05.12.2014

Setarea unei parole la introducerea salariului 1C și a resurselor umane.

Principalele mecanisme de administrare includ și un mecanism de autentificare care servește la identificarea unui utilizator care s-a conectat la produsul software în acest moment.

Există 3 tipuri de mecanisme de autentificare, a căror alegere depinde direct de scopul urmărit de administratorul bazei de date:

• autentificare 1C: Întreprinderi;
• autentificare OS;
• Autentificare OpenID.

1C: Autentificarea Enterprise este unul dintre mecanismele de autentificare, pentru care trebuie să creați o parolă în configuratorul programului 1C: Enterprise:

Când utilizați acest mecanism pentru a vă conecta la sistem, trebuie să selectați un nume de utilizator și să introduceți o parolă pentru aceasta cont:

Dacă este introdusă o parolă incorectă (nu se potrivește cu cea stocată în baza de date), utilizatorului i se va refuza accesul la aceasta. produs software.

Mecanismul de autentificare poate fi creat și în 1C: Enterprise. Pentru a deschide modul de creare și editare a unei parole, trebuie să selectați „Service” în meniul programului și apoi să mergeți la „Opțiuni utilizator” - va apărea o casetă de dialog pe monitor.

În fereastra care apare trebuie să introduceți numele de utilizator complet și scurt, iar pentru a exclude posibilitatea ghicirii parolei se introduce re-confirmarea acesteia.

Următorul mecanism de autentificare 1C: Enterprise devine autentificare sistem de operare.

Acest mecanism de autentificare presupune selectarea unuia dintre utilizatorii existenți în configurator:

Când vă conectați folosind acest mecanism de autentificare, introducerea unui nume de utilizator și a unei parole nu este un proces obligatoriu. Sarcina sistemului este să analizeze numele de utilizator și să determine utilizatorul 1C: Enterprise 8, care începe să lucreze cu produsul software. Astfel, nu este nevoie să apară o casetă de dialog decât dacă este creată o condiție specială. Linie de comanda.

Ce este autentificarea OpenID? Acest mecanism nu se bazează pe datele unui anumit baza de informatii, ci pe datele unui furnizor extern OpenID care conține informații despre utilizatori.

Avantajul incontestabil al acestui mecanism de autentificare este confortul de a lucra cu o cantitate mare baze de informare.

Dacă utilizați autentificarea 1C: Enterprise, trebuie să introduceți datele de conectare și parola de fiecare dată când vă conectați la baza de date.

În cazul utilizării autentificării OpenID, această nevoie nu mai apare: odată ce ați trecut procedura de autentificare la conectarea la bazele de date, veți putea obține acces constant fără a introduce un login și o parolă. Autentificarea utilizatorului se va realiza automat datorită informațiilor stocate la furnizor.

Următoarea schemă reflectă algoritmul acțiunilor în timpul procedurii de autentificare:

În această diagramă, vedem că baza de date 1C: Enterprise acționează ca un furnizor OpenID ( opțiuni specialeÎl găsiți pe serverul web).

1 – utilizatorul începe să folosească baza de date 1,

2 – baza de date 1 trimite o solicitare furnizorului OpenID pentru autentificarea utilizatorului,

3 – executarea de către furnizor a identificării utilizatorului: în cazul confirmării login-ului și parolei în cookie-uri confirmarea conexiunii este salvată,

4 - datorită confirmării conexiunii, utilizatorul se conectează și începe să lucreze cu baza de date 1,

5, 6 - dacă utilizatorul dorește să se conecteze la o altă bază de date, nu este nevoie să se reautentifice - folosind confirmarea stocată în cookie, furnizorul OpenID se va autentifica fără a implica utilizatorul.

Setările furnizorului OpenID vă permit să ajustați perioada de valabilitate a reamintirii autenticității, dacă utilizatorul nu a accesat bazele de date de mult timp.

Pentru a accesa produsul software, utilizatorul trebuie să aibă cel puțin un tip de autentificare.

O procesare simplă pe formulare gestionate și obișnuite pentru platforma 8.2-8.3, care vă permite să schimbați parola 1C: Enterprise Authentication și să o returnați înapoi. Va fi util administratorilor, programatorilor asociati cu 1C.

Am întâlnit recent o problemă care necesita o soluție simplă. De fapt, problema poate fi cuprinsă într-o singură întrebare: cum să ajuți utilizatorul fără să știe și fără a-și reseta parola?

