अपाचे ख़राब अनुरोध "कर्बरोस एसएसओ के साथ एक अनुरोध हेडर फ़ील्ड का आकार सर्वर सीमा से अधिक है"

मैं एक वेबसाइट के माध्यम से सक्रिय निर्देशिका उपयोगकर्ताओं के लिए एक एसएसओ की स्थापना कर रहा हूं जो एक अपाचे (Apache2 पर SLES 11.1) पर चलता है, और फ़ायरफ़ॉक्स के साथ परीक्षण करते समय यह सब ठीक काम करता है। लेकिन जब मैं इंटरनेट एक्सप्लोरर 8 (विंडोज 7) में वेबसाइट खोलने की कोशिश करता हूं, तो मुझे बस यही मिलता है

"खराब अनुरोध

आपके ब्राउज़र ने एक अनुरोध भेजा है जिसे यह सर्वर समझ नहीं सका।

एक अनुरोध किये गए हेडर के मैदान का आकार सर्वर की सीमा से अधिक है।

प्राधिकरण: बातचीत [अति लंबी स्ट्रिंग] "

मेरा vhost.cfg इस तरह दिखता है:

<VirtualHost hostname:443>
  LimitRequestFieldSize 32760
  LimitRequestLine 32760
  LogLevel debug

  <Directory "/data/pwtool/sec-data/adbauth">
    AuthName "Please login with your AD-credentials (Windows Account)"
    AuthType Kerberos
    KrbMethodNegotiate on
    KrbAuthRealms REALM.TLD
    KrbServiceName HTTP/hostname
    Krb5Keytab /data/pwtool/conf/http_hostname.krb5.keytab
    KrbMethodK5Passwd on
    KrbLocalUserMapping on
    Order allow,deny
    Allow from all
  </Directory>

  <Directory "/data/pwtool/sec-data/adbauth">
    Require valid-user
  </Directory>

    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /etc/apache2/ssl.crt/hostname-server.crt
    SSLCertificateKeyFile /etc/apache2/ssl.key/hostname-server.key
</VirtualHost>

मैंने यह भी सुनिश्चित किया कि कुकीज को हटा दिया जाए और LimitRequestFieldSize और LimitRequestLine के लिए कई छोटे मान आज़माए जाएं।

एक और बात जो मुझे अजीब लगती है वह यह है कि LogLvel डिबग के साथ भी मुझे इसके बारे में कोई लॉग नहीं मिलेगा। लॉग की अंतिम पंक्ति है

ssl_engine_kernel.c(1879): OpenSSL: Write: SSL negotiation finished successfully

क्या किसी को इसके बारे में एक विचार है?

मेरे पेट का कहना है कि आपको एक बहुत बड़ी सुरक्षा टोकन मिली है, संभवतः क्योंकि उपयोगकर्ता बड़ी संख्या में समूहों का सदस्य है। AD Kerberos कार्यान्वयन अपाचे को डिफ़ॉल्ट रूप से विशेषाधिकार प्रमाणपत्र (PAC) प्रदान करने जा रहा है । यदि उपयोगकर्ता कई महत्वपूर्ण समूहों का सदस्य है तो यह संरचना बड़ी हो सकती है। आप उपयोगकर्ता के टोकन आकार को देखने के लिए tokensz.exeउपकरण का उपयोग कर सकते हैं ।

यदि यह समस्या है तो आप PAC को भेजने से रोकने के लिए उपयोगकर्ता के खाते के UserAccountControl विशेषता को संशोधित कर सकते हैं ।

/etc/krb5.confकेडीसी को संदर्भित करने के लिए आप अपनी फ़ाइल को संशोधित करने में सक्षम हो सकते हैं kdc = tcp/kdc.name.here। यह समस्या तब हो सकती है यदि PAC टोकन UDP डेटाग्राम के लिए बहुत बड़ा है, लेकिन TCP के साथ KDC को संचार के लिए मजबूर करना एक संभव समाधान है, भी।

1,000 उपयोगकर्ताओं पर उस मूल्य को बदलना आपके AD व्यवस्थापक के लिए मुश्किल नहीं है यदि यह आपकी समस्या को हल करता है।

मुझे मैक पर सफारी में एक Drupal 7 साइट पर यह त्रुटि हो रही थी और पाया कि ब्राउज़र विंडो को बंद करना और ब्राउज़र के कैश को साफ़ करना, ब्राउज़र को छोड़ना, इसे वापस खोलना और पृष्ठ को फिर से लोड करना उस त्रुटि को बंद करने के लिए काम किया जो केवल हुआ है। यह एक बार

खराब अनुरोध आपके ब्राउज़र ने एक अनुरोध भेजा है जिसे यह सर्वर समझ नहीं सका। > अनुरोध हैडर फ़ील्ड का आकार सर्वर सीमा से अधिक है। कुकी / एन

मुझे एक और समाधान मिला, हालांकि मुझे यकीन नहीं है कि यह वास्तव में काम करता है। अपाचे डॉक्स में कहा गया है कि बड़े पैकेज के लिए मुझे LimitRequestFieldSize और / या LimitRequestLine सेट करना होगा।

बात यह है कि यदि आप 8KB से अधिक कुछ भी LimitRequestLine का मान सेट करना चाहते हैं, तो आपको स्रोत को संशोधित करना होगा और Apache को फिर से स्थापित करना होगा, क्योंकि 8KB निश्चित अधिकतम आकार ( http://httpd.pache.org/docs/) है 2.2 / mod / core.html # limitrequestline )।

मुझे यकीन नहीं है कि अगर यह विधि काम करती है, क्योंकि मैंने बाद में दूसरे सर्वर पर अपने स्वयं के भंडार से अपाचे को फिर से स्थापित किया। ऐसा लगता है कि यह एक अलग पैकेज संस्करण था क्योंकि समस्या वहां नहीं थी।

यदि कोई भी इस समस्या को mod_proxy_ajp के साथ हिट करता है, तो एक नज़र डालें: जिसमें से Apache संस्करण आगे की तरफ LimitRequestFieldSize है जिसे अब 8k max पर हार्डकोड नहीं किया गया है?