Kerberos 개요

인증에 Kerberos 프로토콜을 사용하는 서버에 대해 HTTP 테스트를 실행할 수 있습니다.

소개

Kerberos는 사용자 및 서비스에게 ID 증명 제공을 요구하는 보안 인증 프로토콜입니다.

참고: Kerberos는 Rational® Performance Tester의 HTTP 테스트에 대해서만 지원됩니다.

지원되는 환경

Kerberos는 IIS(Internet Information Server)를 실행하거나 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) TAI(Trust Association Interceptor)가 있는 WebSphere®를 실행하는 웹 서버의 HTTP에서만 지원됩니다. 또한 KDC(Key Distribution Center)는 Windows 도메인 컨트롤러 Active Directory의 일부여야 합니다. Internet Explorer, Mozilla Firefox, Opera, Apple Safari 및 Google Chrome 브라우저가 테스트 레코딩에 대해 지원됩니다. Kerberos는 다른 프로토콜, 환경 또는 브라우저에서 지원되지 않습니다. 예를 들어, Linux에서 실행 중인 KDC는 지원되지 않습니다.

Kerberos 인증을 사용하는 테스트를 레코딩할 때 최고의 결과를 얻으려면 호스트를 숫자 ID 주소가 아닌 이름으로 지정하십시오. 또한 사용자 정보는 대소문자 구분이라는 점에 유의하십시오. Active Directory에 있는 사용자 계정의 정확한 로그온 이름을 사용하여 사용자 정보를 지정하십시오. Active Directory에 있는 사용자의 특성에서 사용자 로그온 이름 필드는 정확한 사용자 이름을 올바른 대소문자로 표시합니다. 사용자 이름의 오른쪽에 영역 또는 도메인 이름이 올바른 대소문자로 표시됩니다. 예를 들어, 다음과 같습니다.

ABC\kerberostester 양식의 사용자 로그온 이름은 지원되지 않습니다.

문제점 해결

Kerberos 인증은 복잡한 프로세스입니다. Kerberos 인증을 사용하는 테스트 레코딩 및 재생을 시도하는 중에 문제점이 발생하면 문제점 판별 로그 레벨을 모두로 변경하고 한 명의 가상 사용자로만 테스트를 다시 실행하십시오. 문제점 판별 로그에 대해 더 알아보려면 문제점 판별 레벨 변경에 대한 도움말 주제를 참조하십시오. 테스트 실행 후 에이전트 컴퓨터의 CommonBaseEvents00.log 파일에는 Kerberos 인증 실패 원인을 판별하는 데 도움이 될 수 있는 정보가 포함됩니다.

용어

Active Directory
Active Directory는 주로 Windows 환경에서 사용하기 위해 Microsoft에 의해 작성된 LDAP(Lightweight Directory Access Protocol) 디렉토리 서비스의 구현입니다. Active Directory의 주된 목적은 Windows 컴퓨터에 중앙 인증 및 권한 부여 서비스를 제공하는 것입니다. Active Directory를 사용하여 관리자는 정책을 지정하고, 소프트웨어를 배치하며 조직에 중요한 업데이트를 적용할 수 있습니다.
디렉토리 서비스
디렉토리 서비스는 컴퓨터 네트워크의 사용자 및 자원에 대한 정보를 저장하고 구성하는 소프트웨어 애플리케이션 또는 일련의 애플리케이션입니다.
GSS-API(Generic Security Services Application Program Interface)
GSS-API를 사용하면 프로그램이 보안 서비스에 액세스할 수 있습니다. GSS-API 자체에서는 보안을 제공하지 않습니다. 대신 보안 서비스 제공자가 일반적으로 해당 보안 소프트웨어와 함께 설치되는 라이브러리 양식으로 GSS-API 구현을 제공합니다. 민감한 애플리케이션 메시지는 클라이언트와 서버 간 보안 통신을 제공하기 위해 GSS-API를 통해 암호화하거나 줄 바꾸기할 수 있습니다. GSS-API 줄 바꾸기가 제공하는 일반적인 보호에는 기밀성(비밀성) 및 무결성(진위성)이 있습니다. GSS-API는 원격 사용자 또는 원격 호스트의 ID에 대한 로컬 인증도 제공할 수 있습니다.
KDC(Key Distribution Center)
Kerberos 환경의 인증 서버를 KDC(Key Distribution Center)라고 합니다.
LDAP(Lightweight Directory Access Protocol)
LDAP은 TCP/IP를 통해 실행되는 디렉토리 서비스를 조회 및 수정하기 위한 애플리케이션 프로토콜입니다. LDAP 디렉토리 트리는 일반적으로 정치적, 지리적 또는 조직적 경계를 반영합니다. LDAP 배치에서는 일반적으로 최상위 레벨 계층 구조를 구성하는 데 DNS(Domain Name System) 이름을 사용합니다. LDAP 항목은 사람, 조직 단위, 프린터, 문서 또는 여러 그룹의 사람들을 포함하여 다수의 여러 오브젝트 유형을 나타낼 수 있습니다.
SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)
SPNEGO는 클라이언트 애플리케이션이 원격 서버에 대한 인증을 시도하지만 원격 서버에서 지원되는 인증 프로토콜을 알 수 없는 경우에 사용됩니다. SNPEGO는 표준 GSS-API 의사 메커니즘입니다. 의사 메커니즘은 프로토콜을 사용하여 사용 가능한 공통 GSS-API 메커니즘을 판별합니다. 그러면 SPNEGO가 이후의 모든 보안 조작에 사용할 한 개의 GSS-API 메커니즘을 선택합니다.
TAI(Trust Association Interceptor)
TAI는 WebSphere와 다른 애플리케이션 소프트웨어 간 보안 연결을 설정하는 메커니즘입니다.

피드백