În multe birouri, pentru a reproduce eroarea, administratorii, programatorii și alți specialiști tehnici au folosit 1C: Enterprise Authentication. Adică utilizatorul s-a „reclamat” de eroare, specialiștii i-au intrat în subordine și au încercat să reproducă eroarea. Am primit o eroare și am remediat-o în cod.

Odată cu dezvoltarea platformei mobile și a clienților mobili, Autentificarea 1C: Enterprise devine „ocupată” cu utilizatorul, deoarece sincronizarea are loc tocmai prin intermediul acestuia. Adică, nu fiecare utilizator va dori să-și dezvăluie parolele sau să folosească parola care i-a fost „alocată”. De asemenea, biroul nostru devine din ce în ce mai conectat cu clienții mobili. Aici a apărut întrebarea menționată mai devreme.

Am scotocit prin Internet, am găsit o grămadă de descrieri despre cum să sparg parolele într-o bază de date de fișiere sau în versiunile de server.
In caz de versiunea fișierului nu aveți nevoie de drepturi, instalați doar vizualizatorul de fișiere de bază de date *.1CD și schimbați parolele din tabelul V8USERS. Este demn de remarcat faptul că parolele nu sunt stocate acolo formă pură, iar hash-ul parolei este stocat. Hașul în sine nu este parola cunoscuta este schimbat în hash-ul parolei cunoscute. În cazul bazelor de date server, trebuie să cunoașteți login-ul administratorului bazei de date și acolo nu este un lucru dificil să schimbați parola. Dar cum să explici utilizatorului eșecul de autentificare după astfel de hack-uri? Și de ce asemenea dificultăți?

De asemenea, am găsit o procesare care preia parole, în timp ce necesită aceleași drepturi ca și procesarea mea. Ei bine, ea ridică rapid parola 123 sau chiar 123456, dar dacă parola este reală? Ea scrie că aproximativ 90 de zile se vor ridica. Aceasta nu este poarta! O astfel de situație poate apărea, în timp ce parola a fost selectată, utilizatorul a schimbat parola. Da, și nici o dată se poate schimba.

În general, propun o mică procesare care schimbă hash-ul unei parole necunoscute în hash-ul parolei dorite, iar apoi îl înlocuiește înapoi. Funcționează ca în Formulare gestionate, și sub forme regulate. Poate fi încorporat prin „procesare și rapoarte suplimentare”, la modulul obiect a fost adăugată o procedură cu o descriere a procesării.

Ei bine, sau puteți încorpora prin „Extensii de configurare” - foarte oportunitate utila, în acest moment vă permite să adăugați procesări și rapoarte la configurație fără a o elimina din suport. Adică, o configurație tipică rămâne tipică chiar și atunci când se adaugă procesarea.

Principiul de funcționare:

Obțineți hash-ul parolei pentru utilizator.

//Element director utilizator Utilizatori
UserIB = Infobase Users.FindBy UniqueIdentifier(User.UserIDIB);
//StoredPasswordValue stochează hash-ul parolei
UserPassword = UserIB.StoredPasswordValue;
//Name stochează datele de conectare ale utilizatorului
LoginUser = UserIB.Name;

Introduceți parola dorită și obțineți hash-ul acesteia.

Schimbați hash-ul utilizatorului cu hash-ul parolei dorite.

Ne autentificăm cu o nouă parolă. Schimbăm totul înapoi.

2009

Secțiunea „Modernizarea mecanismelor manageriale și financiare și economice la diferite niveluri ale sistemului de învățământ folosind tehnologii „1C””

„25. Metode și mijloace de asigurare a securității informațiilor în sistemul 1C:Enterprise 8.1” (Khorev P.B., Universitatea Socială de Stat Rusă (RSSU), Moscova)

Prezentare

Dezvoltare continuă tehnologia Informatiei iar sistemele duce, din păcate, la exacerbarea vechilor probleme și la apariția unor noi probleme. Una dintre aceste probleme este problema securității informației – fiabil asigurându-i siguranța și statut stabilit utilizare. Prin urmare, asigurarea securității informațiilor și procesele informaţionale este o funcţie obligatorie a sistemelor informaţionale moderne.

