إشعار

إذا كنت تخطِّط لعودة الموظفين إلى العمل من مقر الشركة، ننصحك بالتعرّف على كيفية الاستفادة من نظام التشغيل Chrome.

إعداد خدمة "الدخول الموحَّد" عبر Kerberos لأجهزة Chrome

هذه المقالة مُخصَّصة للمشرفين الذين يديرون أجهزة تعمل بنظام التشغيل Chrome لنشاط تجاري أو مؤسسة تعليمية.

بصفتك مشرفًا، يمكنك استخدام تذاكر Kerberos على أجهزة ChromeOS لتفعيل الدخول الموحَّد (SSO) للموارد الداخلية التي تتيح مصادقة Kerberos. وقد تتضمّن الموارد الداخلية على المواقع الإلكترونية وخوادم مشاركة الملفات والشهادات وغيرها.

المتطلبات

  • الأجهزة التي تعمل بالإصدار 91 من نظام التشغيل ChromeOS أو الإصدارات الأحدث.
  • لا تتوفّر حاليًا تطبيقات Kiosk.
  • يجب توفُّر بيئة Active Directory.

إعداد بروتوكول Kerberos

  1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

    يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

  2. في "وحدة تحكّم المشرف"، انقر على رمز القائمة ثم الأجهزةثمChromeثمالإعدادات. تفتح صفحة إعدادات المتصفِّح والمستخدم تلقائيًا.

    في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة ثم متصفّح Chromeثمالإعدادات.

  3. (اختياري) في أعلى الصفحة، انقر على إعدادات جلسة الضيف المُدارة.
  4. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك

  5. انتقِل إلى Kerberos.

  6. انقر على تذاكر Kerberos.

  7. اختَر تفعيل Kerberos.

  8. (اختياري) (للمستخدمين والمتصفِّحات فقط) يمكنك طلب تذاكر Kerberos للمستخدمين تلقائيًا عند تسجيلهم الدخول.

    1. اختَر إضافة حساب Kerberos تلقائيًا.

    2. أدخِل الاسم الرئيسي، علمًا بأنّ العنصرَين النائبَين ${LOGIN_ID} و${LOGIN_EMAIL} متوافقَان.

    3. اختَر استخدام ضبط Kerberos التلقائي. أو اختَر تخصيص ضبط Kerberos وحدِّد ضبط Kerberos الذي تحتاجه ليكون متوافقًا مع بيئتك. ولمعرفة التفاصيل، يمكنك الاطّلاع على ضبط طريقة الحصول على التذاكر.
      ملاحظة: عليك مراجعة الإعداد krb5.conf ضِمن بروتوكول Kerberos. يفرض الضبط التلقائي تشفير AES قويًا قد لا يكون متوافقًا مع كل جزء من بيئتك.

  9. انقر على حفظ.

ضبط كيفية استخدام Kerberos على الأجهزة

  1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

    يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

  2. في "وحدة تحكّم المشرف"، انقر على رمز القائمة ثم الأجهزةثمChromeثمالإعدادات. تفتح صفحة إعدادات المتصفِّح والمستخدم تلقائيًا.

    في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة ثم متصفّح Chromeثمالإعدادات.

