Просмотров: 6989 (Статистика ведётся с 06.02.2017)
Дата последнего изменения: 18.09.2015
  • После изменения профиля AD пользователя данные возвращаются в исходное значение
  • Для AD-пользователей не работает галка "Запомнить меня на этом компьютере"
  • Доступ к разделу Extranet без NTLM
  • Настройка авторизации на IIS
  • После изменения профиля AD пользователя данные возвращаются в исходное значение.

    Дело в том, что для пользователей, авторизующихся через Active Directory, при каждом входе происходит синхронизация профиля с сервером AD, при этом все локально сделанные настройки перезаписываются данными, указанными на сервере.

    Изменить такое поведение можно:

    • либо установив для данного пользователя локальную авторизацию (для этого нужно вручную задать ему тот же пароль, что и в AD и изменить Тип авторизации на Внутренняя проверка на странице редактирования пользователя). Тогда авторизация пользователя будет проходить не через AD, а локально;
    • либо внести изменения данных пользователя не на сайте, а в AD. Тогда на сайте они тоже автоматически изменятся при синхронизации с сервером;
    • либо уменьшить количество полей, по которым осуществляется синхронизация, в настройках AD сервера на сайте (Настройки > AD/LDAP, закладка Настройка полей). В этом случае можно при импорте пользователей из AD/LDAP (Настройки > Пользователи > Импорт пользователей), например, указать нужные нам поля, а потом в настройках AD сервера на сайте удалить все поля. Тогда у пользователя будут первоначально заданы все необходимые данные, и впоследствии, он сможет менять их.

    Для AD-пользователей не работает опция "Запомнить меня на этом компьютере"

    Запомнить пароль невозможно, т.к. при авторизации AD-пользователей система обращается к указанному в настройках AD/LDAP серверу и проверяет наличие пользователя с указанными логином и паролем в базе пользователей на корпоративном сервере и дальше уже происходит авторизация (см. урок Схема работы модуля).

    Из соображений безопасности сайт не сохраняет у себя логин и пароль.


    Доступ к разделу Extranet без NTLM

    Чтобы корректно настроить доступ к папке extranet без авторизации через NTLM, необходимо:

    1. В файле /.htaccess добавить строки:
      AuthName "My Intranet"
      AuthType SSPI
      SSPIAuth On
      SSPIPackage NTLM
      SSPIDomain MYDOMAIN
      SSPIPerRequestAuth On
      SSPIAuthoritative On
      SSPIOfferBasic On
      Require valid-user
        
    2. В файлах /extranet/.htaccess и /bitrix/.htaccess добавить строку:
      Satisfy any
        
    3. В /bitrix/admin/.htaccess добавить:
      Satisfy all
        

    В результате NTLM авторизация будет работать для всех папок в публичной части сайта, кроме extranet, а также в административной части сайта.


    Настройка авторизации на IIS

    Настройка авторизации при использовании IIS сервера производится аналогично настройкам на Linux. Подразумевается что, IIS при этом уже настроен на работу с PHP, разрешена доменная авторизация и на сайте настроены нужные порты: 8890 (для http) или 8891 (для https) и 80 (для http) или 443 (https).


    9


    Курсы разработаны в компании «1С-Битрикс»