Principalele metode de protecție împotriva accesului neautorizat la obiectele sistemului informațional sunt

• identificarea și autentificarea utilizatorilor sistemelor și proceselor informaționale activate de aceștia;
• autorizarea subiecților (determinarea drepturilor de acces ale subiectului la obiectul cu informații confidențiale);
• auditul evenimentelor legate de securitate Sistem informatic.

Acest raport va analiza metodele și mijloacele de asigurare securitatea informatiei disponibil în sistemul 1C:Enterprise 8.1.

Un administrator de baze de date din 1C:Enterprise 8.1 poate crea și apoi edita o listă de utilizatori cărora li se permite să lucreze cu sistemul. La adăugarea unui utilizator nou (inițial, lista de utilizatori este goală), sunt indicate următoarele proprietăți ale contului creat (în fila „De bază”):

• numele sub care utilizatorul va fi înregistrat în sistem;
• numele complet (este recomandabil să folosiți această proprietate pentru a specifica numele de familie, prenumele și patronimul, funcția și numele departamentului angajatului organizației în care este utilizat sistemul);
• Flag de autentificare „1C:Enterprise” (dacă este bifată această „căsuță de selectare”, atunci când un utilizator încearcă să se autentifice în sistemul „1C:Enterprise”, identificarea și autentificarea acestuia vor fi efectuate chiar de sistemul);
• parola de utilizator, a cărei introducere va fi necesară pentru identificarea acestuia prin intermediul sistemului 1C:Enterprise:
• confirmarea parolei utilizatorului (obligatorie pentru a exclude posibilitatea unei erori la introducerea unei parole, deoarece caracterele parolei sunt înlocuite cu caractere * la introducere);
• un semn că utilizatorului îi este interzis să-și schimbe parola în timpul autentificării utilizând instrumentele 1C:Enterprise;
• flag pentru afișarea numelui de utilizator în listă atunci când încercați să vă conectați și să vă autentificați folosind instrumentele 1C:Enterprise;
• semn de autentificare Windows (dacă această casetă de selectare este activată, atunci când un utilizator încearcă să se autentifice la 1C:Enterprise, va fi determinat numele sub care rulează sesiunea cu sistemul de operare) sistem Microsoft Windows și în lista de utilizatori ai sistemului „1Сenterprise” se caută un nume care corespunde numelui utilizatorului „actual” Windows);
• numele de utilizator al sistemului de operare sisteme Windows cu care este asociat utilizator dat a sistemului 1C:Enterprise atunci când se utilizează autentificarea prin intermediul sistemului de operare Windows (numele poate fi specificat în formatul \\nume domeniu\nume cont utilizator sau selectat folosind butonul corespunzător din lista de conturi locale și globale cunoscute pe acest calculator ).

Administratorul bazei de date poate seta lungimea minimă a parolelor de utilizator de sistem utilizând setările parametrilor bazei de informații (dacă este bifată „caseta de validare” „Verificați complexitatea parolelor de utilizator”, atunci lungimea minimă a parolelor nu poate fi mai mică de 7 caractere) și solicită ca parolele utilizatorului să îndeplinească condițiile de complexitate, cerințele de complexitate a parolei utilizatorii de Windows(în plus, parola nu trebuie să fie o secvență de caractere).

Cel mai într-un mod sigur autentificarea utilizatorilor atunci când se conectează la sistemul 1C:Enterprise, autentificarea va fi combinată folosind 1C:Enterprise și Instrumente Windows. În acest caz, este recomandabil să debifați caseta „Afișați în lista de selecție” din grupul de proprietăți de autentificare „1C:Enterprise”, iar în setările de securitate Windows să activați cerințele pentru lungimea și complexitatea minimă a parolelor, restricțiile asupra acestora. data maximă de expirare, non-repetabilitatea parolelor și data minimă de expirare a acestora și setați pragul valoarea contorului de încercări eșuate de conectare la Windows.

Pentru a forța afișarea dialogului de autentificare a utilizatorului folosind instrumentele 1C:Enterprise (dacă caseta de selectare autentificare Windows este activată), utilizați parametrul de linie de comandă /WA+ când porniți 1C:Enterprise.

Rețineți că lista utilizatorilor sistemului 1C:Enterprise nu face parte din configurația sa, ci este creată separat pentru fiecare organizație în care este instalat acest sistem.

