Visión general de Kerberos

Puede llevar a cabo pruebas de HTTP respecto a servidores que utilizan el protocolo Kerberos para la autenticación.

Introducción

Kerberos es un protocolo de autenticación de seguridad que exige que usuarios y servicios presenten pruebas de identidad.

Nota: Sólo se permite el uso de Kerberos para pruebas de HTTP en Rational Performance Tester.

Entornos admitidos

Kerberos funciona en HTTP para servidores web que utilizan Internet Information Server (IIS) o WebSphere con el interceptor de asociación de confianza (TAI, Trust Association Interceptor) del mecanismo de negociación GSS-API simple y protegido (SPNEGO, Simple and Protected GSS-API Negotiation Mechanism). Además, el centro de distribución de claves (KDC, Key Distribution Center) tiene que formar parte del controlador de dominio de Windows Active Directory. Los navegadores Internet Explorer, Mozilla Firefox, Opera, Apple Safari y Google Chrome reciben soporte para pruebas de grabación. Kerberos no está permitido en otros protocolos, entornos o navegadores. Por ejemplo, no se permite un KDC que se ejecute en Linux.

Sugerencias

Para obtener los mejores resultados al grabar las pruebas que utilizan autenticación de Kerberos, especifique el host por su nombre, no por su dirección IP numérica. Tenga en cuenta también que la información del usuario es sensible a las mayúsculas y minúsculas. Especifique la información del usuario utilizando el nombre de inicio de sesión exacto de la cuenta de usuario en Active Directory. El campo Nombre de inicio de sesión del usuario de las propiedades del usuario en Active Directory muestra el nombre correcto del usuario en el tipo de letra (mayúsculas y minúsculas) correcto. A la derecha del nombre de usuario, el nombre de esfera o dominio se muestra en el tipo de letra correcto. Por ejemplo:

No se da soporte a los nombres de inicio de sesión de usuario en formato ABC\kerberostester.

Resolución de problemas

La autenticación de Kerberos es un proceso complejo. Si experimenta problemas al intentar grabar y ejecutar pruebas que utilizan la autenticación Kerberos, cambie el nivel de registro de determinación de problemas a Todos y vuelva a ejecutar las pruebas con un único usuario virtual. Para saber más acerca del registro de determinación de problemas, consulte el tema de ayuda sobre cómo cambiar el nivel de determinación de problemas. Después de llevar a cabo una prueba, el archivo de registro CommonBaseEvents00.log en el sistema agente contiene información que puede ayudarle a determinar porqué falla la autenticación Kerberos.

Términos

Active Directory
Active Directory es una implementación de los servicios de directorioLightweight Directory Access Protocol creados por Microsoft para utilizarse principalmente en entornos Windows. El principal objetivo de Active Directory es ofrecer servicios de autorización y de autenticación centrales para sistemas Windows. Con Active Directory, los administradores pueden asignar políticas, desplegar software y aplicar actualizaciones importantes de software a una organización.
Servicio de directorio
Un servicio de directorio es una aplicación software o un conjunto de aplicaciones que almacena y organiza información acerca de los usuarios y los recursos de una red de sistemas.
Interfaz de programa de aplicación de servicios de seguridad genéricos (GSS-API, Generic Security Services Application Program Interface)
La GSS-API permite que los programas accedan a servicios de seguridad. La GSS-API por sí sola no proporciona ninguna seguridad. En cambio, los proveedores de servicios de seguridad ofrecen implementaciones de GSS-API, normalmente en formato de bibliotecas que se instalan con su software de seguridad. La GSS-API puede recortar o cifrar los mensajes de aplicación importantes para ofrecer una comunicación segura entre cliente y servidor. Las protecciones habituales que el recorte de GSS-API ofrece incluyen la confidencialidad (secreto) y la integridad (autenticidad). La GSS-API también puede ofrecer una autenticación local acerca de la identidad de un usuario remoto o de un host remoto.
Centro de distribución de claves (KDC, Key Distribution Center)
El servidor de autenticación en un entorno Kerberos se denomina centro de distribución de claves.
Lightweight Directory Access Protocol (LDAP)
LDAP es un protocolo de aplicación para consultar y modificar servicios de directorio que se ejecutan en TCP/IP. Un árbol de directorio LDAP suele reflejar fronteras políticas, geográficas u organizativas. Los despliegues LDAP utilizan normalmente nombres DNS (Sistema de nombres de dominio, Domain Name System) para estructurar los niveles más altos de la jerarquía. Las entradas de LDAP pueden representar muchos tipos distintos de objetos que incluyen personas, unidades organizativas, impresoras, documentos o grupos de personas.
Mecanismo de negociación GSS-API simple y protegido (SPNEGO, Simple and Protected GSS-API Negotiation Mechanism)
SPNEGO se utiliza cuando una aplicación cliente intenta autenticarse en un servidor remoto pero los protocolos de autenticación permitidos por el servidor remoto son desconocidos. SNPEGO es un pseudo-mecanismo GSS-API estándar. El pseudo-mecanismo utiliza un protocolo para determinar qué mecanismos GSS-API comunes están disponibles, entonces SPNEGO selecciona un mecanismo GSS-API para utilizarlo para todas las operaciones de seguridad futuras.
Interceptor de asociación de confianza (TAI, Trust Association Interceptor)
El TAI es un mecanismo que establece una conexión segura entre WebSphere y otro software de aplicación.

Comentarios