05.12.2014

Nastavení hesla při zadávání 1C Plat a lidské zdroje.

Mezi hlavní administrativní mechanismy patří také autentizační mechanismus, který slouží k identifikaci uživatele, který se připojil k softwarovému produktu v tento moment.

Existují 3 typy autentizačních mechanismů, jejichž výběr přímo závisí na cíli, který sleduje správce databáze:

• ověřování 1C: Podniky;
• ověřování OS;
• OpenID autentizace.

1C: Enterprise autentizace je jedním z autentizačních mechanismů, pro který musíte vytvořit heslo v konfigurátoru programu 1C: Enterprise:

Při použití tohoto mechanismu pro přihlášení do systému musíte vybrat uživatelské jméno a zadat heslo účet:

Pokud je zadáno nesprávné heslo (neshodovalo se s heslem uloženým v databázi), bude uživateli odepřen přístup softwarový produkt.

Mechanismus ověřování lze vytvořit také v 1C: Enterprise. Chcete-li otevřít režim vytváření a úpravy hesla, musíte v nabídce programu vybrat "Služba" a poté přejít na "Možnosti uživatele" - na monitoru se zobrazí dialogové okno.

V okně, které se objeví, musíte zadat celé a krátké uživatelské jméno, a aby se vyloučila možnost uhodnutí hesla, zadá se jeho opětovné potvrzení.

Dalším autentizačním mechanismem 1C: Enterprise se stává autentizace operační systém.

Tento mechanismus ověřování zahrnuje výběr jednoho ze stávajících uživatelů v konfigurátoru:

Při přihlašování pomocí tohoto autentizačního mechanismu není zadání uživatelského jména a hesla povinným procesem. Úkolem systému je analyzovat uživatelské jméno a určit uživatele 1C: Enterprise 8, který začne pracovat se softwarovým produktem. Není tedy nutné, aby se objevilo dialogové okno, pokud není vytvořena zvláštní podmínka. příkazový řádek.

Co je autentizace OpenID? Tento mechanismus není založen na údajích určitého informační základna, ale na datech externího poskytovatele OpenID, která obsahují informace o uživatelích.

Nespornou výhodou tohoto autentizačního mechanismu je pohodlnost práce velké množství informační základny.

Pokud používáte ověřování 1C: Enterprise, musíte při každém připojení k databázi zadat své přihlašovací jméno a heslo.

V případě použití autentizace OpenID již tato potřeba odpadá: jakmile projdete autentizační procedurou při připojování k databázím, budete moci neustále získávat přístup bez zadání přihlašovacího jména a hesla. Autentizace uživatele bude provedena automaticky díky informacím uloženým u poskytovatele.

Následující schéma odráží algoritmus akcí během autentizační procedury:

V tomto diagramu vidíme, že databáze 1C: Enterprise funguje jako poskytovatel OpenID ( speciální možnosti Najdete jej na webovém serveru).

1 – uživatel začne používat databázi 1,

2 – databáze 1 odešle poskytovateli OpenID požadavek na ověření uživatele,

3 – provedení poskytovatelem identifikace uživatele: v případě potvrzení loginu a hesla v cookies potvrzení připojení se uloží,

4 - díky potvrzení připojení se uživatel přihlásí a začne pracovat s databází 1,

5, 6 - pokud se chce uživatel připojit k jiné databázi, není třeba se znovu autentizovat - pomocí uloženého potvrzení v cookie se poskytovatel OpenID autentizuje bez zapojení uživatele.

Nastavení poskytovatele OpenID umožňuje upravit dobu platnosti zapamatování autenticity v případě, že uživatel delší dobu nepřistupuje k databázím.

Pro přístup k softwarovému produktu musí mít uživatel alespoň jeden typ ověření.

Jednoduché zpracování na spravovaných a běžných formulářích pro platformu 8.2-8.3, které vám umožňuje změnit heslo 1C: Enterprise Authentication a vrátit jej zpět. Bude to užitečné pro administrátory, programátory spojené s 1C.

