05.12.2014

Parooli määramine 1C palk ja personaliosakonna sisestamisel.

Peamised haldusmehhanismid hõlmavad ka autentimismehhanismi, mis aitab tuvastada kasutaja, kes on tarkvaratootega ühenduse loonud Sel hetkel.

Autentimismehhanisme on 3 tüüpi, mille valik sõltub otseselt andmebaasi administraatori eesmärgist:

• autentimine 1C: ettevõtted;
• OS-i autentimine;
• OpenID autentimine.

1C: Ettevõtte autentimine on üks autentimismehhanismidest, mille jaoks peate programmi 1C: Enterprise konfiguraatoris parooli looma:

Selle mehhanismi kasutamisel süsteemi sisselogimiseks peate valima kasutajanime ja sisestama selle jaoks parooli konto:

Kui sisestatakse vale parool (ei ühtinud andmebaasis salvestatuga), keelatakse kasutajal sellele juurdepääs tarkvaratoode.

Autentimismehhanismi saab luua ka rakenduses 1C: Enterprise. Parooli loomise ja redigeerimise režiimi avamiseks peate programmi menüüst valima "Service" ja seejärel minema jaotisse "Kasutaja valikud" - monitorile ilmub dialoogiboks.

Ilmuvas aknas tuleb sisestada täielik ja lühike kasutajanimi ning parooli äraarvamise võimaluse välistamiseks sisestatakse selle korduskinnitus.

Järgmine autentimismehhanism 1C: Enterprise muutub autentimiseks operatsioonisüsteem.

See autentimismehhanism hõlmab konfiguraatoris ühe olemasoleva kasutaja valimist:

Selle autentimismehhanismi abil sisse logides ei ole kasutajanime ja parooli sisestamine kohustuslik. Süsteemi ülesanne on analüüsida kasutajanime ja määrata kasutaja 1C: Enterprise 8, kes alustab tarkvaratootega tööd. Seega pole dialoogiboksi vaja ilmuda, kui just pole loodud eritingimust. käsurida.

Mis on OpenID autentimine? See mehhanism ei põhine teatud andmetel teabebaas, vaid välise OpenID pakkuja andmetel, mis sisaldavad teavet kasutajate kohta.

Selle autentimismehhanismi vaieldamatu eelis on sellega töötamise mugavus suur kogus teabebaasid.

Kui kasutate 1C: Enterprise autentimist, peate iga kord andmebaasiga ühenduse loomisel sisestama oma sisselogimise ja parooli.

OpenID autentimise kasutamise puhul seda vajadust enam ei teki: kui oled andmebaasidega ühenduse loomisel autentimisprotseduuri läbinud, pääsed pidevalt ligi ilma sisselogimist ja parooli sisestamata. Kasutaja autentimine toimub automaatselt tänu teenusepakkuja juurde salvestatud teabele.

Järgmine skeem kajastab autentimisprotseduuri toimingute algoritmi:

Sellel diagrammil näeme, et 1C: Enterprise andmebaas toimib OpenID pakkujana ( erivalikud Leiate selle veebiserverist).

1 – kasutaja hakkab kasutama andmebaasi 1,

2 – andmebaas 1 saadab OpenID pakkujale taotluse kasutaja autentimiseks,

3 – kasutaja tuvastamise pakkuja teostamine: sisselogimise ja parooli kinnitamise korral küpsisedühenduse kinnitus on salvestatud,

4 - tänu ühenduse kinnitusele logib kasutaja sisse ja alustab tööd andmebaasiga 1,

5, 6 - kui kasutaja soovib ühenduda mõne teise andmebaasiga, ei ole vaja uuesti autentida - kasutades küpsisesse salvestatud kinnitust, autentib OpenID pakkuja ilma kasutajat kaasamata.

OpenID pakkuja seaded võimaldavad reguleerida autentsuse meelespidamise kehtivusaega, kui kasutaja pole andmebaasidele pikemat aega ligi pääsenud.

Tarkvaratootele juurdepääsuks peab kasutajal olema vähemalt üks autentimistüüp.

Lihtne töötlemine hallatud ja tavapärastel vormidel platvormi 8.2–8.3 jaoks, mis võimaldab teil 1C: Enterprise Authentication parooli muuta ja selle tagasi saata. See on kasulik administraatoritele, 1C-ga seotud programmeerijatele.

