För administratörer som hanterar Chrome OS-enheter för företag eller skolor.
Som administratör kan du använda Kerberos-biljetter på ChromeOS-enheter för att aktivera enkel inloggning för interna resurser som stöder Kerberos-autentisering. Interna resurser kan vara webbplatser, filresurser, certifikat och så vidare.
Krav
- Enheter med ChromeOS version 91 eller senare.
- Kiosker stöds inte för närvarande.
- Active Directory-miljö.
Konfigurera Kerberos
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
I administratörskonsolen öppnar du menyn EnheterChromeInställningar. Sidan Inställningar för användare och webbläsare öppnas som standard.
Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn Webbläsaren ChromeInställningar.
- (Valfritt) Klicka på Inställningar för hanterad gästsession högst upp.
-
(Valfritt) Om du vill tillämpa inställningen på en avdelning eller ett team väljer du en organisationsenhet vid sidan. Visa hur
-
Öppna Kerberos.
-
Klicka på Kerberos-ärenden.
-
Välj Aktivera Kerberos.
-
(Valfritt) (Enbart användare och webbläsare) Begär automatiskt Kerberos-ärenden för användare när de loggar in.
-
Välj Lägg automatiskt till ett Kerberos-konto.
-
Ange huvudnamnet. Platshållarna ${{LOGIN_ID} och ${{LOGIN_EMAIL} stöds.
-
Välj Använd standardkonfiguration för Kerberos. Du kan även välja Anpassa Kerberos-konfiguration och ange den Kerberos-konfiguration som du behöver för att stödja miljön. Mer information finns i Konfigurera hur du skaffar biljetter.
Obs! Du bör granska Kerberos-konfigurationen krb5.conf. Standardkonfigurationen tillämpar stark AES-kryptering som kanske inte stöds av alla delar av din miljö.
-
-
Klicka på Spara.
Konfigurera hur Kerberos kan användas på enheter
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
I administratörskonsolen öppnar du menyn EnheterChromeInställningar. Sidan Inställningar för användare och webbläsare öppnas som standard.
Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn Webbläsaren ChromeInställningar.
- (Valfritt) Klicka på Inställningar för hanterad gästsession högst upp.
-
(Valfritt) Om du vill tillämpa inställningen på en avdelning eller ett team väljer du en organisationsenhet vid sidan. Visa hur
- Öppna Nätverk.
- Konfigurera tillåtna autentiseringsservrar:
- Klicka på Integrerade autentiseringsservrar.
- Ange webbadresser till webbplatser som skyddas av Kerberos. Användarna kan använda sin aktiva biljett för att få åtkomst till de servrar som du listar utan att behöva logga in.
Obs! Du kan lägga till flera servernamn avgränsade med kommatecken. Jokertecken (*) får användas. Inkludera inte jokertecken i domännamnet. Undvik till exempel att lägga till *exempel.com i listan. Här är en exempellista *.exempel.com, exempel.com. - Klicka på Spara.
- (Endast användare och webbläsare) Konfigurera tillåtna servrar för delegering:
- Klicka på Kerberos-delegeringsservrar.
- Ange webbadresser för de servrar som Chrome kan delegera till.
Obs! Du kan lägga till flera servernamn avgränsade med kommatecken. Jokertecken (*) får användas. - Klicka på Spara.
- [Användare och webbläsare] Ange om du vill följa KDC-policyn (Key Distribution Center) för att delegera Kerberos-ärenden.
- Klicka på Delegering av Kerberos-ärende.
- Välj ett alternativ:
- Respektera KDC-policy
- Ignorera KDC-policy
- Klicka på Spara.
- (Endast användare och webbläsare) Ange källan till namnet som används för att skapa Kerberos-tjänstens huvudnamn (SPN).
- Klicka på Huvudnamn för Kerberos-tjänst.
- Välj ett alternativ:
- Använd kanoniskt DNS-namn
- Använd det ursprungliga namn som angetts
- Klicka på Spara.
- (Enbart användare och webbläsare) Ange om Kerberos SPN som har skapats ska inkludera en port som inte är standard.
- Klicka på Kerberos SPN-port.
- Välj ett alternativ:
- Inkludera port som inte är standard
- Inkludera inte port som inte är standard
- Klicka på Spara.
- (Enbart användare och webbläsare) Ange om externt delinnehåll på en sida får öppna en dialogruta för grundläggande HTTP-autentisering.
- Klicka på Cross-origin-autentisering
- Välj ett alternativ:
- Tillåt cross-origin-autentisering
- Blockera cross-origin-autentisering
- Klicka på Spara.
Det här kan användare göra
Lägg till en biljett
När användarna försöker få åtkomst till en Kerberos-skyddad resurs kan de välja att lägga till ett ärende eller fortsätta utan.
Så här lägger du till ett ärende:
- Klicka på Hantera ärenden i rutan.
- Klicka på Lägg till ett ärende på sidan Kerberos-ärenden.
- Logga in med ditt användarnamn och lösenord för Active Directory.
Obs! ChromeOS har enbart stöd för användare@domän-notationen, inte domän/användare-notationen. - (Valfritt) Om du vill uppdatera ärendet automatiskt ser du till att kryssrutan Kom ihåg lösenord är markerad.
- (Valfritt) Redigera konfigurationsfilen:
- Klicka på Avancerat.
- Ändra konfigurationsinformation för Kerberos, som biljettens livslängd, krypteringstyper och mappningar av domänsfär. Mer information finns i Konfigurera hur du skaffar biljetter.
- Klicka på Spara.
- Klicka på Lägg till.
- Läs in sidan som du försöker visa igen.
Obs! Kerberos kräver en viss DNS-konfiguration, i synnerhet SRV-poster för tjänsterna _kerberos
och _kerberos-master
. Mer information finns i Felsökning nedan.
Konfigurera aktiv biljett
Användarna kan lägga till flera Kerberos-biljetter på sina ChromeOS-enheter. Endast en biljett kan vara aktiv och användas för autentisering vid en viss tidpunkt. Användarna kan få tillgång till resurser som kräver olika behörighetsnivåer genom att byta biljetter. Exempelvis om vissa interna webbsidor exempelvis kräver en Kerberos-biljett med högre behörighetsnivå.
- Logga in på en hanterad ChromeOS-enhet om du inte redan har gjort det.
- Välj klockan nere till höger.
- Klicka på Inställningar .
- Klicka på Kerberos-biljetter i avsnittet Personer.
- Hitta den biljett som du vill aktivera.
- Klicka på Mer Ange som aktivt ärende till höger.
Uppdatera en biljett och ändra konfigurationen
Som standard är biljetter giltiga i 10 timmar och kan förnyas i en vecka utan att användarna behöver ange sitt användarnamn och lösenord på nytt. När en biljett löper ut och inte kan uppdateras automatiskt ser användarna ett meddelande om att de måste uppdatera biljetten manuellt. Om användarna låter den aktiva biljetten löpa ut fungerar inte Kerberos-autentisering förrän de uppdaterar biljetten.
- Logga in på en hanterad ChromeOS-enhet om du inte redan har gjort det.
- Välj klockan nere till höger.
- Klicka på Inställningar .
- Klicka på Kerberos-biljetter i avsnittet Personer.
- Leta reda på biljetten som du vill uppdatera.
- Klicka på Uppdatera .
Om ärendet inte är nära att löpa ut klickar du på Mer Uppdatera nu. - Logga in med ditt användarnamn och lösenord för Active Directory.
Obs! ChromeOS har enbart stöd för användare@domän-notationen, inte domän/användare-notationen. - (Valfritt) Om du vill uppdatera biljetten automatiskt markerar du kryssrutan Kom ihåg lösenord.
- (Valfritt) Redigera konfigurationsfilen.
- Klicka på Avancerat.
- Ändra konfigurationsinformation för Kerberos, som biljettens livslängd, krypteringstyper och mappningar av domänsfär. Mer information finns i Konfigurera hur du skaffar biljetter.
- Klicka på Spara.
- Klicka på Uppdatera .
Ta bort en biljett
- Logga in på en hanterad ChromeOS-enhet om du inte redan har gjort det.
- Välj klockan nere till höger.
- Klicka på Inställningar .
- Klicka på Kerberos-biljetter i avsnittet Personer.
- Leta reda på biljetten som du vill ta bort.
- Klicka på Mer Ta bort från den här enheten till höger.
Konfigurera hur du skaffar biljetter
Sektion | Relation |
---|---|
[libdefaults] |
|
[realms] |
|
[domain_realm] |
Valfritt värde |
[capaths] |
Valfritt värde |
Exempel: Begär en annan livslängd för biljett
[libdefaults]
ticket_lifetime = 16h
I det här exemplet begärs en biljett som är giltig i 16 timmar. Giltighetstiden kan vara begränsad på serversidan. Standardinställningen är 10 timmar.
Så här ändrar du gränsen på serversidan:
- Öppna konsolen för hantering av gruppolicy.
- Öppna InställningarSäkerhetsinställningarKontopolicyerKerberos-policy.
- Ändra policyn för Maximal livslängd för användarbiljett.
Exempel: Begär en annan livslängd för förnyelse av biljett
[libdefaults]
renew_lifetime = 14d
I exemplet begärs en biljett som kan förnyas i 14 dagar. Förnyelseperioden kan vara begränsad på serversidan. Standarden är sju dagar.
Så här ändrar du gränsen på serversidan:
- Öppna konsolen för hantering av gruppolicy.
- Öppna InställningarSäkerhetsinställningarKontopolicyerKerberos-policy.
- Ändra policyn för Maximal livslängd för förnyelse av användarbiljett.
Felsökning
I allmänhet kan du felsöka problem med hjälp av kommandoradsverktyget kinit i Linux. ChromeOS är Linux-baserat och Kerberos-ärendena använder kinit
. Om du kan få en Kerberos-biljett med kin
i Linux bör du även kunna få en biljett till ChromeOS med samma konfiguration.
Felmeddelande: KDC har inte stöd för krypteringstypen
Google tillämpar stark AES-kryptering som standard. Om du ser ett felmeddelande om krypteringstyper kan det hända att delar av servermiljön inte kan hantera AES-kryptering. Vi rekommenderar att du åtgärdar detta.
Alternativt kan du ta bort de tre raderna för default_tgs_enctypes
, default_tkt_enctypes
och permitted_enctypes
från konfigurationen för utveckling. Detta aktiverar alla krypteringstyper i MIT Kerberos-dokumentationen, förutom de som är markerade som svaga. Kontrollera att säkerhetsbegränsningarna överensstämmer med dina behov. Vissa krypteringstyper betraktas inte längre som starka.
När du har bekräftat att alla krypteringstyper fungerar rekommenderar vi att du begränsar krypteringstyperna för default_tgs_enctypes
, default_tkt_enctypes
och priviled_enctypes
till en lämplig delmängd av typerna för att minimera säkerhetsrisker.
Felmeddelande: Det gick inte att kontakta servern för sfären
- Kontrollera att du har angett rätt Kerberos-användarnamn.
Kerberos-användarnamnet, användare@exempel.com, består av:- Användarens inloggningsnamn, som även kallas sAMAccountName
- Kerberos-sfär, som vanligtvis matchar Windows-domännamnet
- Kontrollera att nätverksanslutningen är korrekt konfigurerad.
Kontrollera att servern kan nås från ChromeOS-enheten på standardport 88 för Kerberos. - Kontrollera att DNS är korrekt konfigurerat.
DNS-poster begär vissa DNS-poster för Kerberos för att hitta DNS-domännamnet för Kerberos-tjänsten. Om inloggningsdomänen eller den fysiska domänen är exempel.com och DNS-domännamnet för den enda Kerberos-tjänsten är dc.exempel.com, ska följande DNS SRV-poster läggas till:
Tjänst | Protokoll | Prioritet | Vikt | Port | Mål (värdnamn) |
---|---|---|---|---|---|
_kerberos | _udp.dc._msdcs | 0 | 100 | 88 | dc.exempel.com |
_kerberos | _tcp.dc._msdcs | 0 | 100 | 88 | dc.exempel.com |
_kerberos | _udp | 0 | 100 | 88 | dc.exempel.com |
_kerberos | _tcp | 0 | 100 | 88 | dc.exempel.com |
_kerberos-master | _udp.dc._msdcs | 0 | 100 | 88 | dc.exempel.com |
_kerberos-master | _tcp.dc._msdcs | 0 | 100 | 88 | dc.exempel.com |
_kerberos-master | _udp | 0 | 100 | 88 | dc.exempel.com |
_kerberos-master | _tcp | 0 | 100 | 88 | dc.exempel.com |
Om du inte kan ändra DNS-inställningarna kan du lägga till dessa mappningar i Kerberos-konfigurationen.
Exempel:
[realms]
EXEMPEL.COM = {
kdc = dc.exempel.com
master_kdc = dc.exempel.com
}
Om du fortfarande har problem med att hämta Kerberos-biljetter samlar du in systemloggar. Samla även in tcpdump- eller wireshark-loggar, om möjligt. Sedan kontaktar du support.