Вопрос:

Настраивал аутентификацию через LDAP. Дошел до параметра, где есть возможность сделать сквозную авторизацию, установил нужный параметр, но при переходе на страницу портала все равно запрашивает запрашивает логин  и пароль  в виде аутентификации windows:

Если ввести данные один раз, то они сохраняются в кэше до перезапуска браузера.

Как решить вопрос с отображением окна доменной авторизации?

Ответ:

При первом входе в приложение браузер запрашивает доменный логин/пароль (см. рис. выше). Это связано с тем, что браузер по умолчанию не отправляет учетные данные текущего пользователя, и для доступа к ресурсу, требующего windows-авторизацию, идет каждый раз запрос доменных данных.

Для того, чтобы мы каждый раз не вводили логин/пароль нужно применить следующие настройки.

  • Internet Explorer

Браузер IE по умолчанию отправляет учетные данные ресурсу и дополнительный ввод логина/пароля не требуется.

  • Google Chrome

Переходим в настройки интернета на вкладку Security, выбираем Internet Zone и жмем на Custom Level.

Далее в самом низу выбираем User Authentication -> Logon -> Automatic logon with current user name and password.

Если мы не хотим настраивать для всех сайтов — можем добавить определенный адрес в доверенные (Trusted Sites) и для этой зоны выполнить соответствующие настройки.
Если сайт локальный, такие же настройки делаем для локальной зоны.

  • Firefox
  1. Запустите Firefox и в адресной строке введите about:config и нажмите ENTER.
  2. В строке фильтров укажите ключевой слово NTLM, в результате чего перед вами останется три параметра, нас интересует параметр   network.automatic-ntlm-auth.trusted-uris.
  3. Двойной  клик по данному параметру откроет окно с текстовым полем, куда можно внести список URL (через запятую), для которых будет поддерживаться автоматическая сквозная NTLM аутентификация. Формат такой: http://project-tc, https://work.bpmonline.com. Если необходимо добавить все сайты в домене (обычно это внутренний корпоративный домен), нужно указать: .bpmonline.com.

* Если окошко авторизации постоянно появляется при работе, вышеуказанные настройки выполнены, а ввод авторизационных данных не дает результатов (после ввода данных окошко появляется вновь и вновь), то необходимо открыть в браузере Developer Tools (Google Chrome) и посмотреть в секции Network последний запрос на сервер (причина окошка авторизации) перед появлением окошка. В таком примере был запрос вида /0/ServiceModel/MsgUtilService.svc/LogInMsgServer, и проблема решилась после очистки системной настройки "Библиотека обмена сообщениями по умолчанию".

 

* * To enable support for the WebSocket Protocol on Windows Server 2012, use the following steps:

1.Open Server Manager.

2.Under the Manage menu, click Add Roles and Features.

3.Select Role-based or Feature-based Installation, and then click Next.

4.Select the appropriate server, (your local server is selected by default), and then click Next.

5.Expand Web Server (IIS) in the Roles tree, then expand Web Server, and then expand Application Development.

6.Select WebSocket Protocol, and then click Next.

7.If no additional features are needed, click Next.

8.Click Install.

9.When the installation completes, click Close to exit the wizard.

Нравится

Поделиться

0 комментариев
Показать все комментарии

Есть ли возможность авторизовываться с помощью доменного пользователя без формы ввода пароля?

Версия BPM Online CRM 7.2.2.532

Нравится

1 комментарий

Добрый день, Александр!

На текущий момент в BPMonline 7.х механизм NTLM-авторизации не реализован.

Показать все комментарии

Работает ли доменная авторизация под Firebird базу?
Если да, то есть инструкция как ее настроить?

Нравится

1 комментарий

Здравтсвуйте.

Доменная авторизация в Terrasoft 3.x на FireBird не реализовывалась.

Показать все комментарии

Добрый день!

Возникла задача: необходимо с пользовательской машины, которая не входит в домен выполнить вход в приложение Terrasoft под доменным пользователем.