Sattusin hiljuti probleemiga, mis vajas lihtsat lahendust. Tegelikult võib probleem peituda ühes küsimuses: kuidas aidata kasutajat teadmata ja parooli lähtestamata?

Paljudes kontorites kasutasid administraatorid, programmeerijad ja muud tehnilised spetsialistid vea taasesitamiseks 1C: Enterprise Authentication. See tähendab, et kasutaja "kaebas" vea üle, spetsialistid tulid tema alla ja proovisid viga reprodutseerida. Sai vea ja parandas selle koodis.

Mobiilplatvormi ja mobiiliklientide arendamisega muutub autentimine 1C: Enterprise kasutajaga hõivatuks, kuna sünkroonimine toimub just selle kaudu. See tähendab, et mitte iga kasutaja ei soovi oma paroole avaldada ega kasutada talle määratud parooli. Ka meie kontor on üha enam seotud mobiilsete klientidega. Siin kerkis esile varem mainitud küsimus.

Tuuseldasin internetis, leidsin failiandmebaasis või serveriversioonides hunniku kirjeldusi paroolide murdmise kohta.
Juhul kui faili versioon te ei vaja mingeid õigusi, lihtsalt installige *.1CD andmebaasi failivaatur ja muutke paroolid tabelis V8USERS. Tasub teada, et paroole sinna ei salvestata puhtal kujul ja parooli räsi salvestatakse. Räsi ise ei ole teadaolev parool muudetakse teadaoleva parooli räsiks. Serveriandmebaaside puhul peab teadma andmebaasi administraatori sisselogimist ja seal pole parooli muutmine kaval asi. Kuidas aga selgitada kasutajale autentimisviga pärast selliseid häkkimisi? Ja miks sellised raskused?

Leidsin ka töötluse, mis kogub paroole, nõudes samal ajal samu õigusi kui minu töötlemisel. Noh, ta valib kiiresti parooli 123 või isegi 123456, aga mis siis, kui parool on tõeline? Ta kirjutab, et umbes 90 päeva möödub. See pole värav! Selline olukord võib välja tulla, kui parooli valimisel kasutaja muutis parooli. Jah, ja mitte üks kord ei saa muutuda.

Üldiselt pakun välja väikese töötluse, mis muudab tundmatu parooli räsi soovitud parooli räsiks ja asendab selle seejärel tagasi. See töötab nagu sees Hallatud vormid, ja all tavalised vormid. Saab sisse ehitada läbi "lisatöötluse ja aruannete", objektimoodulisse on lisatud protseduur koos töötlemise kirjeldusega.

Noh, või saate manustada "Konfiguratsioonilaiendite" kaudu - väga kasulik võimalus, võimaldab hetkel lisada konfiguratsioonile töötlemist ja aruandeid ilma seda toest eemaldamata. See tähendab, et tüüpiline konfiguratsioon jääb tüüpiliseks isegi töötlemise lisamisel.

Toimimispõhimõte:

Hankige kasutaja jaoks parooliräsi.

//Kasutajate kataloogi element Kasutajad
UserIB = Infobase Users.FindBy UniqueIdentifier(User.UserIDIB);
//StoredPasswordValue salvestab parooli räsi
UserPassword = UserIB.StoredPasswordValue;
//Nimi salvestab kasutaja sisselogimise
LoginUser = UserIB.Name;

Sisestage soovitud parool ja hankige selle räsi.

Muutke kasutaja räsi soovitud parooli räsi vastu.

Logime sisse uue parooliga. Muudame kõik tagasi.

2009

Jaotis "Haridussüsteemi erinevatel tasanditel juhtimis- ja finants- ja majandusmehhanismide kaasajastamine "1C" tehnoloogiate abil"

"25. Infoturbe tagamise meetodid ja vahendid süsteemis 1C:Enterprise 8.1" (Khorev P.B., Venemaa Riiklik Sotsiaalülikool (RSSU), Moskva)

Esitlus

Pidev areng infotehnoloogiad ja süsteemid viivad kahjuks vana süvenemiseni ja uute probleemide esilekerkimiseni. Üheks selliseks probleemiks on infoturbe probleem – usaldusväärne selle turvalisuse tagamine ja väljakujunenud staatus kasutada. Seetõttu teabe turvalisuse tagamine ja teabeprotsessid on tänapäevaste infosüsteemide kohustuslik funktsioon.