  3. (اختياري) في أعلى الصفحة، انقر على إعدادات جلسة الضيف المُدارة.
  4. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
  5. انتقِل إلى الشبكة.
  6. اضبط خوادم المصادقة المسموح بها:
    1. انقر على خوادم المصادقة المتكاملة.
    2. أدخِل عناوين URL الخاصة بالمواقع الإلكترونية المحمية ببروتوكول Kerberos. ويمكن للمستخدمين استخدام التذكرة المفعَّلة للوصول إلى الخوادم التي تدرجها بدون الحاجة إلى تسجيل الدخول.
      ملاحظة: يمكن إضافة أسماء خوادم متعدّدة مع الفصل بينها بفواصل. ويُسمح باستخدام أحرف البدل (*). يُرجى عدم تضمين أحرف البدل في اسم النطاق. على سبيل المثال، تجنَّب إضافة ‎*example.com إلى القائمة. وفي ما يلي نموذج قائمة ‎*.example.com, example.com.
    3. انقر على حفظ.
  7. (للمستخدمين والمتصفِّحات فقط) اضبط الخوادم المسموح بها للتفويض:
    1. انقر على خوادم تفويض Kerberos.
    2. أدخِل عناوين URL الخاصة بالخوادم التي يمكن لمتصفّح Chrome تفويضها.
      ملاحظة: يمكن إضافة أسماء خوادم متعدّدة مع الفصل بينها بفواصل. ويُسمح باستخدام أحرف البدل (*).
    3. انقر على حفظ.
  8. (للمستخدمين والمتصفِّحات فقط) حدِّد ما إذا كنت تريد الالتزام بسياسة مركز توزيع المفاتيح (KDC) عند تفويض تذاكر Kerberos:
    1.  انقر على تفويض التذاكر في Kerberos.
    2. حدّد أحد الخيارَين التاليَين:
      • الالتزام بسياسة مركز توزيع المفاتيح (KDC)
      • تجاهل سياسة مركز توزيع المفاتيح (KDC)
    3. انقر على حفظ.
  9. (للمستخدمين والمتصفِّحات فقط) حدِّد مصدر الاسم المستخدَم لإنشاء اسم الخدمة الأساسي (SPN) في Kerberos.
    1. انقر على اسم الخدمة الأساسي في Kerberos.
    2. حدّد أحد الخيارَين التاليَين:
      • استخدام اسم "نظام أسماء النطاقات" الأساسي
      • استخدام الاسم الأصلي الذي تم إدخاله
    3. انقر على حفظ.
  10. (للمستخدمين والمتصفِّحات فقط) حدِّد ما إذا كان اسم الخدمة الأساسي في Kerberos الذي تم إنشاؤه يجب أن يتضمّن منفذًا غير عادي.
    1. انقر على منفذ اسم الخدمة الأساسي (SPN) في Kerberos.
    2. حدّد أحد الخيارَين التاليَين:
      • تضمين منفذ غير عادي
      • عدم تضمين منفذ غير عادي
    3. انقر على حفظ.
  11. (للمستخدمين والمتصفِّحات فقط) حدِّد ما إذا كان المحتوى الفرعي في صفحة تابعة لجهة خارجية يُسمَح لها بعرض مربّع حوار مصادقة HTTP الأساسي.
    1. انقر على المصادقة المشتركة المنشأ
    2. حدّد أحد الخيارَين التاليَين:
      • السماح بالمصادقة المشتركة المنشأ
      • حظر المصادقة المشتركة المنشأ
    3. انقر على حفظ.

الإجراءات التي يمكن للمستخدمين اتخاذها

إضافة تذكرة

عندما يحاول المستخدمون الوصول إلى مورد محمي ببروتوكول Kerberos، يتم تزويدهم بخيار إضافة تذكرة أو المتابعة بدونها.

لإضافة تذكرة، يُرجى اتّباع الخطوات التالية:

  1. في المربّع، انقر على إدارة التذاكر.
  2. في صفحة تذاكر Kerberos، انقر على إضافة تذكرة.
  3. أدخِل اسم المستخدم وكلمة المرور الخاصّين بخدمة Active Directory.
    ملاحظة: يتوافق نظام التشغيل Chrome مع الترميزuser@domain فقط، وليس الترميز domain/user.
  4. (اختياري) لإعادة تحميل التذكرة تلقائيًا، يجب إبقاء العلامة في المربّع تذكُّر كلمة المرور .
  5. (اختياري) عدِّل ملف الضبط:
    • انقر على إعدادات متقدّمة.
    • غيِّر معلومات ضبط Kerberos، مثل مدة صلاحية التذكرة وأنواع التشفير وعمليات الربط في النطاق. ولمعرفة التفاصيل، يمكنك الاطّلاع على ضبط طريقة الحصول على التذاكر.
    • انقر على حفظ.
  6. انقر على إضافة.
  7. أعد تحميل الصفحة التي تحاول عرضها.

