Přehled protokolu Kerberos

Testy HTTP je možné spouštět i nad servery, které k ověření využívají protokol Kerberos.

Úvod

Kerberos je ověřovací bezpečnostní protokol, který vyžaduje, aby uživatelé a služby předložili důkaz své identity.

Poznámka: Kerberos je podporován pouze pro testy HTTP v produktu Rational Performance Tester.

Podporovaná prostředí

V rámci HTTP je Kerberos podporován pro webové servery s IIS (Internet Information Server) nebo WebSphere se zachytávačem přiřazení důvěryhodnosti (TAI) Simple and Protected GSS-API Negotiation Mechanizm (SPNEGO). Součástí služby Windows Domain Controller Active Directory musí být KDC (Key Distribution Center). Pro záznam testů jsou podporovány prohlížeče Internet Explorer, Mozilla Firefox, Opera, Apple Safari a Google Chrome. V ostatních protokolech, prostředích a prohlížečích Kerberos podporován není. Například KDC spuštěné v operačním systému Linux podporováno není.

Tipy

Chcete-li dosáhnout nejlepších výsledků, neurčujte při záznamu testů, které používají ověření Kerberos, hostitele pomocí číselné adresy IP, ale pomocí názvu. Také si uvědomte, že informace o uživateli rozlišují malá a velká písmena. Informace o uživateli zadejte s pomocí přesného přihlašovacího jména z uživatelského účtu služby Active Directory. Správné jméno uživatele se správnými malými a velkými písmeny je uvedeno v poli Přihlašovací jméno uživatele ve vlastnostech uživatele v rámci služby Active Directory. Vpravo od jména uživatele je zobrazen název sféry nebo domény se správnými malými a velkými písmeny. Například:

Přihlašovací jmény uživatelů ve formě ABC\kerberostester podporována nejsou.

Odstraňování problémů

Ověření Kerberos JE komplexní proces. Pokud při pokusu o zaznamenání a přehrávání testů, které používají ověření Kerberos, narazíte na problémy, změňte úroveň protokolování pro určování problémů na Vše a spusťte testy znovu s pouze jedním virtuálním uživatelem. Další informace o protokolu pro určování problémů viz téma nápovědy týkající se změny úrovně určování problémů. Po provedení testu vám informace v souboru CommonBaseEvents00.log na počítači agenta pomohou určit, proč se ověření Kerberos nezdařilo.

Terminologie

Active Directory
Active Directory je implementace adresářových služeb protokolu LDAP (Lightweight Directory Access Protocol) vytvořená společností Microsoft primárně pro použití v prostředí Windows. Hlavním účelem služby Active Directory je zajistit centrální ověřovací a autorizační služby pro počítače se systémy Windows. Prostřednictvím služby Active Directory mohou administrátoři v organizaci přiřazovat zásady, implementovat software a aplikovat kritické aktualizace.
Adresářová služba
Adresářová služba je softwarová aplikace nebo sada aplikací, kde jsou uloženy a uspořádány informace o uživatelích a prostředcích v počítačové síti.
Generic Security Services Application Program Interface (GSS-API)
GSS-API umožňuje programům přístup ke službám zabezpečení. Samotné rozhraní GSS-API žádné zabezpečení nezajišťuje. Poskytovatelé služeb zabezpečení však nabízejí implementace GSS-API, zpravidla ve formě knihoven, které se instalují spolu s jejich bezpečnostním softwarem. Citlivé zprávy aplikací mohou být prostřednictvím rozhraní GSS-API zabalené, tedy zašifrované tak, aby zajistily bezpečnou komunikaci mezi klientem a serverem. Typická ochrana zajišťovaná zabalením v rámci rozhraní GSS-API zahrnuje utajení (důvěrnost) a integritu (pravost). Rozhraní GSS-API může také nabídnout lokální ověření identity vzdáleného uživatele nebo vzdáleného hostitele.
Key Distribution Center (KDC)
V prostředí Kerberos se server ověřování nazývá Key Distribution Center.
Lightweight Directory Access Protocol (LDAP)
LDAP je aplikační protokol pro dotazování a úpravu adresářových služeb spuštěných přes TCP/IP. Adresářový strom LDAP zpravidla odráží politické, geografické a organizační hranice. Implementace LDAP zpravidla při strukturování nejvyšších úrovní hierarchie využívají názvy DNS (Domain Name System). Položky LDAP mohou představovat mnoho různých typů objektů, včetně osob, organizačních jednotek, tiskáren, dokumentů nebo skupin osob.
Simple and Protected GSS-API Negotiation Mechanizm (SPNEGO)
SPNEGO se používá, když se aplikace klienta pokouší o ověření na vzdáleném serveru, ale nezná ověřovací protokoly, které tento vzdálený server podporuje. SPNEGO je standardní pseudomechanizmus GSS-API. Tento pseudomechanizmus pomocí protokolu zjistí, které společné mechanizmy GSS-API jsou k dispozici, následně SPNEGO vybere mechanizmus GSS-API vhodný pro použití u všech budoucích operací zabezpečení.
Zachytávač přiřazení důvěryhodnosti (TAI)
TAI je mechanizmus, který zřizuje zabezpečené připojení mezi produkty WebSphere a dalším aplikačním softwarem.

Váš názor