Авторизация по имени пользователя Windows или интеграция с Active Directory

[avmaksimov]

Техподдержка отказала в реализации. Используем Торговлю.

Может тут кто может без потери возможности обновления. Варианта два.

1. Создаём пользователя и в кратком имени пишем логин Windows. Далее при запуске программа узнаёт текущий логин Windows и сверяет со списком. Пароль не запрашивается.
2. Где-то ввести соответствие название доменной группы и роли программы (Возможности). Соответственно, анализируются доменные группы текущего пользователя и по всем соответствиям включаются возможности. При этом недостающие пользователи должны создаваться автоматически. Ну можно ещё сделать автоматическое удаление аккаунтов, которые не заходили год).

Желательно! В обоих вариантах должна остаться возможность авторизоваться администратору - пусть и через IBExpert, если что-то пойдёт не так.

Кто-то может реализовать это?

[yrahak]

А удаленка от винды rdp не подойдет?

[Михаил,Тверь]

По п.1.
Если не особо ограничивать себя в инструментах, то сложностей вроде и нет.
Как ПОСЛЕ запуска программы выбрать нужного пользователя и работать в дальнейшем под ним, мне неизвестно, скорей всего, такого функционала нет. А вот запустить программу под нужным пользователем (скриптом на VBS, например), сформировав командную строку и выполнив её - нет проблем. Узнать перед этим пользователя Windows и именно его логин заложить в формируемую командную строку - тоже вроде бы несложно, ссылок много в сети. Если при этом требуется запретить возможность работы пользователю с логином , не совпадающим с именем пользователя Windows, в программу придется внести минимальные изменения, которые на возможность обновляться повлиять не должны с вероятностью 99,99. Администратору лучше сохранить возможность заходить по паролю.

[avmaksimov]

Цитата:

Сообщение от yrahak

А удаленка от винды rdp не подойдет?

Не понял вопроса. Куда подойдёт? Я хочу, чтобы был заход по сеансу Windows или интеграция с AD.

[avmaksimov]

Цитата:

Сообщение от Михаил,Тверь

По п.1.
Если не особо ограничивать себя в инструментах, то сложностей вроде и нет.
Как ПОСЛЕ запуска программы выбрать нужного пользователя и работать в дальнейшем под ним, мне неизвестно, скорей всего, такого функционала нет. А вот запустить программу под нужным пользователем (скриптом на VBS, например), сформировав командную строку и выполнив её - нет проблем. Узнать перед этим пользователя Windows и именно его логин заложить в формируемую командную строку - тоже вроде бы несложно, ссылок много в сети. Если при этом требуется запретить возможность работы пользователю с логином , не совпадающим с именем пользователя Windows, в программу придется внести минимальные изменения, которые на возможность обновляться повлиять не должны с вероятностью 99,99. Администратору лучше сохранить возможность заходить по паролю.

Зачем после?! До..
По пункту 1 это должна делать сама программа. Или выбор пользователя идёт до выполнения любого кода?

[akula62]

А если просто написать командный файл, который через whoami получает имя пользователя, зарегистрированного в конкретном сеансе, подставляет его в строку запуска программы и запускает ее с этим же именем? Просто, дешево и сердито. Это если я правильно задачу понял, разумеется.

[GriAlex]

Цитата:

Сообщение от akula62

А если просто написать командный файл, который через whoami получает имя пользователя, зарегистрированного в конкретном сеансе, подставляет его в строку запуска программы и запускает ее с этим же именем? Просто, дешево и сердито. Это если я правильно задачу понял, разумеется.

Да, можно, на самом деле, создать командную строку для ИнфоПредпр. Только пункт 2 из "задания" дочитайте:

Цитата:

недостающие пользователи должны создаваться автоматически

Это ж надо в базе создать пользователя "программно", причем извне, со всеми нужными настройками (интерфейс, возможности, причем сверяя всё это с ролями пользователя операционки). И так же удалять этих пользователей из базы, проверяя на долгое отсутствие. Впрочем, удалить-то особо не получится, разве что выключить - если эти пользователи будут создавать в базе какие операции. Либо вместе с операциями, но это, мне кажется, очень "конкретная" работа. :-)

[akula62]

Цитата:

Сообщение от GriAlex

Да, можно, на самом деле, создать командную строку для ИнфоПредпр. Только пункт 2 из "задания" дочитайте:

Это ж надо в базе создать пользователя "программно", причем извне, со всеми нужными настройками (интерфейс, возможности, причем сверяя всё это с ролями пользователя операционки). И так же удалять этих пользователей из базы, проверяя на долгое отсутствие. Впрочем, удалить-то особо не получится, разве что выключить - если эти пользователи будут создавать в базе какие операции. Либо вместе с операциями, но это, мне кажется, очень "конкретная" работа. :-)

Да, п. 2 не дочитал. Так никто не мешает из isql прямо в базе создать запись в таблице аутенитификации с нужным пользоваталем. Также не проблема поставить там же пометку о том, что запись отключена. Пароли там все равно не нужны, иначе с параметром -П не зайти будет.
Вроде бы все делается внешними обвязками, не трогая базу и возможность обновления.
Собственно, это даже не доработка, а создание своей среды для запуска программы.

[avmaksimov]

Цитата:

Сообщение от akula62

А если просто написать командный файл, который через whoami получает имя пользователя, зарегистрированного в конкретном сеансе, подставляет его в строку запуска программы и запускает ее с этим же именем? Просто, дешево и сердито. Это если я правильно задачу понял, разумеется.

