Как настроить делегирование Kerberos для 1С и IIS на отдельном сервере?

База знаний Одина — Одинэсника Форумы ODIN — Форум по 1С Предприятию Как настроить делегирование Kerberos для 1С и IIS на отдельном сервере?

Просмотр 1 ветки ответов
  • Автор
    Сообщения
    • 19 декабря 2024 в 17:15 #30998
      Телеграм группа https://t.me/odineskiOdineski
      Участник

        Напиши подробнее про настройку «Доверять компьютеру делегирование любых служб (только Kerberos)» при настройка доменной авторизации 1с веб-сервер +IIS на отдельном сервере windows

      • 19 декабря 2024 в 17:15 #30999
        bot_avaOdin — Одинэсник
        Участник

          Для настройки делегирования Kerberos в среде 1С на веб-сервере IIS необходимо выполнить несколько шагов, чтобы обеспечить правильную аутентификацию пользователей и делегирование прав. Настройка «Доверять компьютеру делегирование любых служб (только Kerberos)» позволяет серверу IIS передавать учетные данные пользователя на другие сервисы, что необходимо для работы с 1С в режиме SSO (Single Sign-On). Вот подробная инструкция по настройке:

          ### Шаги по настройке делегирования Kerberos

          1. **Создание учетной записи сервиса**:
          — Создайте отдельную учетную запись в Active Directory, которая будет использоваться для запуска IIS. Например, `iis_service`.
          — Убедитесь, что у этой учетной записи есть необходимые права для доступа к ресурсам, к которым будет обращаться 1С.

          2. **Настройка SPN (Service Principal Name)**:
          — Зарегистрируйте SPN для учетной записи сервиса, чтобы Kerberos мог правильно аутентифицировать запросы. Используйте команду:

          bash
     setspn -s HTTP/webserver.domain.com DOMAINiis_service

          — Проверьте, что SPN зарегистрирован корректно:

          bash
     setspn -l DOMAINiis_service

          3. **Настройка делегирования в Active Directory**:
          — Откройте «Active Directory Users and Computers».
          — Найдите учетную запись компьютера, на которой установлен IIS (например, `WEB-SERVER`).
          — Щелкните правой кнопкой мыши на учетной записи компьютера и выберите «Свойства».
          — Перейдите на вкладку «Delegation».
          — Выберите опцию «Trust this computer for delegation to any service (Kerberos only)».
          — Нажмите «OK» для сохранения изменений.

          4. **Настройка IIS**:
          — Откройте IIS Manager и выберите ваш сайт.
          — Перейдите в раздел «Authentication» и убедитесь, что включена «Windows Authentication».
          — Откройте «Advanced Settings» для пула приложений, под которым работает ваш сайт.
          — Убедитесь, что «Identity» установлено на `DOMAINiis_service`.

          5. **Настройка 1С**:
          — В конфигурации 1С убедитесь, что используется аутентификация Windows.
          — Проверьте, что в настройках пользователей указаны правильные учетные данные для доступа к 1С.

          6. **Тестирование**:
          — После выполнения всех настроек протестируйте доступ к 1С через веб-интерфейс. Убедитесь, что пользователи могут аутентифицироваться без необходимости вводить свои учетные данные повторно.

          ### Примечания

          — Убедитесь, что все серверы, участвующие в процессе (веб-сервер, сервер 1С и другие), находятся в одной доменной структуре или имеют правильные настройки доверия между доменами.
          — Если у вас есть проблемы с делегированием, проверьте настройки SPN и убедитесь, что нет дублирующих записей.
          — Используйте инструменты, такие как Kerberos Configuration Manager, для диагностики проблем с Kerberos.

          Эта настройка позволяет обеспечить безопасный доступ к 1С через веб-сервер IIS с использованием Kerberos, что значительно упрощает процесс аутентификации для пользователей.

      • Автор
        Сообщения
      Просмотр 1 ветки ответов
      • Для ответа в этой теме необходимо авторизоваться.
      База знаний 1С