Настройка аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах

Описание проблемы

Не работает аутентификация операционной системы (windows) через IIS при использовании тонкого клиента или веб-клиента.

С точки зрения пользователей, будет видно окно с запросом логина и пароля.

Проблема может заключаться в том, что методы операционной системы в силу различных причин возвращают описание текущего пользователя сеанса в таком представлении, которое не совпадает ни с одним пользователем в списке пользователей информационной базы 1С

Решение проблемы

На сервере 1С включить технологический журнал, используя следующую настройку:

Воспроизвести ситуацию с неудачной аутентификацией операционной системы. Авторизоваться под пользователем операционной системы, указанным в свойствах пользователя 1С.

Открыть технологический журнал рабочего процесса и найти событие EXCP со следующим описанием: «Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя»

Обратите внимание на предшествующее ему событие CONN и значение свойства DstUserName2 — именно в таком виде пользователь должен быть указан в свойствах пользователя информационной базы.

04:45.940011-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: SrcUserName1: svc-1c@DOMAIN701.COM
04:45.940012-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: DstUserName1: testuser2@DOMAIN701.COM(DOMAIN701.COM\testuser2)
04:45.971001-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: DstUserName2: DOMAIN701\testuser2(DOMAIN701\testuser2)
04:46.205021-0,EXCP,2,process=rphost,p:processName=trade,t:clientID=60,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=19,Exception=a01f465c-ed70-442e-ada5-847668d7a41c,Descr=’src\VResourceInfoBaseServerImpl.cpp(991):
a01f465c-ed70-442e-ada5-847668d7a41c: Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя’

Заменить значение свойства «Пользователь» пользователя информационной базы согласно следующему формату «\\» + [Имя пользователя из свойства DstUserName2 без скобок].

Проверить работоспособность аутентификации средствами операционной системы, войдя в информационную базу, используя веб-клиент.

Расположение веб-сервера IIS и рабочих серверов 1С на разных машинах

В некоторых случаях, несмотря на корректно указанного пользователя операционной системы в пользователе информационной базы, при попытке входа в опубликованную базу через браузер аутентификация операционной системы не проходит. Такая ситуация может возникать, если веб-сервер IIS и сервер 1с находятся на разных машинах. В таком случае в технологическом журнале рабочего процесса можно наблюдать следующую картину:

56:39.487001-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: SrcUserName1: winserver1c$@DOMAIN701.COM
56:39.487002-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: DstUserName1: testuser2@DOMAIN701.COM(DOMAIN701.COM\testuser2)
56:39.596004-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: DstUserName2: NT AUTHORITY\ANONYMOUS LOGON(NT AUTHORITY\ANONYMOUS LOGON )
56:39.659003-0,EXCP,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Exception=a01f465c-ed70-442e-ada5-847668d7a41c,Descr=’src\VResourceInfoBaseServerImpl.cpp(991):
a01f465c-ed70-442e-ada5-847668d7a41c: Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя’

При возникновении такой ситуации необходимо проверить следующие настройки:

1) Убедиться, что процессы сервера 1С запущены от имени доменной учетной записи, входящей в группу Domain Users.

2) Убедиться, что веб-сервер IIS настроен корректно.

В публикации информационной базы найти настройки аутентификации

В настройках аутентификации отключить анонимную аутентификацию и включить Windows-аутентификацию. В Windows-аутентификации упорядочить доступных провайдеров так, чтобы на первом месте был Negotiate.

Пул приложений публикации не нуждается в настройках, в нем можно оставить все по умолчанию.

После изменения настроек перезапустить веб-сервер с помощью команды iisreset в командной строке.

3) Убедиться, что в контроллере домена в свойствах компьютера, на котором запущен веб-сервер, на вкладке делегирование установлено «Доверять компьютеру делегирование любых служб (только Kerberos)»

Для этого откройте оснастку Active Directory Users and Computers (dsa.msc), в компьютерах найдите веб-сервер, перейдите в его свойства и на вкладке Делегирование установить значение «Доверять компьютеру делегирование любых служб (только Kerberos)» и нажать применить.

4) Убедиться, что на клиенте в свойствах обозревателя разрешена встроенная проверка подлинности Windows.

После выполнения всех действий необходимо перезагрузить клиентский компьютер (рабочие серверы перезагрузки не требуют) и убедиться, что аутентификация операционной системы успешно выполняется.

