Sitecore security hardening guide通过禁用匿名访问权限来指示限制对/ sitecore / admin文件夹的访问。但是,在我这样做之后,当我尝试访问/sitecore/admin/cache.aspx等页面时出现IIS错误。
HTTP错误401.2 - 未经授权。由于身份验证标头无效,您无权查看此页面。
如果我不想访问管理页面,是否应禁用匿名访问?
我的站点核心版本是6.6.0(rev.130404)。
答案 0 :(得分:0)
我认为您应该删除Extranet /匿名访问,但请确保sitecore / everybody(或其他角色)可以访问。
这样您只能在登录Sitecore时访问它。
使用Access Viewer检查用户是否可以访问它。
我认为那些页面现在有Sitecore登录。我知道/sitecore/admin/dbbrowser.aspx有一个。
答案 1 :(得分:0)
除非是生产环境,否则我不会禁用匿名访问。我不确定你是如何设置环境的,但理想情况下,缓存间隙应该在你的舞台/ uat环境中。
答案 2 :(得分:0)
除了禁用匿名访问外,还应确保启用某种其他身份验证方法 。默认情况下,IIS7 +没有任何其他可用的身份验证方法,因此所有流量都会出现“未经授权”的错误。启用另一种身份验证方法后,IIS将允许您访问/ sitecore / admin路径(此时,Sitecore的身份验证可能会启动)。
我过去通过在机器上创建本地用户并启用基本身份验证来完成此操作。请记住,基本身份验证不太安全,因为凭据通过线路以明文形式传递,但在这种情况下,我们强制通过SSL进行流量传输。
虽然未在强化指南中详细说明,但您还可以查看通过IP地址限制对该目录的访问。例如,在生产内容交付服务器上,限制只访问localhost,这意味着如果不直接对服务器进行RDP,则无法浏览该目录。