logo
logo
ELMA4 / Сквозная авторизация / Настройка без установки дополнительного приложения

Настройка без установки дополнительного приложения

Примечание

Эта статья актуальна для версий системы ниже 4.1.0. Про настройку для версий 4.1.0 и выше читайте в справке по ЕLМА4.

Настройки, описанные ниже, выполнены в системе Windows Server 2019.

Для корректной настройки сквозной авторизации без установки дополнительного приложения нужно выполнить следующие действия.

  1. Установите компонент Windows — Проверка подлинности. Для этого нажмите Пуск — Диспетчер серверов, в открывшемся окне нажмите Добавить роли и компоненты и перейдите в раздел Роли сервера.
  2. Далее нужно проверить, установлена ли служба Веб-сервер — Безопасность — Windows — Проверка подлинности. Если эта служба не настроена, установите соответствующий флажок и нажимайте Далее, пока не появится кнопка Установить.
  3. Откройте Диспетчер служб IIS. Выберите сервер, на его начальной странице перейдите в раздел Управление и нажмите кнопку Делегирование компонента.
  4. Чтобы настроить состояние делегирования компонента сайта ELMA4, в блоке Действия нажмите Пользовательское делегирование сайта… . На открывшейся странице в поле Сайты выберите сайт ELMA4 и задайте вариант делегирования Чтение и запись для Проверка подлинности - Windows. Для этого вызовите контекстное меню и выберите Чтение и запись.

  1. Чтобы повысить уровень безопасности, настройте проверку подлинности. Для этого нужно перейти на начальную страницу сайта ELMA4 и нажать кнопку Проверка подлинности. На открывшейся странице отключите все представленные проверки, кроме Проверка подлинности Windows. Для этого вызовите контекстное меню возможности и выберите состояние Отключить или Включить.
  2. Чтобы отключить запрос авторизации со стороны сервера, нужно настроить исключение таких адресов, как REST API, PublicAPI и др. Эти адреса всегда должны оставаться с анонимным доступом, т. к. они используются при работе с ELMA Агент и внешними системами. Для этого в папке .../<Общая папка с файлами системы ELMA4>/Web отредактируйте файл Web.config. В этом файле перед строкой ..<location path="Version.ashx">.. добавьте программный код, который можно скачать по ссылке.
  3. Откройте начальную страницу сайта ELMA4 и в разделе ASP.NET нажмите кнопку Параметры приложения. На открывшейся странице добавьте параметры:
  • autoFormsAuthentication = "false";
  • enableSimpleMembership = "false".

Для этого в блоке Действия нажмите Добавить..., введите имя и значение параметра и нажмите ОК.

Добавленные параметры отобразятся в общем списке параметров приложения.

После этого система перезапустится автоматически.

  1. Чтобы завершить настройки, нужно осуществить переключение сквозной аутентификации. Для этого в файле Settings.config в папке .../<Общая папка с файлами системы ELMA4>/Web измените значение параметра SSPI.UseInPlaceWinAuth на true.
<add key="SSPI.EnableSSO" value="true" />

При использовании LDAP-каталога по умолчанию нужно раскомментировать строку, содержащую параметр SSPI.InstanceUid.

<add key="SSPI.InstanceUid" value="7EFF5F19-58D1-4904-8699-0A059BAB5F08" />

Если был создан новый LDAP-каталог, нужно раскомментировать строку, содержащую параметр SSPI.InstanceUid, и указать в значении этого параметра новый Uid созданного каталога.

Чтобы определить Uid созданного каталога, в ELMA4 перейдите в раздел Администрирование — Пользователи и в верхнем меню наведите курсор на кнопку Импорт. Далее выберите каталог и перейдите к первому этапу импорта пользователей. Uid каталога отображается в адресной строке веб-браузера.

  1. Далее нужно добавить сервер ELMA4 в зону Местная интрасеть и Надежные сайты и установить низкий уровень безопасности. Настройка по этому пункту должна применяться ко всем рабочим станциям (ПК пользователей), состоящих в домене, с которым настроена авторизация.

Рассмотрим пример настройки для Google Chrome.

  1. Нажмите Пуск — Панель управления, откройте Свойства браузера и перейдите на вкладку Безопасность. Для зоны Местная интрасеть и Надежные сайты установите уровень безопасности Ниже среднего.

  1. Далее требуется добавить сервер ELMA4 к надежным узлам. Для этого на вкладке Безопасность нажмите кнопку Сайты, укажите адрес сервера и нажмите кнопку Добавить. При этом должен быть снят флажок Для всех сайтов этой зоны требуется проверка серверов (https:). Чтобы сохранить изменения, нажмите кнопку Закрыть.
  2. Также нужно разрешить Автоматический вход в сеть с текущим именем пользователя и паролем. Для этого на вкладке Безопасность нажмите кнопку Другой… . Далее в окне Параметры безопасности - зона надежных сайтов в пункте Проверка подлинности пользователя выберите опцию Автоматический вход в сеть с текущим именем пользователя и паролем. Чтобы сохранить изменения, нажмите ОК и подтвердите действие.

Рассмотрим пример настройки для Mozilla Firefox.

  1. Введите в адресной строке «about:config» и нажмите Enter. Далее нажмите Принять риск и продолжить.
  2. На открывшейся странице в строке поиска введите «network.negotiate-auth.trusted-uris» и нажмите Enter. Далее нажмите дважды на найденную строку и укажите имя сервера ELMA4 (без префикса https), например, 127.0.0.1:8000.
  1. После завершения настроек нужно импортировать пользователей из LDAP-каталога и осуществить вход по прямой ссылке на объект. Пример ссылки: http://test.server.local.

Использование лог-файлов

Если при настройке возникли ошибки, рекомендуется использовать лог-файлы для оценки и исправления возникшей ситуации. Лог-файлы отображаются только после предварительной настройки. По умолчанию их отображение отключено. Для отображения лог-файлов в файле log4net.config, который расположен в папке .../<Общая папка с файлами системы ELMA4>/Web/Config/, измените значение параметра level value для "AuthLog" на ALL и сохраните внесенные изменения.

После этого в папке Auth, расположенной в папке .../<Общая папка с файлами системы ELMA4>/Web/logs/, начнется формирование лог-файлов.

После того как лог-файлы сформируются, в файле log4net.config нужно изменить значение параметра level value для "AuthLog" на OFF и сохранить внесенные изменения.

Сквозная авторизация при обновлении ELMA4

Чтобы после обновления ELMA4 сквозная авторизация работала корректно, перед началом обновления выполните следующие действия:

  1. Создайте копию файлов Web.config и Settings.config, которые расположены в папке .../<Общая папка с файлами системы ELMA4>/Web/.
  2. Обновите ELMA4.
  3. Измените названия обновленных файлов Web.config и Settings.config следующим образом: Web_<номер_обновленной_версии_системы>.config и Settings_<номер_обновленной_версии_системы>.config. Например, Web_4_0_16.config и Settings_4_0_16.config;
  4. Переместите скопированные ранее файлы в папку .../<Общая папка с файлами системы ELMA4>/Web/.