Приветствую господа программеры!!!
Ответа на просторах инета не нашел, поэтому сюда.

попытаюсь объяснить кратко, ситуация такая:
есть 2 сети: сеть0, сеть1  (сети физически связаны, это филиал и его подразделение)
у каждого есть домен: домен0, домен1 соответственно (доверия между доменами пока нет)

в домене0 стоит и работает сервер 1С
есть КОНФИГУРАЦИЯ (работает по клиент-сервер) и пользователи домена0 работают с этой КОНФИГУРАЦИЕЙ по win-аутентификации без проблем.
пользователи домена1 работают с этой КОНФИГУРАЦИЕЙ по аутентификации 1С.

подумалось, а почему бы не сделать чтобы и пользователи домена1 работали по win-аутентификации.
у юзера "домен1\юзер1" в карточке пользователя (в конфигураторе) взвел птичку "Аутентификация ОС" и в поле "Пользователь" прописал "\\домен1\юзер1".
но... чуда не случилось.

вот собственно сам вопрос по физике процесса аутентификации: аутентификация происходит на клиенте или на сервере ???
т.е. если аутентификация на самом деле проходит на самом сервере, тогда поведение понятно - доверия между доменами нет. а если все-таки на клиенте - тогда непонятно...  :(

че не понятно - не понятно, понято одно что "доверия между доменами нет" и на этом можно поставить точку и закрывать ветку.

насколько я помню, 1с не умеет кроссдомейную авторизацию
Особенно без доверия

Давно мечтаю о гибридной аутентификации, когда пользователю предлагают ввести пароль, который затем проверяется на контроллере домена для соответствующего пользователя. Но вот не сделано так в 1с(. Только прозрачная доменная, или же хранение пароля в 1с.

(3) ты еще аудит захоти...

так все-таки механизмы аутентификации работают на сервере ?

(2) т.е. из разных доменов в принципе невозможно организовать win-авторизацию?

(5) (6) От контроллера домена, если ты не в домене, как таковом, что ты хочешь получить?

(5) Какая разница? 1с сама не занимается аутентификацией в домене. Она просто запрашивает домен "кто это у нас запустил клиент?", и если домен отвечает "пользователь такой-то", и если этот пользователь домена связан с пользователем ИБ - то происходит вход в конфигурацию под этим пользователем.

(2)(6) можно....

(8) в этом и вопрос: кто спрашивает клиент-1С или сервер-1С ?

(10) получается что и еще и сервер что-то спрашивает... иначе ему было бы по барабану

(10) Спрашивает клиент, причем думаю к контроллеру домена обращение вообще не идет напрямую.. идет обращение к службе "Сетевой вход в систему".. а уж та может и обратится к своему контроллеру, если время кэширования токена авторизации устарело, а может и нет.

(12) контроллер винда дёргает, т.к. если поставить блокировку учётки, то 1С перестанет запускаться "сразуже"

(3) Есть еще опен ИД

сабж можно сделать даже без "дружбы домена", варианты

1. самый правильный, дружба доменов, тогда записи домена2 разрешаются контролером домена1
2. без дружбы, для этого сервер 1с должен знать IP сервера АД домена 2, это можно добится например прямой и обратной записью DNS.
3. Вообще без доменов, для этого нужно завести на сервере 1с локальную учетку юзера с логином и паролем идентичному домену2 и в 1с прописать сервер1с\логинДомена2, но после смены пароля работать не будет.

>Спрашивает клиент, причем думаю к контроллеру домена обращение вообще не идет напрямую.. идет обращение к службе "Сетевой вход в систему"

в чем тогда была бы проблема? домен клиента и учетной записи ведь совпадают... а на сервак клиент стучался бы с готовой учеткой 1с - какая разница какой домен был

(13) Не факт, возможно тут идет взаимодействие в обратном направлении - при блокировке учетной записи контроллер оповещает компьютеры, где был вход с этим именем, о её неактуальности.

кстати автору советую попробовать так (может прокатить :) )
IP_серрвера_AD_домена2\логин_домена2

(11) если и сервер что-то спрашивает - тогда "нерабочесть" понятна, но грустно
(15) п.2 нужно будет попробовать, сам не осилю  :) , а чел. в отпуске

(18) а вот это щас попытаюсь  :)

(0) домены надо поднимать в одном лесу

(15) заводить учетки на сервере 1с сводят всю идею домена на нет

(18) Не прокатывает, только имя домена

(21) в данном случае не вариант

(19) можно DNS прописать локально на сервере 1с

-----------------
в файле hosts прописываем

10.10.0.2      ИмяСервера

-----------------
в файле networks

ИмяСервера    10.10.0.2



но я-бы без админа это делать все равно не стал-бы по причине "что-бы он не обиделся"

(24) ага, придется подождать  :)

спасибо, за советы

еще один момент который помогает "подружить"

на контролере домена 2 завести юзера под которым работает служба сервера 1с (с одинаковым паролем)

тем более, что пинг с сервера 1С до контроллера домен1 не проходит  :)

(27) ну с этого тогда нужно начинать :)

(26)+ такой финт помогает делать файловые шары для чужих доменов с доступом не для всех...

(29) очень уж крутой финт  :)

(0)> взвел птичку "Аутентификация ОС" и в поле "Пользователь" прописал "\\домен1\юзер1".

Смотри событие "Сеанс.Ошибка аутентификации" в ЖР. В поле Данные указано имя пользователя ОС с которым осуществляется подключение. Сравни с твоим "\\домен1\юзер1".

(31) там даже имени нет - пусто