Avisering

Planerar du en strategi för återgång till kontorsarbete? Se hur Chrome OS kan vara till hjälp.

Konfigurera Kerberos för enkel inloggning på ChromeOS-enheter

För administratörer som hanterar Chrome OS-enheter för företag eller skolor.

Som administratör kan du använda Kerberos-biljetter på ChromeOS-enheter för att aktivera enkel inloggning för interna resurser som stöder Kerberos-autentisering. Interna resurser kan vara webbplatser, filresurser, certifikat och så vidare.

Krav

  • Enheter med ChromeOS version 91 eller senare.
  • Kiosker stöds inte för närvarande.
  • Active Directory-miljö.

Konfigurera Kerberos

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. I administratörskonsolen öppnar du menyn följt av Enheterföljt avChromeföljt avInställningar. Sidan Inställningar för användare och webbläsare öppnas som standard.

    Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn följt av Webbläsaren Chromeföljt avInställningar.

  3. (Valfritt) Klicka på Inställningar för hanterad gästsession högst upp.
  4. (Valfritt) Om du vill tillämpa inställningen på en avdelning eller ett team väljer du en organisationsenhet vid sidan. Visa hur

  5. Öppna Kerberos.

  6. Klicka på Kerberos-ärenden.

  7. Välj Aktivera Kerberos.

  8. (Valfritt) (Enbart användare och webbläsare) Begär automatiskt Kerberos-ärenden för användare när de loggar in.

    1. Välj Lägg automatiskt till ett Kerberos-konto.

    2. Ange huvudnamnet. Platshållarna ${{LOGIN_ID} och ${{LOGIN_EMAIL} stöds.

    3. Välj Använd standardkonfiguration för Kerberos. Du kan även välja Anpassa Kerberos-konfiguration och ange den Kerberos-konfiguration som du behöver för att stödja miljön. Mer information finns i Konfigurera hur du skaffar biljetter.
      Obs! Du bör granska Kerberos-konfigurationen krb5.conf. Standardkonfigurationen tillämpar stark AES-kryptering som kanske inte stöds av alla delar av din miljö.

  9. Klicka på Spara.

Konfigurera hur Kerberos kan användas på enheter

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. I administratörskonsolen öppnar du menyn följt av Enheterföljt avChromeföljt avInställningar. Sidan Inställningar för användare och webbläsare öppnas som standard.

    Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn följt av Webbläsaren Chromeföljt avInställningar.

  3. (Valfritt) Klicka på Inställningar för hanterad gästsession högst upp.
  4. (Valfritt) Om du vill tillämpa inställningen på en avdelning eller ett team väljer du en organisationsenhet vid sidan. Visa hur
  5. Öppna Nätverk.
  6. Konfigurera tillåtna autentiseringsservrar:
    1. Klicka på Integrerade autentiseringsservrar.
    2. Ange webbadresser till webbplatser som skyddas av Kerberos. Användarna kan använda sin aktiva biljett för att få åtkomst till de servrar som du listar utan att behöva logga in.
      Obs!  Du kan lägga till flera servernamn avgränsade med kommatecken. Jokertecken (*) får användas. Inkludera inte jokertecken i domännamnet. Undvik till exempel att lägga till *exempel.com i listan. Här är en exempellista *.exempel.com, exempel.com.
    3. Klicka på Spara.
  7. (Endast användare och webbläsare) Konfigurera tillåtna servrar för delegering:
    1. Klicka på Kerberos-delegeringsservrar.
    2. Ange webbadresser för de servrar som Chrome kan delegera till.
      Obs! Du kan lägga till flera servernamn avgränsade med kommatecken. Jokertecken (*) får användas.
    3. Klicka på Spara.
  8. [Användare och webbläsare] Ange om du vill följa KDC-policyn (Key Distribution Center) för att delegera Kerberos-ärenden.
    1.  Klicka på Delegering av Kerberos-ärende.
    2. Välj ett alternativ:
      • Respektera KDC-policy
      • Ignorera KDC-policy
    3. Klicka på Spara.
  9. (Endast användare och webbläsare) Ange källan till namnet som används för att skapa Kerberos-tjänstens huvudnamn (SPN).
    1. Klicka på Huvudnamn för Kerberos-tjänst.
    2. Välj ett alternativ:
      • Använd kanoniskt DNS-namn
      • Använd det ursprungliga namn som angetts
    3. Klicka på Spara.
  10. (Enbart användare och webbläsare) Ange om Kerberos SPN som har skapats ska inkludera en port som inte är standard.
    1. Klicka på Kerberos SPN-port.
    2. Välj ett alternativ:
      • Inkludera port som inte är standard
      • Inkludera inte port som inte är standard
    3. Klicka på Spara.
  11. (Enbart användare och webbläsare) Ange om externt delinnehåll på en sida får öppna en dialogruta för grundläggande HTTP-autentisering.
    1. Klicka på Cross-origin-autentisering
    2. Välj ett alternativ:
      • Tillåt cross-origin-autentisering
      • Blockera cross-origin-autentisering
    3. Klicka på Spara.