Nedávno jsem narazil na problém, který vyžadoval jednoduché řešení. Ve skutečnosti může být problém obsažen v jedné otázce: jak pomoci uživateli bez znalosti a bez resetování jeho hesla?

V mnoha kancelářích, aby se chyba reprodukovala, správci, programátoři a další techničtí specialisté používali 1C: Enterprise Authentication. To znamená, že uživatel "stěžoval" na chybu, specialisté přišli pod něj a pokusili se chybu reprodukovat. Přijali chybu a opravili ji v kódu.

S rozvojem mobilní platformy a mobilních klientů se Authentication 1C: Enterprise stává „zaneprázdněným“ uživatelem, protože synchronizace probíhá přesně přes něj. To znamená, že ne každý uživatel bude chtít prozradit svá hesla nebo použít heslo, které mu bylo „přiděleno“. Naše kancelář je také stále více propojena s mobilními klienty. Zde se objevila výše zmíněná otázka.

Prohrabal jsem se internetem a našel hromadu popisů, jak prolomit hesla v souborové databázi nebo v serverových verzích.
V případě verze souboru nepotřebujete žádná práva, stačí nainstalovat prohlížeč databázových souborů *.1CD a změnit hesla v tabulce V8USERS. Stojí za zmínku, že tam nejsou uložena hesla čistá forma a hash hesla se uloží. Samotný hash není známé heslo se změní na hash známého hesla. V případě serverových databází potřebujete znát přihlašovací jméno správce databáze a tam není změna hesla složitá. Jak ale vysvětlit uživateli selhání autentizace po takových hackech? A proč takové potíže?

Našel jsem také zpracování, které sbírá hesla a vyžaduje stejná práva jako moje zpracování. Dobře, rychle zachytí heslo 123 nebo dokonce 123456, ale co když je heslo skutečné? Píše o 90 dnech vyzvednutí. Tohle není brána! Taková situace může nastat, když bylo heslo vybráno, uživatel heslo změnil. Ano, a ne 1 čas se může změnit.

Obecně navrhuji malé zpracování, které změní hash neznámého hesla na hash požadovaného hesla a poté jej nahradí zpět. Funguje jako v Spravované formuláře a pod pravidelné formy. Lze zabudovat prostřednictvím "dodatečného zpracování a sestav", do objektového modulu byla přidána procedura s popisem zpracování.

No, nebo můžete vložit přes "Configuration Extensions" - velmi užitečná příležitost, v tuto chvíli umožňuje přidat zpracování a sestavy do konfigurace, aniž byste ji odebrali z podpory. To znamená, že typická konfigurace zůstává typická i po přidání zpracování.

Princip fungování:

Získejte hash hesla pro uživatele.

//Prvek uživatelského adresáře Users
UserIB = Infobase Users.FindBy UniqueIdentifier(User.UserIDIB);
//StoredPasswordValue ukládá hash hesla
UserPassword = UserIB.StoredPasswordValue;
//Jméno ukládá přihlašovací údaje uživatele
LoginUser = UserIB.Name;

Zadejte požadované heslo a získejte jeho hash.

Změňte hash uživatele na hodnotu hash požadovaného hesla.

Přihlásíme se novým heslem. Vše měníme zpět.

2009

Sekce "Modernizace manažerských a finančních a ekonomických mechanismů na různých úrovních vzdělávacího systému s využitím technologií "1C"

"25. Metody a prostředky zajištění informační bezpečnosti v systému "1C: Enterprise 8.1"" (Khorev P.B., Ruská státní sociální univerzita (RGSU), Moskva)

Prezentace

Neustálý vývoj informační technologie a systémů vede bohužel k prohlubování starých problémů a ke vzniku nových problémů. Jedním z těchto problémů je problém informační bezpečnosti – spolehlivé zajištění její bezpečnosti a zavedený stav použití. Proto zajištění bezpečnosti informací a informační procesy je povinnou funkcí moderních informačních systémů.

