HTTP teszteket futtathat a hitelesítésre
Kerberos protokollt használó kiszolgálókra.
Bevezetés
A Kerberos egy biztonsági hitelesítési
protokoll, ami megköveteli, hogy a felhasználók és szolgáltatások bizonyítsák az
azonosságukat.
Megjegyzés: A Kerberos csak HTTP tesztekhez támogatott a
Rational Performance Tester
termékben.
Támogatott környezetek
A Kerberos Internet Information
Server (IIS) vagy WebSphere SPNEGO
TAI terméket futtató webkiszolgálók HTTP protokollján támogatott. Emellett
a kulcselosztó központnak (KDC) a Windows
tartományvezérlő Active Directory részének kell lennie. A tesztek rögzítésére az
Internet Explorer, Mozilla Firefox, Opera, Apple Safari és a Google Chrome böngészők
támogatottak. A Kerberos nem támogatott más protokollok, környezetek és böngészők
esetén. Például a Linux rendszeren futtatott
KDC nem támogatott.
Tippek
Kerberos hitelesítést használó tesztek rögzítésekor
a legjobb eredmény érdekében a hosztot név szerint, ne numerikus IP-cím szerint adja
meg. Ne feledje, hogy a felhasználói adatokban a kis- és nagybetű különbözőnek számítanak.
A felhasználói adatokat az Active Directory felhasználói fiók pontos bejelentkezési
nevét használva adja meg. Az Active Directory felhasználójának tulajdonságaiban a
Felhasználói bejelentkezési név mező a helyes
felhasználónevet jeleníti meg a megfelelő kis- és nagybetűket használva. A
felhasználónévtől jobbra a tartománynév jelenik meg a megfelelő kis- és
nagybetűkkel. Például:
- Felhasználói azonosító: kerberostester
- Jelszó: secret
- Tartomány: ABC.IBM.COM
Az ABC\kerberostester formátumú felhasználói bejelentkezési nevek nem támogatottak.
Hibaelhárítás
A Kerberos hitelesítés egy összetett folyamat. Ha problémát észlel a Kerberos hitelesítést használó tesztek rögzítésekor és
visszajátszásakor, akkor módosítsa a hibafelderítési napló szintjét
Mind értékre, és futtassa újból a teszteket csak egy
virtuális felhasználóval. A hibafelderítési naplóról további információkat a
súgó hibafelderítési szint módosítása témakörében talál. Teszt futtatása után az
ügynökszámítógép CommonBaseEvents00.log fájlja olyan
információkat tartalmaz, amik segítenek megállapítani, hogy miért hiúsult meg a
Kerberos hitelesítés.
Kifejezések
- Active Directory
- Az Active Directory a Microsoft
elsősorban Windows környezetekben történő
használatra megvalósított LDAP címtárszolgáltatása. Az Active Directory fő célja
központi hitelesítési és felhatalmazási szolgáltatások biztosítása
Windows számítógépek számára.
Az Active
Directory segítségével az adminisztrátorok irányelveket adhatnak meg, szoftvereket
telepíthetnek és kritikus frissítéseket alkalmazhatnak egy szervezetre.
- Címtárszolgáltatás
- A címtárszolgáltatás olyan szoftveralkalmazás vagy olyan szoftveralkalmazások,
amelyek egy számítógépes hálózat felhasználóiról és erőforrásairól tárolnak és
rendszereznek információkat.
- Alkalmazásprogramozási felület általános biztonsági szolgáltatásokhoz (GSS-API)
- A GSS-API lehetővé teszi a programok számára a biztonsági szolgáltatások elérését. A
GSS-API önmagában semmilyen védelmet nem biztosít. Ehelyett a biztonsági
szolgáltatók GSS-API megvalósításokat biztosítanak, jellemzően a biztonsági
szoftverükkel együtt telepített függvénytárak formájában. Az érzékeny
alkalmazásüzeneteket a GSS-API becsomagolhatja, vagy titkosíthatja,
hogy biztonságos kommunikációt biztosítson az ügyfél és a kiszolgáló között.
A
GSS-API csomagolás által biztosított tipikus védelem magában foglalja a bizalmasságot
(titkosítást) és az integritást (hitelesség megállapítása). A GSS-API helyi
hitelesítést is biztosíthat egy távoli felhasználó vagy távoli hoszt azonosításához.
- Kulcselosztó központ (KDC)
- A hitelesítési kiszolgálót Kerberos környezetben kulcselosztó központnak is nevezik.
- Egyszerűsített címtár-hozzáférési protokoll (LDAP)
- Az LDAP TCP/IP fölött futó címtárszolgáltatások lekérdezésére és módosítására
szolgáló alkalmazásprotokoll. Egy LDAP címtárstruktúra általában a politikai,
földrajzi és szervezeti határokat tükrözi. Az LDAP telepítések jellemzően
DNS-neveket használnak a hierarchia legmagasabb szintjeinek felépítéséhez. Az LDAP
bejegyzések sok különböző objektumtípust ábrázolhatnak, beleértve a személyeket,
szervezeti egységeket, nyomtatókat, dokumentumokat vagy emberek csoportjait.
- Egyszerű és védett GSS-API egyeztetési mechanizmus (SPNEGO)
- Az SPNEGO akkor használatos, ha egy ügyfélalkalmazás hitelesítést próbál meg
végezni egy távoli kiszolgálóval, de a távoli kiszolgáló által támogatott
hitelesítési protokollok ismeretlenek. Az SNPEGO szabványos GSS-API álmechanizmus.
Az
álmechanizmus egy protokoll segítségével megállapítja, hogy melyik közös GSS-API
mechanizmusok állnak rendelkezésre, majd az SPNEGO kiválaszt egy GSS-API
mechanizmust az összes jövőbeli biztonsági művelethez.
- Megbízható társítási eljárás (TAI)
- A TAI egy olyan mechanizmus, ami biztonságis kapcsolatot létesít a
WebSphere és más alkalmazásszoftverek
között.