ملاحظة: يتطلب Kerberos إعدادًا معيّنًا لنظام أسماء النطاقات، وبالأخص سجلّات الخدمة (SRV) لخدمتَي ‎_kerberos و‎_kerberos-master. ولمعرفة التفاصيل، يمكنك الاطّلاع على تحديد المشاكل وحلّها أدناه.

ضبط التذكرة المفعَّلة

يمكن للمستخدمين إضافة تذاكر Kerberos متعدّدة على أجهزة ChromeOS. ولكن لا يمكن تفعيل سوى تذكرة واحدة واستخدامها للمصادقة في أي وقت محدد. يمكن للمستخدمين الوصول إلى الموارد التي تتطلّب مستويات تفويض مختلفة من خلال تبديل التذاكر. على سبيل المثال، إذا كانت صفحات ويب داخلية معيّنة تتطلّب تذكرة Kerberos ذات مستوى إذن مميّز أعلى.

  1. سجِّل الدخول إلى جهاز ChromeOS مُدار إذا لم تكن قد سجَّلت الدخول حتى الآن.
  2. في أسفل يسار الشاشة، اختَر الوقت.
  3. انقر على رمز الإعدادات .
  4. في قسم "الأشخاص"، انقر على تذاكر Kerberos.
  5. ابحث عن التذكرة التي تريد تفعيلها.
  6. على يسار الشاشة، انقر على رمز المزيد ثمضبط كتذكرة نشطة.

إعادة تحميل تذكرة وتعديل الضبط

تكون التذاكر تلقائيًا صالحة لمدة 10 ساعات ويمكن تجديدها لمدة أسبوع بدون أن يضطر المستخدمون إلى إعادة إدخال اسم المستخدم وكلمة المرور. عندما تنتهي صلاحية تذكرة ولا يمكن إعادة تحميلها تلقائيًا، ستظهر للمستخدمين رسالة تفيد بأنّه عليهم إعادة تحميل التذكرة يدويًا. وفي حال انتهت صلاحية التذكرة المفعَّلة للمستخدمين، لن تعمل مصادقة Kerberos حتى تتم إعادة تحميل التذكرة.

  1. سجِّل الدخول إلى جهاز ChromeOS مُدار إذا لم تكن قد سجَّلت الدخول حتى الآن.
  2. في أسفل يسار الشاشة، اختَر الوقت.
  3. انقر على رمز الإعدادات .
  4. في قسم "الأشخاص"، انقر على تذاكر Kerberos.
  5. ابحث عن التذكرة التي تريد إعادة تحميلها.
  6. انقر على إعادة التحميل.
    إذا لم تكن صلاحية التذكرة قد أوشكت على الانتهاء، انقر على رمز المزيد ثمإعادة التحميل الآن على يسار الصفحة.
  7. أدخِل اسم المستخدم وكلمة المرور الخاصّين بخدمة Active Directory.
    ملاحظة: يتوافق ChromeOS فقط مع التدوين user@domain، وليس التدوين domain/user.
  8. (اختياري) لإعادة تحميل التذكرة تلقائيًا، ضع علامة في مربّع الاختيار تذكُّر كلمة المرور.
  9. (اختياري) عدِّل ملف الضبط:
    1. انقر على إعدادات متقدّمة.
    2. غيِّر معلومات ضبط Kerberos، مثل مدة صلاحية التذكرة وأنواع التشفير وعمليات الربط في النطاق. ولمعرفة التفاصيل، يمكنك الاطّلاع على ضبط طريقة الحصول على التذاكر.
    3. انقر على حفظ.
  10. انقر على إعادة التحميل.