Решение:
Вход можно выполнить под другим доменным пользователем с помощью службы - [Запуск от имени]:

Открываем службу

Вводим логин и пароль нужного пользователя

Ставим отметку [Доменная авторизация]

Выполняем вход.

Нравится

10 комментариев

Зная корректный логин и пароль, авторизоватся в AD возможно с любой машины находящийся в той же сети что и AD, почему это не возможно у Вас?

Тогда могу предположить только два варианта:
1. Вводится неверный логин или пароль;
2. Политики Вашего домена не позволяют подключаться извне.

Также, хочу отметить, что ввод логина должен быть в формате: [домен]\[логин] - WORK\Pupkin

Арсений! Сейчас перепроверил еще раз все... Принадлежность машины к домену не влияет на авторизацию, неправильно выполнялась последовательность действий, все работает.
Спасибо за вышеизложнное...

Тогда редактирую пост :wink:

Арсений ! Выше в посте проверял на машине домена -Все выше описанное применимо к рабочей станции входящей в домен...
Для рабочей станции не входящей в домен - это не работает! Непонятно почему при снятии галки "использовать доменную авторизацию" и вводе домен\имя пользователя - происходит отказ ?
Ведь этот пользователь есть в приложении...

Александр, если снять галку [Доменная авторизация], то вход будет безуспешным.
Тем более, Вы же уже вводили логин и пароль доменного пользователя, когда запускали службу [Запустить от имени].

Повторю еще раз ход подключения:
1.Запускаем службу [Запустить от имени];
2.Вводим логин и пароль доменного пользователя;
3.В появившемся окне авторизации в Terrasoft, устанавливаем галочку [Доменная авторизация];
4.Входим в систему.

Арсений, каким образом Вы предлагаете запустить приложение из под доменной учетной записи, на машине не входящей в домен?

Как оказалось после многочисленных тестов, то есть несколько вариантов использования подключения к домену с машины, которая не в домене:

1.Можно воспользоваться новой "фишкой" Windows Server 2008 R2.
Новая технология Remote Desktop Web Access.

Более подробную информацию по настройке можно получить тут.

2.Можно восмользоваться командой RunAs /netonly /user:domain\username "TSClient.exe"
После выполнения такой команды, должно появиться окно приложения. Сразу выбираем доменную авторизацию и настраиваем конфигурацию. После этого, выполняем вход.

В принципе, такой вариант получился.
Более подробную информацию можно получить тут.

Первый вариант - не вариант, помимо покупки Ваших лицензий необходимо будет докупить ещё и лицензии Майкрософт. А второй будем пробовать...

Все получилось, спасибо...

Показать все комментарии

По многочисленным заявкам я создал мастер преобразования обычного пользователя в пользователя с доменной авторизацией.
Во вложении находятся сервисы и хранимая процедура.

Запускать мастер нужно с помощью команды:

TSClient.exe /wnd=wnd_UserRecreate

Выглядит окно следующим образом:

Кнопкой "Назначить пользователя домена" или двойным кликом мыши на необходимых пользователях нужно задать им соответствие доменному пользователю:

После этого нажать на кнопку "Выполнить".
И все пользователи, которым были указаны соответствия, будут преобразованы в доменных.

Механизм будет работать на MSSQL 2005, 2008, 2008 R2. Тестировался на MSSQL 2008 R2.

P.S. Обновил скрипты до версии 2.0

Нравится

Поделиться

5 комментариев

При попытке загрузки из файла сервиса sq_SingleUsers возникает ошибка "List index out of bounds (1)".
Система электронного документооборота Terrasoft CRM 3.2

"Саввин Алексей Юрьевич" написал:
При попытке загрузки из файла сервиса sq_SingleUsers возникает ошибка "List index out of bounds (1)".
Система электронного документооборота Terrasoft CRM 3.2

Напишиите, пожалуйста, более точную версию Вашего продукта. Например Terrasoft CRM 3.2.1.34.
Попробую проверить на чистой базе Вашей версии.

"Филимоненко Сергей" написал:Напишиите, пожалуйста, более точную версию Вашего продукта. Например Terrasoft CRM 3.2.1.34.
Попробую проверить на чистой базе Вашей версии.

