Как настроить Windows аутентификацию
Важно
Использование Windows аутентификации поддерживается только при активной подписке на обновления и техническую поддержку.
Сервер ЛЭРС УЧЁТ поддерживает вход пользователей с использованием текущей учётной записи Windows, без ввода логина и пароля.
Для того, чтобы активировать режим, на сервере необходимо открыть Lers.Server.xml
и внести в секцию Security
следующий блок:
<security>
<login>
<domain>
<enabled>true</enabled>
</domain>
</login>
</security>
Если запускаете ЛЭРС в Docker, добавьте переменную среды LERS_SERVER_Security__Login__Domain__Enabled = true
.
После внесения изменений надо перегрузить службу Сервера.
Для использования Windows аутентификации необходимо создать Группу учетных записей, в которой задать значение Имя в домене, совпадающее с полным наименованием доменной группы учетных записей Windows (домен\имя_группы).
Если в списке групп учетных записей нет доменной группы, в которую входит пользователь, то при входе с Windows аутентификацией выводится сообщение:
Если установлен признак Windows аутентификация и существует доменная группа LERS.RU\Users, то для всех доменных пользователей входящих в LERS.RU\Users при первом входе в ЛЭРС УЧЁТ будет автоматически создаваться учетная запись по наименованию совпадающая с его доменной учетной записью. Например: LERS.RU\Ivanov.
Созданный пользователь включается во все группы ЛЭРС УЧЁТ, у которых есть соответствие доменным группам. Напомним, что соответствие определяется по значению параметра "Имя в домене".
В дальнейшем, для автоматически созданных учетных записей, администратор ЛЭРС УЧЁТ может дополнительно выполнить настройку прав доступа.
Если сервер ЛЭРС УЧЁТ запускается под доменной учетной записью в системе использующей протокол Kerberos, то для ЛЭРС УЧЁТ необходимо указать имя участника-службы SPN ( Service Principal Names ) с помощью утилиты setspn.exe
Например:
setspn -S http/<host>:<port>
Зарегистрирует имя участника-службы http/<host>:<port>
, если такого имени участника-службы не существует в домене.
<host>
- полное DNS-имя компьютера, на котором запущен сервер ЛЭРС УЧЁТ, например:my.lers.ru
<port>
- номер порта (можно не указывать, если служба использует порт по умолчанию).
Настройка Windows аутентификации в Linux
Если ваш сервер ЛЭРС запущен в Linux, для настройки аутентификации потребуются дополнительные шаги. Они описаны в этом разделе на сайте Microsoft.
Нужно выполнить все шаги по включению Linux-компьютера в домен, установке SPN и созданию keytab файла.
После этого пользователь сможет подключиться к вашему серверу ЛЭРС и пройти проверку подлинности Windows. Затем ЛЭРСу потребуется получить список доменных групп, в которые входит подключенный пользователь. На Linux для этого потребуется настроить LDAP подключение. Для этого добавьте в Lers.Server.xml в секцию Security/Login/Domain
подсекцию LDAP со следующими параметрами:
<security>
<login>
<domain>
<enabled>true</enabled>
<ldap>
<domain>example.com</domain>
<server>dc.example.com</server>
<login>Логин_пользователя_LDAP_с_правом_чтения_информации</login>
<password>Пароль_пользователя_LDAP_с_правом_чтения_информации</password>
</ldap>
</domain>
</login>
</security>
Обязательно потребуется Domain
и Server
. В первом параметре задаётся имя вашего домена, а во втором — адрес сервера LDAP.
Если у вас не настроена Negotiate аутентификация с LDAP сервером, потребуется задать имя и пароль пользователя, у которого есть право на чтение информации о доменных учётных записях. Это нужно сделать в параметрах login
и password
. Если negotiate аутентификация настроена, потребуется запустить сервер из-под доменной учётной записи, у которой есть право на чтение информации о доменных пользователях.
Если ЛЭРС запущен в Docker, нужно внести в запущенный контейнер keytab файл, который вы получли на контроллере домена. Для этого скопируйте keytab файл на хост-машину, на которой запускается контейнер. Например, файл будет находиться по пути /tmp/my.service.keytab
В docker-compose.yml
в сервисе lers
добавьте инструкцию:
volumes:
- /tmp/my.service.keytab:/etc/krb5.keytab
Ограничения
Вы можете использовать windows аутентификацию в АРМ оператора и в браузере, но при этом подключаться нужно непосредственно к серверу ЛЭРС УЧЁТ. Работать через обратный прокси не получится, так как они не поддерживают Windows аутентификацию.
Для того, чтобы использовать windows аутентификацию в Firefox, потребуется добавить адрес вашего сервера в список доверенных адресов.
Для возможности использовать Windows-аутентификацию в браузерах под РЕД ОС требуется выполнить настройки по статье разработчика данной ОС Сквозная аутентификация в браузерах. В частности успешное тестирование Windows-аутентификации было проведено в Яндекс Браузер и Mozilla Firefox, запущенных в РЕД ОС.