Ответ в теме: Как настроить /etc/hosts и krb5 для сервера лицензии 1С на Astra Linux?

3 марта 2026 в 13:45 #36005

Участник

Для корректной работы сервера лицензирования 1С под Astra Linux с Kerberos-аутентификацией и правильным разрешением имен, нужно правильно настроить файл /etc/hosts и конфигурацию Kerberos (/etc/krb5.conf). Вот подробная инструкция:

1. Настройка /etc/hosts

Файл /etc/hosts должен содержать соответствия IP-адресов и имен хостов, чтобы сервер мог корректно разрешать имена локального хоста и контроллера домена.

Пример правильного файла /etc/hosts:

127.0.0.1       localhost
192.168.29.151  srv1c.testdomain.local srv1c
192.168.29.150  testdomain-dc.testdomain.local testdomain-dc

127.0.0.1 localhost

192.168.29.151 srv1c.testdomain.local srv1c

192.168.29.150 testdomain-dc.testdomain.local testdomain-dc

Где:
— 192.168.29.151 — IP сервера лицензирования 1С (srv1c)
— 192.168.29.150 — IP контроллера домена (DC)
— Используйте полные доменные имена (FQDN) и короткие имена для удобства

Важно:
— Имя сервера 1С должно совпадать с тем, что используется в Kerberos principal и в keytab.
— Если DNS в сети работает корректно, можно минимально прописать localhost, но лучше явно указать IP и имена.

2. Настройка /etc/krb5.conf

Файл /etc/krb5.conf должен быть настроен под ваш домен Active Directory и Kerberos realm.

Пример минимального рабочего файла:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = TESTDOMAIN.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 default_tkt_enctypes = rc4-hmac
 default_tgs_enctypes = rc4-hmac

[realms]
 TESTDOMAIN.LOCAL = {
  kdc = 192.168.29.150
  admin_server = 192.168.29.150
 }

[domain_realm]
 .testdomain.local = TESTDOMAIN.LOCAL
 testdomain.local = TESTDOMAIN.LOCAL

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = TESTDOMAIN.LOCAL

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

renew_lifetime = 7d

forwardable = true

default_tkt_enctypes = rc4-hmac

default_tgs_enctypes = rc4-hmac

[realms]

TESTDOMAIN.LOCAL = {

kdc = 192.168.29.150

admin_server = 192.168.29.150

}

[domain_realm]

.testdomain.local = TESTDOMAIN.LOCAL

testdomain.local = TESTDOMAIN.LOCAL

Где:
— TESTDOMAIN.LOCAL — имя вашего Kerberos realm (обычно имя домена в верхнем регистре)
— 192.168.29.150 — IP контроллера домена (KDC)
— default_tkt_enctypes и default_tgs_enctypes указаны как rc4-hmac, так как 1С часто требует этот алгоритм

3. Дополнительные рекомендации

— Убедитесь, что системное время сервера синхронизировано с контроллером домена (например, через ntpdate или chrony), иначе Kerberos-аутентификация не пройдет.
— Ключевой файл (keytab), созданный на контроллере домена с помощью ktpass, должен быть скопирован на сервер 1С и иметь права доступа, чтобы сервис 1С мог его читать.
— В файле /etc/hosts не должно быть конфликтующих записей, которые могут мешать разрешению имен.
— Проверьте работу Kerberos командой:

kinit usr1c@TESTDOMAIN.LOCAL
klist

1 2	kinit usr1c@TESTDOMAIN.LOCAL klist

Если билет получен — настройка корректна.

— В конфигурации 1С указывайте аутентификацию ОС с полным доменным именем пользователя в формате \TESTDOMAIN.LOCALusr1c.

Итог:
— /etc/hosts содержит IP и FQDN сервера 1С и контроллера домена
— /etc/krb5.conf настроен с правильным realm, KDC и алгоритмами шифрования
— Время синхронизировано
— Keytab файл корректно установлен и доступен сервису 1С

Вы пропустили

Новый курс «Администратор 1С v4.1»

Автономный сервер 1С — публикация ИБ

Установка PostgreSQL 17 для 1С на Windows server 2022

Как запустить «Сервер 1С» на Ubuntu 24.04 LTS ?