Можно, но надо будет создавать с паролем. Тогда можно вручную полностью создать. И пусть вводят уже те же данные), что и есть сейчас. Иначе любой сможет открыть этот скрипт и прописать логин другого. Это должна делать сама программа.

Ещё раз спрошу. Я правильно понимаю, что авторизация происходит до кода на встроенном языке? Если да, тогда не получится первый пункт явно, а, скорей всего, и второй.

[avmaksimov]

Цитата:

Сообщение от akula62

Да, п. 2 не дочитал. Так никто не мешает из isql прямо в базе создать запись в таблице аутенитификации с нужным пользоваталем. Также не проблема поставить там же пометку о том, что запись отключена. Пароли там все равно не нужны, иначе с параметром -П не зайти будет.
Вроде бы все делается внешними обвязками, не трогая базу и возможность обновления.
Собственно, это даже не доработка, а создание своей среды для запуска программы.

Ну т.е. средствами программы никак, только надстройкой сверху? Снова вопрос пароля встанет, конечно.. Либо его дополнительно хранить, либо менять, в принципе, можно перед запуском и передавать в параметры. Заодно безопасно))).

Да уж заморочки.. нр, похоже, это единственно верный путь (.

[Sektor1024]

Если не секрет зачем такие сложности?) Может тоже захочется

[GriAlex]

Цитата:

Сообщение от Sektor1024

Если не секрет зачем такие сложности?) Может тоже захочется

Да, к примеру, база для работы с онлайн-клиентами и каким-то их личными кабинетами в этой базе. У самого тоже периодически после вопросов некоторых пользователей мысли бродили, что и как можно (и можно ли) сделать у нас в этом направлении. Технических знаний-то у самого не хватает в этом направлении, но представить и подумать, что и как - можно.

[yrahak]

Цитата:

Сообщение от avmaksimov

Не понял вопроса. Куда подойдёт? Я хочу, чтобы был заход по сеансу Windows или интеграция с AD.

У удаленного рабочего стола есть возможность интеграции с AD и запуском только нужной программы и пользователя. Вот с созданием новых пользователей тут загвоздка, лично мне это кажется избыточным вариантом (много хлопот и мусора будет).
Настраивал так желтого )))

[yrahak]

Цитата:

Сообщение от GriAlex

Да, к примеру, база для работы с онлайн-клиентами и каким-то их личными кабинетами в этой базе. У самого тоже периодически после вопросов некоторых пользователей мысли бродили, что и как можно (и можно ли) сделать у нас в этом направлении. Технических знаний-то у самого не хватает в этом направлении, но представить и подумать, что и как - можно.

Для он-лайн клиентов проще веб морду на ИП дописать.

[Михаил,Тверь]

Цитата:

Сообщение от akula62

А если просто написать командный файл, который через whoami получает имя пользователя, зарегистрированного в конкретном сеансе, подставляет его в строку запуска программы и запускает ее с этим же именем? Просто, дешево и сердито. Это если я правильно задачу понял, разумеется.

Я о том же писал. Только для меня скрипт на VBS написать проще, чем батник.
Ну и еще контроль какой-то требуется, если в обход скрипта/батника кто зайдет.
В ПОСЛЕ Стартовать, можно проверку поставить

[avmaksimov]

Цитата:

Сообщение от Sektor1024

Если не секрет зачем такие сложности?) Может тоже захочется

Компания хоть и небольшая, но устаёшь от того, что при трудоустройстве надо в 5 местах учётки добавить, а при увольнении - удалить.

[akula62]

Цитата:

Сообщение от avmaksimov

Ещё раз спрошу. Я правильно понимаю, что авторизация происходит до кода на встроенном языке? Если да, тогда не получится первый пункт явно, а, скорей всего, и второй.

Глянул что там в части работы с учетными записями пользователей. Заинтересовало как хэш пароля считается, что в базу пишется. Скорее всего код бизнес логики, который мы можем видеть и менять, сюда отношения не имеет. Вероятно, на уровне платформы реализованы необходимые процедуры. Так что, если допиливать, то платформу. Могу ошибаться, конечно. В общем, перспективы допиливания весьма призрачные. Так что, лучше над какой-то надстройкой задуматься.

[GriAlex]

Цитата:

Сообщение от yrahak

Для он-лайн клиентов проще веб морду на ИП дописать.

Здесь, увы, я ничего сказать не могу - вы лучше меня знаете такие вещи. Впрочем, для онлайн-клиентов, наверное, да - легче их как контрагентов или отдельным справочником "держать" и "выдергивать" их данные из базы в веб-интерфейсе. Вот только и дошло до меня...
И ещё тоже мысли ходят, как куче сотрудников к каким-то только их касающимся данным доступ в базе организовать. Тоже "веб морда", наверное, сюда...

[Mork0vkin]

Цитата:

Сообщение от avmaksimov

... Кто-то может реализовать это?

Ну в принципе логично, что вам отказали в доработке ИП-ия, она не нужна. Я думаю, что задача больше подходит для отдельной разработки небольшой утилиты. Все сводится к работе с FB SQL и некоторыми системными моментами.
1) Набросал за пару дней демку. Можете скачать https://disk.yandex.ru/d/9qdITWFdmOKySA
2) Про доменные группы и роли толком ничего не знаю. Но возможности тоже можно подтянуть. Пока по умолчанию подставляю "Базовый сервис".
3) В ИП-ке нет даты создания пользователя, поэтому тут наверно никак без доработки или отказаться от авт.удаления просто.
4) Админ может и стандартно зайти в базу.