Kerberos áttekintés

HTTP teszteket futtathat a hitelesítésre Kerberos protokollt használó kiszolgálókra.

Bevezetés

A Kerberos egy biztonsági hitelesítési protokoll, ami megköveteli, hogy a felhasználók és szolgáltatások bizonyítsák az azonosságukat.

Megjegyzés: A Kerberos csak HTTP tesztekhez támogatott a Rational Performance Tester termékben.

Támogatott környezetek

A Kerberos Internet Information Server (IIS) vagy WebSphere SPNEGO TAI terméket futtató webkiszolgálók HTTP protokollján támogatott. Emellett a kulcselosztó központnak (KDC) a Windows tartományvezérlő Active Directory részének kell lennie. A tesztek rögzítésére az Internet Explorer, Mozilla Firefox, Opera, Apple Safari és a Google Chrome böngészők támogatottak. A Kerberos nem támogatott más protokollok, környezetek és böngészők esetén. Például a Linux rendszeren futtatott KDC nem támogatott.

Tippek

Kerberos hitelesítést használó tesztek rögzítésekor a legjobb eredmény érdekében a hosztot név szerint, ne numerikus IP-cím szerint adja meg. Ne feledje, hogy a felhasználói adatokban a kis- és nagybetű különbözőnek számítanak. A felhasználói adatokat az Active Directory felhasználói fiók pontos bejelentkezési nevét használva adja meg. Az Active Directory felhasználójának tulajdonságaiban a Felhasználói bejelentkezési név mező a helyes felhasználónevet jeleníti meg a megfelelő kis- és nagybetűket használva. A felhasználónévtől jobbra a tartománynév jelenik meg a megfelelő kis- és nagybetűkkel. Például:

Az ABC\kerberostester formátumú felhasználói bejelentkezési nevek nem támogatottak.

Hibaelhárítás

A Kerberos hitelesítés egy összetett folyamat. Ha problémát észlel a Kerberos hitelesítést használó tesztek rögzítésekor és visszajátszásakor, akkor módosítsa a hibafelderítési napló szintjét Mind értékre, és futtassa újból a teszteket csak egy virtuális felhasználóval. A hibafelderítési naplóról további információkat a súgó hibafelderítési szint módosítása témakörében talál. Teszt futtatása után az ügynökszámítógép CommonBaseEvents00.log fájlja olyan információkat tartalmaz, amik segítenek megállapítani, hogy miért hiúsult meg a Kerberos hitelesítés.

Kifejezések

Active Directory
Az Active Directory a Microsoft elsősorban Windows környezetekben történő használatra megvalósított LDAP címtárszolgáltatása. Az Active Directory fő célja központi hitelesítési és felhatalmazási szolgáltatások biztosítása Windows számítógépek számára. Az Active Directory segítségével az adminisztrátorok irányelveket adhatnak meg, szoftvereket telepíthetnek és kritikus frissítéseket alkalmazhatnak egy szervezetre.
Címtárszolgáltatás
A címtárszolgáltatás olyan szoftveralkalmazás vagy olyan szoftveralkalmazások, amelyek egy számítógépes hálózat felhasználóiról és erőforrásairól tárolnak és rendszereznek információkat.
Alkalmazásprogramozási felület általános biztonsági szolgáltatásokhoz (GSS-API)
A GSS-API lehetővé teszi a programok számára a biztonsági szolgáltatások elérését. A GSS-API önmagában semmilyen védelmet nem biztosít. Ehelyett a biztonsági szolgáltatók GSS-API megvalósításokat biztosítanak, jellemzően a biztonsági szoftverükkel együtt telepített függvénytárak formájában. Az érzékeny alkalmazásüzeneteket a GSS-API becsomagolhatja, vagy titkosíthatja, hogy biztonságos kommunikációt biztosítson az ügyfél és a kiszolgáló között. A GSS-API csomagolás által biztosított tipikus védelem magában foglalja a bizalmasságot (titkosítást) és az integritást (hitelesség megállapítása). A GSS-API helyi hitelesítést is biztosíthat egy távoli felhasználó vagy távoli hoszt azonosításához.
Kulcselosztó központ (KDC)
A hitelesítési kiszolgálót Kerberos környezetben kulcselosztó központnak is nevezik.
Egyszerűsített címtár-hozzáférési protokoll (LDAP)
Az LDAP TCP/IP fölött futó címtárszolgáltatások lekérdezésére és módosítására szolgáló alkalmazásprotokoll. Egy LDAP címtárstruktúra általában a politikai, földrajzi és szervezeti határokat tükrözi. Az LDAP telepítések jellemzően DNS-neveket használnak a hierarchia legmagasabb szintjeinek felépítéséhez. Az LDAP bejegyzések sok különböző objektumtípust ábrázolhatnak, beleértve a személyeket, szervezeti egységeket, nyomtatókat, dokumentumokat vagy emberek csoportjait.
Egyszerű és védett GSS-API egyeztetési mechanizmus (SPNEGO)
Az SPNEGO akkor használatos, ha egy ügyfélalkalmazás hitelesítést próbál meg végezni egy távoli kiszolgálóval, de a távoli kiszolgáló által támogatott hitelesítési protokollok ismeretlenek. Az SNPEGO szabványos GSS-API álmechanizmus. Az álmechanizmus egy protokoll segítségével megállapítja, hogy melyik közös GSS-API mechanizmusok állnak rendelkezésre, majd az SPNEGO kiválaszt egy GSS-API mechanizmust az összes jövőbeli biztonsági művelethez.
Megbízható társítási eljárás (TAI)
A TAI egy olyan mechanizmus, ami biztonságis kapcsolatot létesít a WebSphere és más alkalmazásszoftverek között.

Visszajelzés