Hlavní způsoby ochrany před neoprávněným přístupem k objektům informačního systému jsou

• identifikace a autentizace uživatelů informačních systémů a jimi aktivovaných procesů;
• oprávnění subjektů (určení přístupových práv subjektu k objektu s důvěrná informace);
• audit událostí souvisejících s bezpečností informační systém.

Tato zpráva přezkoumá metody a prostředky k zajištění informační bezpečnost k dispozici v systému 1C:Enterprise 8.1.

Správce databáze v 1C:Enterprise 8.1 může vytvořit a poté upravit seznam uživatelů, kteří mohou se systémem pracovat. Při přidávání nového uživatele (zpočátku je seznam uživatelů prázdný) jsou uvedeny následující vlastnosti vytvořeného účtu (na záložce "Základní"):

• jméno, pod kterým bude uživatel v systému registrován;
• celé jméno (toto vlastnost je vhodné použít pro nastavení příjmení, jména a patronyma, pozice a názvu oddělení zaměstnance organizace, ve které je systém používán);
• autentizační příznak „1C:Enterprise“ (pokud je zaškrtnuto toto „zaškrtávací políčko“, když se uživatel pokusí přihlásit do systému „1C:Enterprise“, jeho identifikaci a autentizaci provede systém sám);
• uživatelské heslo, jehož zadání bude vyžadováno pro jeho identifikaci prostřednictvím systému 1C:Enterprise:
• potvrzení hesla uživatele (vyžadováno k vyloučení možnosti chyby při zadávání hesla, protože znaky hesla jsou při zadávání nahrazeny znaky *);
• znamení, že uživatel má zakázáno měnit své heslo během své autentizace pomocí nástrojů 1C:Enterprise;
• příznak pro zobrazení jména uživatele v seznamu při pokusu o přihlášení a ověření pomocí nástrojů 1C:Enterprise;
• znak ověření Windows (pokud je toto zaškrtávací políčko zaškrtnuto, když se uživatel pokusí přihlásit do 1C:Enterprise, bude určeno jméno, pod kterým běží relace s operačním systémem) systém Microsoft Windows a v seznamu uživatelů systému "1Сenterprise" se hledá jméno, které odpovídá jménu "aktuálního" uživatele Windows);
• uživatelské jméno operačního systému Systémy Windows se kterým je spojeno daný uživatel systému 1C:Enterprise při použití autentizace pomocí operačního systému Windows (název lze zadat ve formátu \\název domény\název uživatelského účtu nebo vybrat pomocí odpovídajícího tlačítka ze seznamu místních a globálních účtů známých na tento počítač ).

Správce databáze může nastavit minimální délku systémových uživatelských hesel pomocí nastavení parametrů infobáze (pokud je zaškrtnuto „zaškrtávací políčko“ „Kontrolovat složitost uživatelských hesel“, pak minimální délka hesel nesmí být kratší než 7 znaků) a vyžadují, aby uživatelská hesla splňovala podmínky složitosti, požadavky na složitost hesla uživatelé Windows(heslo navíc nesmí být posloupnost znaků).

Většina bezpečným způsobem autentizace uživatelů, když se přihlásí do systému 1C:Enterprise, autentizace bude kombinována pomocí 1C:Enterprise a Nástroje Windows. V tomto případě je vhodné zrušit zaškrtnutí políčka "Zobrazit ve výběrovém seznamu" ve skupině vlastností ověřování "1C:Enterprise" a v nastavení zabezpečení Windows povolit požadavky na minimální délku a složitost hesel, omezení jejich maximální datum vypršení platnosti, neopakovatelnost hesel a jejich minimální datum vypršení platnosti a nastavte práh hodnoty čítače neúspěšných pokusů o přihlášení do Windows.

Chcete-li vynutit zobrazení dialogového okna ověření uživatele pomocí nástrojů 1C:Enterprise (pokud je zaškrtnuto políčko ověřování Windows), použijte při spouštění 1C:Enterprise parametr příkazového řádku /WA+.

Mějte na paměti, že seznam uživatelů systému 1C:Enterprise není součástí jeho konfigurace, ale je vytvořen samostatně pro každou organizaci, ve které je tento systém nainstalován.

