logo
logo
ELMA4 / Сквозная авторизация / Настройка с помощью дополнительного приложения

Настройка с помощью дополнительного приложения

Примечание
Эта статья актуальна для версий системы ниже 4.1.0. Про настройку для версий 4.1.0 и выше читайте в справке по ЕLМА4.
Настройки, описанные ниже, выполнены в системе Windows Server 2019.

Для корректной настройки сквозной авторизации с помощью дополнительного приложения выполните следующие действия.

  1. Установите компонент Windows — Проверка подлинности. Для этого нажмите Пуск — Диспетчер серверов, в открывшемся окне нажмите Добавить роли и компоненты и перейдите в раздел Роли сервера.
  2. Далее нужно проверить, установлена ли служба Веб-сервер — Безопасность — Windows — Проверка подлинности. Если эта служба не настроена, установите соответствующий флажок и нажимайте Далее, пока не появится кнопка Установить.
  3. Откройте Диспетчер служб IIS. Выберите сервер, на его начальной странице перейдите в раздел Управление и нажмите кнопку Делегирование компонента.
  4. Чтобы настроить состояние делегирования компонента сайта ELMA4, в блоке Действия нажмите Пользовательское делегирование сайта… . На открывшейся странице в поле Сайты выберите сайт ELMA4 и задайте вариант делегирования Чтение и запись для Проверка подлинности - Windows. Для этого вызовите контекстное меню и выберите Чтение и запись.

  1. Чтобы повысить уровень безопасности, настройте проверку подлинности. Для этого нужно перейти на начальную страницу сайта ELMA4 и нажать кнопку Проверка подлинности. Вызовите контекстное меню пункта Проверка подлинности Windows и выберите Включить.
  2. Откройте Диспетчер серверов, нажмите Средства и выберите Диспетчер служб IIS. Далее перейдите к списку сайтов, вызовите контекстное меню нужного сайта и выберите Добавить приложение… .
  3. В открывшемся окне в поле Псевдоним введите значение «SSPI», а в поле Физический путь — ...\<Общая папка с файлами системы ELMA4>\Web\SSPI и нажмите ОК.

  1. Откройте Диспетчер служб IIS:
  • перейдите в добавленное приложение SSPI — Проверка подлинности и в блоке Действия нажмите Поставщики… . В открывшемся окне переместите пункт NTLM на первую позицию и нажмите ОК;
  • перейдите в добавленное приложение SSPI — Анонимная проверка подлинности и нажмите Отключить.
  1. В файле Web.config, который по умолчанию расположен в папке .../<Общая папка с файлами системы ELMA4>/Web, измените значение параметра loginUrl тега forms следующим образом:
<forms name="Elma.V3.Forms.Auth" loginUrl="~/SSPI/Account/LogOn" defaultUrl="~/" protection="All"
timeout="5256000" path="/" requireSSL="false" slidingExpiration="true" enableCrossAppRedirects="false"
cookieless="UseCookies" />
  1. Далее нужно добавить сервер ELMA4 в зону Местная интрасеть и Надежные сайты и установить низкий уровень безопасности. Настройка по этому пункту должна применяться ко всем рабочим станциям (ПК пользователей), состоящих в домене, с которым настроена авторизация.

Рассмотрим пример настройки для Google Chrome.

  1. Нажмите Пуск — Панель управления, откройте Свойства браузера и перейдите на вкладку Безопасность. Для зоны Местная интрасеть и Надежные сайты установите уровень безопасности Ниже среднего.

  1. Далее требуется добавить сервер ELMA4 к надежным узлам. Для этого на вкладке Безопасность нажмите кнопку Сайты, укажите адрес сервера и нажмите кнопку Добавить. При этом должен быть снят флажок Для всех сайтов этой зоны требуется проверка серверов (https:). Чтобы сохранить изменения, нажмите кнопку Закрыть.
  2. Также нужно разрешить Автоматический вход в сеть с текущим именем пользователя и паролем. Для этого на вкладке Безопасность нажмите кнопку Другой… . Далее в окне Параметры безопасности - зона надежных сайтов в пункте Проверка подлинности пользователя выберите опцию Автоматический вход в сеть с текущим именем пользователя и паролем. Чтобы сохранить изменения, нажмите ОК и подтвердите действие.

Рассмотрим пример настройки для Mozilla Firefox.

  1. Введите в адресной строке «about:config» и нажмите Enter. Далее нажмите Принять риск и продолжить.
  2. На открывшейся странице в строке поиска введите «network.negotiate-auth.trusted-uris» и нажмите Enter. Далее нажмите дважды на найденную строку и укажите имя сервера ELMA4 (без префикса https), например, 127.0.0.1:8000.
  1. Тонкая настройка (необязательно).

Файл Settings.config содержит некоторые настройки, относящиеся к методу авторизации SSPI:

  • SSPI.SecurityKey — ключ AES-256 в формате Base64;
  • SSPI.SecurityVector — вектор инициализации AES-256 в формате Base64;
  • SSPI.CookieName — название cookie;
  • SSPI.TicketLifetime — время жизни cookie в секундах (необязательный параметр, значение по умолчанию — 60 с).

Ключи можно сгенерировать на сайте.

Сквозная авторизация доступна только пользователям системного модуля авторизации LDAP. Если сквозная авторизация должна работать для пользователей другого модуля авторизации LDAP, нужно:

  1. Открыть для редактирования файл Settings.config в папке .../<Общая папка с файлами системы ELMA4>/Web.
  2. Раскомментировать строку < add key="SSPI.InstanceUid" value="7EFF5F19-58D1-4904-8699-0A059BAB5F08" />, изменить значение value, указав там локальный номер требуемого модуля авторизации LDAP, и сохранить изменения. Уникальный номер каждого из модулей авторизации отображается в адресной строке веб-браузера при переходе на страницу импорта пользователей из модуля (раздел Администрирование — Пользователи).

Со сквозной авторизацией одновременно может работать только один модуль LDAP, уникальный номер которого указан в настройках (см. п. 2). Для остальных модулей сквозная авторизация будет недоступна.

Для возврата к стандартным настройкам модуля авторизации нужно закомментировать строку < add key="SSPI.InstanceUid" value="7EFF5F19-58D1-4904-8699-0A059BAB5F08" />.