Para administradores que administran dispositivos con ChromeOS en una empresa o institución educativa.
Como administrador, puedes usar tickets de Kerberos en los dispositivos ChromeOS para habilitar el inicio de sesión único (SSO) para los recursos internos que admiten la autenticación Kerberos. Los recursos internos pueden incluir sitios web, archivos compartidos, certificados, etcétera.
Requisitos
- Dispositivos con ChromeOS 91 o versiones posteriores
- Por el momento, no se admiten los kioscos
- Entorno de Active Directory
Cómo configurar Kerberos
-
Accede a la Consola del administrador de Google.
Accede con tu cuenta de administrador (no termina en @gmail.com).
-
En la Consola del administrador, ve a Menú DispositivosChromeConfiguración. La página Configuración de usuarios y del navegador se abre de forma predeterminada.
Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú Navegador ChromeConfiguración.
- (Opcional) En la parte superior, haz clic en Configuración de sesiones de invitado administradas.
-
(Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa. Instrucciones
-
Ve a Kerberos.
-
Haz clic en Tickets de Kerberos.
-
Selecciona Habilitar Kerberos.
-
(Opcional) (Solo usuarios y navegadores) Solicita automáticamente tickets de Kerberos a los usuarios cuando accedan.
-
Selecciona Agregar una cuenta de Kerberos automáticamente.
-
Ingresa el nombre de la principal. Se admiten los marcadores de posición ${LOGIN_ID} y ${LOGIN_EMAIL}.
-
Selecciona Usar la configuración predeterminada de Kerberos. O bien, selecciona Personalizar la configuración de Kerberos y especifica la configuración de Kerberos que necesitas que admita tu entorno. Para conocer los detalles, consulta Cómo configurar cómo obtener tickets.
Nota: Debes revisar la configuración de Kerberos, krb5.conf. La configuración predeterminada aplica una encriptación AES sólida que podría no ser compatible con todas las partes de tu entorno.
-
-
Haz clic en Guardar.
Cómo configurar cómo se puede usar Kerberos en los dispositivos
-
Accede a la Consola del administrador de Google.
Accede con tu cuenta de administrador (no termina en @gmail.com).
-
En la Consola del administrador, ve a Menú DispositivosChromeConfiguración. La página Configuración de usuarios y del navegador se abre de forma predeterminada.
Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú Navegador ChromeConfiguración.
- (Opcional) En la parte superior, haz clic en Configuración de sesiones de invitado administradas.
-
(Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa. Instrucciones
- Ve a Red.
- Configura los servidores de autenticación permitidos:
- Haz clic en Servidores de autenticación integrados.
- Ingresa las URLs de los sitios web protegidos por Kerberos. Los usuarios pueden usar sus tickets activos para acceder a los servidores que incluiste en la lista sin tener que acceder.
Nota: Puedes agregar varios nombres de servidor, separados por comas. Se permite el uso de comodines, *. No incluyas comodines en el nombre de dominio. Por ejemplo, evita agregar *example.com a la lista. Esta es una lista de ejemplo: *.example.com, example.com. - Haz clic en Guardar.
- (Solo usuarios y navegadores) Configura los servidores permitidos para la delegación:
- Haz clic en Servidores de delegación de Kerberos.
- Ingresa las URLs de los servidores a los que Chrome puede delegar.
Nota: Puedes agregar varios nombres de servidor, separados por comas. Se permite el uso de comodines, *. - Haz clic en Guardar.
- (Solo usuarios y navegadores) Especifica si se debe respetar la política del Centro de distribución de claves (KDC) para delegar tickets de Kerberos
- Haz clic en Delegación de tickets de Kerberos.
- Elija una opción:
- Respetar la política de KDC
- Ignorar la política de KDC
- Haz clic en Guardar.
- (Solo usuarios y navegadores) Especifica la fuente del nombre que se utiliza para generar el nombre principal del servicio (SPN) de Kerberos.
- Haz clic en Nombre principal del servicio de Kerberos.
- Elija una opción:
- Usar un nombre de DNS canónico
- Usar el nombre original que se ingresó
- Haz clic en Guardar.
- (Solo usuarios y navegadores) Especifica si el SPN de Kerberos generado debe incluir un puerto no estándar.
- Haz clic en Puerto SPN de Kerberos.
- Elija una opción:
- Incluir el puerto no estándar
- No incluir el puerto no estándar
- Haz clic en Guardar.
- Solo usuarios y navegadores) Especifica si se permite que en el subcontenido de terceros de una página se muestre un cuadro de diálogo emergente de autenticación básica de HTTP.
- Haz clic en Autenticación de distintos orígenes.
- Elija una opción:
- Permitir la autenticación de distintos orígenes
- Bloquear la autenticación de distintos orígenes
- Haz clic en Guardar.
Qué pueden hacer los usuarios
Cómo agregar un ticket
Cuando los usuarios intentan acceder a un recurso protegido por Kerberos, tienen la opción de agregar un ticket o continuar sin él.
Para agregar un ticket, haz lo siguiente:
- En el cuadro, haz clic en Administrar tickets.
- En la página Tickets de Kerberos, haz clic en Agregar un ticket.
- Ingresa tu nombre de usuario y contraseña de Active Directory.
Nota: ChromeOS solo admite la notación usuario@dominio, no la notación dominio/usuario. - (Opcional) Para actualizar el ticket automáticamente, marca la casilla Recordar contraseña.
- (Opcional) Edita el archivo de configuración:
- Haga clic en Configuración avanzada.
- Cambia la información de configuración de Kerberos, como la vida útil de los tickets, los tipos de encriptación y las asignaciones del dominio del dominio. Para conocer los detalles, consulta Cómo configurar cómo obtener tickets.
- Haz clic en Guardar.
- Haga clic en Agregar.
- Vuelve a cargar la página que intentas ver.
Nota: Kerberos requiere una configuración de DNS determinada, en particular los registros SRV para los servicios _kerberos
y _kerberos-master
. Para obtener más detalles, consulta Solución de problemas a continuación.
Cómo configurar un ticket activo
Los usuarios pueden agregar varios tickets de Kerberos en sus dispositivos ChromeOS. Sin embargo, solo puede estar activo un ticket y usarse para la autenticación en cualquier momento. Los usuarios pueden cambiar los tickets para acceder a los recursos que requieren diferentes niveles de autorización. Por ejemplo, si determinadas páginas web internas requieren un ticket de Kerberos con un nivel de privilegio superior.
- Si aún no lo has hecho, accede a un dispositivo ChromeOS administrado.
- En la parte inferior derecha, selecciona la hora.
- Haz clic en Configuración .
- En la sección Personas, haz clic en Tickets de Kerberos.
- Busca el ticket que quieres establecer como activo.
- A la derecha, haz clic en Más Establecer como ticket activo.
Cómo actualizar un ticket y modificar la configuración
De forma predeterminada, los tickets son válidos por 10 horas y se pueden renovar por una semana sin que los usuarios tengan que volver a ingresar su nombre de usuario y contraseña. Cuando un ticket vence y no se puede actualizar automáticamente, los usuarios ven un mensaje que les indica que deben actualizarlo de forma manual. Si los usuarios dejan que el ticket activo venza, la autenticación de Kerberos no funcionará hasta que lo actualicen.
- Si aún no lo has hecho, accede a un dispositivo ChromeOS administrado.
- En la parte inferior derecha, selecciona la hora.
- Haz clic en Configuración .
- En la sección Personas, haz clic en Tickets de Kerberos.
- Busca el ticket que quieres actualizar.
- Haz clic en Actualizar.
Si no se acerca su fecha de vencimiento, a la derecha, haz clic en Más Actualizar ahora. - Ingresa tu nombre de usuario y contraseña de Active Directory.
Nota: ChromeOS solo admite la notación usuario@dominio, no la notación dominio/usuario. - (Opcional) Para actualizar el ticket automáticamente, marca la casilla de verificación Recordar contraseña.
- (Opcional) Edita el archivo de configuración.
- Haga clic en Configuración avanzada.
- Cambia la información de configuración de Kerberos, como la vida útil de los tickets, los tipos de encriptación y las asignaciones del dominio del dominio. Para conocer los detalles, consulta Cómo configurar cómo obtener tickets.
- Haz clic en Guardar.
- Haz clic en Actualizar.
Cómo quitar un ticket
- Si aún no lo has hecho, accede a un dispositivo ChromeOS administrado.
- En la parte inferior derecha, selecciona la hora.
- Haz clic en Configuración .
- En la sección Personas, haz clic en Tickets de Kerberos.
- Busca el ticket que quieres quitar.
- A la derecha, haz clic en Más Quitar de este dispositivo.
