Przegląd protokołu Kerberos

W przypadku serwerów korzystających z protokołu Kerberos do uwierzytelniania można wykonywać testy HTTP.

Wprowadzenie

Protokół Kerberos to protokół uwierzytelniania zabezpieczeń, który wymaga potwierdzenia tożsamości przez użytkowników i usługi.

Uwaga: Protokół Kerberos jest obsługiwany tylko w przypadku testów HTTP w produkcie Rational Performance Tester.

Obsługiwane środowiska

Protokół Kerberos jest obsługiwany w przypadku protokołu HTTP na serwerach WWW z działającym produktem Internet Information Server (IIS) lub produktem WebSphere z przechwytywaczem TAI (Trust Association Interceptor) mechanizmu SPNEGO (Simple and Protected GSS-API Negotiation Mechanism). Dodatkowo centrum dystrybucji kluczy (KDC) musi być częścią kontrolera domeny Windows Active Directory. Rejestrowanie testów jest obsługiwane w przypadku przeglądarek Internet Explorer, Mozilla Firefox, Opera, Apple Safari i Google Chrome. Protokół Kerberos nie jest obsługiwany w przypadku innych protokołów, środowisk lub przeglądarek. Przykładowo, centrum dystrybucji kluczy uruchomione w systemie Linux nie jest obsługiwane.

Wskazówki

Aby uzyskać najlepsze wyniki podczas rejestrowania testów, które używają uwierzytelniania Kerberos, należy określić host za pomocą nazwy, a nie liczbowego adresu IP. Należy również zauważyć, że w informacjach o użytkowniku jest rozróżniana wielkość liter. Informacje o użytkowniku należy określić za pomocą dokładnej nazwy logowania uzyskanej z konta użytkownika usługi Active Directory. Pole Nazwa logowania użytkownika we właściwościach użytkownika usługi Active Directory zawiera poprawną nazwę użytkownika z odpowiednią wielkością liter. Po prawej stronie nazwy użytkownika wyświetlana jest nazwa dziedziny lub domeny z odpowiednią wielkością liter. Na przykład:

Nazwy logowania użytkownika w postaci ABC\kerberostester nie są obsługiwane.

Rozwiązywanie problemów

Uwierzytelnianie Kerberos to złożony proces. Jeśli podczas próby rejestrowania i odtwarzania testów używających uwierzytelniania Kerberos wystąpią problemy, należy zmienić poziom rejestrowania określania problemów na Wszystkie i ponownie uruchomić testy z tylko jednym użytkownikiem wirtualnym. Więcej informacji o dzienniku określania problemów zawiera temat pomocy dotyczący zmiany poziomu określania problemów. Po uruchomieniu testu plik CommonBaseEvents00.log na komputerze agenta będzie zawierać informacje, które mogą pomóc określić przyczynę niepowodzenia uwierzytelniania Kerberos.

Warunki

Active Directory
Active Directory to utworzona przez firmę Microsoft implementacja usług katalogowych Lightweight Directory Access Protocol przeznaczona do użycia głównie w środowiskach Windows. Głównym celem usługi Active Directory jest udostępnianie centralnych usług uwierzytelniania i autoryzacji dla komputerów z systemem Windows. Dzięki usłudze Active Directory administratorzy mogą przypisywać strategie, wdrażać oprogramowanie i stosować newralgiczne aktualizacje w organizacji.
Usługa katalogowa
Usługa katalogowa to aplikacja lub zestaw aplikacji, które przechowują i organizują informacje na temat użytkowników i zasobów sieci komputerowej.
Generic Security Services Application Program Interface (GSS-API)
Interfejs GSS-API umożliwia programom uzyskiwanie dostępu do usług zabezpieczeń. Sam interfejs GSS-API nie udostępnia żadnych zabezpieczeń. Zamiast tego dostawcy usług zabezpieczeń udostępniają implementacje interfejsu GSS-API, zwykle w formie bibliotek, które są instalowane z ich oprogramowaniem zabezpieczeń. Komunikaty aplikacji objęte szczególną ochroną mogą być opakowywane lub szyfrowane przez interfejs GSS-API w celu zapewnienia bezpiecznej komunikacji między klientem i serwerem. Typowe zabezpieczenia udostępniane przez funkcję opakowywania interfejsu GSS-API obejmują poufność (dyskrecja) i integralność (autentyczność). Interfejs GSS-API może również udostępniać uwierzytelnianie lokalne dotyczące tożsamości użytkownika zdalnego lub zdalnego hosta.
Centrum dystrybucji kluczy (KDC)
Serwer uwierzytelniania w środowisku Kerberos jest nazywany centrum dystrybucji kluczy.
Lightweight Directory Access Protocol (LDAP)
LDAP to protokół aplikacji służący do odpytywania i modyfikowania usług katalogowych działających z wykorzystaniem protokołu TCP/IP. Drzewo katalogów LDAP zwykle odzwierciedla granice polityczne, geograficzne lub organizacyjne. Wdrożenia wykorzystujące protokół LDAP zwykle używają nazw systemu nazw domen (DNS) do tworzenia struktury najwyższych poziomów hierarchii. Pozycje LDAP mogą reprezentować wiele różnych typów obiektów, w tym osoby, jednostki organizacyjne, drukarki, dokumenty lub grupy osób.
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO)
Mechanizm SPNEGO jest używany, gdy aplikacja kliencka próbuje uwierzytelnić się na serwerze zdalnym, ale protokoły uwierzytelniania obsługiwane przez serwer zdalny nie są znane. SNPEGO to standardowy pseudomechanizm interfejsu GSS-API. Pseudomechanizm używa protokołu, aby ustalić, jakie powszechne mechanizmy interfejsu GSS-API są dostępne, a następnie mechanizm SPNEGO wybiera jeden mechanizm interfejsu GSS-API w celu użycia go dla wszystkich przyszłych operacji zabezpieczeń.
Trust Association Interceptor (TAI)
TAI to mechanizm, który nawiązuje bezpieczne połączenie między produktem WebSphere i innymi aplikacjami.

Opinia