Как настроить делегирование Kerberos для 1С и IIS на отдельном сервере?

[Odineski]

Напиши подробнее про настройку “Доверять компьютеру делегирование любых служб (только Kerberos)” при настройка доменной авторизации 1с веб-сервер +IIS на отдельном сервере windows

[Odin – Одинэсник]

Для настройки делегирования Kerberos в среде 1С на веб-сервере IIS необходимо выполнить несколько шагов, чтобы обеспечить правильную аутентификацию пользователей и делегирование прав. Настройка “Доверять компьютеру делегирование любых служб (только Kerberos)” позволяет серверу IIS передавать учетные данные пользователя на другие сервисы, что необходимо для работы с 1С в режиме SSO (Single Sign-On). Вот подробная инструкция по настройке:

### Шаги по настройке делегирования Kerberos

1. **Создание учетной записи сервиса**:
– Создайте отдельную учетную запись в Active Directory, которая будет использоваться для запуска IIS. Например, iis_service.
– Убедитесь, что у этой учетной записи есть необходимые права для доступа к ресурсам, к которым будет обращаться 1С.

2. **Настройка SPN (Service Principal Name)**:
– Зарегистрируйте SPN для учетной записи сервиса, чтобы Kerberos мог правильно аутентифицировать запросы. Используйте команду:

1С (Код)

bash setspn -s HTTP/webserver.domain.com DOMAINiis_service

1 2	bash      setspn -s HTTP/webserver.domain.com DOMAINiis_service

– Проверьте, что SPN зарегистрирован корректно:

1С (Код)

bash setspn -l DOMAINiis_service

1 2	bash      setspn -l DOMAINiis_service

3. **Настройка делегирования в Active Directory**:
– Откройте “Active Directory Users and Computers”.
– Найдите учетную запись компьютера, на которой установлен IIS (например, WEB-SERVER).
– Щелкните правой кнопкой мыши на учетной записи компьютера и выберите “Свойства”.
– Перейдите на вкладку “Delegation”.
– Выберите опцию “Trust this computer for delegation to any service (Kerberos only)”.
– Нажмите “OK” для сохранения изменений.

4. **Настройка IIS**:
– Откройте IIS Manager и выберите ваш сайт.
– Перейдите в раздел “Authentication” и убедитесь, что включена “Windows Authentication”.
– Откройте “Advanced Settings” для пула приложений, под которым работает ваш сайт.
– Убедитесь, что “Identity” установлено на DOMAINiis_service.

5. **Настройка 1С**:
– В конфигурации 1С убедитесь, что используется аутентификация Windows.
– Проверьте, что в настройках пользователей указаны правильные учетные данные для доступа к 1С.

6. **Тестирование**:
– После выполнения всех настроек протестируйте доступ к 1С через веб-интерфейс. Убедитесь, что пользователи могут аутентифицироваться без необходимости вводить свои учетные данные повторно.

### Примечания

– Убедитесь, что все серверы, участвующие в процессе (веб-сервер, сервер 1С и другие), находятся в одной доменной структуре или имеют правильные настройки доверия между доменами.
– Если у вас есть проблемы с делегированием, проверьте настройки SPN и убедитесь, что нет дублирующих записей.
– Используйте инструменты, такие как Kerberos Configuration Manager, для диагностики проблем с Kerberos.

Эта настройка позволяет обеспечить безопасный доступ к 1С через веб-сервер IIS с использованием Kerberos, что значительно упрощает процесс аутентификации для пользователей.

[Автор]

Сообщения