Role v 1C:Enterprise je sada přístupových práv k různým databázovým objektům. Role jsou obvykle vytvářeny pro jednotlivce úřední povinnosti a každému uživateli systému lze přiřadit jednu nebo více rolí. Pokud má uživatel přiřazeno několik rolí, bude mu udělen přístup k databázovému objektu takto:

1. Pokud je alespoň v jedné z rolí přiřazených uživateli požadovaný přístup povolen, je uživateli udělen.
2. Pokud všechny role přiřazené uživateli neumožňují odpovídající přístup, požadovaný přístup nebude udělen.

Role se vytvářejí a upravují pomocí systémového konfigurátoru 1C:Enterprise. V procesu vytváření konfigurace se vytvoří sada typických rolí, které lze následně upravovat.

Při vytváření nebo úpravě role se používá okno se dvěma kartami - "Práva" a "Šablony omezení". Záložka "Práva" obsahuje hierarchickou strukturu konfiguračních objektů pro všechny podsystémy a seznam přístupových práv platných pro vybraný objekt (pro povolení práva je nutné nastavit odpovídající "příznak").

V 1C:Enterprise existují dva typy práv – základní a interaktivní. Kontrolují se základní práva pro jakýkoli přístup k objektům informačního systému. Interaktivní práva jsou kontrolována při provádění interaktivních operací (například prohlížení a úpravy dat ve formuláři).

Systém 1C:Enterprise umožňuje kontrolu přístupových práv pomocí vestavěného jazyka. Například při přidávání nových příkazů do formuláře musí vývojář dodatečně zkontrolovat, zda má uživatel příslušná interaktivní práva.

Při editaci role je nutné vzít v úvahu dědičnost (hierarchii) práv: při zrušení „rodičovského“ („staršího“) práva se ruší i jeho „dítětská“ („nezletilá“) práva a při zrušení je nastaveno právo „dítě“, je nastaveno i jeho „rodičovské“ právo. Pokud je například zrušeno právo „Zobrazit“, zruší se také právo „Upravit“ odpovídajícího objektu.

Pomocí zaškrtávacího políčka "Nastavit práva pro nové objekty" můžete zadat upravenou roli automatická instalace přístupová práva k novým (později přidaným) konfiguračním objektům.

Pro kořenový konfigurační objekt lze nastavit následující přístupová práva:

• administrativní funkce (zahrnuje otevření konfigurace, otevření seznamu uživatelů, nastavení protokolu, aktualizaci konfigurace a další administrativní akce);
• aktualizace konfigurace databáze;
• monopolní režim;
• aktivní uživatelé (otevření jejich seznamu);
• registrační protokol (otevření tohoto protokolu);
• externí připojení (práce se systémem přes COM rozhraní);
• automatizace (práce se systémem jako automatizačním serverem);
• interaktivní objevování externí zpracování;
• interaktivní objevování externí zprávy;
• tisk výstupu, ukládání, používání schránky při práci se systémem).

Pro snadnou správu poskytuje 1C:Enterprise okno pro prohlížení a úpravu všech rolí vytvořených v této konfiguraci. Pokud je u některé role potřeba zrušit nebo nastavit všechna přístupová práva k vybranému objektu, pak můžete použít zaškrtávací políčko v řádku "Všechna práva" u sloupce s názvem editované role. Pokud je potřeba určité přístupové právo zrušit nebo nastavit ve všech rolích, můžete použít zaškrtávací políčko v řádku s názvem odpovídajícího práva pro sloupec Všechny role.

Pro omezení přístupu k databázovým objektům na úrovni jednotlivých polí a záznamů poskytuje 1C:Enterprise mechanismus pro omezení přístupu k datům (pomocí práv číst, přidávat, upravovat a mazat tyto objekty). Pro právo číst je možné nastavit několik omezení přístupu a pro ostatní specifikovaná práva pouze jedno omezení.

