W przypadku serwerów korzystających z protokołu Kerberos do uwierzytelniania można wykonywać testy HTTP.
Wprowadzenie
Protokół Kerberos to protokół uwierzytelniania zabezpieczeń, który wymaga potwierdzenia tożsamości przez użytkowników i usługi.
Uwaga: Protokół Kerberos jest obsługiwany tylko w przypadku testów HTTP w produkcie Rational Performance Tester.
Obsługiwane środowiska
Protokół Kerberos jest obsługiwany w przypadku protokołu HTTP na serwerach WWW z działającym produktem Internet Information Server
(IIS) lub produktem WebSphere z przechwytywaczem TAI (Trust Association Interceptor) mechanizmu SPNEGO (Simple and Protected GSS-API Negotiation Mechanism). Dodatkowo centrum dystrybucji kluczy (KDC) musi być częścią kontrolera domeny Windows Active Directory. Rejestrowanie
testów jest obsługiwane w przypadku przeglądarek
Internet Explorer, Mozilla Firefox, Opera, Apple Safari i Google Chrome. Protokół Kerberos nie jest obsługiwany w przypadku innych protokołów, środowisk lub przeglądarek. Przykładowo,
centrum dystrybucji kluczy uruchomione w systemie Linux nie jest obsługiwane.
Wskazówki
Aby uzyskać najlepsze wyniki podczas rejestrowania testów, które używają uwierzytelniania Kerberos, należy określić host za pomocą nazwy, a
nie liczbowego adresu IP. Należy również zauważyć, że w informacjach o użytkowniku jest rozróżniana wielkość liter.
Informacje o użytkowniku należy określić za pomocą dokładnej
nazwy logowania uzyskanej z konta użytkownika usługi Active Directory. Pole Nazwa logowania użytkownika we właściwościach użytkownika usługi Active
Directory zawiera poprawną nazwę użytkownika z odpowiednią wielkością liter. Po prawej stronie nazwy użytkownika wyświetlana jest nazwa dziedziny lub domeny z odpowiednią wielkością liter. Na przykład:
- Identyfikator użytkownika: kerberostester
- Hasło: secret
- Dziedzina: ABC.IBM.COM
Nazwy logowania użytkownika w postaci ABC\kerberostester nie są obsługiwane.
Rozwiązywanie problemów
Uwierzytelnianie Kerberos to złożony proces. Jeśli podczas próby rejestrowania i odtwarzania testów używających
uwierzytelniania Kerberos wystąpią problemy, należy zmienić poziom rejestrowania określania problemów na Wszystkie i ponownie uruchomić testy z tylko jednym
użytkownikiem wirtualnym. Więcej informacji o dzienniku określania problemów zawiera temat pomocy dotyczący zmiany poziomu określania problemów. Po uruchomieniu testu plik
CommonBaseEvents00.log na komputerze agenta będzie zawierać informacje, które mogą pomóc określić przyczynę niepowodzenia uwierzytelniania Kerberos.
Warunki
- Active Directory
- Active Directory to utworzona przez firmę Microsoft implementacja usług katalogowych Lightweight Directory Access Protocol
przeznaczona do użycia głównie w środowiskach Windows. Głównym celem usługi Active Directory jest udostępnianie centralnych usług
uwierzytelniania i autoryzacji dla komputerów z systemem Windows.
Dzięki usłudze Active Directory administratorzy mogą przypisywać
strategie, wdrażać oprogramowanie i stosować newralgiczne aktualizacje w organizacji.
- Usługa katalogowa
- Usługa katalogowa to aplikacja lub zestaw aplikacji, które przechowują i organizują informacje na temat użytkowników i zasobów sieci komputerowej.
- Generic Security Services Application Program Interface (GSS-API)
- Interfejs GSS-API umożliwia programom uzyskiwanie dostępu do usług zabezpieczeń. Sam interfejs GSS-API nie udostępnia żadnych zabezpieczeń. Zamiast tego dostawcy usług zabezpieczeń udostępniają implementacje interfejsu GSS-API, zwykle w formie bibliotek, które są instalowane z ich oprogramowaniem zabezpieczeń. Komunikaty
aplikacji objęte szczególną ochroną mogą być opakowywane lub szyfrowane przez interfejs GSS-API w celu zapewnienia bezpiecznej komunikacji między klientem i serwerem.
Typowe
zabezpieczenia udostępniane przez funkcję opakowywania interfejsu GSS-API obejmują poufność (dyskrecja) i integralność (autentyczność). Interfejs GSS-API może również udostępniać
uwierzytelnianie lokalne dotyczące tożsamości użytkownika zdalnego lub zdalnego hosta.
- Centrum dystrybucji kluczy (KDC)
- Serwer uwierzytelniania w środowisku Kerberos jest nazywany centrum dystrybucji kluczy.
- Lightweight Directory Access Protocol (LDAP)
- LDAP to protokół aplikacji służący do odpytywania i modyfikowania usług katalogowych działających z wykorzystaniem protokołu TCP/IP. Drzewo katalogów LDAP zwykle odzwierciedla granice polityczne, geograficzne lub organizacyjne. Wdrożenia
wykorzystujące protokół LDAP zwykle używają nazw systemu nazw domen (DNS) do tworzenia struktury najwyższych poziomów hierarchii. Pozycje LDAP mogą reprezentować wiele różnych typów obiektów, w tym osoby, jednostki organizacyjne, drukarki, dokumenty lub grupy osób.
- Simple and Protected GSS-API Negotiation Mechanism (SPNEGO)
- Mechanizm SPNEGO jest używany, gdy aplikacja kliencka próbuje uwierzytelnić się na serwerze zdalnym, ale protokoły uwierzytelniania obsługiwane przez serwer zdalny nie są znane. SNPEGO to standardowy pseudomechanizm interfejsu GSS-API.
Pseudomechanizm
używa protokołu, aby ustalić, jakie powszechne mechanizmy interfejsu GSS-API są dostępne, a następnie mechanizm SPNEGO wybiera jeden mechanizm interfejsu GSS-API w celu użycia go
dla wszystkich przyszłych operacji zabezpieczeń.
- Trust Association Interceptor (TAI)
- TAI to mechanizm, który nawiązuje bezpieczne połączenie między produktem WebSphere i innymi aplikacjami.