Что может вызывать проблему с авторизацией? 

Здравствуйте! У меня возникли проблемы с настройкой SSO на 1С, не могли бы вы помочь разобраться?
Вот что у меня есть:
1. Debian 10 (пробовал на 11 и 12(gssapi)) + Apache2.4 + опубликованный веб-сервер
2. 1C 8.3.22.2239
3. AD MS WS 2019
4. Krb5

Я создал учетную запись в AD, сделал keytab, kinit работает, ntp настроен на домен. Когда я пытаюсь войти в IE, страница открывается (то есть авторизация работает, я пробовал на ПК не в домене - не пускает), но в логах я вижу ошибки:
1. "POST /foo/ru_RU/e1cib/login?version=8.3.22.2239&nooida&clnId=bca605e0-97b2-4fa3-ab91-bda3ef2b00fa HTTP/1.1" <b>402</b> 1878 "http://address/upr_it/ru_RU/" "Mozilla/4.0
2. kerb_authenticate_user entered with user (NULL) and auth_type Kerberos, referer: http://address/upr_it/ru_RU/
Хотя в логах также есть запись authorization result of Require valid-user : granted, referer: http://address/foo/ru_RU/
В журнале 1С есть следующее:
DstUserName1: user@domain(domain.local\user), похоже, должно быть DstUserName2, но его нет.
И, соответственно, ошибки типа:
a01f465c-ed70-442e-ada5-847668d7a41c: Идентификация пользователя не выполнена. Неправильное имя или пароль пользователя.
580392e6-ba49-4280-ac67-fcd6f2180121: Неправильное имя пользователя или пароль.
Ошибка при выполнении запроса POST к ресурсу /e1cib/login:'.

Я нашел много информации в интернете, но не могу найти решение проблемы. Буду благодарен за любую помощь или комментарии. Спасибо!
  • 12 февраля 2024 г. 13:08
Ответы на вопрос 2 
Проблемы с авторизацией в SSO могут быть вызваны различными причинами. В вашем случае, основываясь на предоставленной информации, возможные причины и шаги к решению могут быть следующими:

1. Неверная настройка Kerberos:
   Убедитесь, что keytab-файл создан правильно для требуемого сервисного имени (SPN). Проверьте конфигурацию в /etc/krb5.conf, особенно реалм (realm) и серверы KDC. Также не забудьте, что DNS должен правильно разрешать имена, используемые для SPN.

2. Ошибки в конфигурации Apache:
   Проверьте, правильно ли настроены модули аутентификации Apache для работы с Kerberos (mod_auth_kerb или mod_auth_gssapi). Конфигурация должна корректно ссылаться на использование keytab-файла.

3. Проблемы с часами на сервере:
   Убедитесь, что время сервера Debian и время AD отличаются друг от друга не более чем на 5 минут. Керберос очень чувствителен к разнице во времени.

4. Проблемы с назначением прав в 1С:
   1С должен знать о пользователе, вошедшем через Kerberos. Пользователь должен быть зарегистрирован в 1С и иметь права доступа к системе.

5. Настройка браузера:
   Убедитесь, что браузер Internet Explorer правильно настроен для работы с SSO и Kerberos. В IE необходимо включить интегрированную авторизацию Windows и добавить сайт в доверенные зоны.

6. Лог-файлы и отладка:
   Используйте утилиты отладки Kerberos на сервере Debian и логирование на стороне Apache для детального понимания проблем. Такие утилиты, как kinit и klist, помогут вам разобраться с работой ключей и тикетов Kerberos.

7. Защита от делегирования:
   Убедитесь, что делегирование доверия конкретному пользователю или компьютеру настроено в AD, если требуется.

8. Ошибки в конфигурации 1С:
   Проверьте, настроена ли интеграция с AD в 1С, и правильно ли настроен обмен данными между 1С и веб-сервером (Apache).

Также используйте поиск по кодам ошибок 1С, таким как "Идентификация пользователя не выполнена" или "Неправильное имя пользователя или пароль", чтобы найти рекомендации по устранению специфичных для 1С проблем.

Конкретно по вашему вопросу о проблеме с "DstUserName1": это может быть связано с тем, каким образом ваша система объединяет Систему идентификации (например, имя пользователя и его домен).

Попробуйте выполнить эти шаги для диагностики и исправления проблемы. Если проблема сохраняется, вам потребуется пройти более глубокую диагностику каждого компонента, участвующего в процессе аутентификации SSO.
Решилось всё тем, что запуск самой 1С был не от системного пользователя (usr1cv8) а от другой учетки, переделал и всё поехало)
Похожие вопросы
    Показать ещё