Cómo configurar cómo obtener tickets
Sección | Relación |
---|---|
[libdefaults] |
|
[realms] |
|
[domain_realm] |
Cualquier valor |
[capaths] |
Cualquier valor |
Ejemplo: Solicita un ciclo de vida diferente para un ticket.
[libdefaults]
ticket_lifetime = 16h
En el ejemplo, se solicita un ticket válido por 16 horas. La vida útil puede ser limitada en el servidor, y el valor predeterminado es de 10 horas.
Para cambiar el límite del servidor, haz lo siguiente:
- Abre la Consola de administración de políticas de grupo.
- Ve a ConfiguraciónConfiguración de seguridadPolíticas de la cuentaPolítica de Kerberos.
- Modifica la política Ciclo de vida máximo para los tickets del usuario.
Ejemplo: Solicita un ciclo de vida diferente para la renovación del ticket
[libdefaults]
renew_lifetime = 14d
En el ejemplo, se solicita un ticket que se puede renovar por 14 días. La vida útil de la renovación puede ser limitada en el servidor, y el valor predeterminado es de 7 días.
Para cambiar el límite del servidor, haz lo siguiente:
- Abre la Consola de administración de políticas de grupo.
- Ve a ConfiguraciónConfiguración de seguridadPolíticas de la cuentaPolítica de Kerberos.
- Modifica la política Ciclo de vida máximo para la renovación de tickets de usuario.
Solución de problemas
En general, puedes solucionar problemas con la herramienta de línea de comandos kinit en Linux. ChromeOS está basado en Linux y la implementación de tickets de Kerberos utiliza kinit
. Por lo tanto, si puedes obtener un ticket de Kerberos a través de kinit
en Linux, también deberías poder obtener un ticket en ChromeOS con la misma configuración.
Mensaje de error: KDC no admite el tipo de encriptación
Google aplica una encriptación AES sólida de forma predeterminada. Si ves un error sobre los tipos de encriptación, es posible que algunas partes del entorno de tu servidor no puedan manejar la encriptación AES. Te recomendamos que corrijas este problema.
De lo contrario, considera quitar las 3 líneas para default_tgs_enctypes
, default_tkt_enctypes
y permitted_enctypes
de la configuración para desarrollo. Esto habilitará todos los tipos de encriptación incluidos en la documentación de Kerberos de MIT, excepto los marcados como débiles. Asegúrate de que las implicaciones de seguridad sean aceptables para tus necesidades. Algunos tipos de encriptación ya no se consideran robustos.
Después de confirmar que el conjunto de todos los tipos de encriptación funciona, te recomendamos que limites los tipos de encriptación para default_tgs_enctypes
, default_tkt_enctypes
y permitted_enctypes
a un subconjunto adecuado de tipos para minimizar el riesgo de seguridad.
Mensaje de error: Falló la comunicación con el servidor para el dominio
- Verifica que ingresaste el nombre de usuario de Kerberos correcto.
El nombre de usuario de Kerberos usuario@example.com consta de lo siguiente:- Nombre de acceso del usuario, también conocido como sAMAccountName
- Dominio de Kerberos, que suele coincidir con el nombre de dominio de Windows
- Asegúrate de que la conexión de red esté configurada correctamente.
Asegúrate de que se pueda acceder al servidor desde el dispositivo ChromeOS en el puerto estándar Kerberos 88. - Verifica que el DNS esté configurado de forma correcta.
Kerberos solicita ciertos registros SRV de DNS para buscar el nombre de dominio DNS del servicio Kerberos. Por ejemplo, si el dominio de acceso o dominio es example.com y el nombre de dominio DNS del único servicio de Kerberos es dc.example.com, se deben agregar los siguientes registros SRV de DNS:
Servicios | Protocolo | Prioridad | Peso | Puerto | Destino (nombre de host) |
---|---|---|---|---|---|
_kerberos | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos | _udp | 0 | 100 | 88 | dc.example.com |
_kerberos | _tcp | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _udp | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _tcp | 0 | 100 | 88 | dc.example.com |
Si no puedes modificar la configuración del DNS, puedes agregar estas asignaciones en la configuración de Kerberos.
Por ejemplo:
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
master_kdc = dc.example.com
}
Si aún tienes problemas para obtener tickets de Kerberos, recopila los registros del sistema. Si es posible, también recopila registros tcpdump o wireshark. Luego, comunícate con el equipo de asistencia.