3.2.0.11

Немного усовершенствовал мастер конвертации. (UserConvertationWizard_v2.0.zip)
Добавил возможность не удалять и создавать уже существующих пользователей/логины на SQL-сервере.

P.S. скрипты были созданы для ветки 3.3.2
Для версий 3.2.0 необходимо еще дозагрузить два сервиса из вложенного архива For320.zip. Это связано с тем, что в старых версиях был немного другой формат хранения сервисов.

"Филимоненко Сергей" написал:Для версий 3.2.0 необходимо еще дозагрузить два сервиса из вложенного архива For320.zip. Это связано с тем, что в старых версиях был немного другой формат хранения сервисов.

Я догрузил эти два сервиса, но ошибка осталась. Могу выслать болванку нашей базы.

UPD: Всё работает, если сервисы из файла For320.zip загружать в последнюю очередь.

Показать все комментарии

Для входа пользователя через интерфейс веб-формы нужно ввести свой логин и пароль, где логин - это e-mail. Если веб-форма используется для доступа клиентов к своим инцидентам -- то все отлично.

С недавних пор большие компании испытывают потребность использовать веб-форму для своих многочисленных сотрудников. И логично возникло желание использовать при этом доменную авторизацию, чтобы пользователи автоматически заходя на веб-форму видели свои инциденты без необходимости вводить логин и пароль: это и удобно и лучше с точки зрения безопасности.

Поэтому такой функционал был реализован. Начиная с 3.3.2.143. Теперь окно логина выглядит так:

обратите внимание на новую опцию "Использовать доменную авторизацию". При ее установке поле Логин автоматически заполняется именем пользователя текущего сеанса Windows. Один раз установив эту опцию пользователь всегда будет автоматически логинится на веб-форму при каждом входе (пока не нажмет на "Выход").

Также для этого был доработан раздел "Web-пользователи", чтобы можно было добавлять доменных пользователей и импортировать их из домена (подобно как в разделе "Администрирование"):

Для активизации такой возможности нужно не много:

  1. Сборка веб-формы не ниже 3.3.2.143;
  2. Изменения конфигурации в разделе Web-пользователи (там всего 8 сервисов)
  3. В файле web.config установить опцию TSAllowWindowsAuthentication в значение True;
  4. При настройке IIS отключить анонимный доступ.

Также хочу отметить, что попутно веб-форма была переведена на Microsoft .NET Framework 4. Со временем также будет сделана отвязка от сборки бинарных файлов.

Запросы на новую сборку можете направлять в отдел технической поддержки.
С удовольствием отвечу все на вопросы

Нравится

Поделиться

1 комментарий

Нашел один нюанс, при настройке веб-формы с доменной авторизацией на Windows Server 2003. Нужно обязательно включить NTLM провайдер:

To work around this behavior if you have multiple application pools that run under different domain user accounts, you must force IIS to use NTLM as your authentication mechanism if you want to use Integrated Windows authentication only. 

Нужно из папки C:\Inetpub\Adminscripts выполнить:

cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Показать все комментарии

Часто возникают вопросы о настройке доменной авторизации для Oracle и работе пользователей в Terrasoft, используя доменную авторизацию.

Итак пошаговая инструкция.

1. Первое, что нужно сделать - проверить значения системных параметров сервера Oracle OS_AUTHENT_PREFIX и REMOTE_OS_AUTHENT.

OS_AUTHENT_PREFIX - строковый параметр (значение по умолчанию OPS$) - это префикс прибавляемый сервером Oracle к имени пользователя при сопоставлении имен.
Настоятельно РЕКОМЕНДУЕТСЯ сбросить значение этого параметра (установить его равным пустой строке). Иначе придется заводить в Terrasoft всех доменных пользователей с префиксом OPS$, Например OPS$YOUR_DOMAIN\USER1, - это неудобно.

REMOTE_OS_AUTHENT - булевый параметр (значение по умолчанию FALSE) - разрешение подключаться к серверу удаленным пользователям с доменной авторизацией. Нужно установить его в TRUE.

