Ektron AD用户:如何防止某些广告用户登录工作区

时间:2014-02-19 22:14:00

标签: active-directory web-config content-management-system ektron

ektron网站广告整合后如何防止某些活动目录用户登录工作区?

4 个答案:

答案 0 :(得分:1)

快速简单的回答: 一旦开始启用AD身份验证,它就变为全有或全无。您不能混用用户身份验证模式。

  • CMS和会员用户可以对Ektron进行身份验证。
  • CMS用户可以针对AD进行身份验证,会员可以针对Ektron进行身份验证。
  • CMS和会员资格可以针对AD进行身份验证。
  • 你不能混用。

如果每个人都是CMS用户,但不是每个人都应该做"东西"在Workarea中,您需要开始管理用户组并设置权限以根据这些组限制或允许Workarea中的活动。第一件事:拒绝Everyone组的一切。然后开始允许其他组的活动。

Ektron中用户管理的复杂和冗长的解释: 使用Ektron中的AD身份验证和集成选项,您可以通过多种方式管理用户身份验证以及系统中用户的存在方式。

  1. 标准AD身份验证 - 使用ek_ADEnabled通过Web.config启用,然后通过Workarea>设置>配置>活动目录>设置> "启用Active Directory身份验证",登录系统的AD用户将作为CMS用户进行处理。关于此的说明:只需在此处选中单选按钮并取消选中复选框,就会强制对AD进行CMS身份验证。此自动添加经过身份验证的用户,更新属性或将其强制分组。它只是测试用户名并传递LDAP查询。仅使用此方法,您可以手动将要对CMS / Workarea访问进行身份验证的用户添加到用户中。未添加的任何用户都不会通过身份验证。然后,任何其他用户将使用会员资格用户名并传递给网站进行身份验证,并且不会使用AD。

  2. Active Directory Itegration - 使用上述方法,您可以启用" Integration。"这会在成功登录时更新Active Directory中的用户属性和信息。使用"身份验证"除了UserName,Domain和密码之外,用户信息在Ektron中管理,而" Integration"强制其余的用户属性与其AD值匹配。只需启用"集成"仍然强制将用户手动添加到用户,并且用户中不存在的任何AD用户都无法进行身份验证。相反,他们需要一个非广告Ektron会员帐户才能登录。

  3. 自动添加选项 - 使用"集成"启用后,您可以在Ektron中启用自动创建用户。如果用户登录到Ektron并成功通过Active Directory进行身份验证,但在Ektron中尚未存在,则将在Everyone组中的Ektron中创建用户帐户,并将授予这些权限。这意味着您域中的所有Active Directory用户都可以作为CMS用户进行身份验证并获得访问权限。启用"自动添加用户到组"采取这一步骤,并检查他们的AD用户组与Ektron组。如果其中一个Ektron组与他们所在的AD组匹配,则它们将被添加到Ektron中的组中。

  4. AD成员资格 - 如果您只希望Active Directory树中的几个用户具有CMS访问权限,并希望其他用户使用Active Directory凭据登录该站点,则可以通过以下方式启用AD成员身份设置" ek_LDAPMembershipUser"标记为" true"在Web.config中。这将强制所有成员用户像CMS用户一样对AD进行身份验证,但他们不具有CMS访问权限。但是,启用此功能后,标准用户,非AD用户身份验证将不起作用。用户将被迫对AD进行身份验证。在这种情况下,集成和自动添加选项也适用于成员资格用户,您可以使用Login控件或API来设置AutoAddType或强制登录以仅允许成员资格用户。

    5. 现在,显然如果您选择不启用AD身份验证,则所有用户都仅针对Ektron进行身份验证。没有与AD控制器进行通信。如果你没有启用" ek_LDAPMembershipUser"所有会员用户仍然只针对Ektron进行身份验证。 AD / LDAP身份验证不适用于它们。

    但是,系统中没有混合模式身份验证。您可以为CMS用户启用针对AD和针对Ektron的成员资格的AD。或者,您也可以为CMS用户启用针对AD的AD和针对AD的成员资格。您不能让CMS用户反对Ektron和AD会员资格,也不能让某些用户作为CMS或会员资格对抗AD和其他用户仅针对Ektron。我确实相信这些复杂的选项将在未来的版本中提供,但是现在,一旦你开始启用AD身份验证,它就会变成一个全有或全无的事情,具体取决于你设置它的位置。

    应该对用户组进行非常重要的一点:您可以启用AD身份验证并手动管理Ektron中的用户组。这些组不需要与AD用户组匹配。这意味着您可以在Ektron中定义自己的组,强制用户对Active Directory进行身份验证,并且您可以将权限应用于Ektron组,而不受AD组权限的限制。

    我希望这有助于阐明用户系统。

答案 1 :(得分:0)

这可能取决于您所使用的Ektron版本,但我相信这是Ektron更高版本的一个问题,他们将登录逻辑直接添加到cmslogin.aspx.cs而不是使用cms:Login服务器控制。

我所知道的解决方法需要手动编辑登录页面(cmslogin.aspx),以防止用户使用EkEnumeration.AutoAddUserTypes.Author自动添加为CMS“作者”,而是仅作为成员资格用户添加。
您还可以创建自己的登录页面来自定义逻辑并删除库存登录页面;无论你做什么,首先备份股票页面:)

你可以玩这件作品:

m_eAutoAddType = EkEnumeration.AutoAddUserTypes.Member; // I added this.
if (bAutoLogin)
{
UserInfo = m_refUserApi.autologInUser(strUsername, strDomain, Request.ServerVariables["SERVER_NAME"], m_eAutoAddType);
}
else
{
UserInfo = m_refUserApi.logInUser(strUsername, strPassword, Request.ServerVariables["SERVER_NAME"], strDomain, strProtocol, m_eAutoAddType);
}

答案 2 :(得分:0)

如果我没记错的话,AD集成模式中仍然可用的少数用户选项之一是其配置文件中的“锁定用户”复选框。

答案 3 :(得分:0)

可以设置AD集成以影响CMS用户或成员资格用户。 CMS用户具有工作区访问权限,而成员资格用户则没有。听起来你的选项设置错误。

在典型的Intranet方案中,所有具有AD集成的用户都倾向于成为会员用户。这样,他们就可以使用社区和社交功能在网站上创建内容。

您的管理员通常会拥有2个帐户:他们的常规帐户和仅限CMS的帐户,他们可以通过工作区管理Ektron。

相关问题
最新问题