> Tech > Taille des jetons Kerberos

Taille des jetons Kerberos

Tech - Par iTPro - Publié le 24 juin 2010
email

Win2K et ultérieurs utilisent l’authentification Kerberos par défaut. Si un compte utilisateur est membre de nombreux groupes (y compris des groupes emboîtés), il risque de rencontrer des problèmes d’authentification. Ces derniers peuvent se manifester de différentes manières : par exemple, un logon lent ou raté à un système distant, une

incapacité à appliquer la Stratégie de Groupe, ou des erreurs lors de la jonction d’un ordinateur au domaine. Dans ce cas, la limite vient de la manière dont les systèmes qui participent à l’authentification Kerberos (serveur de fichiers Win2K, Microsoft IIS, par exemple) attribuent les jetons pour accéder aux ressources.

Lors de l’attribution des jetons, le système inclut le SID de l’utilisateur et les SID de tous les groupes de sécurité auxquels celui-ci appartient. Si l’on utilise l’emboîtement de groupes, le nombre de SID peut augmenter fortement, auquel cas le jeton pourrait s’avérer trop petit pour les traiter tous. Les jetons ont une taille fixe, spécifiée dans la valeur de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa\Kerberos\Parameters\MaxTokenSize. Si vous avez fait migrer les comptes utilisateur et les groupes associés à partir d’un autre domaine, l’ajout de l’historique SID peut aggraver le problème de taille des jetons par l’augmentation du nombre de SID.

Combien de groupes faut-il pour déclencher ce genre de problème? Il n’y a pas de réponse facile parce que, à la fois la valeur de registre MaxTokenSize et le niveau du pack de service du système qui attribue le jeton, affectent la taille maximale des jetons. Dans Win2K Service Pack 1 (SP1) et versions antérieures, la limite est d’environ 70 à 80 groupes. Avec Win2K SP2 et versions ultérieures, elle est d’environ 120 groupes. Win2K SP4 et Windows 2003 apportent une meilleure solution au problème en l’abordant au niveau DC. Mais, parfois, la taille des jetons ne sera toujours pas suffisante.

Pour ces rares cas, Microsoft offre une formule pour calculer la valeur de registre MaxTokenSize requise. Pour plus d’informations sur la formule, sur la solution du problème de groupes trop nombreux, et sur la valeur de MaxTokenSize, voir l’article Microsoft « New Resolution for Problems That Occur When Users Belong to Many Groups » (http://support. microsoft.com/?kbid=327825). On le voit, il n’est pas facile de contourner le problème, mais on s’évitera des ennuis en ayant les tout derniers packs de service appliqués dans la forêt d’AD. En dernier ressort, il faudra peut-être appliquer la formule fournie par l’article Microsoft.

Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Parcours client

Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.

Tech - Par iTPro - Publié le 24 juin 2010