Настройка без установки дополнительного приложения
Эта статья актуальна для версий системы ниже 4.1.0. Про настройку для версий 4.1.0 и выше читайте в справке по ЕLМА4.
Настройки, описанные ниже, выполнены в системе Windows Server 2019.
Для корректной настройки сквозной авторизации без установки дополнительного приложения нужно выполнить следующие действия.
- Установите компонент Windows — Проверка подлинности. Для этого нажмите Пуск — Диспетчер серверов, в открывшемся окне нажмите Добавить роли и компоненты и перейдите в раздел Роли сервера.
- Далее нужно проверить, установлена ли служба Веб-сервер — Безопасность — Windows — Проверка подлинности. Если эта служба не настроена, установите соответствующий флажок и нажимайте Далее, пока не появится кнопка Установить.
- Откройте Диспетчер служб IIS. Выберите сервер, на его начальной странице перейдите в раздел Управление и нажмите кнопку Делегирование компонента.
- Чтобы настроить состояние делегирования компонента сайта ELMA4, в блоке Действия нажмите Пользовательское делегирование сайта… . На открывшейся странице в поле Сайты выберите сайт ELMA4 и задайте вариант делегирования Чтение и запись для Проверка подлинности - Windows. Для этого вызовите контекстное меню и выберите Чтение и запись.
- Чтобы повысить уровень безопасности, настройте проверку подлинности. Для этого нужно перейти на начальную страницу сайта ELMA4 и нажать кнопку Проверка подлинности. На открывшейся странице отключите все представленные проверки, кроме Проверка подлинности Windows. Для этого вызовите контекстное меню возможности и выберите состояние Отключить или Включить.
- Чтобы отключить запрос авторизации со стороны сервера, нужно настроить исключение таких адресов, как REST API, PublicAPI и др. Эти адреса всегда должны оставаться с анонимным доступом, т. к. они используются при работе с ELMA Агент и внешними системами. Для этого в папке .../<Общая папка с файлами системы ELMA4>/Web отредактируйте файл Web.config. В этом файле перед строкой ..<location path="Version.ashx">.. добавьте программный код, который можно скачать по ссылке.
- Откройте начальную страницу сайта ELMA4 и в разделе ASP.NET нажмите кнопку Параметры приложения. На открывшейся странице добавьте параметры:
- autoFormsAuthentication = "false";
- enableSimpleMembership = "false".
Для этого в блоке Действия нажмите Добавить..., введите имя и значение параметра и нажмите ОК.
Добавленные параметры отобразятся в общем списке параметров приложения.
После этого система перезапустится автоматически.
- Чтобы завершить настройки, нужно осуществить переключение сквозной аутентификации. Для этого в файле Settings.config в папке .../<Общая папка с файлами системы ELMA4>/Web измените значение параметра SSPI.UseInPlaceWinAuth на true.
<add key="SSPI.EnableSSO" value="true" />
При использовании LDAP-каталога по умолчанию нужно раскомментировать строку, содержащую параметр SSPI.InstanceUid.
<add key="SSPI.InstanceUid" value="7EFF5F19-58D1-4904-8699-0A059BAB5F08" />
Если был создан новый LDAP-каталог, нужно раскомментировать строку, содержащую параметр SSPI.InstanceUid, и указать в значении этого параметра новый Uid созданного каталога.
Чтобы определить Uid созданного каталога, в ELMA4 перейдите в раздел Администрирование — Пользователи и в верхнем меню наведите курсор на кнопку Импорт. Далее выберите каталог и перейдите к первому этапу импорта пользователей. Uid каталога отображается в адресной строке веб-браузера.
- Далее нужно добавить сервер ELMA4 в зону Местная интрасеть и Надежные сайты и установить низкий уровень безопасности. Настройка по этому пункту должна применяться ко всем рабочим станциям (ПК пользователей), состоящих в домене, с которым настроена авторизация.
Рассмотрим пример настройки для Google Chrome.
- Нажмите Пуск — Панель управления, откройте Свойства браузера и перейдите на вкладку Безопасность. Для зоны Местная интрасеть и Надежные сайты установите уровень безопасности Ниже среднего.
- Далее требуется добавить сервер ELMA4 к надежным узлам. Для этого на вкладке Безопасность нажмите кнопку Сайты, укажите адрес сервера и нажмите кнопку Добавить. При этом должен быть снят флажок Для всех сайтов этой зоны требуется проверка серверов (https:). Чтобы сохранить изменения, нажмите кнопку Закрыть.
- Также нужно разрешить Автоматический вход в сеть с текущим именем пользователя и паролем. Для этого на вкладке Безопасность нажмите кнопку Другой… . Далее в окне Параметры безопасности - зона надежных сайтов в пункте Проверка подлинности пользователя выберите опцию Автоматический вход в сеть с текущим именем пользователя и паролем. Чтобы сохранить изменения, нажмите ОК и подтвердите действие.
Рассмотрим пример настройки для Mozilla Firefox.
- Введите в адресной строке «about:config» и нажмите Enter. Далее нажмите Принять риск и продолжить.
- На открывшейся странице в строке поиска введите «network.negotiate-auth.trusted-uris» и нажмите Enter. Далее нажмите дважды на найденную строку и укажите имя сервера ELMA4 (без префикса https), например, 127.0.0.1:8000.
- После завершения настроек нужно импортировать пользователей из LDAP-каталога и осуществить вход по прямой ссылке на объект. Пример ссылки: http://test.server.local.
Использование лог-файлов
Если при настройке возникли ошибки, рекомендуется использовать лог-файлы для оценки и исправления возникшей ситуации. Лог-файлы отображаются только после предварительной настройки. По умолчанию их отображение отключено. Для отображения лог-файлов в файле log4net.config, который расположен в папке .../<Общая папка с файлами системы ELMA4>/Web/Config/, измените значение параметра level value для "AuthLog" на ALL и сохраните внесенные изменения.
После этого в папке Auth, расположенной в папке .../<Общая папка с файлами системы ELMA4>/Web/logs/, начнется формирование лог-файлов.
После того как лог-файлы сформируются, в файле log4net.config нужно изменить значение параметра level value для "AuthLog" на OFF и сохранить внесенные изменения.
Сквозная авторизация при обновлении ELMA4
Чтобы после обновления ELMA4 сквозная авторизация работала корректно, перед началом обновления выполните следующие действия:
- Создайте копию файлов Web.config и Settings.config, которые расположены в папке .../<Общая папка с файлами системы ELMA4>/Web/.
- Обновите ELMA4.
- Измените названия обновленных файлов Web.config и Settings.config следующим образом: Web_<номер_обновленной_версии_системы>.config и Settings_<номер_обновленной_версии_системы>.config. Например, Web_4_0_16.config и Settings_4_0_16.config;
- Переместите скопированные ранее файлы в папку .../<Общая папка с файлами системы ELMA4>/Web/.