Pro každé omezení přístupu k datům právem čtení je možné vybrat pole, jehož hodnotou bude podmínka omezení přístupu kontrolována, nebo označení „Další pole“, které zajistí kontrolu podmínky u každého pole.

Podmínku omezení přístupu k datům lze definovat pomocí konstruktoru nebo ručně vytvořením a úpravou pojmenovaných šablon omezení přístupu na kartě Šablony omezení v okně úprav role.

Za účelem usnadnění práce uživatele a dodatečné omezení svých práv poskytuje 1C:Enterprise mechanismus rozhraní. Pomocí těchto objektů se vytvářejí sady příkazů prvků hlavního menu a nástrojové lišty, se kterými bude moci uživatel pracovat. Pomocí Tvůrce hlavní nabídky rozhraní vytvoří správce seznam podnabídek a seznam příkazů pro každou podnabídku.

Po definování struktury hlavní nabídky lze do vytvořeného rozhraní přidat jeden nebo více panelů nástrojů. Tyto panely mohou být umístěny nahoře, dole, vlevo a vpravo v okně programu 1C:Enterprise.

Upozorňujeme, že po vytvoření rolí a rozhraní je nutné aktualizovat konfiguraci databáze, aby bylo možné nově vytvořené role a rozhraní přiřadit novým uživatelům informačního systému.

Události, které by měly být registrovány v systémovém protokolu 1C:Enterprise, může určit správce pomocí funkce nastavení správce. Zde můžete také vybrat dobu, po které bude protokol uložen do nového souboru, a také omezit záznamy protokolu před uplynutím zadané doby jejich smazáním a případným uložením do souboru.

Literatura

1. Radčenko M.G. "1C: Podnik 8.1. Praktická příručka pro vývojáře. Příklady a typické techniky. M.: 1C-Publishing LLC, Petrohrad: Peter, 2007.
2. 1C:Podnik 8.1. Konfigurace a administrace. M.: Firma "1C", 2007.

Tato část obsahuje popis známých chyb, které se mohou vyskytnout při připojování programů SysTecs k informačním bázím 1C: Accounting (verze 1.6, 2.0 a KORP), a také příčiny a způsoby jejich odstranění.

Chyby, ke kterým dochází při používání starých verzí platformy 1C: Enterprise 8.1 a 8.2

Problémy při navazování spojení s vaší infobází mohou být způsobeny používáním zastaralých verzí technologických platforem 1C:Enterprise 8.1 nebo 8.2. Níže je uveden seznam verzí platforem, které se doporučuje používat k zajištění zaručeného a bezproblémového připojení COM:

• 1C:Podnik 8.1- vychází od 8.1.15.14 (od 30.10.2009)
• 1C:Podnik 8.2- vychází od 8.2.13.202 (ze dne 10.12.2010)

Chyby, ke kterým dochází při nastavování připojení k serveru 1C:Enterprise

Chyby při připojování k serveru 1C: Enterprise 8.1 (8.2) jsou ve většině případů způsobeny nesouladem mezi verzemi technologických platforem nainstalovaných na serveru a na pracovní stanice, se kterým je navázáno spojení s 1C infobase: Accounting 8. V tomto případě byste měli nainstalovat stejné verze platforem na klienta a server. Přitom je třeba vzít v úvahu následující:

• If 1C: Accounting 8 funguje na platformě 8.1- je nutné zajistit, aby verze platformy 8.1 na serveru a pracovní stanici byly totožné a verze platformy 8.2, na které běží program SysTecs, v tento případ nebude záležet.
• If 1C: Accounting 8 funguje na platformě 8.2- Měli byste se také ujistit, že verze platformy 8.2 na serveru a pracovní stanici jsou totožné, přičemž verze použitého vydání nesmí být nižší než 8.2.13.202.

Chyby způsobené nesprávnými parametry připojení

Program identifikuje chyby parametrů připojení, a pokud k nim dojde, uživateli se zobrazí varování obsahující popis problému, který se vyskytl, který vypadá takto:

Seznam možných chyb a způsobů jejich odstranění je uveden v tabulce níže.