Det här kan användare göra

Lägg till en biljett

När användarna försöker få åtkomst till en Kerberos-skyddad resurs kan de välja att lägga till ett ärende eller fortsätta utan.

Så här lägger du till ett ärende:

  1. Klicka på Hantera ärenden i rutan.
  2. Klicka på Lägg till ett ärende på sidan Kerberos-ärenden.
  3. Logga in med ditt användarnamn och lösenord för Active Directory.
    Obs! ChromeOS har enbart stöd för användare@domän-notationen, inte domän/användare-notationen.
  4. (Valfritt) Om du vill uppdatera ärendet automatiskt ser du till att kryssrutan Kom ihåg lösenord är markerad.
  5. (Valfritt) Redigera konfigurationsfilen:
    • Klicka på Avancerat.
    • Ändra konfigurationsinformation för Kerberos, som biljettens livslängd, krypteringstyper och mappningar av domänsfär. Mer information finns i Konfigurera hur du skaffar biljetter.
    • Klicka på Spara.
  6. Klicka på Lägg till.
  7. Läs in sidan som du försöker visa igen.

Obs! Kerberos kräver en viss DNS-konfiguration, i synnerhet SRV-poster för tjänsterna _kerberos och _kerberos-master. Mer information finns i Felsökning nedan.

Konfigurera aktiv biljett

Användarna kan lägga till flera Kerberos-biljetter på sina ChromeOS-enheter. Endast en biljett kan vara aktiv och användas för autentisering vid en viss tidpunkt. Användarna kan få tillgång till resurser som kräver olika behörighetsnivåer genom att byta biljetter. Exempelvis om vissa interna webbsidor exempelvis kräver en Kerberos-biljett med högre behörighetsnivå.

  1. Logga in på en hanterad ChromeOS-enhet om du inte redan har gjort det.
  2. Välj klockan nere till höger.
  3. Klicka på Inställningar .
  4. Klicka på Kerberos-biljetter i avsnittet Personer.
  5. Hitta den biljett som du vill aktivera.
  6. Klicka på Mer följt avAnge som aktivt ärende till höger.

Uppdatera en biljett och ändra konfigurationen

Som standard är biljetter giltiga i 10 timmar och kan förnyas i en vecka utan att användarna behöver ange sitt användarnamn och lösenord på nytt. När en biljett löper ut och inte kan uppdateras automatiskt ser användarna ett meddelande om att de måste uppdatera biljetten manuellt. Om användarna låter den aktiva biljetten löpa ut fungerar inte Kerberos-autentisering förrän de uppdaterar biljetten.

  1. Logga in på en hanterad ChromeOS-enhet om du inte redan har gjort det.
  2. Välj klockan nere till höger.
  3. Klicka på Inställningar .
  4. Klicka på Kerberos-biljetter i avsnittet Personer.
  5. Leta reda på biljetten som du vill uppdatera.
  6. Klicka på Uppdatera .
    Om ärendet inte är nära att löpa ut klickar du på Mer följt avUppdatera nu.
  7. Logga in med ditt användarnamn och lösenord för Active Directory.
    Obs! ChromeOS har enbart stöd för användare@domän-notationen, inte domän/användare-notationen.
  8. (Valfritt) Om du vill uppdatera biljetten automatiskt markerar du kryssrutan Kom ihåg lösenord.
  9. (Valfritt) Redigera konfigurationsfilen.
    1. Klicka på Avancerat.
    2. Ändra konfigurationsinformation för Kerberos, som biljettens livslängd, krypteringstyper och mappningar av domänsfär. Mer information finns i Konfigurera hur du skaffar biljetter.
    3. Klicka på Spara.
  10. Klicka på Uppdatera .

Ta bort en biljett

  1. Logga in på en hanterad ChromeOS-enhet om du inte redan har gjort det.
  2. Välj klockan nere till höger.
  3. Klicka på Inställningar .
  4. Klicka på Kerberos-biljetter i avsnittet Personer.
  5. Leta reda på biljetten som du vill ta bort.
  6. Klicka på Mer följt avTa bort från den här enheten till höger.

