Você pode executar os testes do HTTP junto aos servidores
que utilizam o protocolo Kerberos para autenticação.
Introdução
Kerberos é um protocolo de autenticação de
segurança que requer que os usuários e serviços forneçam prova de identidade.
Nota: O Kerberos
é suportado apenas para testes HTTP no Rational Performance Tester.
Ambientes Suportados
O Kerberos é suportado no
HTTP para servidores da Web que executam o Internet Information Server (IIS) ou o WebSphere
com o Trust Association Interceptor (TAI) do Simple and Protected GSS-API Negotiation
Mechanism (SPNEGO). Além disso, o Key Distribution Center (KDC)
deve fazer parte do Active Directory do Controlador de Domínio do Windows. Os navegadores Internet Explorer
e Mozilla Firefox são suportados para testes de gravação. O Kerberos não é
suportado em outros protocolos, ambientes ou navegadores. Por exemplo,
um KDC que é executado no Linux não é suportado.
Dicas
Para obter melhores resultados ao gravar testes que
usam a autenticação Kerberos, especifique o host por nome e não pelo endereço IP
numérico. Além disso, observe que as informações sobre o usuário fazem distinção entre maiúsculas e minúsculas.
Especifique informações sobre o usuário usando o nome de logon exato da conta do usuário no Active Directory. O campo Nome de Logon do Usuário nas propriedades para o usuário do Active Directory exibe o nome de usuário correto com as letras (maiúsculas ou minúsculas) corretas. À direita do nome do usuário, o nome da região ou do domínio é exibido com as letras (maiúsculas ou minúsculas) corretas. Por exemplo:
- ID do Usuário: kerberostester
- Senha: secreta
- Região: ABC.IBM.COM
Nomes de logon de usuários no formato ABC\kerberostester não são suportados.
Resolução de Problemas
A autenticação do Kerberos é um processo
complexo. Se você encontrar problemas ao tentar registrar e reproduzir testes que usam
a autenticação Kerberos, altere o nível de log de determinação de problema
para Tudo e execute os testes novamente com apenas
um usuário virtual. Para saber mais sobre
o log de determinação de problemas, consulte o tópico de ajuda sobre alteração do nível de determinação
de problemas. Após executar um teste, o arquivo CommonBaseEvents00.log
no computador agente conterá informações que podem ajudá-lo a determinar por que
a autenticação do Kerberos falhou.
Termos
- Active Directory
- Active Directory é uma implementação dos serviços do diretório Lightweight Directory Access
Protocol criados pela Microsoft para uso principalmente em ambientes do
Windows. O propósito principal do Active Directory é fornecer serviços de autenticação
central e autorização para computadores Windows. Com o Active Directory, os administradores
podem atribuir políticas, implementar software e aplicar atualizações importantes a uma organização.
- Serviço de diretório
- Um serviço de diretório é um aplicativo de software ou um conjunto de aplicativos
que armazenam e organizam informações sobre os usuários e recursos de uma
rede de computador.
- Generic Security Services Application Program Interface (GSS-API)
- O GSS-API permite que os programas acessem serviços de segurança. O GSS-API
sozinho não fornece nenhuma segurança. Em vez disso, os fornecedores de serviço de segurança fornecem
implementações de GSS-API, normalmente na forma de bibliotecas que são instaladas
com seu software de segurança. As mensagens do aplicativo podem ser agrupadas,
ou criptografadas pelo GSS-API para fornecer comunicação segura entre o cliente
e o servidor.
As proteções normais que o agrupamento do GSS-API fornece incluem confidencialidade
(sigilo) e integridade (autenticidade). O GSS-API também pode fornecer autenticação
local sobre a identidade de um usuário remoto ou host remoto.
- Key Distribution Center (KDC)
- O servidor de autenticação em um ambiente do Kerberos é chamado de Key
Distribution Center.
- Lightweight Directory Access Protocol (LDAP)
- O LDAP é um protocolo de aplicativo para consultar e modificar serviços de diretório
que são executados em TCP/IP. Uma árvore de diretórios do LDAP normalmente reflete os limites
políticos, geográficos ou organizacionais. O LDAP normalmente implementa o uso dos nomes do Domain
Name System (DNS) para estruturar os níveis mais altos da hierarquia. As entradas do LDAP podem representar muitos tipos diferentes de objetos, incluindo pessoas,
unidades organizacionais, impressoras, documentos ou grupos de pessoas.
- Simple and Protected GSS-API Negotiation Mechanism (SPNEGO)
- O SPNEGO é utilizado quando um aplicativo cliente tenta autenticar em um
servidor remoto, mas os protocolos de autenticação suportados pelo servidor
remoto são desconhecidos. O SNPEGO é um pseudo-mecanismo GSS-API padrão.
O pseudo-mecanismo
utiliza um protocolo para determinar que os mecanismos comuns do GSS-API estão disponíveis,
então o SPNEGO seleciona um mecanismo do GSS-API para ser utilizado em todas as operações de segurança.
- Trust Association Interceptor (TAI)
- O TAI é um mecanismo que estabelece uma conexão segura entre o WebSphere
e outro software de aplicativo.