Разворачиваю корпоративный портал. Подключение к AD прошло успешно, все тесты говорят - ок, импорт юзеров работает.
1. net ads testjoin - ok 2. wbinfo -t - checking the trust secret for domain DOMAIN via RPC calls succeeded 3. getent passwd - выдает как локальных так и список доменных пользователей 4. ntlm_auth --request-nt-key --domain=DOMAIN--username=user_domain - NT_STATUS_OK: The operation completed successfully. (0x0)
в исключения браузеров через групповые политики добавлен поддомен "звёздочка" - *.domen.ru ( адрес портала portal.domen.ru) Конфиг виртуального хоста apache ведет на /home/bitrix/www_ntlm (прва bitrix:bitrix)
Подключаю NTLM аутентификацию, Для переадресации на 8891 указываю локальную подсеть с маской /16.
Захожу на портал с локального компьютера, получаю переадресацию на https://portal.domen.ru:8891 , но вместо прозрачной аутентификации или окошка basic авторизации - появляется стандартное, синее окно авторизации Битрикс24.
Подскажите куда копать, логи (httpd,smd,kerberos) молчат на предмет ошибок.
----------------- p.s. пробую менять настройки виртуальных хостов, получаю окошко basic авторизации, ввожу логин и пароль, далее вижу ошибку 401 и снова вылезает коошко авторизации. В логах:
[2022/01/18 12:18:16.870146, 2] ../. ./source3/winbindd/winbindd_pam.c:2412(winbind_dual_SamLogon) NTLM CRAP authentication for user []\[user_domain] returned NT_STATUS_NO_LOGON_SERVERS [2022/01/18 12:18:17.955200, 2] ../. ./source3/winbindd/winbindd_pam.c:2412(winbind_dual_SamLogon) NTLM CRAP authentication for user [DOMAIN]\[user_domain] returned NT_STATUS_NO_LOGON_SERVERS
1. Если у вас синее окно авторизации: Возможно не создана папка /home/bitrix/www_ntlm, туда не залиты служебные файлы и в конфиге httpd, где указываются правила для прослушивания 8890 и 8890 директории не ссылаются на /home/bitrix/www_ntlm . Проверьте права на папку /home/bitrix/www_ntlm
2.Если у вас при первом входе вылезает окно basic авторизации, вводите логин, ничего не происходит, либо повторно вылезает окно basic авторизации, то у нас был следующий случай:
Цитата
Да. Решение оказалось на DC. 10 или 11 января Microsoft выкатили три апдейта, которые отправляли в вечную перезагрузку контроллеры домена и ещё какие-то службы крашили. Они постоянно находились в статусе "готовится к перезагрузке". 18 января выпустили фикс. Иначе говоря попробуйте обновить контроллеры домена. Должна проблема уйти. Когда их много - проблема не так очевидна. Все тесты показывают что контроллеры работают, а когда один падает, всегда есть другой, который его заменит.
Евгений Железкин написал: Захожу на портал с локального компьютера, получаю переадресацию на https://portal.domen.ru:8891 , но вместо прозрачной аутентификации или окошка basic авторизации - появляется стандартное, синее окно авторизации Битрикс24.
Мы получали такое сообщение когда Apache не мог получить ответ от сервера авторизации. В нашем случае ситуация была в том что на стороне AD не было включена авторизация через NTLMv2. Т.е. по ldap можно было авторизоваться, а вот сам NTLM кидал ошибку.
Тоже есть проблемка с NTLM авторизацией. В моем случае она полностью работает внутри локальной сети. Однако, если опубликовать битрикс наружу через обратный прокси на шлюзе, то все равно происходит переадресация на порт 8891, несмотря на ограничение в модуле интеграции АД только локальной подсетью.
Поясню. внутренние пользователи прозрачно авторизуются под своими доменными учетками. А для внешних создано доменное имя bitrix.domain.ru, указывающее на внешний ip-адрес сети. На шлюзе все запросы домена bitrix.domain.ru перебрасываются на внутреннее имя bitrix.domain.local. В свойствах модуля АД прописана подсеть 192.168.0.0/24, для которой эта переадресация должна работать и, по идее, для внешних пользователей она не должна срабатывать.
Единственное мое предположение - возможно, что запрос от внешних пользователей на сервер битрикса приходит от ip-адреса шлюза 192.168.0.1 из-за NAT, потому и происходит переадресация, но это не точно. Если кто подскажет, в каких логах можно увидеть эти ip-адреса, буду благодарен. В /var/log/httpd/error_log не нашел.
1. net ads testjoin - ok 2. wbinfo -t - checking the trust secret for domain DOMAIN via RPC calls succeeded 3. getent passwd - выдает как локальных так и список доменных пользователей 4. ntlm_auth --request-nt-key --domain=DOMAIN--username=user_domain - NT_STATUS_OK: The operation completed successfully. (0x0)
Но при попытке зайти с переадресацией на 8891 вылетает basic авторизация (как бы внутри сайта , там где модуль социальная сеть новости выдает)
Куда копать? VM от битрикса Папки home/bitrix/www_ntlm нет ... На уровне домена ntlm включен (есть еще решение от 1С и оно ок с ntlm)
написал: Так же проблема с ntlm. На VM все тесты ок
1. net ads testjoin - ok 2. wbinfo -t - checking the trust secret for domain DOMAIN via RPC calls succeeded 3. getent passwd - выдает как локальных так и список доменных пользователей 4. ntlm_auth --request-nt-key --domain=DOMAIN--username=user_domain - NT_STATUS_OK: The operation completed successfully. (0x0)
Но при попытке зайти с переадресацией на 8891 вылетает basic авторизация (как бы внутри сайта , там где модуль социальная сеть новости выдает)
Куда копать? VM от битрикса Папки home/bitrix/www_ntlm нет ... На уровне домена ntlm включен (есть еще решение от 1С и оно ок с ntlm)