إزالة تذكرة

  1. سجِّل الدخول إلى جهاز ChromeOS مُدار إذا لم تكن قد سجَّلت الدخول حتى الآن.
  2. في أسفل يسار الشاشة، اختَر الوقت.
  3. انقر على رمز الإعدادات .
  4. في قسم "الأشخاص"، انقر على تذاكر Kerberos.
  5. ابحث عن التذكرة التي تريد إزالتها.
  6. على يسار الصفحة، انقر على رمز المزيد ثمإزالة من هذا الجهاز.

ضبط طريقة الحصول على التذاكر

عند إضافة تذكرة جديدة أو إعادة تحميل تذكرة حالية، يمكن للمستخدمين تعديل الإعداد krb5.conf ضِمن بروتوكول Kerberos. يستند رمز نظام التشغيل ChromeOS الذي يتفاعل مع مركز توزيع مفاتيح Kerberos إلى مكتبة MIT Kerberos. وللاّطلاع على تفاصيل الضبط، يمكنك الانتقال إلى مستندات MIT Kerberos. ومع ذلك، فإنّ بعض الخيارات غير متاحة.
في ما يلي قائمة بالخيارات المتاحة في نظام التشغيل ChromeOS:
القسم العلاقة
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

أي قيمة
[capaths]

أي قيمة

مثال: طلب مدة صلاحية مختلفة لتذكرة

[libdefaults]

        ticket_lifetime = 16h

يطلب المثال الحصول على تذكرة صالحة لمدة 16 ساعة. وقد تكون مدة الصلاحية محدودة من جهة الخادم، حيث تكون القيمة التلقائية 10 ساعات.

لتغيير الحد من جهة الخادم:

  1. افتح وحدة التحكُّم في إدارة سياسة المجموعة.
  2. انتقِل إلى الإعداداتثمإعدادات الأمانثمسياسات الحسابثمسياسة Kerberos.
  3. عدِّل سياسة الحد الأقصى لمدة صلاحية تذكرة المستخدم.

مثال: طلب مدة تجديد مختلفة لتذكرة

[libdefaults]

        renew_lifetime = 14d

يطلب المثال الحصول على تذكرة يمكن تجديدها لمدة 14 يومًا. وقد تكون مدة التجديد محدودة من جهة الخادم، حيث تكون القيمة التلقائية 7 أيام.

لتغيير الحد من جهة الخادم:

  1. افتح وحدة التحكُّم في إدارة سياسة المجموعة.
  2. انتقِل إلى الإعداداتثمإعدادات الأمانثمسياسات الحسابثمسياسة Kerberos.
  3. عدِّل سياسة الحد الأقصى لمدة تجديد تذكرة المستخدم.

تحديد المشاكل وحلّها

بشكل عام، يمكنك تحديد المشاكل وحلّها باستخدام أداة سطر الأوامر kinit على نظام التشغيل Linux. حيث يستند نظام التشغيل Chrome إلى نظام التشغيل Linux ويستخدم أداة kinit لتنفيذ تذاكر Kerberos. وبالتالي، إذا تمكنت من الحصول على تذكرة Kerberos باستخدام أداة kinit على نظام التشغيل Linux، ستتمكّن أيضًا من الحصول على تذكرة على ChromeOS باستخدام الإعداد نفسه.

رسالة خطأ: نوع التشفير غير متوافق مع مركز توزيع المفاتيح (KDC)

تفرض Google تشفير AES قويًا بشكل تلقائي. وفي حال واجهت خطأً بشأن أنواع التشفير، قد يكون سببه أنّ أجزاء من بيئة الخادم لا يمكنها التعامل مع تشفير AES. وبالتالي ننصح بحلّ هذه المشكلة.

