Présentation de Kerberos

Vous pouvez exécuter des tests HTTP sur des serveurs utilisant le protocole Kerberos pour authentification.

Introduction

Kerberos est un protocole d'authentification de sécurité qui demande aux utilisateurs et aux services de fournir une preuve d'identité.

Remarque : Kerberos est pris en charge uniquement pour les tests HTTP sur Rational Performance Tester.

Environnements pris en charge

Kerberos est pris en charge sur HTTP pour des serveurs Web exécutant Internet Information Server (IIS) ou WebSphere, avec l'intercepteur TAI du mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism). Par ailleurs, le centre de distribution de clés doit faire partie du contrôleur de domaine Windows Active Directory. Les navigateurs Internet Explorer, Mozilla Firefox, Opera, Apple Safari et Google Chrome sont pris en charge pour l'enregistrement de tests. Kerberos n'est pas pris en charge pour d'autres protocoles, environnements ou navigateurs. Par exemple, un centre de distribution de clés sur Linux n'est pas pris en charge.

Conseils

Pour un résultat optimal lorsque vous enregistrez des tests utilisant l'authentification Kerberos, spécifiez l'hôte avec son nom et non pas son adresse IP numérique. Notez également que les informations utilisateur doivent respecter la casse des caractères. Lorsque vous entrez les informations utilisateur, spécifiez le nom de connexion exact de l'utilisateur tel qu'il est défini dans le compte de l'utilisateur dans Active Directory. La zone Nom de connexion utilisateur des propriétés de l'utilisateur dans Active Directory affiche le nom de l'utilisateur avec la casse de caractères correcte. Le nom de domaine s'affiche avec la casse correcte sur la droite du nom d'utilisateur. Par exemple :

Les noms de connexion de la forme ABC\testeurkerberos ne sont pas pris en charge.

Identification et résolution des incidents

L'authentification Kerberos est un processus complexe. Si vous rencontrez des incidents lorsque vous tentez d'enregistrer et de lire des tests utilisant l'authentification Kerberos, modifiez le niveau de journalisation de l'identification des incidents en Tous et exécutez à nouveau les tests avec un seul utilisateur virtuel. Pour en savoir plus sur le journal d'identification d'incidents, voir la rubrique d'aide sur le changement du niveau de identification d'incidents. Une fois le test exécuté, le fichier CommonBaseEvents00.log sur l'ordinateur de l'agent contient des informations permettant de comprendre pourquoi l'authentification Kerberos a échoué.

Termes

Active Directory
Active Directory est une implémentation des services d'annuaire du protocole LDAP (Lightweight Directory Access Protocol) créée par Microsoft pour être essentiellement utilisée dans des environnements Windows. Le but principal d'Active Directory est d'offrir des services centraux d'authentification et d'autorisation à des ordinateurs Windows. Avec Active Directory, les administrateurs peuvent attribuer des règles, déployer des logiciels et appliquer des mises à jour importantes à une organisation.
Service d'annuaire
Un service d'annuaire est une application logicielle ou un ensemble d'applications stockant et organisant des informations sur les utilisateurs et les ressources d'un réseau d'ordinateurs.
Interface GSS-API (Generic Security Services Application Program Interface)
L'interface GSS-API permet aux programmes d'accéder à des services de sécurité. Elle ne fournit en soi aucune sécurité. Les fournisseurs de services de sécurité fournissent des implémentations GSS-API, normalement sous la forme de bibliothèques installées avec le logiciel de sécurité. Les messages propres aux applications peuvent être encapsulés ou chiffrés par l'interface GSS-API, afin d'offrir une communication sécurisée entre le client et le serveur. Entre autres protections standard, l'encapsulage de l'interface GSS-API garantit la confidentialité (secret) et l'intégrité (authenticité). L'interface GSS-API peut aussi fournir une authentification locale sur l'identité d'un utilisateur ou d'un hôte distants.
Centre de distribution de clés
Le serveur d'authentification dans un environnement Kerberos est appelé centre de distribution de clés.
Protocole LDAP (Lightweight Directory Access Protocol)
LDAP est un protocole d'application pour la recherche et la modification de services d'annuaire s'exécutant sur TCP/IP. Une arborescence de d'annuaires LDAP indique en général des limites politiques, géographiques ou organisationnelles. Les déploiements LDAP utilisent normalement des noms du système d'adressage par domaines pour structurer les niveaux les plus élevés de la hiérarchie. Les entrées LDAP peuvent désigner différents types d'objets, dont des personnes, des unités organisationnelles, des imprimantes, des documents ou des groupes de personnes.
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism)
Le mécanisme SPNEGO est utilisé lorsqu'une application client tente de s'authentifier sur un serveur distant mais que les protocoles d'authentification pris en charge par ce serveur sont inconnus. SNPEGO est un pseudo-mécanisme standard de l'interface GSS-API. Il se sert d'un protocole pour identifier les mécanismes courants de l'interface GSS-API qui sont disponibles, puis en sélectionne un pour toutes les opérations de sécurité.
TAI (Trust Association Interceptor)
L'intercepteur TAI est un mécanisme établissant une connexion sécurisée entre WebSphere et d'autres applications.

Retour d'informations