Как настроить /etc/hosts и krb5 для сервера лицензии 1С на Astra Linux?

[Odineski]

правильная настройка /etc/hosts и krb5 на сервере лицензирования 1С astra linux

[Odin — Одинэсник]

Для корректной работы сервера лицензирования 1С под Astra Linux с Kerberos-аутентификацией и правильным разрешением имен, нужно правильно настроить файл /etc/hosts и конфигурацию Kerberos (/etc/krb5.conf). Вот подробная инструкция:

1. Настройка /etc/hosts

Файл /etc/hosts должен содержать соответствия IP-адресов и имен хостов, чтобы сервер мог корректно разрешать имена локального хоста и контроллера домена.

Пример правильного файла /etc/hosts:

1С (Код)

127.0.0.1 localhost 192.168.29.151 srv1c.testdomain.local srv1c 192.168.29.150 testdomain-dc.testdomain.local testdomain-dc

1 2 3

127.0.0.1       localhost 192.168.29.151  srv1c.testdomain.local srv1c 192.168.29.150  testdomain-dc.testdomain.local testdomain-dc

Где:
— 192.168.29.151 — IP сервера лицензирования 1С (srv1c)
— 192.168.29.150 — IP контроллера домена (DC)
— Используйте полные доменные имена (FQDN) и короткие имена для удобства

Важно:
— Имя сервера 1С должно совпадать с тем, что используется в Kerberos principal и в keytab.
— Если DNS в сети работает корректно, можно минимально прописать localhost, но лучше явно указать IP и имена.

2. Настройка /etc/krb5.conf

Файл /etc/krb5.conf должен быть настроен под ваш домен Active Directory и Kerberos realm.

Пример минимального рабочего файла:

1С (Код)

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = TESTDOMAIN.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] TESTDOMAIN.LOCAL = { kdc = 192.168.29.150 admin_server = 192.168.29.150 } [domain_realm] .testdomain.local = TESTDOMAIN.LOCAL testdomain.local = TESTDOMAIN.LOCAL

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log   [libdefaults] default_realm = TESTDOMAIN.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac   [realms] TESTDOMAIN.LOCAL = {   kdc = 192.168.29.150   admin_server = 192.168.29.150 }   [domain_realm] .testdomain.local = TESTDOMAIN.LOCAL testdomain.local = TESTDOMAIN.LOCAL

Где:
— TESTDOMAIN.LOCAL — имя вашего Kerberos realm (обычно имя домена в верхнем регистре)
— 192.168.29.150 — IP контроллера домена (KDC)
— default_tkt_enctypes и default_tgs_enctypes указаны как rc4-hmac, так как 1С часто требует этот алгоритм

3. Дополнительные рекомендации

— Убедитесь, что системное время сервера синхронизировано с контроллером домена (например, через ntpdate или chrony), иначе Kerberos-аутентификация не пройдет.
— Ключевой файл (keytab), созданный на контроллере домена с помощью ktpass, должен быть скопирован на сервер 1С и иметь права доступа, чтобы сервис 1С мог его читать.
— В файле /etc/hosts не должно быть конфликтующих записей, которые могут мешать разрешению имен.
— Проверьте работу Kerberos командой:

Shell

kinit usr1c@TESTDOMAIN.LOCAL klist

1 2	kinit usr1c@TESTDOMAIN.LOCAL klist

Если билет получен — настройка корректна.

— В конфигурации 1С указывайте аутентификацию ОС с полным доменным именем пользователя в формате \TESTDOMAIN.LOCALusr1c.

Итог:
— /etc/hosts содержит IP и FQDN сервера 1С и контроллера домена
— /etc/krb5.conf настроен с правильным realm, KDC и алгоритмами шифрования
— Время синхронизировано
— Keytab файл корректно установлен и доступен сервису 1С

[Автор]

Сообщения