Un rol în 1C:Enterprise este un set de drepturi de acces la diferite obiecte de bază de date. De obicei, rolurile sunt create pentru individ atributii oficiale, iar fiecărui utilizator de sistem i se pot atribui unul sau mai multe roluri. Dacă unui utilizator îi sunt atribuite mai multe roluri, atunci acordarea acestuia la obiectul bazei de date se va face după cum urmează:

1. Dacă în cel puțin unul dintre rolurile atribuite utilizatorului accesul solicitat este permis, atunci acesta este acordat utilizatorului.
2. Dacă toate rolurile atribuite utilizatorului nu permit accesul corespunzător, atunci accesul solicitat nu este acordat.

Rolurile sunt create și editate folosind configuratorul de sistem 1C:Enterprise. În procesul de creare a unei configurații, este creat un set de roluri tipice, care pot fi apoi editate.

La crearea sau editarea unui rol, se folosește o fereastră cu două file - „Drepturi” și „Șabloane de restricții”. Fila „Drepturi” conține o structură ierarhică a obiectelor de configurare pentru toate subsistemele și o listă de drepturi de acces aplicabile obiectului selectat (pentru a activa dreptul, trebuie să setați „căsuța de selectare”) corespunzătoare.

Există două tipuri de drepturi în 1C: Enterprise - de bază și interactive. Drepturile de bază sunt verificate pentru orice acces la obiectele sistemului informațional. Drepturile interactive sunt verificate atunci când se efectuează operațiuni interactive (de exemplu, vizualizarea și editarea datelor într-un formular).

Sistemul 1C:Enterprise permite verificarea drepturilor de acces folosind limbajul încorporat. De exemplu, atunci când adaugă noi comenzi într-un formular, dezvoltatorul trebuie să verifice suplimentar dacă utilizatorul are drepturile interactive adecvate.

La editarea unui rol, este necesar să se țină cont de moștenirea (ierarhia) drepturilor: atunci când dreptul „părinte” („senior”) este anulat, drepturile sale „copil” („minore”) sunt de asemenea anulate și atunci când este setat un drept „copil”, este setat și dreptul „părinte”. De exemplu, dacă dreptul „Vizualizare” este anulat, dreptul de „Editare” al obiectului corespunzător este, de asemenea, anulat.

Folosind caseta de selectare „Setare drepturi pentru obiecte noi”, puteți asigura rolul editat instalare automată drepturi de acces la obiecte de configurare noi (adăugate ulterior).

Următoarele drepturi de acces pot fi setate pentru obiectul de configurare rădăcină:

• funcții administrative (include deschiderea unei configurații, deschiderea unei liste de utilizatori, configurarea unui jurnal, actualizarea unei configurații și alte acțiuni administrative);
• actualizarea configurației bazei de date;
• regim de monopol;
• utilizatori activi (deschiderea listei lor);
• jurnal de înregistrare (deschiderea acestui jurnal);
• conexiune externă (lucrare cu sistemul prin interfața COM);
• automatizare (lucrarea cu sistemul ca server de automatizare);
• descoperire interactivă prelucrare externă;
• descoperire interactivă rapoarte externe;
• tipărirea rezultatelor, salvarea, utilizarea clipboard-ului atunci când lucrați cu sistemul).

Pentru ușurință în administrare, 1C:Enterprise oferă o fereastră pentru vizualizarea și editarea tuturor rolurilor create în această configurație. Dacă pentru un anumit rol este necesară anularea sau setarea tuturor drepturilor de acces la obiectul selectat, atunci puteți utiliza caseta de selectare din linia „Toate drepturile” pentru coloana cu numele rolului care este editat. Dacă un anumit drept de acces trebuie să fie dezactivat sau setat în toate rolurile, atunci puteți utiliza caseta de selectare din rândul cu numele dreptului corespunzător pentru coloana Toate rolurile.

Pentru a restricționa accesul la obiectele bazei de date la nivelul câmpurilor și înregistrărilor individuale, 1C:Enterprise oferă un mecanism de restricționare a accesului la date (folosind drepturile de a citi, adăuga, modifica și șterge aceste obiecte). Pentru dreptul de citire, este posibil să setați mai multe restricții de acces, iar pentru celelalte drepturi specificate - o singură restricție.