Peamised kaitsemeetodid infosüsteemi objektidele volitamata juurdepääsu eest on

• infosüsteemide ja nende poolt aktiveeritud protsesside kasutajate tuvastamine ja autentimine;
• subjektide autoriseerimine (subjekti juurdepääsuõiguste määramine objektile koos konfidentsiaalne teave);
• turvalisusega seotud sündmuste audit infosüsteem.

Käesolevas aruandes vaadatakse läbi meetodid ja vahendid selle tagamiseks infoturbe saadaval 1C:Enterprise 8.1 süsteemis.

1C:Enterprise 8.1 andmebaasiadministraator saab luua ja seejärel muuta nende kasutajate loendit, kellel on lubatud süsteemiga töötada. Uue kasutaja lisamisel (esialgu on kasutajate loend tühi) näidatakse loodud konto järgmisi atribuute (vahekaardil "Põhiline"):

• nimi, mille all kasutaja süsteemi registreeritakse;
• täisnimi (soovitav on kasutada seda atribuuti selle organisatsiooni töötaja perekonnanime, eesnime ja isanime, ametikoha ja osakonna nime määramiseks, kus süsteemi kasutatakse);
• Autentimislipp "1C:Enterprise" (kui see "märkeruut" on valitud, siis kui kasutaja proovib süsteemi "1C:Enterprise" sisse logida, teostab tema tuvastamise ja autentimise süsteem ise);
• kasutaja parool, mille sisestamist on vaja tema tuvastamiseks süsteemi 1C:Enterprise abil:
• kasutaja parooli kinnitamine (vajalik, et välistada parooli sisestamisel tõrke võimalus, kuna parooli märgid asendatakse sisestamisel * tähemärkidega);
• märk, et kasutajal on keelatud 1C:Enterprise tööriistade abil autentimise ajal parooli muuta;
• lipp kasutajanime kuvamiseks loendis, kui proovite sisse logida ja autentida 1C:Enterprise tööriistade abil;
• Windowsi autentimise märk (kui see ruut on lubatud, määratakse kasutaja 1C:Enterprise'i sisselogimisel nimi, mille all operatsioonisüsteemiga seanss töötab) Microsofti süsteem Windows ja süsteemi "1Сenterprise" kasutajate loendist otsitakse nime, mis vastab "praeguse" Windowsi kasutaja nimele);
• operatsioonisüsteemi kasutajanimi Windowsi süsteemid millega on seotud antud kasutaja süsteemis 1C:Enterprise, kui kasutate autentimist Windowsi operatsioonisüsteemi abil (nime saab määrata vormingus \\domeeninimi\kasutajakonto nimi või valida vastava nupu abil kohalike ja globaalsete kontode loendist, mis on teada see arvuti ).

Andmebaasi administraator saab infobaasi seadete abil määrata süsteemi kasutajate paroolide minimaalse pikkuse (kui ruut "Kontrolli kasutajate paroolide keerukust" on märgitud, siis ei tohi paroolide minimaalne pikkus olla alla 7 tähemärgi) ja nõuda, et kasutajate paroolid vastaksid keerukuse tingimused, parooli keerukuse nõuded Windowsi kasutajad(lisaks ei tohi parool olla märgijada).

Enamik ohutul viisil kasutajate autentimine, kui nad logivad sisse süsteemi 1C:Enterprise, autentimine kombineeritakse 1C:Enterprise'i ja Windowsi tööriistad. Sel juhul on soovitatav autentimisatribuutide rühmas "1C:Enterprise" eemaldada märkeruut "Kuva valikuloendis" ja Windowsi turvaseadetes lubada paroolide minimaalse pikkuse ja keerukuse nõuded, nende piirangud. maksimaalne kehtivusaeg, paroolide mittekordavus ja nende minimaalne kehtivusaeg ning määrake Windowsi sisselogimise ebaõnnestunud katsete loenduri väärtus.

Kasutaja autentimise dialoogi sundimiseks kuvamiseks 1C:Enterprise tööriistade abil (kui Windowsi autentimise märkeruut on lubatud), kasutage 1C:Enterprise'i käivitamisel käsurea parameetrit /WA+.

Pidage meeles, et 1C:Enterprise süsteemi kasutajate loend ei ole selle konfiguratsiooni osa, vaid see luuakse iga organisatsiooni jaoks, kuhu see süsteem on installitud, eraldi.

