weitere Infos
Benutzerverwaltung mit Windowsauthentifizierungsverfahren
Die Berechtigungsprüfung des Endanwenders wird durch den IIS mit einem Windows internen Verfahren (NTLM) durchgeführt. Dabei wird der am Client-Rechner angemeldete Benutzer auf dem Server authentifiziert. Dieses Vorgehen ermöglicht den Verzicht auf eine eigene Benutzerverwaltung. Es werden die im Firmennetzwerk vorhandenen Gruppen und Benutzerinformationen ermittelt und verwendet.
Hinweis
Es ist alternativ möglich, eine andere Art der Authentifizierung zu verwenden. In diesem Fall muss eine eigene Datenbank mit Benutzernamen, Passwörten usw. erstellt und gepflegt werden.
Es ist alternativ möglich, eine andere Art der Authentifizierung zu verwenden. In diesem Fall muss eine eigene Datenbank mit Benutzernamen, Passwörten usw. erstellt und gepflegt werden.
Die erste Stufe der Anmeldung besteht damit in der Systemauthentifizierung des Benutzers, d. h. jeder am System -eintreffende- Benutzer ist mit einem gültigen Windows-Benutzernamen und Passwort autorisiert.
Im zweiten Schritt wird geprüft, ob dieses so ermittelte Benutzerobjekt über die Berechtigung verfügt, das cardo-System zu starten. Dies ist der Fall, wenn der Benutzer oder eine Gruppe (in der dieser Benutzer enthalten ist) dem cardo-System bekannt ist. Anderenfalls wird der Benutzer vom System zurückgewiesen.
Status
Die Statusvergabe erlaubt einem Administrator angemeldete Nutzer zu sperren oder zuzulassen. Dies ist sinnvoll, wenn beispielsweise von dem Nutzeraccount längere Zeit nicht mit cardo gearbeitet werden soll.
Sowohl der Status einer Gruppe als auch eines Nutzers kann verändert werden.
- Der Status eines Nutzers kann über den Eintrag Sperre im Reiter Erweitert angepasst werden. Mit einem Doppelklick auf den Nutzer ändern Sie die Einstellungen.
- Es besteht die Wahl zwischen Keine Sperre definiert (Standart), Eintrag ist gesperrt und Nicht gesperrt (setzt eine eventuelle Sperre einer Gruppe außer Kraft).
- Der Status am Nutzer erhält dann folgendes Label: ZUGELASSEN, GESPERRT und leer (für nicht definiert).
Hinweis:
Wird im Statusfeld nicht definiert, erfolgt die Zulassung des Nutzers oder der Gruppe.
Wird im Statusfeld nicht definiert, erfolgt die Zulassung des Nutzers oder der Gruppe.
Wenn ein Eintrag gesperrt ist, ist keine Anmeldung möglich. Bei Gruppen gilt, wenn der Nutzer Mitglied einer gesperrten Gruppe ist, ist auch der Nutzerzugang gesperrt.
Wie ist die Nutzeranmeldung unter folgenden Einstellungen geregelt?
- Ist der Nutzer gesperrt und die Gruppe zugelassen, ermöglicht das explizite Zulassen der Gruppe die Anmeldung des Nutzers! Sonst erfolgt kein Zugriff für den Nutzer.
- Ist eine Gruppe gesperrt und der Nutzer nicht gesperrt, kann der Nutzer sich anmelden. In diesem Fall gilt: Nutzerrecht vor Gruppenrecht!
Hinweis:
Ist in der Richtlinie eine zeitliche Begrenzung des Accounts vorgesehen (Verfügbarkeit), d. h. ist dieser abgelaufen, erfolgt keine Zulassung des Nutzers, auch wenn hier der Status NICHT GESPERRT gewählt wurde!
Ist in der Richtlinie eine zeitliche Begrenzung des Accounts vorgesehen (Verfügbarkeit), d. h. ist dieser abgelaufen, erfolgt keine Zulassung des Nutzers, auch wenn hier der Status NICHT GESPERRT gewählt wurde!
Richtlinien
Die Vergabe von Richtlinien ist nötig, um den Zugriff eines Nutzers weiter einzuschränken. So kann einem Nutzer, der einen cardo Zugang hat, für einen bestimmten Zeitraum der Zugang verweigert werden, bsw. wenn der Nutzer abwesend ist oder zeitweise nicht am Projekt arbeitet. Andererseits kann dem Nutzer ein zeitlicher Zugriff auf cardo erlaubt werden. Weiterhin kann der Administrator bestimmte ZugriffsIPAdressen sperren oder erlauben. Dies ist notwendig, wenn von einem bestimmten Rechner der Zugriff auf cardo verweigert oder speziell erlaubt werden soll. Weitere Einstellungen sind SSL Zugriff, zulässige Referrer oder die Anmeldung über bestimmte Anmeldeverfahren.
