Table of Contents

Как настроить Windows аутентификацию

Важно

Использование Windows аутентификации поддерживается только при активной подписке на обновления и техническую поддержку.

Сервер ЛЭРС УЧЁТ поддерживает вход пользователей с использованием текущей учётной записи Windows, без ввода логина и пароля.

Для того, чтобы активировать режим, на сервере необходимо открыть appsettings.json и внести в секцию Security следующий блок:

"Login": {
    "Domain": { 
        "Enabled": "true" 
    }
}

Файл appsettings.json находится в папке %ProgramFiles%\LERS\Server

После внесения изменений надо перегрузить службу Сервера.

Для использования Windows аутентификации необходимо создать Группу учетных записей, в которой задать значение Имя в домене, совпадающее с полным наименованием доменной группы учетных записей Windows (домен\имя_группы).

Если в списке групп учетных записей нет доменной группы, в которую входит пользователь, то при входе с Windows аутентификацией выводится сообщение:

Если установлен признак Windows аутентификация и существует доменная группа LERS.RU\Users, то для всех доменных пользователей входящих в LERS.RU\Users при первом входе в ЛЭРС УЧЁТ будет автоматически создаваться учетная запись по наименованию совпадающая с его доменной учетной записью. Например: LERS.RU\Ivanov.

Созданный пользователь включается во все группы ЛЭРС УЧЁТ, у которых есть соответствие доменным группам. Напомним, что соответствие определяется по значению параметра "Имя в домене".

В дальнейшем, для автоматически созданных учетных записей, администратор ЛЭРС УЧЁТ может дополнительно выполнить настройку прав доступа.

Если сервер ЛЭРС УЧЁТ запускается под доменной учетной записью в системе использующей протокол Kerberos, то для ЛЭРС УЧЁТ необходимо указать имя участника-службы SPN ( Service Principal Names ) с помощью утилиты setspn.exe

Например:

setspn -S http/<host>:<port>

Зарегистрирует имя участника-службы http/<host>:<port>, если такого имени участника-службы не существует в домене.

  • <host> - полное DNS-имя компьютера, на котором запущен сервер ЛЭРС УЧЁТ, например: my.lers.ru
  • <port> - номер порта (можно не указывать, если служба использует порт по умолчанию).

Ограничения

Windows-аутентификация работает только если сервер установлен на операционной системе Windows. Вы можете использовать windows аутентификацию в АРМ оператора и в браузере, но при этом подключаться нужно непосредственно к серверу ЛЭРС УЧЁТ. Работать через обратный прокси не получится, так как они не поддерживают Windows аутентификацию.

Для того, чтобы использовать windows аутентификацию в Firefox, потребуется добавить адрес вашего сервера в список доверенных адресов.

Для возможности использовать Windows-аутентификацию в браузерах под РЕД ОС требуется выполнить настройки по статье разработчика данной ОС Сквозная аутентификация в браузерах. В частности успешное тестирование Windows-аутентификации было проведено в Яндекс Браузер и Mozilla Firefox, запущенных в РЕД ОС.