Kerberos の概要

認証に Kerberos プロトコルを使用するサーバーに対して HTTP テストを実行することができます。

概要

Kerberos とは、ユーザーおよびサービスによる ID の証明の提供を求めるセキュリティー認証プロトコルです。

注: Kerberos は、Rational® Performance Tester の HTTP テストでのみサポートされています。

サポートされる環境

Kerberos は、Internet Information Server (IIS) か、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用した Trust Association Interceptor (TAI) を備えた WebSphere® を実行中の Web サーバーの HTTP でサポートされます。 また、鍵配布センター (KDC) が Windows ドメイン・コントローラーの Active Directory の一部である必要があります。 テストの記録用に、Internet Explorer、Mozilla Firefox、Opera、Apple Safari、および Google Chrome ブラウザーがサポートされています。 Kerberos はその他のプロトコル、環境、またはブラウザーではサポートされません。 例えば、Linux で実行中の KDC はサポートされません。

ヒント

Kerberos 認証を使用するテストを記録する際に最適な結果を得るために、ホストを数値の IP アドレスではなく名前で指定してください。 また、ユーザー情報では大文字小文字が区別されることに注意してください。 ユーザー・アカウントからの正確なログオン名を使用してユーザー情報を Active Directory に指定します。 Active Directory のユーザー用のプロパティーの「ユーザー・ログオン名 (User logon name)」フィールドには、大文字小文字が正しく区別された正しいユーザー名が表示されます。 ユーザー名の右側に、大文字小文字が正しく区別されたレルム名またはドメイン名が表示されます。 例:

ABC¥kerberostester という形式のユーザー・ログオン名はサポートされていません。

トラブルシューティング

Kerberos 認証は複雑なプロセスです。Kerberos 認証を使用するテストを記録および再生しようとしたときに問題が発生した場合は、問題判別のロギング・レベルを「すべて」に変更して、仮想ユーザーを 1 ユーザーだけにして再実行してください。 問題判別ログの詳細は、問題判別レベルの変更についてのヘルプ・トピックを参照してください。 テストを実行した後、エージェント・コンピューターの CommonBaseEvents00.log ファイルに含まれる情報を、Kerberos 認証が失敗した理由の判別に役立てることができます。

用語

Active Directory
Active Directory とは、主に Windows 環境で使用するために Microsoft によって開発された、Lightweight Directory Access Protocol ディレクトリー・サービスの実装である。 Active Directory の主な目的は、一元的な認証および権限サービスを Windows コンピューターに提供することである。 Active Directory を使用すれば、管理者はポリシーの割り当て、ソフトウェアのデプロイ、および重要な更新の組織への適用を行うことができる。
ディレクトリー・サービス (directory service)
ディレクトリー・サービスとは、コンピューター・ネットワークのユーザーおよびリソースに関する情報を保管および編成する、ソフトウェア・アプリケーションまたは一連のアプリケーションである。
GSS-API (Generic Security Services Application Program Interface)
GSS-API は、プログラムによるセキュリティー・サービスへのアクセスを有効化する。 GSS-API はそれ単独では何もセキュリティーを提供しない。 代わりにセキュリティー・サービス・プロバイダーが GSS-API 実装を提供するが、通常はセキュリティー・ソフトウェアとともにインストールされるライブラリー形式で提供される。 機密性の高いアプリケーション・メッセージは GSS-API によって「機密化」、つまり暗号化することができ、クライアントとサーバーとの間の通信が保護される。 GSS-API の機密化によって提供される保護の典型例として、機密性 (秘密) および保全性 (確実性) がある。 また GSS-API によって、リモート・ユーザーまたはリモート・ホストの ID についてのローカル認証が提供される。
鍵配布センター (Key Distribution Center (KDC))
Kerberos 環境の認証サーバーを鍵配布センターと呼ぶ。
Lightweight Directory Access Protocol (LDAP)
LDAP とは、TCP/IP 上で実行中のディレクトリー・サービスを照会および変更するためのアプリケーション・プロトコルである。 LDAP ディレクトリー・ツリーは通常、政治的、地理的、または組織的な境界を反映する。 LDAP のデプロイメントでは通常、階層の最上位を構造化するためにドメイン・ネーム・システム (DNS) 名が使用される。 LDAP 項目は、ユーザー、組織単位、プリンター、文書、またはユーザー・グループなどの多種多様なオブジェクトのタイプを表すことができる。
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism)
SPNEGO は、クライアント・アプリケーションがリモート・サーバーへの認証を試行したが、リモート・サーバーによってサポートされている認証プロトコルが不明な場合に使用される。 SPNEGO は標準の GSS-API 疑似メカニズムである。疑似メカニズム SPNEGO は、どのような共通 GSS-API メカニズムが使用可能かをプロトコルを使用して判別した後、それ以降のすべてのセキュリティー・オペレーションで使用する 1 つの GSS-API メカニズムを選択する。
Trust Association Interceptor (TAI)
TAI とは、WebSphere と別のアプリケーション・ソフトウェアとの間でセキュア接続を確立するメカニズムである。

フィードバック