Изменить значения этих параметров можно несколькими способами: 

  • из Oracle Enterprise Management Console (Configuration->All initialization parameters...), находим эти параметры и изменяем их.
  • из консоли Sqlplus командами

SQL> alter system set os_authent_prefix=‘’ scope=spfile;
SQL> alter system set remote_os_authent=TRUE scope=spfile;

Проверить правильность установки этих параметров можно из консоли Sqlplus:
SQL> Show parameters %AUTH%

2. На компьютере где установлен сервер Oracle правим файл sqlnet.ora, он находится в каталоге \%Oracle_HOME%\Network\Admin\.
Обязательно необходимы 2 настройки:

NAMES.DEFAULT_DOMAIN = YOUR_DOMAIN
 
SQLNET.AUTHENTICATION_SERVICES = (NTS)  или SQLNET.AUTHENTICATION_SERVICES = (NONE, NTS)

3. В системный реестр операционной системы сервера требуется добавить параметр
HKEY_LOCAL_MACHINE\ SOFTWARE\ORACLE\HOME№\OSAUTH_PREFIX_DOMAIN со значением TRUE.

4. Перезагружаем сервер Oracle.

5. Делаем тестовое подключение используя доменную авторизацию с помощью sqlplus
SQL> connect  /
Соединено.

6. Добавляем в Terrasoft необходимых пользователей домена (раздел "Администрирование"-> "Добавить пользователя из домена"), заказываем на них лицензии.

7. При входе в окне логина Terrasoft ставим флажок "Использовать доменную авторизацию" и все!

При написании использовался тестовый стенд:
Серверная ОС - Windows XP
Клиентская ОС - Windows XP
Сервер Oracle 9.2.0.8
Terrasoft CRM 3.3.1.94
тестировалась работа пользователей с именными и конкурентными лицензиями, используя доменную авторизацию.

Рекомендую также материалы по теме:
http://www.oracle.com/global/ru/oramag/march2002/admin_nt_auth.html
http://www.osp.ru/text/print/302/177067.html 
http://www.osp.ru/win2000/2004/06/177152/

Нравится

Поделиться

4 комментария

Добрый день. Делаем все так как написано в данном руководстве. Сам сервер в домене, доменный аккаунт под которым входим на сервер, входит в группу локальных администраторов.Однако доменная аутенфикация все равно не работает.
"OS_AUTHENT_PREFIX - строковый параметр (значение по умолчанию OPS$) - это префикс прибавляемый сервером Oracle к имени пользователя при сопоставлении имен.
Настоятельно РЕКОМЕНДУЕТСЯ сбросить значение этого параметра (установить его равным пустой строке)."--сделано!
"REMOTE_OS_AUTHENT - булевый параметр (значение по умолчанию FALSE) - разрешение подключаться к серверу удаленным пользователям с доменной авторизацией. Нужно установить его в TRUE."--сделано.
NAMES.DEFAULT_DOMAIN = YOUR_DOMAIN если домен test.local то там надо указать просто test(pre-2000) или test.local?указывали и то и то -результат один.
SQLNET.AUTHENTICATION_SERVICES = (NTS) --сделано
HKEY_LOCAL_MACHINE\ SOFTWARE\ORACLE\HOME№\OSAUTH_PREFIX_DOMAIN--сделано.
Домен на базе Windows 2008 R2. Сервер oracle- на базе Windows 2003 Server.
ошибка-
SQL> connect /
ERROR:
ORA-01017: invalid username/password; logon denied

Что еще можно попробовать?Спасибо!

Уточните пожалуйста, какая версия Oracle используется?

Здравствуйте.
Проверьте значения параметров OS_AUTHENT_PREFIX и REMOTE_OS_AUTHENT командой Show parameters %AUTH% (возможно не применились новые значения). Откуда идёт подключение? С самого сервера Oracle? Если "да", то попробуйте установить там дополнительно Oracle-клиент и используйте его "хоум" (установите значение в системной переменной ORACLE_HOME).
С уважением, Terrasoft Support Team.

Показать все комментарии