إذا لم يكن الأمر كذلك، يمكنك إزالة أسطر الأوامر الثلاثة default_tgs_enctypes وdefault_tkt_enctypes وperated_enctypes من الإعدادات للحصول على نتائج أفضل. وسيؤدي هذا إلى تفعيل جميع أنواع التشفير في مستندات MIT Kerberos باستثناء الأنواع المحدّدة على أنها ضعيفة من حيث الأداء والفعالية. وعليك التحقّق للتأكّد من أنّ التداعيات الأمنية متوافقة مع احتياجاتك. ونشير هنا إلى أنّ بعض أنواع التشفير أصبحت غير قوية من ناحية الأداء.

بعد التأكُّد من أنّ مجموعة كل أنواع التشفير تعمل، ننصحك بتحديد أنواع التشفير default_tgs_enctypes وdefault_tkt_enctypes وperated_enctypes لمجموعة فرعية مناسبة من الأنواع بهدف الحد من مخاطر الأمان.

رسالة خطأ: تعذُّر الاتصال بخادم النطاق

  1. تحقَّق من إدخال اسم مستخدم Kerberos الصحيح.
    اسم مستخدم Kerberos،‏ user@example.com، يتألف من:
    • اسم تسجيل الدخول للمستخدم، والمعروف أيضًا بـ sAMAccountName
    • نطاق Kerberos، والذي يتطابق عادةً مع اسم نطاق Windows
  2. تأكَّد من إعداد اتصال الشبكة بشكلٍ صحيح.
    تأكَّد من إمكانية الوصول إلى الخادم من جهاز Chrome في منفذ 88 في Kerberos العادي.
  3. تحقَّق من إعداد نظام أسماء النطاقات بشكلٍ صحيح.
    يطلب Kerberos سجلّات خدمة لنظام أسماء النطاقات معيّنة للعثور على اسم نطاق نظام أسماء النطاقات لخدمة Kerberos. على سبيل المثال، إذا كان نطاق تسجيل الدخول أو النطاق العادي هو example.com واسم نطاق نظام أسماء النطاقات لخدمة Kerberos فقط هو dc.example.com، يجب إضافة سجلّات الخدمة التالية الخاصة بنظام أسماء النطاقات:
الخدمة البروتوكول الأولوية الوزن المنفذ الهدف (اسم المضيف)
‎_kerberos ‎_udp.dc._msdcs 0 100 88 dc.example.com
‎_kerberos ‎_tcp.dc._msdcs 0 100 88 dc.example.com
‎_kerberos ‎_udp 0 100 88 dc.example.com
‎_kerberos ‎_tcp 0 100 88 dc.example.com
‎_kerberos-master ‎_udp.dc._msdcs 0 100 88 dc.example.com
‎_kerberos-master ‎_tcp.dc._msdcs 0 100 88 dc.example.com
‎_kerberos-master ‎_udp 0 100 88 dc.example.com
‎_kerberos-master ‎_tcp 0 100 88 dc.example.com

إذا لم تتمكّن من تعديل إعدادات نظام أسماء النطاقات، يمكنك إضافة هذه الارتباطات في ضبط Kerberos.

مثل:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

إذا استمرّت المشاكل المتعلّقة بالحصول على تذاكر Kerberos، اجمع سجلّات النظام. واجمع أيضًا سجلّات tcpdump أو wireshark إن أمكن. بعد ذلك، يمكنك التواصل مع فريق الدعم.

رسالة خطأ: اسم المستخدم غير معروف للخادم

تحقَّق من أنّ المستخدم الذي يحمل اسم تسجيل الدخول المحدّد مدرَج في قاعدة بيانات Active Directory للخادم.

رسالة خطأ: تعذّر الحصول على تذكرة Kerberos. يُرجى إعادة المحاولة أو التواصل مع مشرف الأجهزة في مؤسستك. (رمز الخطأ X)

اجمع سجلّات النظام وتواصل مع فريق الدعم.

مواضيع ذات صلة

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟
true
بحث
محو البحث
إغلاق البحث
القائمة الرئيسية
11662498864130759640
true
مركز مساعدة البحث
true
true
true
true
true
410864
false
false