Wie behebe ich den HTTP-Fehler 400, wenn die Anforderungsheader zu lang sind? Als gängiges Authentifizierungsprotokoll spielt Kerberos eine zentrale Rolle bei der Authentifizierung von Benutzern und der Absicherung von IT-Infrastrukturen. Allerdings können Authentifizierungsprobleme auftreten, wenn Benutzer zu vielen Sicherheitsgruppen angehören. In diesem Artikel behandeln wir die Herausforderungen der Kerberos-Authentifizierung und wie sie durch Festlegen von MaxTokenSize angegangen werden können.
Index
HTTP-Fehler 400: Problembeschreibung
Ein Benutzer, der Mitglied mehrerer Sicherheitsgruppen ist, kann während der Authentifizierung auf verschiedene Probleme stoßen. Ein häufiges Problem tritt auf, wenn die Größe der Header in Authentifizierungsanforderungen ein bestimmtes Limit überschreitet. Dies führt zu dem Fehler „HTTP-Fehler 400 – Fehlerhafte Anfrage (Anforderungsheader zu lang)“. Dadurch kann der Benutzer auf verschiedene Ressourcen nicht zugreifen und erhält ständig Fehlermeldungen, wenn er versucht, auf bestimmte Anwendungen oder Daten zuzugreifen. Darüber hinaus können die Gruppenrichtlinieneinstellungen des Benutzers möglicherweise nicht korrekt aktualisiert werden, was bedeutet, dass Sicherheitsrichtlinien und Zugriffsberechtigungen nicht korrekt angewendet werden.
Ursache
Kerberos kann die Identität des Benutzers nicht authentifizieren. Der Grund ist, dass es kein Ticket erstellen kann, das alle Gruppenmitgliedschaften des Benutzers umfasst. Windows erstellt zu Autorisierungszwecken ein Token, das Sicherheitskennungen (SIDs), Gruppen-SIDs und alle SIDs im sIDHistory-Attribut des Benutzers enthält. Kerberos speichert dieses Token in der Privilege Attribute Certificate (PAC) Datenstruktur im Ticket Granting Ticket (TGT). In Windows Server 2012 und späteren Versionen wird das Token auch in der Active Directory Claims Datenstruktur im Kerberos-Schlüssel gespeichert. Wenn ein Benutzer vielen Gruppen angehört und viele Anforderungen hat, nehmen diese Informationen im Ticket viel Platz ein.
Lösungsvorgehen
Die Lösung besteht aus zwei Teilen. Zunächst sollte berechnet werden, wie groß das Token ist und warum. Daraus kann die Ursache der Größe abgeleitet werden. Die eigentliche Lösung sollte davon abhängen, ob es sich um ein allgemeines oder ein individuelles Problem handelt. Dazu mehr im Abschnitt „Weitere Maßnahmen und Empfehlungen“. Wir empfehlen eine Token-Analyse und basierend darauf die Umsetzung konkreter Maßnahmen.
Analyse des Kerberos-Tokens und Token-Berechnung
Es gibt mehrere Möglichkeiten, dieses Problem zu lösen. Die offensichtlichste Lösung besteht darin, die TokenSize zu berechnen. Um die TokenSize zu berechnen, verwenden Sie die folgende Formel:
TokenSize = 1200 + 40d + 8s
Für Windows Server 2012 (und höher) sind die Komponenten dieser Formel wie folgt definiert:
- 1200: Geschätzte Kerberos-Overhead. Dieser Wert kann je nach Länge des DNS-Domänennamens, der Länge des Clientnamens usw. variieren.
- d: Summe der folgenden Werte:
- Anzahl der Mitgliedschaften des Benutzers in universellen Gruppen außerhalb der Kontodomäne.
- Anzahl der SIDs, die im sIDHistory-Attribut des Kontos gespeichert sind (diese beinhalten Gruppenmitgliedschaften und Benutzer-SIDs).
- s: Summe der folgenden Werte:
- Anzahl der Mitgliedschaften des Benutzers in universellen Gruppen innerhalb der Kontodomäne.
- Anzahl der Mitgliedschaften in domänenlokalen Gruppen.
- Anzahl der Mitgliedschaften in globalen Gruppen.
Beispielrechnung
Um die Berechnung besser zu verstehen, hier ein einfaches Beispiel:
Angenommen, ein Benutzer hat folgende Mitgliedschaften:
• 5 universelle Gruppen außerhalb der Kontodomäne (d)
• 3 SIDs im sIDHistory-Attribut (d)
• 10 universelle Gruppen innerhalb der Kontodomäne (s)
• 4 domänenlokale Gruppen (s)
• 8 globale Gruppen (s)
Die Werte wären:
• d = 5 + 3 = 8
• s = 10 + 4 + 8 = 22
TokenSize = 1200 + 40×8 + 8×22 = 1200 + 320 + 176 = 1696
Kritische TokenSize
Ein TokenSize-Wert wird als kritisch betrachtet, wenn er 12000 Bytes überschreitet. Bei diesen Größenordnungen können Authentifizierungsprobleme auftreten, insbesondere HTTP 400-Fehler aufgrund von zu langen Anforderungsheadern.
Universelle Gruppen (außerhalb) |
sIDHistory |
Universelle Gruppen (innerhalb) |
Domänenlokale Gruppen |
Globale Gruppen |
Token-Size Berechnung |
Token-Size Wert |
|
Benutzer A |
5 |
3 |
10 |
4 |
8 |
1200 + 408 + 822 |
1696 Bytes |
Benutzer B |
8 |
5 |
15 |
6 |
12 |
1200 + 4013 + 833 |
2296 Bytes |
Benutzer C |
2 |
1 |
5 |
2 |
4 |
1200 + 403 + 811 |
1536 Bytes |
Windows Server 2008 R2 und frühere Versionen verwenden dieselbe Formel. In diesen Versionen werden die Mitgliedschaften in domänenlokalen Gruppen jedoch als Teil des Wertes d und nicht des Wertes s betrachtet.
Detaillierte Lösungsmethoden
1. Berechnung und Optimierung der TokenSize:
– Berechnen Sie die TokenSize, um Benutzer mit übergroßen Tokens zu identifizieren und optimieren Sie deren Gruppenmitgliedschaften.
– Entfernen Sie unnötige Gruppenmitgliedschaften, um die Token-Größe zu reduzieren.
2. Überprüfung der Gruppenmitgliedschaften:
– Überprüfen Sie regelmäßig, welchen Gruppen die Benutzer angehören und beenden Sie unnötige Mitgliedschaften.
– Besonders die Mitgliedschaften in universellen Gruppen sollten sorgfältig verwaltet werden.
3. Verwendung von Berichts- und Überwachungswerkzeugen:
– In großen Organisationen sind spezielle Programme erforderlich, um die TokenSize der Benutzer zu berechnen und dieses Problem zu lösen.
– Unser Reporting Service berechnet die Token-Größe der Benutzer und identifiziert übergroße Tokens.
– Es ist auch einfach, Berichte darüber zu erstellen, welchen lokalen, globalen und universellen Gruppen ein Benutzer angehört.
Unsere Lösung: Reporting Service
Unser IDM-Portal Reporting Service ist speziell darauf ausgelegt, mögliche Kerberos-Authentifizierungsprobleme effektiv zu identifizieren. Dieser Service berechnet die Token-Größe des Benutzers, findet übergroße Tokens und erstellt detaillierte Berichte darüber, welchen Gruppen ein Benutzer angehört. So können Sie leicht nachverfolgen, ob ein Benutzer mehr als 120 Gruppenmitgliedschaften hat. Gleichzeitig identifizieren Sie diejenigen Benutzer, die den MaxTokenSize-Wert überschreiten, und können die erforderlichen Maßnahmen ergreifen.
Weitere Maßnahmen und Empfehlungen
1. Erhöhung der erlaubten Kerberos-Ticketgröße:
– Durch Anpassungen in der Windows-Registry kann die Kerberos-Ticketgröße erhöht werden. Jedoch müssen die Auswirkungen auf die Systemleistung sorgfältig abgewogen werden.
2. Reduzierung der Kerberos-Ticketgröße:
- Wenn sich herausstellt, dass das Kerberos-Token zu groß ist, gibt es mehrere Methoden, es zu verkleinern:
- Reduzierung der Gruppenmitgliedschaften: Eine der effektivsten Methoden zur Reduzierung der Kerberos-Token-Größe besteht darin, die Anzahl der Gruppenmitgliedschaften zu reduzieren. Weniger Gruppen bedeuten eine kleinere Münze.
- Verwendung verteilter Sicherheitsgruppen: Anstatt Benutzer direkt zu vielen Gruppen hinzuzufügen, sollten verteilte Sicherheitsgruppen verwendet werden, damit die Anzahl direkter Mitgliedschaften reduziert werden kann.
- Bereinigen des SID-Verlaufs: Das Entfernen unnötiger SID-Verläufe kann auch dazu beitragen, die Token-Größe zu reduzieren. Wichtig ist jedoch, dass dies sorgfältig geplant und umgesetzt wird, damit die notwendigen Berechtigungen nicht verloren gehen.
- Verwendung von Kerberos Constrained Delegation (KCD): KCD kann dazu beitragen, die Notwendigkeit großer Gruppenmitgliedschaften zu minimieren, indem es eine gezielte Delegation bestimmter Berechtigungen ermöglicht.
- Überwachung und Optimierung von Gruppenrichtlinien: Regelmäßige Überprüfungen und Optimierung von Gruppenrichtlinien können dazu beitragen, unnötige Komplexität und damit verbundene Token-Größen zu reduzieren.
Fazit: Warum IDM-Portal Reporting Service nutzen?
Die Lösung von Kerberos-Authentifizierungsproblemen und die Optimierung der Token-Größe sind für die Systemleistung und -sicherheit von entscheidender Bedeutung. Unser Reporting Service bietet hier große Vorteile:
Automatische Token-Berechnung:
Der IDM-Portal Reporting Service berechnet automatisch die Token-Größe der Benutzer und erkennt große Token. Das spart Zeit und reduziert manuelle Prozesse.
Es erstellt detaillierte Berichte, die die Gruppenmitgliedschaften der Benutzer zeigen. Mithilfe dieser Berichte können Administratoren problematische Benutzer schnell identifizieren.
Einfache Nachverfolgung:
Sie können ganz einfach nachverfolgen, wie viele Gruppenmitgliedschaften Benutzer haben und ob diese den MaxTokenSize-Wert überschreiten. Dadurch können Sie Probleme bereits im Vorfeld erkennen und lösen.
Mit dem Reporting Service können Sie Kerberos-Token und Gruppenmitgliedschaften effektiv überwachen und Authentifizierungsprobleme minimieren. . Gleichzeitig sorgen Sie dafür, dass Ihre IT-Infrastruktur sicher ist und reibungslos funktioniert.
Das FirstWare IDM-Portal von FirstAttribute ist eine integrierte Lösung für das Identity und Access Management (IAM), die die automatisierte Verwaltung von Nutzern und deren Berechtigungen ermöglicht, egal ob On-Premises oder in der Cloud.
Dieses Portal integriert sämtliche Facetten des Identity- und Access-Managements und ermöglicht einen zentralisierten Zugriff auf Identitäts- und Verzeichnisdienste.
Unterstützung benötigt?
Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor.
Wir freuen uns über Ihre Kontaktaufnahme!
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>