib/libgssapi_krb5.so.2.2
/emul/ia32-linux/usr/lib/libgssapi_krb5.so.2
/usr/lib/libgssapi_krb5.so.2.2
/usr/lib/libgssapi_krb5.so
/usr/lib/libgssapi_krb5.so.2

На команду: ln -s /usr/lib/libgssapi_krb5.so{.2,}
Выхлоп: ln: creating symbolic link `/usr/lib/libgssapi_krb5.so': File exists

Или должна быть libkrb5.so?

Flexy

02.08.17, 15:22

Цитата(daimos12 @ 02.08.17, 15:07) необходимо зарегистрироваться для просмотра ссылки

Или должна быть libkrb5.so?

Попробуйте. По памяти, вроде да.

daimos12

02.08.17, 15:30

Flexy @ Сегодня, 16:22 необходимо зарегистрироваться для просмотра ссылки ,
Ничего не изменилось в логе по прежнему та же запись. Может это связано с директорией из которой запускаю команду?
/opt/1C/v8.3/x86_64#

Flexy

02.08.17, 15:43

А что у пользователя в настройках 1С в поле пользователь написано? Должно быть что-то типа: \\mydomain.local\user1c. mydomain.local - должно быть полное имя домена.

daimos12

02.08.17, 15:54

Flexy @ Сегодня, 16:43 необходимо зарегистрироваться для просмотра ссылки ,
Сейчас прописано \\DOMAIN\pupkin.v
Попробую сделать \\DOMAIN\pupkin.v.DOMAIN

Flexy

02.08.17, 15:57

daimos12 @ Сегодня, 15:54 необходимо зарегистрироваться для просмотра ссылки ,
Хз как в Debian, но в Centos без указания полного FQDN домена не работало...

daimos12

02.08.17, 16:13

Flexy @ Сегодня, 16:57 необходимо зарегистрироваться для просмотра ссылки ,
Не помогло не с дописанным Domain, не без Domain.

Flexy

02.08.17, 16:52

Что говорит klist -e -k -t /opt/1C/v8.1/i386/usr1cv81.keytab ?

daimos12

03.08.17, 10:14

s1capp:/# klist -e -k -t /opt/1C/v8.3/x86_64/usr1cv83.keytab
Keytab name: FILE:/opt/1C/v8.3/x86_64/usr1cv83.keytab
KVNO Timestamp Principal
---- ----------------- --------------------------------------------------------
15 01/01/70 03:00:00 usr1cv82/s1capp.domain@DOMAIN (ArcFour with HMAC/md5)

В конфиге krb5.conf указан тип шифрования:

[libdefaults]
default_realm = DOMAIN
forwardable = true
proxiable = true
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
KRB5CCNAME=DIR:/tmp/

Flexy

03.08.17, 10:18

Версия ядра Debian?

daimos12

03.08.17, 10:21

Flexy @ Сегодня, 11:18 необходимо зарегистрироваться для просмотра ссылки ,
Ядро - Linux 2.6.26-2-amd64 x86_64
Дистрибутив:

Distributor ID: Debian
Description: Debian GNU/Linux 5.0.6 (lenny)
Release: 5.0.6
Codename: lenny

Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.