Troubleshooting: SharePoint FBA retornando erro “HTTP 403 – Forbidden”.

 

Olá Pessoal,

Recentemente passei um sufoco com a publicação de uma Zona de Autenticação FBA (Forms Based Authentication), tudo estava certo, Custom MemberShip Providers implantados e autenticando, URLs definidas e teoricamente tudo bem testado e funcionando…. Será?

Tudo funcionando até que alguns usuários começam a reclamar que ao acessar a URL do FBA o browser (IE7 e IE8) retorna “Acesso negado  / “Forbidden – Access Denied  erro 403.

Inicialmente achei que era o browser, depois avaliei a possibilidade do modelo de autenticação no Site do IIS, Credentials da Application Pool, enfimm… Nada.!

Após algumas horas de troubleshooting, depois de investir algumas horas na famosa estratégia de tentativa e acerto, decidi ser mais inteligente e pesquisar para encontrar a causa… Ufa!

 

Cenário:

Tenho um Portal no MOSS 2007 que possui 2 zonas de autenticação diferentes (Windows Authentication e FBA) cada uma com sua devida URL e MembershipProvider configurada.

O ambiente que suporta isso é um pequeno Farm de 4 Servidores (2 WFEs, 1 BD e 1 INDEX) instalados no Windows Server 2008 (IIS 7) com SQL Server 2008.

ERRO:

Alguns usuários aleatoriamente, ao acessarem a aplicação FBA recebem a seguinte mensagem de erro.

403 – Forbidden: Access is denied

 

CAUSA:

No MSDN, encontrei uma documentação respondendo a minha dúvida, veja http://msdn.microsoft.com/en-us/library/cc250199(PROT.10).aspx o documento diz que o WebDAV Server no WSS 3.0 verifica o token do usuário na requisição do cabeçalho do browser do cliente, com uma requisição para verificar a presença do “Mozilla” ou ausência  do “Office”, “Front Page” para verificar se é necessário enviar uma mensagem de redirecionamento  para a página de login, no caso de FBA (Forms Based Authentication) para usuários que ainda não foram autenticados.

Caso contrário, o servidor assume que o agente do cliente não é um browser e irá retornar um “HTTP 401 – Unauthorized" para autenticação quando se utiliza Windows Authentication, ou um erro “HTTP 403 Forbidden" ao usar autenticação de formulários ASP.NET (FBA).

O problema é que nesse cenário, vários pontos podem levar o SharePoint a entender essa requisição do cliente como um dos casos que geram o erro acima, Cookies, Limitações do Sistema Operacional (o erro só ocorre nas versões Windows Vista, Windows Server 2008, Windows 7, e Windows Server 2008 R2 porque somente essas suportam o WebDAV Client) e até mesmo o Office Live Components. K

 

SOLUÇÃO:

E agora? Analisando esse cenário e a causa do problema, após uma pesquisa atrás da solução encontrei algumas possíveis soluções, porém de todas recomendo uma que é a mais prática:

– Direcione todos usuários da Zona FBA para o endereço absoluto da página de login (ex: http://seusite/_layouts/login.aspx?ReturnUrl=), esse “redirect” só tem uma particularidade, o parâmetro RedirectUrl deve ser informado, mesmo que em branco, caso o contrário o SharePoint não processa a página.

A solução acima funciona perfeitamente,  porque o que o WebDAV Client tenta fazer o browser do usuário é justamente a verificação se ele está autenticado ou não para realizar o “redirect” para a página de login, nesse caso você descarta esse passo.

É claro que você pode pesquisar por outras soluções, se verificar os pontos descritos acima como causa do problema vai perceber que verificar componentes como Office Live Components e padronizar o acesso via Internet Explorer  nos usuários podem resolver o erro também, a diferença é que essas ações dependem do ambiente de TODOS usuários, o que não é tão simples e prático assim.

Enfim galera, isso ai. Mais um troubleshooting finalizado, espero que esse post ajude muitos SharePointer’s.

Até a próxima.!

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: