可对使用 Kerberos 协议进行认证的服务器运行 HTTP 测试。
介绍
Kerberos 是需要用户和服务提供身份证明的安全认证协议。
注: Kerberos 仅针对 Rational® Performance Tester 上的 HTTP 测试受支持。
受支持的环境
对于运行 Internet Information Server (IIS) 的 Web 服务器,或运行带有简单和受保护 GSS-API 协商机制 (SPNEGO) 信任关联拦截器 (TAI) 的 WebSphere® 的 Web 服务器,Kerberos 在 HTTP 上受支持。另外,密钥分发中心 (KDC) 必须是 Windows 域控制器 Active Directory 的一部分。支持将 Internet Explorer、Mozilla Firefox、Opera、Apple Safari 和 Google Chrome 浏览器用于记录测试。Kerberos 在其他协议、环境或浏览器上不受支持。例如,在 Linux 上运行的 KDC 不受支持。
提示
要在记录使用 Kerberos 认证的测试时获得最佳结果,请按名称(而不是数字 IP 地址)指定主机。另请注意,用户信息是区分大小写的。
使用来自 Active Directory 中用户帐户的确切登录名来指定用户信息。属性中针对 Active Directory 内用户的用户登录名字段显示采用正确大小写的正确用户名。在用户名的右边,以正确的大小写显示了域名。例如:
- 用户标识:kerberostester
- 密码:secret
- 域:ABC.IBM.COM
不支持 ABC\kerberostester 格式的用户登录名。
故障诊断
Kerberos 认证是一个复杂的过程。如果尝试记录和回放使用 Kerberos 认证的测试时遇到问题,请将问题确定日志级别更改为全部,并仅对一个虚拟用户再次运行测试。要了解关于问题确定日志的更多信息,请参阅关于更改问题确定级别的帮助主题。运行测试后,代理程序计算机上的 CommonBaseEvents00.log 文件包含可帮助您确定 Kerberos 认证失败原因的信息。
条款
- Active Directory
- Active Directory 是 Microsoft 创建的轻量级目录访问协议目录服务的实现,主要在 Windows 环境中使用。Active Directory 的主要目的是为 Windows 计算机提供集中认证和授权服务。
通过 Active Directory,管理员可分配策略,部署软件,并向组织应用关键更新。
- 目录服务
- 目录服务是用于存储和组织计算机网络上用户和资源的相关信息的软件应用程序或应用程序集合。
- 类属安全性服务应用程序接口 (GSS-API)
- GSS-API 使程序能够访问安全服务。单凭 GSS-API 并不能提供任何安全性。相反,安全服务供应商提供了 GSS-API 实现,通常表现为随其安全软件一起安装的库的形式。敏感应用程序消息可由 GSS-API 包装或加密,从而提供客户机与服务器之间的安全通信。GSS-API 包装提供的典型保护包含了机密性(私密性)和完整性(真实性)。GSS-API 还可以提供关于远程用户或远程主机的身份的本地认证。
- 密钥分发中心 (KDC)
- Kerberos 环境中的认证服务器称为密钥分发中心。
- 轻量级目录访问协议 (LDAP)
- LDAP 是用于查询和修改通过 TCP/IP 运行的目录服务的应用程序协议。LDAP 目录树通常反映政治、地理或组织边界。LDAP 部署通常使用域名系统 (DNS) 名称来构造层次结构的最高级别。LDAP 条目可代表许多不同类型的对象,包括人员、组织单元、打印机、文档或人员组。
- 简单和受保护 GSS-API 协商机制 (SPNEGO)
- 当客户机应用程序尝试向远程服务器进行认证,但远程服务器支持的认证协议未知时,将使用 SPNEGO。SNPEGO 是标准的 GSS-API 伪机制。
伪机制使用协议来确定哪些常用 GSS-API 机制可用,然后 SPNEGO 选择一个 GSS-API 机制用于所有将来的安全操作。
- 信任关联拦截器 (TAI)
- TAI 是建立 WebSphere 和其他应用程序软件之间的安全连接的机制。