Roll 1C: Enterprise'is on juurdepääsuõiguste kogum erinevatele andmebaasiobjektidele. Tavaliselt luuakse rollid üksikisiku jaoks ametlikud kohustused, ja igale süsteemikasutajale saab määrata ühe või mitu rolli. Kui kasutajale on määratud mitu rolli, siis andmebaasiobjektile juurdepääsu võimaldamine toimub järgmiselt:

1. Kui vähemalt ühes kasutajale määratud rollis on taotletud juurdepääs lubatud, antakse see kasutajale.
2. Kui kõik kasutajale määratud rollid ei võimalda vastavat juurdepääsu, siis taotletud juurdepääsu ei anta.

Rolle luuakse ja redigeeritakse 1C:Enterprise süsteemikonfiguraatori abil. Konfiguratsiooni loomise käigus luuakse tüüpiliste rollide komplekt, mida saab seejärel redigeerida.

Rolli loomisel või redigeerimisel kasutatakse kahe vahekaardiga akent - "Õigused" ja "Piiramise mallid". Vahekaart "Õigused" sisaldab kõigi alamsüsteemide konfiguratsiooniobjektide hierarhilist struktuuri ja valitud objektile kehtivate juurdepääsuõiguste loendit (õiguse lubamiseks peate määrama vastava "märkekasti").

Teenuses 1C:Enterprise on kahte tüüpi õigusi - põhi- ja interaktiivsed. Põhiõigusi kontrollitakse infosüsteemi objektidele juurdepääsuks. Interaktiivseid õigusi kontrollitakse interaktiivsete toimingute tegemisel (näiteks andmete vaatamine ja muutmine vormil).

Süsteem 1C:Enterprise võimaldab juurdepääsuõigusi kontrollida sisseehitatud keele abil. Näiteks vormile uute käskude lisamisel peab arendaja lisaks kontrollima, kas kasutajal on vastavad interaktiivsed õigused.

Rolli redigeerimisel tuleb arvestada õiguste pärandusega (hierarhiaga): kui tühistatakse „vanema“ („vanem“) õigus, tühistatakse ka selle „lapse“ („alaealine“) õigus ja kui seatakse “lapse” õigus, kehtestatakse ka tema “vanema” õigus. Näiteks kui tühistatakse „View“ õigus, siis tühistatakse ka vastava objekti „Muuda“ õigus.

Märkeruudu "Määra õigused uutele objektidele" abil saate määrata muudetud rolli automaatne paigaldamine juurdepääsuõigused uutele (hiljem lisatud) konfiguratsiooniobjektidele.

Juurkonfiguratsiooniobjektile saab määrata järgmised juurdepääsuõigused:

• haldusfunktsioonid (hõlmab konfiguratsiooni avamist, kasutajate loendi avamist, logi seadistamist, konfiguratsiooni värskendamist ja muid haldustoiminguid);
• andmebaasi konfiguratsiooni värskendus;
• monopolirežiim;
• aktiivsed kasutajad (nende nimekirja avamine);
• registreerimispäevik (selle logi avamine);
• välisühendus (töö süsteemiga COM-liidese kaudu);
• automatiseerimine (töötamine süsteemiga automatiseerimisserverina);
• interaktiivne avastus väline töötlemine;
• interaktiivne avastus välisaruanded;
• väljundi printimine, salvestamine, lõikepuhvri kasutamine süsteemiga töötamisel).

Haldamise hõlbustamiseks pakub 1C:Enterprise akent kõigi selles konfiguratsioonis loodud rollide vaatamiseks ja redigeerimiseks. Kui mõne rolli puhul on vaja valitud objektile kõik juurdepääsuõigused tühistada või määrata, siis saab redigeeritava rolli nimega veeru juures kasutada märkeruutu "Kõik õigused" real. Kui teatud juurdepääsuõigus tuleb tühistada või määrata kõigis rollides, saate veeru Kõik rollid jaoks kasutada vastava õiguse nimetusega reas olevat märkeruutu.

Andmebaasiobjektidele juurdepääsu piiramiseks üksikute väljade ja kirjete tasemel pakub 1C:Enterprise mehhanismi andmetele juurdepääsu piiramiseks (kasutades nende objektide lugemise, lisamise, muutmise ja kustutamise õigusi). Lugemisõigusele on võimalik seada mitu juurdepääsupiirangut ja teistele määratud õigustele ainult üks piirang.

