Вопрос:

Настраивал аутентификацию через LDAP. Дошел до параметра, где есть возможность сделать сквозную авторизацию, установил нужный параметр, но при переходе на страницу портала все равно запрашивает запрашивает логин  и пароль  в виде аутентификации windows:

Если ввести данные один раз, то они сохраняются в кэше до перезапуска браузера.

Как решить вопрос с отображением окна доменной авторизации?

Ответ:

При первом входе в приложение браузер запрашивает доменный логин/пароль (см. рис. выше). Это связано с тем, что браузер по умолчанию не отправляет учетные данные текущего пользователя, и для доступа к ресурсу, требующего windows-авторизацию, идет каждый раз запрос доменных данных.

Для того, чтобы мы каждый раз не вводили логин/пароль нужно применить следующие настройки.

• Internet Explorer

Браузер IE по умолчанию отправляет учетные данные ресурсу и дополнительный ввод логина/пароля не требуется.

• Google Chrome

Переходим в настройки интернета на вкладку Security, выбираем Internet Zone и жмем на Custom Level.

Далее в самом низу выбираем User Authentication -> Logon -> Automatic logon with current user name and password.

Если мы не хотим настраивать для всех сайтов — можем добавить определенный адрес в доверенные (Trusted Sites) и для этой зоны выполнить соответствующие настройки.

Если сайт локальный, такие же настройки делаем для локальной зоны.

• Firefox

1. Запустите Firefox и в адресной строке введите about:config и нажмите ENTER.
2. В строке фильтров укажите ключевой слово NTLM, в результате чего перед вами останется три параметра, нас интересует параметр   network.automatic-ntlm-auth.trusted-uris.
3. Двойной  клик по данному параметру откроет окно с текстовым полем, куда можно внести список URL (через запятую), для которых будет поддерживаться автоматическая сквозная NTLM аутентификация. Формат такой: http://project-tc, https://work.bpmonline.com. Если необходимо добавить все сайты в домене (обычно это внутренний корпоративный домен), нужно указать: .bpmonline.com.

* Если окошко авторизации постоянно появляется при работе, вышеуказанные настройки выполнены, а ввод авторизационных данных не дает результатов (после ввода данных окошко появляется вновь и вновь), то необходимо открыть в браузере Developer Tools (Google Chrome) и посмотреть в секции Network последний запрос на сервер (причина окошка авторизации) перед появлением окошка. В таком примере был запрос вида /0/ServiceModel/MsgUtilService.svc/LogInMsgServer, и проблема решилась после очистки системной настройки "Библиотека обмена сообщениями по умолчанию".

* * To enable support for the WebSocket Protocol on Windows Server 2012, use the following steps:

1.Open Server Manager.

2.Under the Manage menu, click Add Roles and Features.

3.Select Role-based or Feature-based Installation, and then click Next.

4.Select the appropriate server, (your local server is selected by default), and then click Next.

5.Expand Web Server (IIS) in the Roles tree, then expand Web Server, and then expand Application Development.

6.Select WebSocket Protocol, and then click Next.

7.If no additional features are needed, click Next.

8.Click Install.

9.When the installation completes, click Close to exit the wizard.

По многочисленным заявкам я создал мастер преобразования обычного пользователя в пользователя с доменной авторизацией.
Во вложении находятся сервисы и хранимая процедура.

Запускать мастер нужно с помощью команды:

Выглядит окно следующим образом:

Кнопкой "Назначить пользователя домена" или двойным кликом мыши на необходимых пользователях нужно задать им соответствие доменному пользователю:

После этого нажать на кнопку "Выполнить".
И все пользователи, которым были указаны соответствия, будут преобразованы в доменных.

Механизм будет работать на MSSQL 2005, 2008, 2008 R2. Тестировался на MSSQL 2008 R2.

P.S. Обновил скрипты до версии 2.0

Для входа пользователя через интерфейс веб-формы нужно ввести свой логин и пароль, где логин - это e-mail. Если веб-форма используется для доступа клиентов к своим инцидентам -- то все отлично.

С недавних пор большие компании испытывают потребность использовать веб-форму для своих многочисленных сотрудников. И логично возникло желание использовать при этом доменную авторизацию, чтобы пользователи автоматически заходя на веб-форму видели свои инциденты без необходимости вводить логин и пароль: это и удобно и лучше с точки зрения безопасности.

