Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


1c:1c-enterprise-8-3-cluster-deployment:configuring-1c-cluster-administrators

Настройка Администраторов кластера 1С:Предприятие 8.3

После того, как все основные настройки кластера 1С:Предприятие 8.3 проведены, обязательным пунктом усиления безопасности серверов 1С является создание учётных записей Администраторов кластера / Администраторов центрального сервера. Эти два типа администраторов имеют разные зоны полномочий. Чтобы полностью закрыть доступ к функциям администрирования серверов 1С и работающих на их базе кластеров, нужно сначала отдельно для каждого сервера создать учётные записи уровня «Администратор центрального сервера», а потом внутри кластера создать учётные записи уровня «Администратор кластера».


Сначала создадим для каждого сервера административные учётные записи уровня «Администратор центрального сервера». Здесь мы можем сделать, как минимум, две административные учётные записи. Одна учётная запись будет иметь локальный характер и хранится в конфигурации сервера 1С, а вторая учётная запись будет привязана к Windows-аутентификации и использовать локальные логины Windows, либо доменные логины службы каталогов Active Directory. Локальная учётная запись 1С со сложным паролем в этом случае вовсе не обязательна, и может быть сделана лишь на тот случай, если вдруг потребуется получить доступ к функциям администрирования сервера 1С, а Windows-аутентификация в этот момент по какой-то причине не заработает.

Итак, сначала «на всякий пожарный» создадим одну учётную запись администратора локального типа (со сложным паролем) …

… а для основной работы с сервером создаём дополнительно учётные записи, привязанные к доменным учётным записям тех пользователей, которые выполняют функции администрирования этого сервера 1С.

Обратите внимание на то, попытка использовать кнопку обзора для выбора доменного пользователя в крупных доменных инфраструктурах с большим количеством пользователей может завершиться полным уходом консоли «в себя» на очень длительное время. Поэтому для доменных учётных записей лучше сразу указывать в поле «Пользователь» данные учётной записи по представленному на скриншоте формату.

В итоге для данного сервера мы получим возможность администрирования Центральным сервером 1С двумя учётными записями. При этом, если консоль администрирования 1С будет открываться в пользовательском окружении Windows-пользователя «Petya», то никаких лишних запросов аутентификации не будет, и доступ к функциям администрирования сервером будет предоставлен автоматически.

Ещё раз обращаем внимание на то, что как только мы создаём на сервере первого администратора, не важно, локальный у него тип или Windows, то последующее подключение после перезапуска консоли потребует успешной аутентификации. Поэтому, чтобы избежать ситуации «отрубили сук, на котором сидим» (в случае проблем с настройкой Windows-аутентификации), нам может оказаться полезной заранее созданная учётная запись локального типа.

Аналогичным образом нам нужно создать пару учётных записей уровня «Администратор центрального сервера» для второго сервера 1С (KOM-APP42). При создании локальной учётной записи сервера 1С (в нашем примере «ServerAdmin») на всех серверах кластера мы можем указать один и тот же пароль. Это позволит при входе в консоль под этой учётной записью на любом из серверов управлять всеми серверами без лишних запросов на ввод пароля.


Для того, чтобы полностью ограничить доступ к функциям управления кластера 1С, нам потребуется создать административные учётные записи уровня «Администратор кластера». Для этого в консоли администрирования развернём соответствующий кластер и по аналогии с вышеописанным примером сначала создадим локальную учётную запись кластера 1С, а затем учётную запись c Windows-аутентификацией для возможности «прозрачного» входа.

В отличие от учётных записей уровня «Администратор центрального сервера», которые могут задаваться на каждом сервере отдельно и могут иметь разные пароли, учтённые записи уровня «Администратор кластера» создаются в кластере один раз и автоматически реплицируются на другие серверы-участники кластера.

После создания административных записей в кластере на первом сервере, переключимся в консоли на второй сервер и убедимся в том, что данные по созданным учётным записям администраторов кластера успешно реплицировались.


Проверено на следующих конфигурациях:

Версия ОС сервера 1С Версия 1С:Предприятие
Microsoft Windows Server 2012 R2 Standard EN (6.3.9600) 1С:Предприятие 8.3.17.1549
Microsoft Windows Server 2022 Standard EN (10.0.20348) 1С:Предприятие 8.3.22.1750

Автор первичной редакции:
Алексей Максимов
Время публикации: 13.03.2023 15:45

Обсуждение

НиколайНиколай, 26.01.2024 16:21
здравствуйте, я завел администратора кластера из локальных пользователей сервера, под которым запускается служба Агент сервера 1С, и теперь не могу зайти в консоль, набираю логин и пароль (правильный), но при нажатии <ОК> мои введенные данные стираются и требуется опять вводить, пробовал разные способы ввода имени \\SERVER\USR1CV8 SERVER\USR1CV8 USR1CV8 - результат не меняется, при <ОТМЕНА> попадаю в консоль, но ничего не вижу (базы, сеансы)
Алексей МаксимовАлексей Максимов, 26.01.2024 16:32
Здравствуйте, Николай.
Используйте разные учётные записи для работы службы и администрирования кластера.
ВладимирВладимир, 17.04.2024 09:50
Добрый день.
Подскажите, о чем говорится в этом предлажении
> Если для администратора не указан ни один из видов аутентификации, то такой администратор может выполнять только те действия, которые не требуют аутентификации.
--
https://its.1c.ru/db/v8323doc#bookmark:cs:TI000000167
Алексей МаксимовАлексей Максимов, 17.04.2024 10:01
Здравствуйте, Владимир.
Думаю, что этот вопрос нужно задавать тех.поддержке 1С, а не мне. Если у Вас есть доступ к закрытым разделам документации ИТС, то, наверняка, есть и возможность задать вопрос по адресу.
ВладимирВладимир, 18.04.2024 02:32
Спасибо, думал, если вы публикуете, статьи такого характера, вы имеете большой опты администрирования за плечами.
Документация, отнюдь не скрытая. Документация ИТС доступна любому зарегистрированному участнику 1С сообщества. 
Алексей МаксимовАлексей Максимов, 18.04.2024 13:58
Не знаю про какое "сообщество" Вы рассуждаете, но 1С ИТС - это платная подписка. Документация, ссылку на которую Вы привели, доступна в рамках этой самой платной подписки ИТС. То есть эта документация не доступна на постоянной основе (про всякие пробные периоды рассказывать не нужно) всем желающим, не имеющим оплаченной подписки ИТС. Поэтому она и является по определению "закрытой".

Что касается приведённой Вами цитаты "Если для администратора не указан ни один из видов аутентификации, то такой администратор может выполнять только те действия, которые не требуют аутентификации.". Я не знаю, что этим хотели сказать господа из 1С. Я лично такой режим создания администратора в консоли кластера 1С никогда не использовал и даже в голову это не приходило. Непонятно в каких ситуациях это может быть нужно или полезно.
Ваш комментарий:
 
1c/1c-enterprise-8-3-cluster-deployment/configuring-1c-cluster-administrators.txt · Последнее изменение: 13.03.2023 15:47 — Алексей Максимов

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki