{"id":695,"date":"2018-09-22T11:31:09","date_gmt":"2018-09-22T09:31:09","guid":{"rendered":"http:\/\/remivernier.com\/?p=695"},"modified":"2018-11-21T10:48:56","modified_gmt":"2018-11-21T09:48:56","slug":"maxtokensize-et-erreurs-http-400","status":"publish","type":"post","link":"https:\/\/remivernier.com\/index.php\/2018\/09\/22\/maxtokensize-et-erreurs-http-400\/","title":{"rendered":"MaxTokenSize et erreurs HTTP 400"},"content":{"rendered":"

MaxTokenSize<\/strong>?<\/h2>\n

Au fur et \u00e0 mesure de la vie d’un Active Directory, les comptes utilisateurs deviennent membres de groupes de s\u00e9curit\u00e9 de plus en plus nombreux. Cela peut provoquer dans certains cas des probl\u00e8mes g\u00e9n\u00e9ralement difficiles \u00e0 reconna\u00eetre. Ils apparaissent souvent comme des d\u00e9faillances d\u2019application al\u00e9atoires ou des pannes: Echecs de l’application de strat\u00e9gie de groupe, lancement d’un site Web finissant en erreur HTTP 400, ouverture se session impossible, etc…<\/p>\n

Les informations d’appartenance \u00e0 un groupe utilis\u00e9es pour cr\u00e9er un jeton d’acc\u00e8s sont envoy\u00e9es chiffr\u00e9es dans un ticket Kerberos. La partie du ticket Kerberos utilis\u00e9e pour stocker ces informations d’appartenance au groupe est appel\u00e9e\u00a0le Privilege Attribute Certificate (PAC)<\/strong>.\u00a0Pour en savoir plus sur le PAC, vous pouvez consulter cet article<\/a> ou [MS-PAC]\u00a0pour connaitre la structure compl\u00e8te du PAC<\/a>.<\/p>\n

\"\"<\/a><\/p>\n

Si la taille de jeton maximale est d\u00e9finie sur une valeur trop petite pour contenir toutes les informations d’appartenance \u00e0 un groupe pour un utilisateur, le jeton ne contiendra pas l’appartenance \u00e0 un groupe complet. Un utilisateur ne pourra pas s’authentifier car le jeton Kerberos g\u00e9n\u00e9r\u00e9 lors des tentatives d’authentification a une taille maximale fixe. Les protocoles de transports tels que RPC (Remote Procedure Call) et HTTP s’appuient sur la valeur MaxTokenSize<\/strong> lorsqu’ils s’allouent un espace m\u00e9moire pour traiter l’authentification. Cette valeur a \u00e9volu\u00e9e depuis Windows 2000. Nous sommes \u00e0 pr\u00e9sent dans les versions de Windows les plus r\u00e9centes sur une valeur \u00e0 48Ko<\/strong>.<\/p>\n

Attention<\/strong>, cet article ne traite que du ph\u00e9nom\u00e8ne rencontr\u00e9 \u00e0 l’utilisation du protocole Kerberos. Dans la plupart des cas quand NTLM est utilis\u00e9, aucun probl\u00e8me n\u2019appara\u00eetra dans la phase d’authentification. En effet NTLM fournit le PAC apr\u00e8s cette phase par le message\u00a0 NETLOGON_VALIDATION_SAM_INFO4.<\/p>\n

Ouverture de session Windows<\/h2>\n

Lorsqu’un utilisateur ouvre une session et que l’authentification r\u00e9ussit, le processus d’ouverture de session renvoie un SID pour l’utilisateur et une liste de SID pour les groupes de s\u00e9curit\u00e9 de l’utilisateur. Ces informations sont ensuite forg\u00e9es dans le TGT et utilis\u00e9e aussi dans les TGS. Le PAC peut contenir le SID des groupes ci dessous:<\/p>\n