Kerberos - обзор

Тесты HTTP можно выполнять на серверах, использующих протокол Kerberos для идентификации.

Введение

Kerberos - это протокол идентификации, требующий от пользователей и служб предоставлять доказательство подлинности.

Прим.: Kerberos поддерживается только для тестов HTTP в Rational Performance Tester.

Поддерживаемые среды

Kerberos поддерживается в HTTP на веб-серверах, на которых запущен Internet Information Server (IIS) или WebSphere с Перехватчиком группы доверия (TAI) Простого и защищенного механизма согласования GSS-API (SPNEGO). Кроме того, Windows Domain Controller Active Directory должен содержать Центр рассылки ключей (KDC). Браузеры Internet Explorer, Mozilla Firefox, Opera, Apple Safari и Google Chrome поддерживаются для записи тестов. Kerberos не поддерживается в других протоколах, средах и браузерах. Например, KDC в Linux не поддерживается.

Советы

Для достижения наилучших результатов при записи тестов, использующих идентификацию Kerberos, указывайте хост по имени, а не по числовому IP-адресу. Кроме того, учтите, что пользовательская информация обрабатывается с учетом регистра. В пользовательской информации укажите точное имя для входа в систему из пользовательской учетной записи в Active Directory. Поле Имя пользователя для входа в систему в свойствах пользователя в Active Directory содержит правильное имя пользователя в правильном регистре. Справа от имени пользователя показано имя области или домена в правильном регистре. Пример:

Пользовательские имена для входа в систему в форме ABC\kerberostester не поддерживаются.

Устранение неполадок

Идентификация Kerberos - это сложный процесс. Если при попытке записать и воспроизвести тесты, в которых используется идентификация Kerberos, возникают неполадки, то измените уровень протокола определения неполадок на Все и вновь выполните тесты лишь с одним виртуальным пользователем. Дополнительная информация о протоколе определения неполадок приведена в справочном разделе по изменению уровня определения неполадок. После выполнения теста файл CommonBaseEvents00.log на промежуточном компьютере будет содержать информацию, которая поможет вам определить причину сбоя идентификации Kerberos.

Термины

Active Directory
Active Directory - это реализация служб каталога Lightweight Directory Access Protocol, разработанная Microsoft для использования, прежде всего, в средах Windows. Основное предназначение Active Directory - предоставить компьютерам Windows централизованные службы идентификации и проверки прав доступа. С помощью Active Directory администраторы могут назначать стратегии, развертывать программное обеспечение и применять важнейшие обновления к организации.
Служба каталогов
Служба каталогов - это программное приложение или набор приложений, которые хранят и организуют информацию о пользователях и ресурсах компьютерной сети.
Интерфейс прикладных программ общих служб защиты (GSS-API)
GSS-API позволяет программам обращаться к службам защиты. Сам по себе GSS-API не обеспечивает защиты. Поставщики служб защиты предоставляют реализации GSS-API, обычно в форме библиотек, устанавливаемых вместе с программным обеспечением защиты. Конфиденциальные сообщения приложений могут быть инкапсулированы, или зашифрованы, GSS-API, чтобы обеспечить защищенное соединение между клиентом и сервером. Обычные виды защиты, предоставляемые инкапсуляцией GSS-API, - это конфиденциальность (секретность) и целостность (подлинность). GSS-API может также предоставить локальную идентификацию удаленного пользователя или удаленного хоста.
Центр рассылки ключей (KDC)
Сервер идентификации в среде Kerberos называется Центром рассылки ключей.
Упрощенный протокол доступа к каталогам (LDAP)
LDAP - это протокол приложений для запроса и изменения служб каталогов, работающих на основе TCP/IP. Дерево каталогов LDAP обычно отражает политические, географические или организационные границы. Развертывание LDAP обычно использует имена системы имен доменов (DNS), чтобы структурировать высшие уровни иерархии. Записи LDAP могут представлять множество различных типов объектов, включая пользователей, подразделения, принтеры, документы или группы пользователей.
Простой и защищенный механизм согласования GSS-API (SPNEGO)
SPNEGO применяется, когда клиентское приложение пытается идентифицироваться на удаленном сервере, но поддерживаемые им идентификационные протоколы неизвестны. SNPEGO - это стандартный псевдомеханизм GSS-API. Псевдомеханизм с помощью протокола определяет, какие общие механизмы GSS-API доступны, а затем SPNEGO выбирает один из них для всех будущих операций защиты.
Перехватчик группы доверия (TAI)
TAI - это механизм, устанавливающий защищенное соединение между WebSphere и другим прикладным программным обеспечением.

Комментарии