Есть тут гуру 1С?

Для любителей просто поболтать

Есть тут гуру 1С?

Сообщение Иван Левшин aka Ivan L. » 01 дек 2016, 22:11

Коллеги,

Мехом наружу я уже вывернулся - не помню, сколько раз. Помню - очень, очень много. Поможите, чем можете, плз.

Задача: есть "сервер приложений" имени г-на Нуралиева. Ну т.е. - 1С. Версия - 8.3.9.1850 x86_64. Работает на SLES11SP4. Нормально работает (не считая того, что ресурсы жрет, как свинья - помои, теряет аппаратный ключ примерно раз в две недели). Засвербило мне тут прикрутить SSO к нему. С авторизацией в DSfW, который работает на базе OES2015SP1.

Вроде все просто (если верить статье из ИТС):
- делаем keytab
- подсовываем keytab на сервер
- выставляем у пользюка "аутентификация ОС"
Профит!

На деле, как выяснилось - ни разу не просто:
1. keytab есть, kinit его жрет, не морщась, klist все кажет, как надо. Из чего я таки делаю вывод, что аутентификация в DSfW работает, как надо
2. "Толстый" клиент говорит - "неа, ничо не получиццо". Причем валит в "технологический журнал" (для тех, кто не в курсе - это так логфайл в сем поделии называется) всякую ересь вида:
Код: Выделить всё
23:54.842000-202996,SCALL,2,process=1cv8c,ClientID=1,Interface=7f58f27d-5ad8-43a1-aa1e-c982f41bed5c,IName=IRemoteCreatorService,Method=0,CallID=20981,MName=createRemoteInstance
23:54.842001-0,CONN,2,process=1cv8c,Txt=Clnt: ClientProtocol: Negotiate ServerProtocol: 2Kerberos
23:54.842002-0,CONN,2,process=1cv8c,Txt=Clnt: DstUserName1: usr1cv82/1cappserver.********.*** StartProtocol: 2 Success
23:54.873000-0,EXCP,2,process=1cv8c,Descr=InitializeSecurityContext: [b]Error 80090303![/b]
23:54.873002-1,SCALL,2,process=1cv8c,ClientID=1,Interface=7f58f27d-5ad8-43a1-aa1e-c982f41bed5c,IName=IRemoteCreatorService,Method=0,CallID=20982,MName=createRemoteInstance
23:54.873004-1,SCALL,2,process=1cv8c,ClientID=1,Interface=73b7d3a3-fe0b-4fdf-ba70-b74b3589ffc3,IName=ISelectSrvrProcess,Method=0,CallID=20984,MName=selectProcess
23:54.889001-0,CONN,3,process=1cv8c,Txt='addrBelongsToThisComputer2, address=1cappserver, result=false'
23:54.889002-0,CONN,3,process=1cv8c,ClientID=2,Protected=1,Txt='Connected, client=(2)192.168.1.17:15348, server=(2)192.168.1.90:1560'
23:54.889003-0,CONN,3,process=1cv8c,Txt=Clnt: MyUserName1: Ivan@DSFW.********.***
23:55.389000-499996,SCALL,3,process=1cv8c,ClientID=2,Interface=7f58f27d-5ad8-43a1-aa1e-c982f41bed5c,IName=IRemoteCreatorService,Method=0,CallID=20985,MName=createRemoteInstance
23:55.389001-0,CONN,3,process=1cv8c,Txt=Clnt: ClientProtocol: Negotiate ServerProtocol: 2Kerberos
23:55.389002-0,CONN,3,process=1cv8c,Txt=Clnt: DstUserName1: usr1cv82/1cappserver.********.*** StartProtocol: 2 Success
23:55.389003-0,EXCP,3,process=1cv8c,Descr=InitializeSecurityContext: [b]Error 80090303![/b]


В общем - все, вроде бы, сделано "как надо" - а на деле ничего не работает. Что грустно и обидно. Очень, очень большая надежда на этот SSO - иначе я повешусь от "встроенной системы управления учетными записями 1С". Рядом с ЭТИМ NT выглядит божественным откровением.

Категорически непонятно:
1. SPN - КАКОЙ он вообще должен быть?! "Методичка" ИТС (не к ночи будет помянута) потрясающе лаконична: "для версии 8.1 - usr1cv81, 8.2 - usr1cv82". А 8.3, простите?! В общем, пока прописал принципала как usr1cv82/1cappserver.********.***@DSFW.********.***
Правильно это, нет? Где вообще SPN посмотреть?
2. SPN прописан у пользюка, который был прибит через mapuser в keytab при генерации (проверял раз десять).
3. Что такое "егор 80090303"? Где вообще у Империи Зла хотя бы краткий перечень "коды ошибок для идиотов"? Нагуглил, что это м.б. виндосишная ошибка... что-то навроде Host not found или как-то так, но как бы это поточнее узнать?
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: Есть тут гуру 1С?

Сообщение Иван Иванов » 02 дек 2016, 16:56

"Толстый" клиент говорит - "неа, ничо не получиццо".

А на какой ОСи толстый клиент?
Что такое "егор 80090303"? Это ошибка керберос. Переводится просто - не удалось проверить подлинность:).
Вот пример возможного решения для XP https://social.technet.microsoft.com/Fo ... inserverTS
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Re: Есть тут гуру 1С?

Сообщение Иван Левшин aka Ivan L. » 02 дек 2016, 17:40

ОС клиента - 7/64.
ОК, с тем, что значит эта ошибка - понятно. Непонятно, что делать дальше - совет по ссылке касается RDP (это отдельная головная боль, пробовал уже так же). Если верить методичке имени 1С, процесс должен протекать так:
- с помощью keytab мы фактически выполняем headless-операцию авторизации САМОГО сервера
- сервер, авторизовавшись, уже пытается искать пользюка, используя то, что ему передано со стороны клиентской ОС.

Аутентификация самого сервера - в порядке, kinit -k -t /keytab проходит на ура. Проблема с авторизацией? Ему что-то еще надо выдать или что? SPN у пользюка домена, который вписан в keytab, прописан именно так, как нужно.

Как это "щастье" дальше-то что изображает?
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: Есть тут гуру 1С?

Сообщение sovchik » 17 дек 2016, 14:05

Иван Левшин aka Ivan L. писал(а):......1. SPN - КАКОЙ он вообще должен быть?! "Методичка" ИТС (не к ночи будет помянута) потрясающе лаконична: "для версии 8.1 - usr1cv81, 8.2 - usr1cv82". А 8.3, простите?! В общем, пока прописал принципала как usr1cv82/1cappserver.********.***@DSFW.********.***
Правильно это, нет? Где вообще SPN посмотреть?
.....

у меня стоит 8.2, но логика подсказывает попробовать usr1cv8 или usr1cv83, usr1cv82 явно не то что надо.
и еще можно попробовать все днс имена серверов прописать в hosts. При установке на Linux не всё работает адекватно без записей в hosts.
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron