De manera intermitente y especialmente a reciclar en ApplicationPool o hacer IIS Reset, al acceder a Sharepoint aparecen Errores 403 Forbidden.
Pistas de resolución:
Aunque el usuario tenga los permisos adecuados en la colección de sitios, en ocasiones vuelve a aparecer.
En cambio al identificarse como un administrador con permisos de administración en los frontales, la pagina carga correctamente, incluso para todos los siguientes usuarios, por lo que suponemos que hay un problema de permisos tras la impersonación.
Utilizando la utilidad "Filemon" o "Process Monitor" de SysInternals, localizamos un acceso denegado en el proceso w3wp.exe al acceder al directorio virtual "/bin" que solo es visible únicamente desde la consola de administración de IIS.
Diagnóstico:
El problema es de ASP.NET no de Sharepoint, el proceso usa las credenciales del usuario remoto para acceder, es especialmente en la primera carga (de DLL), cuando intenta acceder a este directorio virtual y es ahí donde se produce el acceso denegado. Posteriormente no intenta acceder es por ello que cuando un administrador se identifica, posteriormente ya no se produce el error.
Un usuario normal no tiene permisos de lectura y ejecución en este directorio virtual.
Nota:El error aparece especialmente si hay paginas con webparts de terceros o custom que usen ensamblados ya que en primer lugar se buscan en /bin (donde se produce el error) y posteriormente en la GAC.
Solución:
1º Desde la consola de administración de IIS seleccionamos la carpeta /bin del sitio en cuestión que nos esté dando problemas.
2º Con el botón derecho desplegamos el menú contextual y seleccionamos "Edit permissions"
3º En la pestaña de Security y añadimos el grupo de usuarios nombre_servidor\users
4º Verificamos que puede (Listar Carpetas,Leer y Ejecutar)
Después de esto el problema desaparece.
Estos permisos pueden tener implicaciones de seguridad, especialmente si se expone el servidor a internet.
Espero que os resulte de utilidad.
No hay comentarios:
Publicar un comentario