È possibile eseguire test HTTP rispetto a server che utilizzano il protocollo Kerberos per l'autenticazione.
Introduzione
Kerberos è un protocollo di autenticazione di sicurezza che richiede ad utenti e servizi una prova di identità.
Nota: Kerberos
p supportato solo per i test HTTP su Rational Performance Tester.
Ambienti supportati
Kerberos è supportato su HTTP per server Web che eseguono IIS (Internet Information Server) o TAI (Trust Association Interceptor) WebSphere con SPNEGO (Simple and Protected GSS-API Negotiation Mechanism). KDC (Key Distribution Center), inoltre, deve essere parte di Domain Controller Active Directory di Windows. I browser Internet Explorer
e Mozilla Firefox sono supportati per la registrazione di test. Kerberos non è supportato su altri protocolli, ambienti o browser. Ad esempio,
un KDC in esecuzione su sistemi Linux non è supportato.
Suggerimenti
Per migliori risultati quando si registrano i test che utilizzando l'autenticazione
Kerberos, specificare l'host per nome, nome per indirizzo
IP numerico. Si noti, inoltre, che le informazioni sull'utente sono sensibili al maiuscolo/minuscolo.
Specificare le informazioni utente mediante il nome collegamento esatto dall'account utente in Active Directory. Il campo Nome collegamento utente nelle proprietà per l'utente in Active Directory visualizza il nome utente corretto in formato corretto. A destra del nome utente viene visualizzato il nome dominio o area di autenticazione in modo corretto. Ad
esempio:
- ID utente: kerberostester
- Password: secret
- Realm: ABC.IBM.COM
I nomi di collegamento utente del modulo ABC\kerberostester non sono supportati.
Risoluzione dei problemi
L'autenticazione Kerberos è un processo complesso. Se si riscontrano problemi quando si tenta di registrare e riprodurre test che utilizzano l'autenticazione Kerberos, modificare il livello del log per la determinazione dei problemi su Tutto e
eseguire di nuovo i test con un solo utente virtuale. Per ulteriori informazioni sul log per la determinazione dei problemi, consultare l'argomento della guida sulla modifica del livello del log per la determinazione dei problemi. Dopo l'esecuzione di un test, il file CommonBaseEvents00.log sul computer agent contiene informazioni che consentono di determinare il motivo per cui l'autenticazione Kerberos non è riuscita.
Termini
- Active Directory
- Active Directory è un'implementazione dei servizi di directory LDAP (Lightweight Directory Access
Protocol) creati da Microsoft per essere utilizzati principalmente in ambienti Windows. Lo scopo principale di Active Directory è quello di fornire servizi di autenticazione ed autorizzazione centrali per computer Windows. Con Active Directory, gli amministratori possono assegnare politiche, distribuire software ed applicare aggiornamenti critici ad un'organizzazione.
- Servizio di directory
- Un servizio di directory è un'applicazione software o serie di applicazioni che
memorizzano ed organizzano informazioni su utenti e risorse di una rete di computer.
- GSS-API (Generic Security Services Application Program Interface)
- GSS-API consente ai programmi di accedere ai servizi di sicurezza. GSS-API non fornisce alcuna sicurezza. I provider dei servizi di sicurezza, invece, forniscono implementazioni GSS-API, di solito in formato di librerie installate con il software di sicurezza. I messaggi applicativi sensibili possono essere riportati a capo,
o crittografati, mediante GSS-API per fornire una comunicazione sicura tra client e server.
Le protezioni tipiche che il ritorno a capo GSS-API fornisce includono la riservatezza (segretezza) e l'integrità (autenticità). GSS-API può anche fornire un'autenticazione locale per l'identità di un utente o host remoto.
- KDC (Key Distribution Center)
- Il server di autenticazione in un ambiente Kerberos viene denominato KDC (Key
Distribution Center).
- LDAP (Lightweight Directory Access Protocol)
- LDAP è un protocollo di applicazione per i servizi di query e modifica directory in esecuzione tramite TCP/IP. Una struttura di directory LDAP, di solito, riflette limiti politici, geografici o organizzativi. Le distribuzioni LDAP, di solito, utilizzano nomi DNS (Domain
Name System) per la creazione di strutture di livelli elevati di gerarchia. Le voci LDAP possono rappresentare molti tipi differenti di oggetti, inclusi persone, unità organizzative, stampanti, documenti o gruppi di persone.
- SPNEGO (Simple and Protected GSS-API Negotiation Mechanism)
- SPNEGO viene utilizzato quando un'applicazione client tenta di autenticare un server remoto, ma i protocolli di autenticazione supportati dal server remoto sono sconosciuti. SNPEGO è una sorta di meccanismo GSS-API standard.
Questo pseudomeccanismo
utilizza un protocollo per determinare i meccanismi GSS-API comuni disponibili,
quindi SPNEGO ne seleziona uno da utilizzare per tutte le operazioni di sicurezza in futuro.
- TAI (Trust Association Interceptor)
- TAI è un meccanismo che stabilisce una connessione sicura tra WebSphere
ed altro software applicativo.