Подключение к серверу 1С

Содержание

Тонкий клиент

Подключение Тонкого клиента к серверу 1С выполняется в два этапа, на первом используются реквизиты подключения указанные в настройке информационной базы клиента, на втором к ним добавляются реквизиты сервера полученные от кластера 1С.

1. Подключение к кластеру 1С

Тонкий клиент подключается к кластеру по имени или адресу указанному в настройке. Подключение выполняется через порт :1541. Результатом успешного обращения клиента к кластеру является имя сервера для дальнейшего подключения, но внешне это никак не проявляется. Если подключение не выполнено возникает ошибка ‘Этот хост неизвестен’:

Ошибка server_addr=MyServer descr=11001(0x00002AF9): Этот хост неизвестен. line=1050 file=src\DataExchangeCommon.cpp.

2. Подключение к серверу 1С

Доступ клиента к серверу выполняется по имени в точности такому, как оно было задано в диспетчере кластера. Подключение выполняется через порт :1560. Результатом обращения клиента к серверу является открытие окна авторизации. Если подключение не выполнено то возникает такая же ошибка ‘Этот хост неизвестен’.

Особенность подключения через Интернет

Если в диспетчере кластера 1С указаны локальные имена серверов, то описанный выше порядок подключения Тонкого клиента будет работать в локальной сети без замечаний, но при подключении через Интернет возникает особая ситуация.

Классический подход подключения из Интернет состоит в указании вместо локального имени Кластера серверов ip-адреса шлюза (или его полного доменного имени mygate.com), на котором порт 1541 перенаправлен на локальный хост Кластера серверов 1С, а порт 1560 перенаправлен на локальный хост Сервера 1С.Однако подобное подключение тоже приведет к уже описанной выше ошибке ‘Ошибка server_addr=MyServer descr=11001 (0x00002AF9): Этот хост неизвестен. line=1050 file=src\DataExchangeCommon.cpp’.

На первых взгляд эта ошибка содержит парадокс, поскольку она сообщает о неизвестном сервере MyServer, в то время как был указан IP. Но парадокса тут нет. Введенный IP указывает именно на кластер серверов, который на первом этапе в ответ на запрос клиента сообщил зарегистрированное в кластере локальное имя сервера 1С (MyServer) для следующей фазы подключения, но подключиться по локальному имени (MyServer) в удаленной сети через интернет не удастся, поскольку это имя не имеет в сети клиента корректного разрешения (имеется ввиду dns-разрешение имени MyServer -> 123.45.67.89).

Простое решение

Простым решением этой проблемы будет дописать строку разрешения для этого доменного имени в файл ..\Windows\System32\Drivers\etc\hosts

123.45.67.89 MyServer

Если в этом Кластере существует только один сервер MyServer, и если не возникнет коллизии имени с другими кластерами, т.е. в других кластерах нет другого сервера с таким же именем MyServer, то это решение сработает.

Правильное решение

Правильным, но сложным решением будет организация иерархии доменных имен и служб DNS, которые позволят использовать полные доменные имена вида cluster.MyFirm.com и server1c.MyFirm.com и для регистрации в кластере, и при разрешении этих имен службами DNS.

Оптимальное решение

Наиболее оптимальным решением будет настройка VPN канала, который позволит Тонкому клиенту включиться в локальную сеть Кластера и Сервера, в которой их локальные имена корректно разрешаются автоматически без дополнительных настроек.

Рекомендации по настройке «1С:Предприятия 8» при публикации информационных баз в сети интернет

Для того чтобы оградить себя и свои данные от действий злоумышленников рекомендуем выполнить несколько простых шагов. Данные рекомендации носят универсальный характер и вполне применимы не только для доступных в интернете публикаций, но и для внутренних ресурсов, размещенных в локальной сети предприятия и (или) даже на изолированных компьютерах.

1. Установите всем без исключения (и директору, и главбуху) сильные, стойкие к подбору пароли.

