Erro no tamanho do token do Kerberos

Navegue suas respostas
2

Estou tendo problemas com um aplicativo da Web .net 2.0 hospedado em um servidor do Windows 2003 que está se autenticando com um aplicativo java (no linux eu acho). O servidor java está esperando a autenticação Kerberos e atualmente falha, pois a solicitação está chegando com o NTLM.

Eu dei uma olhada no visualizador de eventos do Windows no servidor de 2003 e há várias mensagens do Kerberos 6, eis uma delas: 

The kerberos SSPI package generated an output token of size 3318 bytes, which was too large to fit in the 32AC buffer provided by process id 0.  If the condition persists, please contact your system administrator

Eu também dei uma olhada no registro depois de encontrar um artigo que sugeria adicionar uma chave MaxTokenSize para combater esse problema e ver se alguém havia colocado um com um valor pequeno, mas não havia nada lá.

Existe alguma outra explicação sobre o motivo pelo qual estaria dizendo que meros 3000 bytes são muito grandes?

Em uma nota lateral, verifiquei a associação do usuário em questão e ele pertence apenas ao grupo de usuários do domínio.

    
por Phaeze 08.09.2014 / 22:41

1 resposta

4

O evento é enganoso, os números estão em hexadecimal.

token of size 3318 bytes

13080 bytes, na verdade.

in the 32AC buffer

12972 bytes, na verdade - que corresponde decentemente ao padrão configurado no Windows 2003 de 12000 bytes.

Consulte aqui para obter mais informações - como você descobriu, ajustar o MaxTokenSize fará o trabalho; considere também remover a conta de alguns grupos (leva um monte de associações para ficar tão grande!), mantendo um olho em associações de grupos aninhados ou alterando tipos de grupo (o Local do Local toma 40 bytes; o Global ocupa apenas 8).

    
por 08.09.2014 / 22:55

Tags

Que permissões são necessárias para um usuário de domínio efetuar login em uma máquina de domínio? Como faço para iniciar corretamente um dbus-monitor --session como root?