Iga lugemisõigusega andmetele juurdepääsupiirangu jaoks on võimalik valida väli, mille väärtuse järgi juurdepääsupiirangu tingimust kontrollitakse, või märge “Muud väljad”, mis tagab tingimuse kontrollimise iga välja puhul.

Andmejuurdepääsupiirangu tingimuse saab määratleda konstruktori abil või käsitsi, luues ja redigeerides rollide redigeerimise akna vahekaardil Piirangumallid nimelisi juurdepääsupiirangu malle.

Kasutaja töö hõlbustamiseks ja täiendav piirang tema õigustest pakub 1C:Enterprise liideste mehhanismi. Nende objektide abil luuakse peamenüü ja tööriistariba elementide käskude komplektid, millega kasutaja saab töötada. Liidese põhimenüü koostajat kasutades loob administraator iga alammenüü jaoks alammenüüde loendi ja käskude loendi.

Pärast peamenüü struktuuri määratlemist saab loodud liidesele lisada ühe või mitu tööriistariba. Need paneelid võivad asuda programmi 1C: Enterprise akna ülaosas, all, vasakul ja paremal.

Arvesta, et peale rollide ja liideste loomist on vaja uuendada andmebaasi konfiguratsiooni, et uutele infosüsteemi kasutajatele saaks määrata loodud rollid ja liidesed.

Sündmused, mis tuleks 1C:Enterprise süsteemilogis registreerida, saab administraator määrata administraatori seadete funktsiooni abil. Siin saate valida ka ajaperioodi, mille möödudes logi uude faili salvestatakse, samuti vähendada logikirjeid enne määratud perioodi möödumist, kustutades need ja võimalusel salvestades faili.

Kirjandus

1. Radchenko M.G. "1C: Enterprise 8.1. Praktiline arendaja juhend. Näited ja tüüpilised tehnikad. M.: 1C-Publishing LLC, Peterburi: Peter, 2007.
2. 1C: Ettevõte 8.1. Seadistamine ja administreerimine. M.: Firma "1C", 2007.

See jaotis sisaldab teadaolevate vigade kirjeldust, mis võivad ilmneda SysTecsi programmide ühendamisel 1C-ga: raamatupidamise teabebaasid (versioonid 1.6, 2.0 ja KORP), samuti nende põhjuseid ja viise nende kõrvaldamiseks.

Vead, mis ilmnevad 1C: Enterprise 8.1 ja 8.2 platvormide vanade versioonide kasutamisel

Probleeme teabebaasiga ühenduse loomisel võib põhjustada 1C:Enterprise 8.1 või 8.2 tehnoloogiaplatvormide aegunud versioonide kasutamine. Järgnev on nimekiri platvormi väljalasetest, mida soovitatakse kasutada garanteeritud ja tõrgeteta COM-ühenduse tagamiseks:

• 1C: Ettevõte 8.1- ilmub alates 8.1.15.14 (alates 30.10.2009)
• 1C: Ettevõte 8.2- avaldatakse alates 8.2.13.202 (kuupäev 10.12.2010)

Vead, mis tekivad 1C:Enterprise serveriga ühenduse loomisel

Vead serveriga 1C: Enterprise 8.1 (8.2) ühenduse loomisel on enamikul juhtudel põhjustatud serverisse ja sellesse installitud tehnoloogiliste platvormide versioonide mittevastavusest. tööjaam, millega luuakse ühendus 1C teabebaasiga: Raamatupidamine 8. Sel juhul peaksite installima kliendile ja serverile samad platvormide versioonid. Seda tehes tuleks arvesse võtta järgmist:

• Kui 1C: Raamatupidamine 8 töötab platvormil 8.1- on vaja tagada, et 8.1 platvormi väljalasked serveris ja tööjaamas oleksid identsed ning 8.2 platvormi versioon, millel SysTecs programm töötab, sel juhul vahet pole.
• Kui 1C: Raamatupidamine 8 töötab platvormil 8.2- Samuti peaksite veenduma, et 8.2 platvormi versioonid serveris ja tööjaamas oleksid identsed, samas kui kasutatava väljalaske versioon ei tohi olla väiksem kui 8.2.13.202.

Vead, mis on põhjustatud valedest ühenduse parameetritest

Ühenduse parameetrite vead tuvastab programm ja nende ilmnemisel antakse kasutajale hoiatus, mis sisaldab tekkinud probleemi kirjeldust, mis näeb välja järgmine:

Võimalike vigade loetelu ja nende kõrvaldamise viisid on toodud allolevas tabelis.