- Технологический стек
- Архитектура решения
- Установка и настройка MULTIDIRECTORY
- Настройка Kerberos
- Настройка DNS
- Настройка DHCP
- Доверие доменов
- Групповые политики
- Подключение MF SelfService Portal к MD
- Управление пользователями, группами и ресурсами
- Подключение 2FA MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в GitFlic
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в Nexus
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Proxmox VE
- LDAP-аутентификация в Rancher
- LDAP-аутентификация в SpaceVM
- LDAP-аутентификация в Tantor
- LDAP-аутентификация в Штурвал
Инструкция по настройке Kerberos-аутентификации в 1С
Краткое описание
В статье описывается настройка Kerberos -аутентификации в 1С, где поставщиком учетных записей является MULTIDIRECTORY.
Требование к установке
- Установленная служба каталогов MULTIDIRECTORY.
- Развернутая система 1С-server.
Настройка 1С-server
Имя хоста следует задать, как полное FQDN имя сервера, в противном случае, клиенты при обращении к KDC серверу за сервисными билетами (TGS) будут запрашивать их на короткое имя usr1cv8/1csrv@DOMAIN.LOC и получать ошибку, что такого принципала в базе данных не существует.
Пример:
sudo hostnamectl set-hostname 1csrv.md.loc
Настройка имени кластера
При использовании кластера серверов, необходимо задать имя кластера.
Изменив следующие параметры в указанных файлах:
/home/usr1cv8/.1cv8/1C/1cv8/1cv8wsrv.lst
/home/usr1cv8/.1cv8/1C/1cv8/reg_1541/1CV8Clst.lst
Примечание
В случае, не возможности редактирования данного файла, остановите на момент редактирования сервис:
sudo systemctl stop srv1cv8-8.3.*@default -- *-версия 1С.
Далее следует ввести узел 1с-server в домен, использую join.sh.
Настройка MULTIDIRECTORY
Добавьте DNS запись «Настройки Multidirectory» -> «Настройки DNS».
Описание полей
- Имя – укажите FQDN 1С-server;
- Значение – укажите ip-адрес 1С-server;
- Тип – A-запись.
Создайте kerberos принципал для обращения к сервису 1С «Настройки Multidirectory» -> «Принципалы Kerberos» -> «Добавить».
Пример:
usr1cv8/1csrv.md.loc
После добавления, выгрузите данный принципал в систему и загрузите его на узел 1С-server.
Keytab-файл используется сервером 1С для расшифровки сервисных билетов.
Измените название krb5.keytab в usr1cv8.keytab, далее скопируйте keytab в каталог /opt/1cv8/x86_64/8.3.*/ и разрешить чтение/запись для пользователя 1С и группы.
chown usr1cv8:grp1cv8 /opt/1cv8/x86_64/8.3.*/usr1cv8.keytab chmod 600 /opt/1cv8/x86_64/8.3.*/usr1cv8.keytab
Настройка пользователей в 1С
Для аутентификации пользователей в 1С, необходимо добавить учетную запись MULTIDIRECTORY в базу 1С, перейдите «Администрирование» -> «Добавить».
Описание полей
- Имя – любое наименование.
- Аутентификация операционной системы – активируйте чекбокс.
- Пользователь – укажите учетную запись MD с указание домена.
- пример: \\md.loc\user-md
Авторизация пользователей в 1С
Клиентская машина обязательно должна быть в домене MULTIDIRECTORY.
Войдите в систему под учетными данными MD.
Войдите в систему 1С:Предприятия.
При авторизации, используется ранее созданный keytab файл.