- Die Einstellungen finden Sie nach Doppelklick auf den Benutzer im Reiter Erweitert.
- Hier können eine Vielzahl von Zugriffsmethoden eingerichtet werden. Dazu muss in das jeweilige Feld geklickt werden oder die Auswahlliste genutzt werden.
Nur per SSL Zugang
Zugriff nur über SSL Verbindungen zulassen. Es besteht die Möglichkeit zwischen Ja und Nein zu wählen.
Nur bestimmte Referrers zulassen
Hier können Adressen von Websiten angegeben werden, in deren Kontext Aufrufe zulässig sind. Verglichen werden der Domainname und der Pfad inklusive Dateinamen. Mehrere Einträge sind durch Komma zu trennen. Es können die Platzhalter * und ? verwendet werden.
Zulässige IP (v4) Adressen
Eingabe von IP-Adressen, von welchen ein Zugriff auf Cardo ermöglich werden soll. Mehrere Einträge werden durch Komma getrennt. 0 wird als Maske verwendet (192.168.20.0)
Verweigerte IP (v4) Adressen
Eingabe von IP-Adressen, von welchen der Zugriff auf cardo verboten werden soll. Mehrere Einträge werden durch Komma getrennt. 0 wird als Maske verwendet (192.168.20.0)
Hinweis: Bei internen Netzwerken muss die IP Adresse des Routers eingetragen werden, nicht die es Rechners!
Anmeldung von
Eingabe eines Datums, ab welchem der Nutzer Zugriff auf cardo haben soll. Vor diesem Datum ist ein Login nicht möglich. (z. B.: 3.3.2011)
Anmeldung bis
Eingabe eines Datums, bis welchem der Nutzer Zugriff auf cardo hat. Danach ist keine Anmeldung mehr möglich. (z. B.: 3.3.2011)
Zulässige Anmeldearten
Hier können zwischen einem oder mehreren Anmeldeverfahren gewählt werden. Dazu müssen die Häkchen in den jeweiligen Feldern gesetzt werden.
- Windows interne Anmeldung (NtlmBasedAuth)
- cardo interne Anmeldung (BasicAuth)
- Authentifizierung über fremden Server (RemoteIdentified)
- Anonym, vordefinierter Account (AnonymousAuthWithBuildInUser)
- keine interne Anmeldung (programmtechnisch gesetzt, NonIdentified)
- cardo 2 Auskunftssystem (CardoOverComPlus)
- Gruppen aus Community-Features wurden hinzugefügt.
Zulässige Programmteile
- Aufruf an einen cardo3 asmx Web-Services
- Aufrufe ogc.ashs (WMS, WFS, etc.)
- cardo (asp Seiten
- Aspx, Ajax, res.ashx, usw.
- cardo4
Prioritäten
Prioritäten dienen dazu, auftretende Konflikte zu lösen. Treten Konflikte zwischen Gruppen auf, wird von cardo die Priorität ausgewertet. Besitzen beispielsweise beide Konfliktgruppen die gleiche Prioriät kann der Konflikt nicht gelöst werden. Wird einer Gruppe nun eine höhere Priorität eingerichtet, wird das Recht dieser Gruppe vorrangig zugelassen.
Folgende Prioritäten werden für Nutzer und Gruppen standardmäßig vergeben:
- NT- Gruppen : 1000 - Standardwert
- cardo - Gruppen: 1000 - Standardwert
- Nutzer: 9000 - (Standardwert - Vergabe durch das cardo - System nicht editierbar)
Die Prioritäten der NT-Gruppen und cardo-Gruppen können durch den cardo- Systemadministrator in den Gruppeneigenschaftsdialog neu vergeben werden, wobei die Werte stets im Bereich von 1000 bis < 9000 liegen sollten.
Ändern von Prioritäten
- Klicken Sie doppelt mit linker Maustaste auf eine Gruppe.
- Es öffnet sich der Dialog Eintrag bearbeiten zum Bearbeiten der Gruppeneigenschaften.
- Ändern des Prioritätswertes durch manuelle Eingabe im Feld Priorität.
Die Prioritäten werden bei der Auswertung der zugewiesenen Rechte im administrativen Baum ausgewertet. D. h. bei auftretenden Konflikten gilt folgende Regel:
Nutzerrecht (Priorität 9000) geht vor Gruppenrecht.
Bei der Auswertung der Gruppenrechte entscheidet die Priorität der Gruppe.