Sitecore security hardening guide 指示通过禁用 匿名 访问来限制对 /sitecore/admin 文件夹的访问。但是,在我这样做之后,当我尝试访问 /sitecore/admin/cache.aspx 之类的页面时遇到 IIS 错误。
HTTP 错误 401.2 - 未经授权。由于身份验证标头无效,您无权查看此页面。
是否应该仅在我不想访问管理页面时才禁用匿名访问?
我的站点核心版本是 6.6.0(修订版 130404)。
【问题讨论】:
标签: authentication sitecore sitecore6
除了禁用匿名访问之外,您还应该确保启用了某种其他身份验证方法。默认情况下,IIS7+ 没有任何其他可用的身份验证方法,因此所有流量都会收到“未经授权”错误。启用另一种身份验证方式后,IIS 将允许您访问 /sitecore/admin 路径(此时,Sitecore 的身份验证可能会启动)。
我过去通过在机器上创建本地用户并启用基本身份验证来完成此操作。请记住,基本身份验证不太安全,因为凭据以明文形式通过网络传递,但在这种情况下,我们强制通过 SSL 进行流量。
虽然强化指南中没有详细说明,但您也可以查看通过 IP 地址限制对该目录的访问。例如,在生产内容交付服务器上,将访问限制为仅 localhost,这意味着您无法浏览该目录,除非直接通过 RDP 连接到服务器。
【讨论】:
我认为您应该删除外联网/匿名访问,但要确保站点核心/每个人(或其他角色)都具有访问权限。
这样您只能在登录 Sitecore 时访问它。
使用访问查看器检查用户是否有权访问它。
我认为这些页面现在有一个 Sitecore 登录。我知道 /sitecore/admin/dbbrowser.aspx 有一个。
【讨论】:
除非是生产环境,否则我不会禁用匿名访问。我不确定您是如何设置环境的,但理想情况下缓存清除应该在您的舞台/uat 环境中。
【讨论】: