Configurar o Logon único do Kerberos para dispositivos ChromeOS

Para administradores que gerenciam dispositivos ChromeOS em uma empresa ou escola

Como administrador, você pode usar tíquetes do Kerberos em dispositivos ChromeOS para ativar o Logon único (SSO) em recursos internos compatíveis com a autenticação Kerberos. Os recursos internos talvez incluam sites, compartilhamentos de arquivos, certificados etc.

Requisitos

Dispositivos com o ChromeOS 91 ou mais recente.
No momento, os quiosques não são compatíveis.
Ambiente do Active Directory.

Configurar o Kerberos

Faça login no Google Admin Console.
Use sua conta de administrador (não termina em @gmail.com).
No Admin Console, acesse Menu DispositivosChromeConfigurações. A página Configurações do navegador e usuário é aberta por padrão.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu Navegador ChromeConfigurações.
(Opcional) Na parte superior, clique em Configurações da sessão de visitante gerenciada.
Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
Acesse Kerberos.
Clique em Tíquetes do Kerberos.
Selecione Ativar Kerberos.
(Opcional) (Somente usuários e navegadores) Solicite automaticamente tíquetes do Kerberos para os usuários quando eles fizerem login.
1. Selecione Adicionar uma conta do Kerberos automaticamente.
2. Informe o nome principal. Os marcadores ${LOGIN_ID} e ${LOGIN_EMAIL} são compatíveis.
3. Selecione Usar a configuração padrão do Kerberos. Você também pode selecionar Personalizar a configuração do Kerberos e especificar a configuração necessária para seu ambiente. Veja os detalhes em Configurar o recebimento de tíquetes.
  Observação: revise sua configuração do Kerberos, krb5.conf. A configuração original aplica a codificação AES forte que talvez não seja compatível com todo o ambiente.
Clique em Salvar.

Configurar o uso do Kerberos nos dispositivos

Faça login no Google Admin Console.
Use sua conta de administrador (não termina em @gmail.com).
No Admin Console, acesse Menu DispositivosChromeConfigurações. A página Configurações do navegador e usuário é aberta por padrão.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu Navegador ChromeConfigurações.
(Opcional) Na parte superior, clique em Configurações da sessão de visitante gerenciada.
Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
Acesse Rede.
Configure os servidores de autenticação permitidos:
1. Clique em Servidores de autenticação integrados.
2. Insira os URLs de sites protegidos pelo Kerberos. Com o tíquete ativo, os usuários podem acessar os servidores listados sem fazer login.
  Observação: você pode adicionar vários nomes de servidor separados por vírgulas. Caracteres curinga (*) são permitidos. Não inclua caracteres curinga no nome de domínio. Por exemplo, evite adicionar *exemplo.com à lista. Confira um exemplo de lista: *.exemplo.com, exemplo.com.
3. Clique em Salvar.
(Somente usuários e navegadores) Configure os servidores permitidos para delegação:
1. Clique em Servidores de delegação Kerberos.
2. Digite os URLs dos servidores aos quais o Chrome pode delegar.
  Observação: você pode adicionar vários nomes de servidor separados por vírgulas. Caracteres curinga (*) são permitidos.
3. Clique em Salvar.
(Somente suários e navegadores) Especifique se é necessário respeitar a política do centro de distribuição de chaves (KDC) para delegar tíquetes do Kerberos:
1. Clique em Delegação de tíquetes do Kerberos.
2. Escolha uma opção:
  - Respeitar a política KDC
  - Ignorar a política KDC
3. Clique em Salvar.
(Somente usuários e navegadores) Especifique a origem do nome usado para gerar o nome principal de serviço do Kerberos (SPN).
1. Clique em Nome principal de serviço do Kerberos.
2. Escolha uma opção:
  - Usar o nome DNS canônico
  - Usar o nome original inserido
3. Clique em Salvar.
(Somente suários e navegadores) Especifique se o SPN gerado do Kerberos deve incluir uma porta não padrão.
1. Clique em Porta de SPN do Kerberos.
2. Escolha uma opção:
  - Incluir a porta não padrão
  - Não incluir a porta não padrão
3. Clique em Salvar.
(Somente usuários e navegadores) Especifique se o subconteúdo terceirizado de uma página pode abrir em pop-up uma caixa de diálogo de autenticação básica HTTP.
1. Clique em Autenticação de origem cruzada.
2. Escolha uma opção:
  - Permitir autenticação de origem cruzada
  - Bloquear autenticação de origem cruzada
3. Clique em Salvar.

O que os usuários podem fazer

Adicionar um tíquete

Quando os usuários tentam acessar um recurso protegido pelo Kerberos, eles têm a opção de adicionar um tíquete ou continuar sem um.

Para adicionar um ingresso, siga estas etapas:

Na caixa, clique em Gerenciar ingressos.
Na página Tíquetes do Kerberos, clique em Adicionar um tíquete.
Informe seu nome de usuário e a senha do Active Directory.
Observação: o ChromeOS só é compatível com a notação usuário@domínio e não domínio/usuário.
(Opcional) Para atualizar automaticamente o tíquete, mantenha a caixa Lembrar senha marcada.
(Opcional) Edite o arquivo de configuração:
- Clique em Avançado.
- Altere as informações de configuração do Kerberos, como o ciclo de vida do tíquete, os tipos de criptografia e os mapeamentos de domínio-realm. Confira os detalhes em Configurar o recebimento de tíquetes.
- Clique em Salvar.
Clique em Adicionar.
Atualize a página que você está tentando acessar.

Observação: o Kerberos requer uma determinada configuração de DNS, especificamente registros SRV para os serviços _kerberos e _kerberos-master. Veja os detalhes em Resolver problemas abaixo.

Definir o tíquete ativo

Os usuários podem adicionar vários tíquetes do Kerberos nos dispositivos ChromeOS. No entanto, apenas um tíquete pode estar ativo e ser usado para autenticação de cada vez. Os usuários podem alternar os tíquetes para acessar recursos que exigem diferentes níveis de autorização. Por exemplo, quando determinadas páginas da Web internas exigem um tíquete do Kerberos com um nível de privilégio mais alto.

Faça login em um dispositivo ChromeOS gerenciado, caso ainda não tenha feito.
No canto inferior direito, selecione o horário.
Clique em Configurações .
Na seção "Pessoas", clique em Tíquetes do Kerberos.
Localize o tíquete que você quer ativar.
À direita, clique em Mais Definir como tíquete ativo.

Atualizar um tíquete e modificar a configuração

Por padrão, os tíquetes têm validade de 10 horas e podem ser renovados por uma semana sem que seja necessário informar o nome de usuário e a senha novamente. Quando um tíquete expira e a atualização automática não é possível, os usuários veem uma mensagem informando que precisam atualizar o tíquete manualmente. Se os usuários deixarem o tíquete ativo expirar, a autenticação Kerberos deixará de funcionar até que ele seja atualizado.

Faça login em um dispositivo ChromeOS gerenciado, caso ainda não tenha feito.
No canto inferior direito, selecione o horário.
Clique em Configurações .
Na seção "Pessoas", clique em Tíquetes do Kerberos.
Localize o tíquete que você quer atualizar.
Clique em Atualizar.
Se o tíquete não estiver perto de expirar, à direita, clique em MaisAtualizar agora.
Informe seu nome de usuário e a senha do Active Directory.
Observação: o ChromeOS só é compatível com a notação usuário@domínio e não domínio/usuário.
(Opcional) Para atualizar o tíquete automaticamente, marque a caixa de seleção Lembrar senha.
(Opcional) Edite o arquivo de configuração:
1. Clique em Avançado.
2. Altere as informações de configuração do Kerberos, como o ciclo de vida do tíquete, os tipos de criptografia e os mapeamentos de domínio-realm. Confira os detalhes em Configurar o recebimento de tíquetes.
3. Clique em Salvar.
Clique em Atualizar.

Remover um tíquete

Faça login em um dispositivo ChromeOS gerenciado, caso ainda não tenha feito.
No canto inferior direito, selecione o horário.
Clique em Configurações .
Na seção "Pessoas", clique em Tíquetes do Kerberos.
Localize o tíquete que você quer remover.
À direita, clique em Mais Remover deste dispositivo.

Configurar o recebimento de tíquetes

Os usuários podem modificar a configuração do Kerberos, krb5.conf, ao adicionar um novo tíquete ou atualizar um tíquete existente. O código do ChromeOS que interage com o centro de distribuição de chaves (KDC, na sigla em inglês) do Kerberos é baseado na biblioteca do MIT Kerberos. Veja os detalhes da configuração na documentação do MIT Kerberos (em inglês). No entanto, nem todas as opções estão disponíveis.

Esta é uma lista das opções compatíveis com o ChromeOS:

Seção	Relação
`[libdefaults]`	`canonicalize` `clockskew` `default_tgs_enctypes` `default_tkt_enctypes` `dns_canonicalize_hostname` `dns_lookup_kdc` `extra_addresses` `forwardable` `ignore_acceptor_hostname` `kdc_default_options` `kdc_timesync` `noaddresses` `permitted_enctypes` `preferred_preauth_types` `proxiable` `rdns` `renew_lifetime` `ticket_lifetime` `Udp_preference_limit`
`[realms]`	`admin_server` `auth_to_local` `kdc` `kpasswd_server` `master_kdc`
`[domain_realm]`	Qualquer valor
`[capaths]`	Qualquer valor

Exemplo: solicitar um ciclo de vida de tíquete diferente

[libdefaults]

ticket_lifetime = 16h

No exemplo, solicitamos um tíquete válido por 16 horas. O ciclo de vida talvez seja limitado do lado do servidor, onde o padrão é 10 horas.

Para alterar o limite do lado do servidor:

Abra o Console de Gerenciamento de Política de Grupo.
Acesse ConfiguraçõesConfigurações de segurançaPolíticas de contaPolítica do Kerberos.
Modifique a política Ciclo de vida máximo do tíquete de usuário.

Exemplo: solicitar um ciclo de vida de renovação de tíquete diferente

[libdefaults]

renew_lifetime = 14d

No exemplo, solicitamos um tíquete que pode ser renovado por 14 dias. O ciclo de vida de renovação talvez seja limitado do lado do servidor, onde o padrão é sete dias.

Para alterar o limite do lado do servidor:

Abra o Console de Gerenciamento de Política de Grupo.
Acesse ConfiguraçõesConfigurações de segurançaPolíticas de contaPolítica do Kerberos.
Modifique a política Ciclo de vida máximo da renovação do tíquete de usuário.

Resolver problemas

Em geral, é possível resolver problemas usando a ferramenta de linha de comando kinit no Linux. O ChromeOS é baseado em Linux, e a implementação de tíquetes do Kerberos usa o kinit. Portanto, se você receber um tíquete do Kerberos usando o kinit no Linux, também precisará receber um tíquete no ChromeOS com a mesma configuração.

Mensagem de erro: "O KDC não é compatível com esse tipo de criptografia"

O Google aplica a codificação AES forte por padrão. Caso você veja um erro relacionado a tipos de criptografia, é possível que partes do ambiente do servidor não sejam compatíveis com a codificação AES. Recomendamos que você corrija isso.

Caso contrário, considere remover as três linhas correspondentes a default_tgs_enctypes, default_tkt_enctypes e permitted_enctypes da configuração para desenvolvimento. Isso ativará todos os tipos de criptografia na documentação do MIT Kerberos, exceto os marcados como fracos. Verifique se as implicações de segurança são aceitáveis para suas necessidades. Alguns tipos de criptografia não são mais considerados fortes.

Depois de confirmar que o conjunto de todos os tipos de criptografia funciona, recomendamos que você limite os tipos de criptografia para default_tgs_enctypes, default_tkt_enctypes e permitted_enctypes a um subconjunto para minimizar os riscos de segurança.

Mensagem de erro: "Falha ao entrar em contato com o servidor desse domínio"

Verifique se você digitou o nome de usuário do Kerberos certo.
O nome de usuário do Kerberos user@example.com consiste no seguinte:
- Nome de login do usuário ou sAMAccountName
- Realm do Kerberos, que geralmente corresponde ao nome de domínio do Windows
Verifique se a conexão de rede está configurada corretamente.
Confirme que o servidor pode ser acessado no dispositivo ChromeOS na porta 88 padrão do Kerberos.
Verifique se o DNS está configurado corretamente.
O Kerberos solicita determinados registros SRV DNS para encontrar o nome de domínio DNS do serviço Kerberos. Por exemplo, se o realm ou domínio de login for example.com e o nome de domínio DNS do único serviço Kerberos for dc.example.com, será preciso adicionar os seguintes registros SRV DNS:

Serviço	Protocolo	Peso	Porta	Destino (nome do host)
_kerberos	_udp.dc._msdcs	100	88	dc.example.com
_kerberos	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos	_udp	100	88	dc.example.com
_kerberos	_tcp	100	88	dc.example.com
_kerberos-master	_udp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_udp	100	88	dc.example.com
_kerberos-master	_tcp	100	88	dc.example.com

Se não for possível modificar as configurações de DNS, você poderá adicionar esses mapeamentos à configuração do Kerberos.

Exemplo:

[realms]

EXAMPLE.COM = {

kdc = dc.example.com

master_kdc = dc.example.com

}

Caso você ainda tenha problemas para receber os tíquetes do Kerberos, colete os registros do sistema. Colete também os registros do tcpdump ou do Wireshark, se possível. Em seguida, entre em contato com o suporte.

Mensagem de erro: "Nome de usuário desconhecido pelo servidor"

Confirme que o usuário com o nome de login informado existe no banco de dados do Active Directory do servidor.

Mensagem de erro: "Não foi possível acessar o tíquete do Kerberos. Tente novamente ou entre em contato com o administrador do dispositivo da sua organização. Código de erro: X."

Colete os registros do sistema e entre em contato com o suporte.

Temas relacionados

Como coletar registros do dispositivo ChromeOS

Isso foi útil?

Como podemos melhorá-lo?