Важно: аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах в тонком клиенте работает, начиная с версии 8.3.10.2620 (для тестирования).

Источник

Веб-клиент

Веб-клиент — это одно из клиентских приложений системы «1С:Предприятие 8». В отличие от «привычных» клиентских приложений (толстого клиента и тонкого клиента), его не нужно предварительно устанавливать на компьютер пользователя. У веб-клиента нет исполняемого файла. Веб-клиента вы не найдете ни в меню, ни среди исполняемых файлов. Потому он и веб-клиент, что ему для начала работы не нужно иметь никаких файлов на компьютере пользователя.

Веб-клиент, в отличие от толстого и тонкого клиентов, исполняется не в среде операционной системы компьютера, а в среде интернет-браузера (Windows Internet Explorer, Mozilla Firefox, Google Chrome или Safari). Поэтому любому пользователю достаточно всего лишь запустить свой браузер, ввести адрес веб-сервера, на котором опубликована информационная база, — и веб-клиент сам «приедет» к нему на компьютер и начнет исполняться.

Веб-клиент использует технологии DHTML и HTTPRequest. При работе веб-клиента клиентские модули, разработанные в конфигурации, компилируются автоматически из встроенного языка «1С:Предприятия 8» и непосредственно исполняются на стороне веб-клиента.

Таким образом, независимо от клиентского приложения (толстый, тонкий, веб-клиент), вся разработка прикладного решения ведется полностью в конфигураторе 1С:Предприятия, серверный и клиентский код пишется на встроенном языке «1С:Предприятия 8».

Работа в интернет-браузере без установки системы на компьютер пользователя

Для работы в режиме веб-клиента требуется веб-сервер, настроенный на работу с «1С:Предприятием 8». Браузер клиента взаимодействует с веб-сервером по протоколу HTTP или HTTPS. Веб-сервер, в свою очередь, взаимодействует с «1С:Предприятием 8» в файловом или клиент-серверном варианте работы.

В качестве веб-сервера используется Apache или IIS.

Progressive Web Apps

В веб-клиенте реализована поддержка технологии PWA (Progressive Web Apps). Эта технология поддерживается браузерами (как настольными, так и мобильными). Она позволяет создавать веб-приложения, которые выглядят как нативные приложения и работают почти так же быстро, как нативные приложения.

В веб-клиенте есть команда, которая устанавливает его как отдельное PWA-приложение. В результате на рабочем столе появляется иконка для запуска приложения. Веб-клиент, запущенный из этой иконки, будет похож на нативное приложение — в нем не будет адресной строки браузера, кнопок Домой, Вперед, Назад и др.

Во встроенном языке реализована объектная модель, которая позволяет устанавливать PWA-приложения и обрабатывать события начала и окончания установки.

Аутентификация OpenID Connect

В веб-клиенте реализована поддержка провайдеров OpenID Connect. Для аутентификации в «1С:Предприятии 8», дополнительно к имеющимся способам, пользователи могут использовать свои учётные данные на других сайтах, поддерживающих OpenID Connect аутентификацию.

Веб-клиент на мобильных устройствах

Реализована ограниченная поддержка работы веб-клиента на мобильных устройствах — в браузере Google Chrome под ОС Android и в браузере Safari на iPhone/iPad. Доступны только основные функции веб-клиента.

Источник

Веб клиент 1С

В версии платформы 1С 8.2 появилась возможность установки веб-клиента 1C для того, чтобы доступ к системе был обеспечен всегда. Веб-клиент решил проблему того, что 1С не получалось установить на отдельно взятые компьютеры – часть из них устарела. Также нововведение было полезно тем, у кого в штате не оказалось IT-специалиста – самостоятельная настройка новой версии программы получилась достаточно простой.

Преимущества использования веб-клиента 1С

Преимущества использования веб-клиента для учета доходов и расходов на предприятии:

• Не требуется IT- специалист. Многие предприниматели смогли сэкономить денежные средства на найме администраторов 1С.
• Клиентскую 1С не нужно устанавливать на рабочих компьютерах – доступ обеспечивается и без него.
• Не требуется переоборудование рабочих мест. Покупка современных компьютеров взамен устаревшим могла бы стать серьезной статьей расходов для любой компании.
• Получить доступ к базе предприятия можно находясь в любой точке мира, но только для этого нужно получить доступ в Интернет.
• Нет привязки к определенному браузеру – для входа в базу Вы можете использовать любой браузер и даже любую операционную систему. Получить важную информацию можно даже через смартфон или планшет.
• Технически прост в установке и повседневной работе, поскольку пользователю придется только включить браузер и верно ввести адрес в строку.
• Если скорость интернета будет слишком низкой, загрузить необходимую информацию можно будет через специальный режим работы веб-клиента.

