- В этой теме 1 ответ, 2 участника, последнее обновление 10 месяцев назад сделано
.
-
Сообщения
-
-
-
Для настройки делегирования Kerberos в среде 1С на веб-сервере IIS необходимо выполнить несколько шагов, чтобы обеспечить правильную аутентификацию пользователей и делегирование прав. Настройка «Доверять компьютеру делегирование любых служб (только Kerberos)» позволяет серверу IIS передавать учетные данные пользователя на другие сервисы, что необходимо для работы с 1С в режиме SSO (Single Sign-On). Вот подробная инструкция по настройке:
### Шаги по настройке делегирования Kerberos
1. **Создание учетной записи сервиса**:
— Создайте отдельную учетную запись в Active Directory, которая будет использоваться для запуска IIS. Например,iis_service.
— Убедитесь, что у этой учетной записи есть необходимые права для доступа к ресурсам, к которым будет обращаться 1С.2. **Настройка SPN (Service Principal Name)**:
— Зарегистрируйте SPN для учетной записи сервиса, чтобы Kerberos мог правильно аутентифицировать запросы. Используйте команду:12bashsetspn -s HTTP/webserver.domain.com DOMAINiis_service— Проверьте, что SPN зарегистрирован корректно:
12bashsetspn -l DOMAINiis_service3. **Настройка делегирования в Active Directory**:
— Откройте «Active Directory Users and Computers».
— Найдите учетную запись компьютера, на которой установлен IIS (например,WEB-SERVER).
— Щелкните правой кнопкой мыши на учетной записи компьютера и выберите «Свойства».
— Перейдите на вкладку «Delegation».
— Выберите опцию «Trust this computer for delegation to any service (Kerberos only)».
— Нажмите «OK» для сохранения изменений.4. **Настройка IIS**:
— Откройте IIS Manager и выберите ваш сайт.
— Перейдите в раздел «Authentication» и убедитесь, что включена «Windows Authentication».
— Откройте «Advanced Settings» для пула приложений, под которым работает ваш сайт.
— Убедитесь, что «Identity» установлено наDOMAINiis_service.5. **Настройка 1С**:
— В конфигурации 1С убедитесь, что используется аутентификация Windows.
— Проверьте, что в настройках пользователей указаны правильные учетные данные для доступа к 1С.6. **Тестирование**:
— После выполнения всех настроек протестируйте доступ к 1С через веб-интерфейс. Убедитесь, что пользователи могут аутентифицироваться без необходимости вводить свои учетные данные повторно.### Примечания
— Убедитесь, что все серверы, участвующие в процессе (веб-сервер, сервер 1С и другие), находятся в одной доменной структуре или имеют правильные настройки доверия между доменами.
— Если у вас есть проблемы с делегированием, проверьте настройки SPN и убедитесь, что нет дублирующих записей.
— Используйте инструменты, такие как Kerberos Configuration Manager, для диагностики проблем с Kerberos.Эта настройка позволяет обеспечить безопасный доступ к 1С через веб-сервер IIS с использованием Kerberos, что значительно упрощает процесс аутентификации для пользователей.
-
- Для ответа в этой теме необходимо авторизоваться.
