none
IIS и сервер 1С double hop RRS feed

  • Общие обсуждения

  • Добрый день, коллеги.

    Помогите в решении следующей проблемы:

    Конфигурация:

    1. Server 2012 R2 роль IIS. В AD включено делегирование любых служб для протокола Kerberos. Для сайта включена проверка подлинности Windows, в качестве поставщика указан только Negotiate:Kerberos. 

    2. Server 2008 R2 роль сервер 1С;

    3. Server 2008 R2 роль AD;

    4. Windows 7 SP1 клиент.

    Необходимо реализовать схему прозрачной авторизации на сервере 1С для авторизованного в системе пользователя. При попытке пользователя подключится к базе 1С выскакивает запрос на ввод данных для подключения. В 1С настроена авторизация пользователей из AD. В IE сайт добавлен в интрасеть и в настройках стоит галочка входить с учетными данными системы.

    Логи:

    IIS:

    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Уровень олицетворения: Делегирование

    Новый вход:
    ИД безопасности: DOMAIN\dobrynin
    Имя учетной записи: dobrynin
    Домен учетной записи: DOMAIN
    Код входа: 0xE6A42
    GUID входа: {08cee2c7-662f-a8b7-2211-730d049d05cd}

    Сведения о процессе:
    Идентификатор процесса: 0x0
    Имя процесса: -

    Сведения о сети:
    Имя рабочей станции:
    Сетевой адрес источника: 10.100.103.33
    Порт источника: 62141

    Сведения о проверке подлинности:
    Процесс входа: Kerberos
    Пакет проверки подлинности: Kerberos
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Сервер 1С:

    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Новый вход:
    ИД безопасности: АНОНИМНЫЙ ВХОД
    Имя учетной записи: АНОНИМНЫЙ ВХОД
    Домен учетной записи: NT AUTHORITY
    Код входа: 0xadfbf48
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:
    Идентификатор процесса: 0x0
    Имя процесса: -

    Сведения о сети:
    Имя рабочей станции: SRV-WEB02
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: NtLmSsp 
    Пакет проверки подлинности: NTLM
    Промежуточные службы: -
    Имя пакета (только NTLM): NTLM V1
    Длина ключа: 128

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. 

    Для srv-web02 настроены следующие SPN:

    HTTP/SRV-WEB02.DOMAIN.local
    HTTP/SRV-WEB02
    TERMSRV/SRV-WEB02.DOMAIN.local
    TERMSRV/SRV-WEB02
    WSMAN/SRV-WEB02
    WSMAN/SRV-WEB02.DOMAIN.local
    RestrictedKrbHost/SRV-WEB02
    HOST/SRV-WEB02
    RestrictedKrbHost/SRV-WEB02.DOMAIN.local
    HOST/SRV-WEB02.DOMAIN.local

    Статью  https://technet.microsoft.com/ru-ru/library/dd759186.aspx уже тоже изучил и применил, но безрезультатно (


    • Изменено A.Dobrynin 31 января 2015 г. 14:56
    • Изменен тип Elina Lebedeva 4 февраля 2015 г. 15:13 Тема переведена в разряд обсуждений по причине отсутствия активности
    31 января 2015 г. 13:45

Все ответы

  • Добрый день!
    Подскажите, проблему удалось решить?

    Столкнулся с аналогичной ситуацией.
    5 сентября 2019 г. 6:30
  • Речь да, про web-client.

    Сам web-client опубликован, работает. Проблема в windows auth.

    "Необходимо реализовать схему прозрачной авторизации на сервере 1С для авторизованного в системе пользователя. При попытке пользователя подключится к базе 1С выскакивает запрос на ввод данных для подключения. В 1С настроена авторизация пользователей из AD. В IE сайт добавлен в интрасеть и в настройках стоит галочка входить с учетными данными системы."

    5 сентября 2019 г. 10:06
  • Вы уверены, что 1С это поддерживает?

    У вас включена Windows authentication в IIS?

    5 сентября 2019 г. 10:53
  • Да, 1С поддерживает.

    Есть отдельный сервер IIS, есть отдельный сервер 1С. На IIS настроена Windows аутентификация.
    В AD серверу IIS включены делегирование kerberos.

    Далее, когда переходим внутри сети по адресу сервера http://сервер01, windows auth пробрасывается до сервера 1С, аутентификация проходит.

    Далее, когда переходим по веб адресу https://веб-адрес.домен.ру, IIS запрашивает имя пользователя/пароль.
    Если ввести корректные имя пользователя/пароль, то пускает дальше, но до 1С не пробрасывается имя пользователя.

    Следующим шагом настроили в пуле приложений удостоверение от доменного пользователя.
    которому так же через setspn прописали значения в атрибут "servicePrincipalName" https://веб-адрес.домен.ру.

    Ситуация не изменилась.

    6 сентября 2019 г. 9:57
  • Думаю, что со стороны WS у вас уже всё настроено (в том числе SPN), поэтому надо проверить настройки аутентификации непосредственно в 1С (интеграция с LDAP) + с помощью технологического журнала посмотреть какая ошибка фиксируется при сквозной аутентификации (возможно, что неправильный формат логина).

    Посмотреть вот эту статью - https://its.1c.ru/db/metod8dev#content:5944:hdoc

    6 сентября 2019 г. 10:28