Die Berechtigungsprüfung des Endanwenders wird durch den IIS mit einem Windows internen Verfahren (NTLM) durchgeführt. Dabei wird der am Client-Rechner angemeldete Benutzer auf dem Server authentifiziert. Dieses Vorgehen ermöglicht den Verzicht auf eine eigene Benutzerverwaltung. Es werden die im Firmennetzwerk vorhandenen Gruppen und Benutzerinformationen ermittelt und verwendet.
Die erste Stufe der Anmeldung besteht damit in der Systemauthentifizierung des Benutzers, d. h. jeder am System -eintreffende- Benutzer ist mit einem gültigen Windows-Benutzernamen und Passwort autorisiert.
Im zweiten Schritt wird geprüft, ob dieses so ermittelte Benutzerobjekt über die Berechtigung verfügt, das cardo-System zu starten. Dies ist der Fall, wenn der Benutzer oder eine Gruppe (in der dieser Benutzer enthalten ist) dem cardo-System bekannt ist. Anderenfalls wird der Benutzer vom System zurückgewiesen.
Die Statusvergabe erlaubt einem Administrator angemeldete Nutzer zu sperren oder zuzulassen. Dies ist sinnvoll, wenn beispielsweise von dem Nutzeraccount längere Zeit nicht mit cardo gearbeitet werden soll.
Sowohl der Status einer Gruppe als auch eines Nutzers kann verändert werden.
Die Vergabe von Richtlinien ist nötig, um den Zugriff eines Nutzers weiter einzuschränken. So kann einem Nutzer, der einen cardo Zugang hat, für einen bestimmten Zeitraum der Zugang verweigert werden, bsw. wenn der Nutzer abwesend ist oder zeitweise nicht am Projekt arbeitet. Andererseits kann dem Nutzer ein zeitlicher Zugriff auf cardo erlaubt werden. Weiterhin kann der Administrator bestimmte ZugriffsIPAdressen sperren oder erlauben. Dies ist notwendig, wenn von einem bestimmten Rechner der Zugriff auf cardo verweigert oder speziell erlaubt werden soll. Weitere Einstellungen sind SSL Zugriff, zulässige Referrer oder die Anmeldung über bestimmte Anmeldeverfahren.
Zugriff nur über SSL Verbindungen zulassen. Es besteht die Möglichkeit zwischen Ja und Nein zu wählen.
Hier können Adressen von Websiten angegeben werden, in deren Kontext Aufrufe zulässig sind. Verglichen werden der Domainname und der Pfad inklusive Dateinamen. Mehrere Einträge sind durch Komma zu trennen. Es können die Platzhalter * und ? verwendet werden.
Eingabe von IP-Adressen, von welchen ein Zugriff auf Cardo ermöglich werden soll. Mehrere Einträge werden durch Komma getrennt. 0 wird als Maske verwendet (192.168.20.0)
Eingabe von IP-Adressen, von welchen der Zugriff auf cardo verboten werden soll. Mehrere Einträge werden durch Komma getrennt. 0 wird als Maske verwendet (192.168.20.0)
Eingabe eines Datums, ab welchem der Nutzer Zugriff auf cardo haben soll. Vor diesem Datum ist ein Login nicht möglich. (z. B.: 3.3.2011)
Eingabe eines Datums, bis welchem der Nutzer Zugriff auf cardo hat. Danach ist keine Anmeldung mehr möglich. (z. B.: 3.3.2011)
Hier können zwischen einem oder mehreren Anmeldeverfahren gewählt werden. Dazu müssen die Häkchen in den jeweiligen Feldern gesetzt werden.
Prioritäten dienen dazu, auftretende Konflikte zu lösen. Treten Konflikte zwischen Gruppen auf, wird von cardo die Priorität ausgewertet. Besitzen beispielsweise beide Konfliktgruppen die gleiche Prioriät kann der Konflikt nicht gelöst werden. Wird einer Gruppe nun eine höhere Priorität eingerichtet, wird das Recht dieser Gruppe vorrangig zugelassen.
Folgende Prioritäten werden für Nutzer und Gruppen standardmäßig vergeben:
Die Prioritäten der NT-Gruppen und cardo-Gruppen können durch den cardo- Systemadministrator in den Gruppeneigenschaftsdialog neu vergeben werden, wobei die Werte stets im Bereich von 1000 bis < 9000 liegen sollten.
Die Prioritäten werden bei der Auswertung der zugewiesenen Rechte im administrativen Baum ausgewertet. D. h. bei auftretenden Konflikten gilt folgende Regel:
Nutzerrecht (Priorität 9000) geht vor Gruppenrecht.
Bei der Auswertung der Gruppenrechte entscheidet die Priorität der Gruppe.