Новый способ открытия базы данных действительно является достаточно удобным.

Принцип работы веб-клиента 1С

Внешне веб-клиент ничем не отличается от тонкого клиента, за исключением того, что интерфейс 1С открывается в браузере. Для того чтобы получить связь с базой данных, понадобится опубликовать сервер и ввести его адрес в строку. Получить доступ к базе удается за счет технологий HTTPRequest и DHTML.

Передача данных осуществляется по технологии HTTP на сервер, где расположена БД предприятия. Эти данные компилируются, а исполнение всех действий осуществляется на стороне клиента в браузере, установленном на его компьютере. Если веб-версия 1С подходит для работы сотрудников Вашей компании, опубликуйте веб-сервер и настройте его. Для того чтобы процесс был более наглядным, далее будет описан процесс настройки стандартного сервера на базе Windows.

Как настроить и опубликовать веб-сервер

Данный пример поможет разобраться тем, у кого на компьютерах установлена ОС Windows. С ней Вам не понадобятся дополнительные программы для настройки веб-версии. В Вашу систему уже встроен IIS сервер – это сервера для нескольких сервисов Интернета, интегрированные компанией Microsoft.

Настроить работу IIS может любой пользователь, который владеет базовыми навыками работы с системой. Однако в идеальном варианте для настройки стоит выбирать только мощные компьютеры. Иначе он будет забирать большую часть мощности, и тогда запуск браузера и работа в 1С будет более медленной, а компьютер станет менее производительным.

Для правильной настройки у компьютера должен быть достаточный запас ресурсов, чтобы операционная система продолжала работать без торможения и задержек – иначе сервер тоже начнет «тормозить». Начать настройку веб-сервера стоит с открытия «Панели управления». Внутри откройте вкладку «Программы и компоненты», а затем выберите «Включение и выключение компонентов».

В большом списке найдите строку, нажмите на «Службы IIS/Службы интернета», чтобы раскрыть еще один список. Внутри в каждом разделе проставьте маркеры по следующим пунктам.

В разделе «Общие функции HTTP» должны быть отмечены следующие строки:

• Просмотр каталога;
• Статистическое содержимое;
• Документ по умолчанию;
• Ошибки HTTP.

В разделе «Проверка работоспособности и диагностика» понадобится выделить только две позиции:

• Монитор запросов;
• Ведение журнала НТТР.

Раздел «Компоненты разработки приложений»:

• Расширение ISAPI;
• NET;
• ASP;
• Расширяемость .NET;
• Фильтры ISAPI.

Наконец, в разделе «Средства управления» выберите пункт «Консоль управления IIS».

Следующий шаг – это публикация веб-сервера после настройки. Установите на компьютер модули расширения веб-сервера 1С. Это действие довольно просто – во время установки 1С нужно отметить пункт с модулями расширения после того, как Вы откроете окно изменение способа установки и установки компонентов.

После этого выполните запуск 1С, открыв режим конфигуратора с правами администратора. В меню выберите раздел «Администрирование», а затем пункт «Публикация на веб-сервере». Платформа самостоятельно просканирует компьютер и найдет образованный сервер. Вам необходимо записать имя образованного веб-сервера и его адрес.

Нажмите кнопку «Опубликовать», и после этого сервер автоматически перезапустится. Для проверки работоспособности системы напишите в браузере http: и после этого цифрами имя сервера и через символ «/» имя базы. Так Вы запустите веб-клиент 1С. Далее дайте доступ всем пользователям (сотрудникам компании) к веб-серверу для чтения и записи. Если не установить права пользователей, на рабочих местах настроить доступ к веб-клиенту 1С не получится.

Веб-клиент 1С стал настоящим спасением для многих пользователей на рабочих местах. Даже если компьютер не очень быстрый и производительный, работать с общей базой данных получается без торможения. Простая настройка и интуитивно понятный интерфейс сделали веб-версию отличным решением возникшей проблемы на предприятиях, и веб-клиент стал очень популярен среди компаний разного уровня.

Источник