Поэтому такой функционал был реализован. Начиная с 3.3.2.143. Теперь окно логина выглядит так:

обратите внимание на новую опцию "Использовать доменную авторизацию". При ее установке поле Логин автоматически заполняется именем пользователя текущего сеанса Windows. Один раз установив эту опцию пользователь всегда будет автоматически логинится на веб-форму при каждом входе (пока не нажмет на "Выход").

Также для этого был доработан раздел "Web-пользователи", чтобы можно было добавлять доменных пользователей и импортировать их из домена (подобно как в разделе "Администрирование"):

Для активизации такой возможности нужно не много:

1. Сборка веб-формы не ниже 3.3.2.143;
2. Изменения конфигурации в разделе Web-пользователи (там всего 8 сервисов)
3. В файле web.config установить опцию TSAllowWindowsAuthentication в значение True;
4. При настройке IIS отключить анонимный доступ.

Также хочу отметить, что попутно веб-форма была переведена на Microsoft .NET Framework 4. Со временем также будет сделана отвязка от сборки бинарных файлов.

Запросы на новую сборку можете направлять в отдел технической поддержки.
С удовольствием отвечу все на вопросы

Часто возникают вопросы о настройке доменной авторизации для Oracle и работе пользователей в Terrasoft, используя доменную авторизацию.

Итак пошаговая инструкция.

1. Первое, что нужно сделать - проверить значения системных параметров сервера Oracle OS_AUTHENT_PREFIX и REMOTE_OS_AUTHENT.

OS_AUTHENT_PREFIX - строковый параметр (значение по умолчанию OPS$) - это префикс прибавляемый сервером Oracle к имени пользователя при сопоставлении имен.
Настоятельно РЕКОМЕНДУЕТСЯ сбросить значение этого параметра (установить его равным пустой строке). Иначе придется заводить в Terrasoft всех доменных пользователей с префиксом OPS$, Например OPS$YOUR_DOMAIN\USER1, - это неудобно.

REMOTE_OS_AUTHENT - булевый параметр (значение по умолчанию FALSE) - разрешение подключаться к серверу удаленным пользователям с доменной авторизацией. Нужно установить его в TRUE.

Изменить значения этих параметров можно несколькими способами: 

• из Oracle Enterprise Management Console (Configuration->All initialization parameters...), находим эти параметры и изменяем их.
• из консоли Sqlplus командами

SQL> alter system set os_authent_prefix=‘’ scope=spfile;
SQL> alter system set remote_os_authent=TRUE scope=spfile;

Проверить правильность установки этих параметров можно из консоли Sqlplus:
SQL> Show parameters %AUTH%

2. На компьютере где установлен сервер Oracle правим файл sqlnet.ora, он находится в каталоге \%Oracle_HOME%\Network\Admin\.
Обязательно необходимы 2 настройки:

NAMES.DEFAULT_DOMAIN = YOUR_DOMAIN
 
SQLNET.AUTHENTICATION_SERVICES = (NTS)  или SQLNET.AUTHENTICATION_SERVICES = (NONE, NTS)

3. В системный реестр операционной системы сервера требуется добавить параметр
HKEY_LOCAL_MACHINE\ SOFTWARE\ORACLE\HOME№\OSAUTH_PREFIX_DOMAIN со значением TRUE.

4. Перезагружаем сервер Oracle.

5. Делаем тестовое подключение используя доменную авторизацию с помощью sqlplus
SQL> connect  /
Соединено.

6. Добавляем в Terrasoft необходимых пользователей домена (раздел "Администрирование"-> "Добавить пользователя из домена"), заказываем на них лицензии.

7. При входе в окне логина Terrasoft ставим флажок "Использовать доменную авторизацию" и все!

При написании использовался тестовый стенд:
Серверная ОС - Windows XP
Клиентская ОС - Windows XP
Сервер Oracle 9.2.0.8
Terrasoft CRM 3.3.1.94
тестировалась работа пользователей с именными и конкурентными лицензиями, используя доменную авторизацию.

Рекомендую также материалы по теме:
http://www.oracle.com/global/ru/oramag/march2002/admin_nt_auth.html
http://www.osp.ru/text/print/302/177067.html 
http://www.osp.ru/win2000/2004/06/177152/