Pentru fiecare restricție de acces la date prin drept de citire, este posibil să se selecteze un câmp, după valoarea căruia se va verifica condiția de restricție de acces, sau indicația „Alte câmpuri”, care va asigura verificarea condiției pentru fiecare câmp.

Condiția de restricție a accesului la date poate fi definită utilizând constructorul sau manual prin crearea și editarea șabloanelor de restricții de acces denumite în fila Șabloane de restricții din fereastra de editare a rolului.

Pentru a facilita munca utilizatorului și restricție suplimentară din drepturile sale, 1C:Enterprise oferă un mecanism de interfețe. Cu ajutorul acestor obiecte sunt create seturi de comenzi ale meniului principal și ale elementelor barei de instrumente, cu care utilizatorul va putea lucra. Folosind Interfața Main Menu Builder, administratorul creează o listă de submeniuri și o listă de comenzi pentru fiecare submeniu.

După definirea structurii meniului principal, una sau mai multe bare de instrumente pot fi adăugate la interfața creată. Aceste panouri pot fi situate în partea de sus, jos, stânga și dreapta în fereastra programului 1C:Enterprise.

Rețineți că după crearea rolurilor și interfețelor, este necesară actualizarea configurației bazei de date, astfel încât noilor utilizatori ai sistemului informațional să li se poată atribui rolurile și interfețele create.

Evenimentele care ar trebui înregistrate în jurnalul de sistem 1C:Enterprise pot fi specificate de administrator folosind funcția de setări a administratorului. Aici puteți selecta și perioada de timp după care jurnalul va fi salvat într-un fișier nou, precum și reducerea intrărilor de jurnal înainte de expirarea perioadei specificate, ștergându-le și eventual salvându-le într-un fișier.

Literatură

1. Radchenko M.G. „1C: Enterprise 8.1. Ghid practic pentru dezvoltatori. Exemple și tehnici tipice. M.: 1C-Publishing LLC, Sankt Petersburg: Peter, 2007.
2. 1C: Întreprindere 8.1. Configurare si administrare. M.: Firma „1C”, 2007.

Această secțiune conține o descriere a erorilor cunoscute care pot apărea la conectarea programelor SysTecs la 1C: baze de informații contabile (versiunile 1.6, 2.0 și KORP), precum și cauzele și modalitățile de eliminare a acestora.

Erori care apar la utilizarea versiunilor vechi ale platformelor 1C: Enterprise 8.1 și 8.2

Problemele la stabilirea unei conexiuni cu baza ta de informații pot fi cauzate de utilizarea versiunilor învechite ale platformelor tehnologice 1C:Enterprise 8.1 sau 8.2. Următoarea este o listă de versiuni ale platformei care sunt recomandate pentru a asigura o conexiune COM garantată și fără probleme:

• 1C: Întreprindere 8.1- lansări începând din 8.1.15.14 (din 30.10.2009)
• 1C: Întreprindere 8.2- lansări începând din 8.2.13.202 (din data de 10.12.2010)

Erori care apar la configurarea unei conexiuni la serverul 1C:Enterprise

Erorile la conectarea la serverul 1C: Enterprise 8.1 (8.2) în majoritatea cazurilor sunt cauzate de o nepotrivire între versiunile platformelor tehnologice instalate pe server și pe stație de lucru, cu care se stabilește o conexiune la infobaza 1C: Contabilitate 8. În acest caz, ar trebui să instalați aceleași versiuni ale platformelor pe client și server. În acest sens, trebuie luate în considerare următoarele:

• Dacă 1C: Contabilitatea 8 funcționează pe platforma 8.1- este necesar să se asigure că versiunile platformei 8.1 de pe server și stația de lucru sunt identice, iar versiunea platformei 8.2 pe care rulează programul SysTecs, în acest caz nu va conta.
• Dacă 1C: Contabilitatea 8 funcționează pe platforma 8.2- De asemenea, ar trebui să vă asigurați că versiunile platformei 8.2 de pe server și stația de lucru sunt identice, în timp ce versiunea ediției utilizate nu poate fi mai mică de 8.2.13.202.

Erori cauzate de parametrii de conexiune incorecți

Erorile parametrilor de conexiune sunt identificate de program și, dacă apar, utilizatorului i se emite un avertisment care conține o descriere a problemei care a apărut, care arată astfel:

O listă cu posibile erori și modalități de a le elimina este prezentată în tabelul de mai jos.