Александр написал: А где посмотреть логи по этой ошибке, кто в битриксе отвечает за авторизацию (подключение к LDAP)? PHP, Apache, NGINX?кто вообще участвует в этом процессе?
Этот ответ возвращается от ldap модуля php, который получает ответ от сервера AD
Цитата
Александр написал: Может нужно еще настраивать модули кербероса, апача ?
Для получения орг. структуры и обычных ntlm авторизаций достаточно настроек которые есть в админ.панеле
Цитата
Александр написал: Жесть , а не продукт, и все завязано на интеграторе? а если продукт просто пощупать. может он нам вовсе не подходит.. а интегратору платить...
Извините, но то что Вы говорите - вот это жесть.
Во-первых, покупаете Вы не авторизацию, а CRM и другие инструменты. Вы можете создать пару пользователей на "пощупать" и ручками.
Во-вторых, простите, но Вы не "хлебушек" покупаете, а серьезный продукт. Равноценно, что серьезный продукт в настройке требует некоторых компетенций в том числе и по настройке штатных средств. Если Вы хотите сделать это сами, то есть легальные инструменты: 1) Техническая поддержка (с регламентом ответа) 2) Изучение сопроводительной документации по системе, в том числе по сопутствующим средам 3) Обращение к партерам
Остановлюсь коротко на последнем пункте: в принципе можно договориться чтобы при оплате лицензии (вы же ее все равно покупать будете*) настройка ntlm (без SSO) входила в эту стоимость.
* - рассматривается именно тот случай, когда тестовые пользователи уже прошлись по системе и решение о внедрении принято
Вот нашел в документации "Настройка модуля осуществляется в административном разделе на странице настроек модуля AD/LDAP интеграция:"
внизу есть примечание: "Примечание: необходимо помнить, что компьютер, на котором размещен сервер Apache, должен быть включен в домен Windows." что можете подсказать?
Александр написал: внизу есть примечание:"Примечание: необходимо помнить, что компьютер, на котором размещен сервер Apache, должен быть включен в домен Windows."что можете подсказать?
Там немного устаревшая информация: в данной части рассматривается интеграция SSO via NTLM когда Битрикс установлен не на Linux, а на Windows окружение (с 2015 года Битрикс можно хостить на windows только для ознакомления)
Скачал новую виртуальную машину уже не CRM, установил, накатил коробку. Появились новые пункты по управлению сайтом и т.п. но так и не могу подключится к контроллеру домена на странице настройки. :
Подскажите куда дальше копать. Наш админ, говорит, что без установки корневых сертификатов . к АД я не подключусь, получил сертификаты, установил в /etc/pki/ca-trust/extracted/openssl/ Перегрузил саму виртуалку, но результат отрицательный
Наш админ, говорит, что без установки корневых сертификатов . к АД я не подключусь, получил сертификаты, установил в /etc/pki/ca-trust/extracted/openssl/ Перегрузил саму виртуалку, но результат отрицательный
Сертификаты у Вас же самописные? Заверенного подписью удостоверяющего центра MS Windows? Проверьте кодировку сертификата, открыв в текстовом редакторе CentOS. Сертификаты вы генерировали через CSR запрос? openssl req -nodes -newkey rsa:2048 -keyout bitrix.domain.dom.key -out bitrix.domain.dom.csr
на этапе разворачивания портала, можно пропустить крыжик "разрешить пользователям AD авторизироваться на портале", а позже настроить это с админ панели.
А вы пытаетесь, добавить пользователей и структуру с AD, или настроить NTLM аутентификацию для входа без пароля? Сначала рекомендую просто дернуть пользователей. А следующим этапом настроить аутентификацию.
В случае использования NTLM-авторизации по протоколу https нужно еще также указать пути до SSL-сертификата в файле /etc/httpd/bx/conf/ntlm_bitrix.conf
Можно еще проверить что в конф. файлах nginx не накосячили nginx -t
[root@localhost ~]# nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
Делаю как в инструкции описано, Во время установки, в мастере выбираем Разрешить пользователям Active Directory авторизовываться на портале:
а при нажатии кнопки проверки вываливается эта самая ошибка.
Сертификаты мне админ скинул в формате .cer, я их переименовал в .pem и выполнил следующее:
Enable the dynamic CA configuration feature: update-ca-trust force-enable
Add it as a new file to /etc/pki/ca-trust/source/anchors/: cp foo.crt /etc/pki/ca-trust/source/anchors/
Use command: update-ca-trust extract
В ca-bundle.trust.crt мои сертификаты оба есть: # gaz Root Standalone CA -----BEGIN CERTIFICATE----- MJF3GFgShaS9zANBgkqhkiG9w0BAQsFADAp ..... -----END CERTIFICATE-----
# gaz Enterprise Subordinate CA -----BEGIN CERTIFICATE----- MIIFUFBwICMDQeMgBJAG4AdABlAHIAbgBhAGwAIABQ AG8AbABpAGMAeQAgAFMAdABhAHQAZQBtAGUAbgB0MCcGCCsGAQUFBwIBFhtodHRw ..... -----END CERTIFICATE-----
А саму виртуальную машину нужно в домен корпоративный загонять или с АД будет работать и без входа в домен?
Для начала хочу добавить пользователей из АД, ну а уже потом и авторизацию хотелось бы через АД.
Пропустил настройку "Разрешить пользователям Active Directory авторизовываться на портале:" а на следующем этапе есть кнопка "Настройка экстранета" по документации не понял, что это и для чего?
Александр написал: Пропустил настройку "Разрешить пользователям Active Directory авторизовываться на портале:" а на следующем этапе есть кнопка "Настройка экстранета" по документации не понял, что это и для чего?
интранет - внутренние пользователи, сотрудники компании экстранет - внешние пользователи, подрядчики и т.п, они не видят информацию на вашем портале, работают только в специальных экстранет-группах настройка делает включение модуля и доп. сайта экстранет /ваш_портал/extranet/
Александр написал: А саму виртуальную машину нужно в домен корпоративный загонять или с АД будет работать и без входа в домен?Для начала хочу добавить пользователей из АД, ну а уже потом и авторизацию хотелось бы через АД.
По NTLM Вобще в тех. поддержке по тикету мне писали, что нужны права администратора домена, и сервер должен быть в домене при проверке через net ads join
Но у меня все завелось с юзером с правами доступа к каталогам AD. Не добавляя сервер Битрикс в домен. #net ads testjoin отвечал Join is OK
wbinfo -u Показывал список пользователей AD
Естественно в /etc/resolf.conf Должны быть записи DNS КД. А на DNS сервере прямая, PTR записи на хост с Битрикс машиной. Настроивал ntlm через скрипт /root/.menu.sh
А просто получение пользователей настраивал через административный раздел портала, страница Active Directory / LDAP серверы (Настройки > AD/LDAP).