Sie können HTTP-Tests auf Servern ausführen, auf denen für die Authentifizierung das Kerberos-Protokoll verwendet wird.
Einführung
Kerberos ist ein Protokoll für die Sicherheitsauthentifizierung, bei dem Benutzer und Services ihre Identität ausweisen müssen.
Anmerkung: Kerberos wird nur für HTTP-Tests unter Rational Performance Tester unterstützt.
Unterstützte Umgebungen
Kerberos wird in HTTP für Web-Server unterstützt, auf denen IIS (Internet Information Server) oder WebSphere mit SPNEGO TAI (Simple and Protected GSS-API Negotiation Mechanism, Trust Association Interceptor) ausgeführt wird. Zusätzlich muss KDC (Key Distribution Center) Teil des Windows-Domänencontrollers sein. Die Browser Internet Explorer, Mozilla Firefox, Opera, Apple Safari und Google Chrome werden für die Aufzeichnung von Tests unterstützt. Von anderen Protokollen, Umgebungen oder Browsern wird Kerberos nicht unterstützt. So wird beispielsweise ein KDC unter Linux nicht unterstützt.
Tipps
Die besten Ergebnisse beim Aufzeichnen von Tests mit Kerberos-Authentifizierung erzielen Sie, wenn Sie den Host über seinen Namen und nicht über seine numerische IP-Adresse angeben. Berücksichtigen Sie außerdem, dass für die Benutzerinformationen die Groß-/Kleinschreibung beachtet wird.
Verwenden Sie bei der Angabe der Benutzerinformationen den genauen Anmeldenamen aus dem Benutzerkonto in Active Directory. Im Feld Benutzeranmeldename in den Eigenschaften des Benutzers in Active Directory wird der richtige Name in der richtigen Groß-/Kleinschreibung angezeigt. Rechts neben dem Benutzernamen wird der Bereichs- oder Domänenname in der richtigen Groß-/Kleinschreibung angezeigt. Beispiel:
- Benutzerkennung: kerberostester
- Kennwort: secret
- Bereich: ABC.IBM.COM
Benutzeranmeldenamen der Form ABC\kerberostester werden nicht unterstützt.
Fehlerbehebung
Die Kerberos-Authentifizierung ist ein komplexer Prozess. Wenn bei der Aufzeichnung und Wiedergabe von Tests, bei denen die Kerberos-Authentifizierung verwendet wird, Probleme auftreten, legen Sie die Protokollebene für die Fehlerbestimmung auf Alle fest und wiederholen Sie die Tests mit nur einem virtuellen Benutzer. Weitere Informationen zum Fehlerbestimmungsprotokoll finden Sie im Hilfethema zum Festlegen der Protokollebene für die Fehlerbestimmung. Nach der Ausführung des Tests enthält die Datei CommonBaseEvents00.log auf dem Agentencomputer Informationen, die Aufschluss darüber geben, warum die Kerberos-Authentifizierung fehlgeschlagen ist.
Bedingungen
- Active Directory
- Active Directory ist eine Implementierung von LDAP-Verzeichnisservices (Lightweight Directory Access Protocol), die von Microsoft primär für die Verwendung in Windows-Umgebungen entwickelt wurden. Active Directory wird vor allem für die zentrale Authentifizierung und zur Bereitstellung von Authentifizierungsservices auf Windows-Computern eingesetzt.
Mithilfe von Active Directory können Administratoren Richtlinien zuordnen, Software implementieren und kritische Updates in einem Unternehmen vornehmen.
- Verzeichnisservice
- Bei Verzeichnisservices handelt es sich um Softwareanwendungen, in denen Informationen zu Benutzern und Ressourcen in einem Computernetz gespeichert und verwaltet werden.
- GSS-API (Generic Security Services Application Program Interface)
- Über GSS-API erhalten Programme Zugriff auf Sicherheitsservices. Allerdings kann GSS-API allein nicht für Sicherheit sorgen. Provider von Sicherheitsservices stellen GSS-API-Implementationen zur Verfügung, in der Regel in Form von Bibliotheken, die zusammen mit ihrer Sicherheitssoftware installiert werden. Kritische Anwendungsnachrichten können von GSS-API verpackt bzw. verschlüsselt werden, um so für eine sichere Kommunikation zwischen Client und Server zu sorgen.
Mit dieser "Verpackung" durch GSS-API werden unter anderem die Vertraulichkeit (Geheimhaltung) und die Integrität (Authentizität) gesichert. Darüber hinaus ermöglicht GSS-API auch eine lokale Authentifizierung der Identität eines fernen Benutzers oder Hosts.
- KDC (Key Distribution Center)
- Key Distribution Center ist die Bezeichnung für den Authentifizierungsserver in einer Kerberos-Umgebung.
- LDAP (Lightweight Directory Access Protocol)
- LDAP ist ein Anwendungsprotokoll für die Abfrage und Modifizierung von Verzeichnisservices, die über TCP/IP ausgeführt werden. Die LDAP-Verzeichnisstruktur, die politische, geografische oder unternehmens- bzw. organisationsspezifische Strukturen repräsentiert. In LDAP-Implementierungen werden normalerweise DNS-Namen (Domain Name System) für die Strukturierung der höchsten Hierarchieebenen verwendet. LDAP-Einträge können für eine ganze Reihe unterschiedlicher Objekte stehen, darunter Personen, Organisationseinheiten, Drucker, Dokumente oder Personengruppen.
- SPNEGO (Simple and Protected GSS-API Negotiation Mechanism)
- SPNEGO wird bei der Authentifizierung einer Clientanwendung gegenüber einem fernen Server eingesetzt, wobei die vom fernen Server unterstützten Authentifizierungsprotokolle unbekannt sind. SNPEGO ist eine standardmäßiger GSS-API-Pseudomechanismus.
Dieser Pseudomechanismus ermittelt anhand eines Protokolls die verfügbaren gängigen GSS-API-Mechanismen; anschließend wird von SPNEGO ein GSS-API-Mechanismus für alle künftigen sicherheitsspezifischen Operationen ausgewählt.
- TAI (Trust Association Interceptor)
- TAI ist ein Mechanismus, mit dessen Hilfe eine sichere Verbindung zwischen WebSphere und anderer Anwendungssoftware hergestellt wird.