Старайтесь выбирать такие пароли, которые, будучи сложными, доставят пользователям меньше всего хлопот. Не будет большого проку, если сотрудники развесят свои пароли на бумажках у мониторов. Опыт подсказывает — лучше, если пароль будет длинный и простой, чем сложный, но короткий.

Например:

Пароль

3U5}5’|x

плохо: трудно запомнить, легко ошибиться при наборе, легко подобрать автоматическим перебором.

^k2#4910<5L3796.r8>M

очень плохо: невозможно запомнить, практически невозможно набрать правильно с первого раза.

Ах, какой чудесный день!

хорошо: легко запомнить, легко набрать без ошибок, трудно подобрать автоматически (используются строчные/прописные буквы и знаки препинания).

Если ваши пользователи могут сами выбирать и менять себе пароли, обязательно установите ограничение на минимальную длину и включите проверку сложности пароля:

Конфигуратор → Администрирование → Параметры информационной базы

Не делайте исключений! Если хотя бы у одного пользователя будет слабый пароль — обязательно «уведут» именно его.

Как задать пароль пользователю информационной базы?

  1. Откройте вашу ИБ в Конфигураторе 1С
  2. Выберите пункт меню «Администрирование» -> «Пользователи»
  3. Выберите из списка требуемого пользователя и нажмите «Редактировать»
  4. Выберите пункт «Аутентификация 1С: Предприятия», введите пароль и подтвердите его в соответствующих полях
  5. Нажмите «ОК» и выйдите из Конфигуратора
  6. Переопубликуйте информационную базу в Агенте «1С: Линк»

Как создать пользователя информационной базы?

  1. Войти в ИБ в пользовательском режиме
  2. Перейдите в пункт меню «Администрирование»-«Настройка пользователей»-«Пользователи»
  3. Нажмите кнопку «Создать»
  4. Выберите пункт «Аутентификация 1С: Предприятия», введите пароль и подтвердите его в соответствующих полях
  5. Нажмите «ОК» и выйдите из ИБ
  6. Переопубликуйте информационную базу в Агенте «1С: Линк»

2. Отключите отображение имен пользователей на странице входа в ИБ.

Конфигуратор → Администрирование → Пользователи → (в списке пользователей выбираем каждого) → снимаем галочку «Показывать в списке выбора».

Это потребует от злоумышленника точного выяснения имен пользователей как для автоматизированного подбора их паролей, так и для социальной инженерии (в отличие от стандартной кибер-атаки в данном случае в роли объекта атаки выбирается не машина, а ее оператор).

Обратите внимание, что сокрытие имени не является гарантией от взлома. Принцип «Безопасность через неясность» не должен являться основной мерой защиты системы. Это, в лучшем случае, побочная мера, и раскрытие информации о неясности не должно приводить к компрометации.

3. Установите в панели управления линк-агентом доп. HTTP-авторизацию для защиты окна входа в информационную базу.

Процесс настройки описан в пт. 4.1 руководства пользователя.

4. Разграничьте права доступа должным образом. Не надо всем пользователям прикладной конфигурации давать полные права.

Если кладовщик и не умеет манипулировать данными и кодом прикладной конфигурации, вполне возможно, что это по силам его внуку.

5. Регулярно обновляйте и проверяйте антивирусами компьютеры, где установлен Агент и где работают пользователи.

Следует выполнять общие рекомендации по безопасности ПК, а именно:

  • производить своевременное обновление операционной системы и установленных программ;
  • правильно настроить и держать включенным межсетевой экран (Брандмауэр/Firewall);
  • держать в актуальном состоянии базы антивирусного ПО и проводить регулярные полные проверки системы.

6. Не пренебрегайте пользователями информационной системы.

Проведите инструктаж. Расскажите пользователям о наиболее распространенных видах мошенничества. Разъясните им азы безопасной работы: не приклеивать пароль от входа на монитор, не отсылать его первому встречному по почте, СМС или в соц. сетях.

Дополнительная информация

  • Описание сервиса «1С: Линк»
  • Как начать работу с «1С: Линк»?
  • Технические требования 1С:Линк
  • Работа при медленном Интернет-соединении
  • Настройка авторизации средствами «1С: Предприятие»

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *