使用 GSSAPI/kerberos 凭据的 JMeter LDAP 测试

Question

我想使用 JMeter 对我们使用 GSSAPI（即 Kerberos）进行身份验证的 OpenLDAP 服务运行一些负载测试。如何让 JMeter 使用带有 Kerberos 凭据的密钥表来执行此操作？ （注意：我尝试按照此处的说明进行操作，但它们对我不起作用：https://community.hortonworks.com/articles/141035/jmeter-kerberos-setup-for-hive-load-testing.html）

更新

我用来启动JMeter的命令是

java.exe -XX:+HeapDumpOnOutOfMemoryError -Xms1g -Xmx1g 
-XX:MaxMetaspaceSize=256m -XX:+UseG1GC -XX:MaxGCPauseMillis=100 -XX:G1ReservePercent=20 -Djava.security.egd=file:/dev/urandom
-Duser.language="en" -Duser.region="EN"
-Djava.security.debug=gssloginconfig,configfile,configparser,logincontext 
-jar "D:\JMeter\bin\ApacheJMeter.jar"  
-Dsun.security.krb5.debug=true 
-Djava.security.krb5.conf="D:\JMeter\bin\krb5.conf"
-Djava.security.auth.login.config="D:\JMeter\bin\jaas.conf"
-Djavax.security.auth.useSubjectCredsOnly=false

D:\JMeter\bin\jaas.conf的内容：

JMeter {
    com.sun.security.auth.module.Krb5LoginModule required
    doNotPrompt=true
    useTicketCache=false
    useKeyTab=true
    keyTab="D:\JMeter\bin\ldap.keytab"
    principal="service/testing-prod@example.com"
    debug=true;
};

我有一个 LDAP 请求采样器。对于该采样器，我输入了 LDAP 服务器、端口、搜索库和过滤器。我运行了“成功”的测试，但没有返回任何信息。

我在jmeter.log 中看到没有关于身份验证成功或失败的日志消息。

Answer 1

很遗憾，您的didn't work 声明对我们没有任何帮助。关于参考指南 - HortonWorks Docs 很好，但它可能不适用于您的应用程序设置，因为 Kerberos 有很多方面：

1. 您的REALM 会有所不同
2. 您的SPN 会有所不同（它可能存在也可能不存在）
3. 您的 keytab 配置会有所不同（同样，Kerberos 可能使用也可能不使用 keytab 进行身份验证）
4. 您的KDC 会有所不同
5. 您的密钥表生成算法可能不同

所以我会推荐以下内容：

1. 联系您的网络管理员/开发人员/开发人员/任何了解您的 Kerberos 设置并尽可能多地收集信息的人

2. Enable debug logging for JMeter HTTP Authorization Manager 将下一行添加到 log4j2.xml 文件：

   <Logger name="org.apache.jmeter.protocol.http.control" level="debug" />
   

3. 通过将下一行添加到 system.properties 文件，为 Java Kerberos 实现启用调试日志记录：

   sun.security.krb5.debug=true
   

4. 重新启动 JMeter 以获取更改
5. 重新运行您的测试并在 jmeter.log 文件和 STDOUT 中查找潜在的错误原因
6. 修复问题
7. 重复第 5 步，直到您对结果满意为止

有数百种不同的原因，可能是您的设置 100% 正常，但是您的登录没有成功，因为您在 KDC 和 JMeter 机器上的时间不同，并且需要同步。