Пользователь получает ошибку 403 (у пользователя есть разрешение «Полный доступ»)

Question

У нас есть новостная система, которая опирается на функцию публикации. Это в основном из коробки новости с небольшими изменениями. Страница содержит область содержимого страницы. Я сделаю несколько снимков экрана, чтобы помочь мне в этом.

Сначала область содержимого страницы:

Область содержимого страницы http://img216.imageshack.us/img216/460/pagecontentxm2.png

Когда вы щелкаете внутри области содержимого, добавляется панель инструментов. Если вы хотите добавить изображение к контенту, который вы нажимаете на выделенную кнопку (что именно это пытается сделать пользователь):

Кнопка изображения http://img218.imageshack.us/img218/9786/pagecontentwithtoolbarwc9.png

Как только вы нажмете кнопку изображения, появится диалоговое окно. Когда пользователь нажимает Просмотр кнопку он получает 403 ошибка .

Свойства изображения http://img218.imageshack.us/img218/3779/imagedialogxl1.png

Как я уже сказал в теме, пользователь имеет Полный доступ разрешения.

Я покопался в журналах IIS и обнаружил, что эта страница выбрасывает 403: / _ макеты / AssetPortalBrowser.aspx

Когда пользователь нажимает кнопку обзора, он должен позволить им просматривать эту библиотеку документов: / Информация / Новости / PublishingImages

Если вы заметите в диалоговом окне (3-е изображение), путь просмотра будет пустым. Если пользователь вставит путь к библиотеке изображений, ошибка не произойдет.

Кто-нибудь знает, как обойти эту ошибку 403? Это происходит только с этим одним пользователем и только недавно началось.

Answer 1

Я недавно писал в блоге только на эту тему

Вам нужен определенный набор прав, чтобы иметь возможность просматривать с помощью AssetPortalBrowser. Хитрость заключается в том, что эти права должны предоставляться на уровне сайта, просто передачи этих прав библиотеке недостаточно. Второе замечание - AssetPortalBrowser запоминает ваш последний просмотренный URL. Таким образом, сайт, на который вы в настоящее время добавляете права, может не быть сайтом, генерирующим ошибку 403.

http://autoexe.blogspot.com/2009/03/assetportalbrowser-403-access-denied.html

Answer 2

Я думаю, что AssetPortalBrowser.aspx выполняет необъективный вызов модели, чтобы попытаться получить данные для заполнения списка файлов. Если это так, и страница не получает правильное значение для файловой библиотеки, чтобы получить изображения, страница попытается использовать значение по умолчанию для списка элементов. Если у этого пользователя нет разрешений на расположение по умолчанию, возможно, получится 403.

Это все предположения, но Fiddler не показывает AssetPortalBrowser.aspx, запрашивающий любые другие ресурсы страницы.

Мой короткий эксперимент, набрав /_layouts/AssetPortalBrowser.aspx прямо в окне моего браузера, по умолчанию был библиотекой документов. Эта библиотека не имела никакого отношения к сайту, который просматривался непосредственно перед открытием страницы, поэтому она может хранить URL-адрес по умолчанию где-то, а может и в другом месте.

Лучше всего попытаться отследить любые недавние изменения (то есть сокращение) в разрешениях этих пользователей.

Answer 3

И конкретно, это не наследование, которое заставляет его работать - оно имеет доступ для чтения в библиотеке. Если он не унаследован, но ваш пользователь все еще имеет к нему доступ, то проблема не в этой библиотеке.

Answer 4

Если это системная библиотека, то да, она, вероятно, должна наследоваться. Системные библиотеки обычно имеют в своем описании что-то вроде «эта библиотека была создана функцией публикации».

По крайней мере, вы можете записать существующие разрешения и затем наследовать. Если это не исправит, вы можете вернуть старые - без вреда, без фола.

Answer 5

Еще одна мысль: мне удалось диагностировать эту проблему, добавив моего тестового пользователя в группу владельцев портала, а затем проверив, работает ли Обзор в веб-части сводной ссылки (что и было). Если этот же тест работает для вас, это означает, что владельцы портала имеют доступ к тому, чего нет у обычного пользователя. Если это так, я бы проверял каждую библиотеку на корневом уровне (та же методика, что и выше), ища ту, к которой обычные пользователи не могут получить доступ.

Кроме того, когда в веб-части со сводной ссылкой и при добавлении новой ссылки есть две кнопки «Обзор»: одна переходит на страницу, о которой здесь идет речь, а другая - в PortalImagePicker.aspx. Эта вторая кнопка работает для вашего пользователя? Или оба дают 403 Запрещено?

Answer 6

Не может быть больно. Также проверьте библиотеку «Изображения семейства сайтов», поскольку в исходной ошибке упоминается библиотека «PublishingImages».

Answer 7

У меня была именно эта проблема. Покопавшись и переместив людей между группами, чтобы увидеть, какие группы были затронуты, а какие нет, я обнаружил, что вам нужно иметь как минимум доступ «Чтение» к библиотеке «Документы семейства сайтов» в корне коллекции. Почему эта библиотека была особенной и не имела унаследованных разрешений, ускользает от меня ...

Как системный администратор на главной странице портала: Настройки сайта -> Библиотеки и списки сайтов -> Настройка «Документов семейства сайтов». Пусть эта библиотека наследует разрешения от своего родителя, и все неожиданно сработало. Также проверьте «Документы семейства сайтов», пока вы там.

Answer 8

Что такое код субстата 403? Обычно это число отображается после 403 в журнале IIS.

Следующая таблица должна помочь определить основную причину этого 403:

None  Access is denied. 
1 Execute access is denied.
2 Read access is denied.
3 Write access is denied.
4 SSL is required to view this resource.
5 SSL 128 is required to view this resource.
6 IP address of the client has been rejected.
7 SSL client certificate is required.
8 DNS name of the client is rejected.
9 Too many clients are trying to connect to the Web server.
10 Web server is configured to deny Execute access.
11 Password has been changed.
12 Client certificate is denied access by the server certificate mapper.
13 Client certificate has been revoked on the Web server.
14 Directory listing is denied on the Web server.
15 Client access licenses have exceeded limits on the Web server.
16 Client certificate is ill-formed or is not trusted by the Web server.
17 Client certificate has expired or is not yet valid.
18 Cannot execute requested URL in the current application pool.
19 Cannot execute CGIs for the client in this application pool.
20 Passport logon failed.

(Источник: HTTP 403.x-Запрещено (IIS 6.0) )

Answer 9

Попробуйте сузить это дальше:

• Что происходит, когда этот пользователь вводит URL http://yoursite/_layouts/AssetPortalBrowser.aspx в адресной строке своего браузера?

• Это браузер, который не может получить доступ к AssetPortalBrowser.aspx (= неправильная настройка в IIS) или AssetPortalBrowser.aspx пытается получить доступ к чему-то другому (поэтому AssetPortalBrowser.aspx сообщает об ошибке)

Answer 10

Это может помочь. Также используйте fiddler, чтобы точно узнать, что это за запрос, когда он не выполняется.