A mudança do ISA 2006 para o kerberos causa problemas de autenticação para alguns usuários

1

Em nosso grande ambiente corporativo, temos 4 servidores ISA 2006 configurados. Os usuários (WinXP IE8) são configurados com um script de configuração automática de proxy. Recentemente, o PAC foi modificado para retornar o FQDN em vez dos endereços IP dos servidores ISA. Isso foi feito para forçar a autenticação Kerberos em vez do NTLM.

A alteração tem causado problemas intermitentes para alguns usuários. Ao acessar sites por SSL, eles recebem vários prompts de autenticação do servidor proxy. Nem todos os usuários são afetados. Sites diferentes são afetados. Em um ponto, um dos servidores proxy começou a emitir um "Erro de Proxy 502. Nenhum espaço de buffer é suportado". Foi reiniciado e voltou aos negócios.

O melhor que podemos imaginar é que isso tem a ver com o grande tamanho de token do Kerberos (somos uma grande operação com centenas / milhares de grupos de segurança do AD).

Alguns dos usuários têm MaxPacketSize e MaxTokenSize configurados para o Kerberos. Alguns não. Os dois usuários problemáticos que eu examinei tinham essas configurações.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

Revertendo o PAC para usar endereços IP (e NTLM) resolve o problema para os usuários. Mas os administradores de proxy ainda querem o Kerberos por esses motivos: Por que usar o Kerberos em vez do NTLM no IIS? .

O envio dessas configurações do registro para todos os usuários corrigirá o problema ou essas configurações são a raiz do problema?

Existe uma configuração no servidor ISA que precisa ser ajustada para corresponder às configurações de tamanho do token nos desktops?

Obrigado.

    
por Ed Manet 15.06.2012 / 15:08

1 resposta

1

Pode ser um problema de tamanho de token. Todos os computadores devem ter essas configurações nesses valores de qualquer maneira.

Outra possibilidade é se houver algum filtro de política que especifique um tamanho máximo de cabeçalho http.
Como o kerberos armazena a associação ao grupo no pac, ao usar a autenticação integrada que é codificada e inserida em cada cabeçalho de solicitação http. Qualquer http que envolva autenticação integrada com o kerberos precisa ser muito generoso com o tamanho máximo do cabeçalho da solicitação.

Há também um hotfix para um sintoma com essa descrição.

Um cliente Web Proxy do ISA Server 2006 recebe o código de erro 502 quando um usuário tenta visitar determinados sites
link

link

link

    
por 15.06.2012 / 15:33