Visão Geral do Kerberos

Você pode executar os testes do HTTP junto aos servidores que utilizam o protocolo Kerberos para autenticação.

Introdução

Kerberos é um protocolo de autenticação de segurança que requer que os usuários e serviços forneçam prova de identidade.

Nota: O Kerberos é suportado apenas para testes HTTP no Rational Performance Tester.

Ambientes Suportados

O Kerberos é suportado no HTTP para servidores da Web que executam o Internet Information Server (IIS) ou o WebSphere com o Trust Association Interceptor (TAI) do Simple and Protected GSS-API Negotiation Mechanism (SPNEGO). Além disso, o Key Distribution Center (KDC) deve fazer parte do Active Directory do Controlador de Domínio do Windows. Os navegadores Internet Explorer e Mozilla Firefox são suportados para testes de gravação. O Kerberos não é suportado em outros protocolos, ambientes ou navegadores. Por exemplo, um KDC que é executado no Linux não é suportado.

Dicas

Para obter melhores resultados ao gravar testes que usam a autenticação Kerberos, especifique o host por nome e não pelo endereço IP numérico. Além disso, observe que as informações sobre o usuário fazem distinção entre maiúsculas e minúsculas. Especifique informações sobre o usuário usando o nome de logon exato da conta do usuário no Active Directory. O campo Nome de Logon do Usuário nas propriedades para o usuário do Active Directory exibe o nome de usuário correto com as letras (maiúsculas ou minúsculas) corretas. À direita do nome do usuário, o nome da região ou do domínio é exibido com as letras (maiúsculas ou minúsculas) corretas. Por exemplo:

Nomes de logon de usuários no formato ABC\kerberostester não são suportados.

Resolução de Problemas

A autenticação do Kerberos é um processo complexo. Se você encontrar problemas ao tentar registrar e reproduzir testes que usam a autenticação Kerberos, altere o nível de log de determinação de problema para Tudo e execute os testes novamente com apenas um usuário virtual. Para saber mais sobre o log de determinação de problemas, consulte o tópico de ajuda sobre alteração do nível de determinação de problemas. Após executar um teste, o arquivo CommonBaseEvents00.log no computador agente conterá informações que podem ajudá-lo a determinar por que a autenticação do Kerberos falhou.

Termos

Active Directory
Active Directory é uma implementação dos serviços do diretório Lightweight Directory Access Protocol criados pela Microsoft para uso principalmente em ambientes do Windows. O propósito principal do Active Directory é fornecer serviços de autenticação central e autorização para computadores Windows. Com o Active Directory, os administradores podem atribuir políticas, implementar software e aplicar atualizações importantes a uma organização.
Serviço de diretório
Um serviço de diretório é um aplicativo de software ou um conjunto de aplicativos que armazenam e organizam informações sobre os usuários e recursos de uma rede de computador.
Generic Security Services Application Program Interface (GSS-API)
O GSS-API permite que os programas acessem serviços de segurança. O GSS-API sozinho não fornece nenhuma segurança. Em vez disso, os fornecedores de serviço de segurança fornecem implementações de GSS-API, normalmente na forma de bibliotecas que são instaladas com seu software de segurança. As mensagens do aplicativo podem ser agrupadas, ou criptografadas pelo GSS-API para fornecer comunicação segura entre o cliente e o servidor. As proteções normais que o agrupamento do GSS-API fornece incluem confidencialidade (sigilo) e integridade (autenticidade). O GSS-API também pode fornecer autenticação local sobre a identidade de um usuário remoto ou host remoto.
Key Distribution Center (KDC)
O servidor de autenticação em um ambiente do Kerberos é chamado de Key Distribution Center.
Lightweight Directory Access Protocol (LDAP)
O LDAP é um protocolo de aplicativo para consultar e modificar serviços de diretório que são executados em TCP/IP. Uma árvore de diretórios do LDAP normalmente reflete os limites políticos, geográficos ou organizacionais. O LDAP normalmente implementa o uso dos nomes do Domain Name System (DNS) para estruturar os níveis mais altos da hierarquia. As entradas do LDAP podem representar muitos tipos diferentes de objetos, incluindo pessoas, unidades organizacionais, impressoras, documentos ou grupos de pessoas.
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO)
O SPNEGO é utilizado quando um aplicativo cliente tenta autenticar em um servidor remoto, mas os protocolos de autenticação suportados pelo servidor remoto são desconhecidos. O SNPEGO é um pseudo-mecanismo GSS-API padrão. O pseudo-mecanismo utiliza um protocolo para determinar que os mecanismos comuns do GSS-API estão disponíveis, então o SPNEGO seleciona um mecanismo do GSS-API para ser utilizado em todas as operações de segurança.
Trust Association Interceptor (TAI)
O TAI é um mecanismo que estabelece uma conexão segura entre o WebSphere e outro software de aplicativo.

Feedback