Konfigurera hur du skaffar biljetter

Användarna kan ändra Kerberos-konfigurationen krb5.conf när de lägger till en ny biljett eller uppdaterar en befintlig biljett. ChromeOS-koden som interagerar med Kerberos-nyckeldistributionscentret (KDC) baseras på MIT Kerberos-biblioteket. Mer information om konfiguration finns i MIT Kerberos-dokumentationen. Alla alternativ stöds dock inte.
Här är en lista över de alternativ som stöds i ChromeOS:
Sektion Relation
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Valfritt värde
[capaths]

Valfritt värde

Exempel: Begär en annan livslängd för biljett

[libdefaults]

        ticket_lifetime = 16h

I det här exemplet begärs en biljett som är giltig i 16 timmar. Giltighetstiden kan vara begränsad på serversidan. Standardinställningen är 10 timmar.

Så här ändrar du gränsen på serversidan:

  1. Öppna konsolen för hantering av gruppolicy.
  2. Öppna Inställningarföljt avSäkerhetsinställningarföljt avKontopolicyerföljt avKerberos-policy.
  3. Ändra policyn för Maximal livslängd för användarbiljett.

Exempel: Begär en annan livslängd för förnyelse av biljett

[libdefaults]

        renew_lifetime = 14d

I exemplet begärs en biljett som kan förnyas i 14 dagar. Förnyelseperioden kan vara begränsad på serversidan. Standarden är sju dagar.

Så här ändrar du gränsen på serversidan:

  1. Öppna konsolen för hantering av gruppolicy.
  2. Öppna Inställningarföljt avSäkerhetsinställningarföljt avKontopolicyerföljt avKerberos-policy.
  3. Ändra policyn för Maximal livslängd för förnyelse av användarbiljett.

Felsökning

I allmänhet kan du felsöka problem med hjälp av kommandoradsverktyget kinit i Linux. ChromeOS är Linux-baserat och Kerberos-ärendena använder kinit. Om du kan få en Kerberos-biljett med kin i Linux bör du även kunna få en biljett till ChromeOS med samma konfiguration.

Felmeddelande: KDC har inte stöd för krypteringstypen

Google tillämpar stark AES-kryptering som standard. Om du ser ett felmeddelande om krypteringstyper kan det hända att delar av servermiljön inte kan hantera AES-kryptering. Vi rekommenderar att du åtgärdar detta.

Alternativt kan du ta bort de tre raderna för default_tgs_enctypes, default_tkt_enctypes och permitted_enctypes från konfigurationen för utveckling. Detta aktiverar alla krypteringstyper i MIT Kerberos-dokumentationen, förutom de som är markerade som svaga. Kontrollera att säkerhetsbegränsningarna överensstämmer med dina behov. Vissa krypteringstyper betraktas inte längre som starka.

När du har bekräftat att alla krypteringstyper fungerar rekommenderar vi att du begränsar krypteringstyperna för default_tgs_enctypes, default_tkt_enctypes och priviled_enctypes till en lämplig delmängd av typerna för att minimera säkerhetsrisker.

Felmeddelande: Det gick inte att kontakta servern för sfären

  1. Kontrollera att du har angett rätt Kerberos-användarnamn.
    Kerberos-användarnamnet, användare@exempel.com, består av:
    • Användarens inloggningsnamn, som även kallas sAMAccountName
    • Kerberos-sfär, som vanligtvis matchar Windows-domännamnet
  2. Kontrollera att nätverksanslutningen är korrekt konfigurerad.
    Kontrollera att servern kan nås från ChromeOS-enheten på standardport 88 för Kerberos.
  3. Kontrollera att DNS är korrekt konfigurerat.
    DNS-poster begär vissa DNS-poster för Kerberos för att hitta DNS-domännamnet för Kerberos-tjänsten. Om inloggningsdomänen eller den fysiska domänen är exempel.com och DNS-domännamnet för den enda Kerberos-tjänsten är dc.exempel.com, ska följande DNS SRV-poster läggas till:
Tjänst Protokoll Prioritet Vikt Port Mål (värdnamn)
_kerberos _udp.dc._msdcs 0 100 88 dc.exempel.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.exempel.com
_kerberos _udp 0 100 88 dc.exempel.com
_kerberos _tcp 0 100 88 dc.exempel.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.exempel.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.exempel.com
_kerberos-master _udp 0 100 88 dc.exempel.com
_kerberos-master _tcp 0 100 88 dc.exempel.com

Om du inte kan ändra DNS-inställningarna kan du lägga till dessa mappningar i Kerberos-konfigurationen.

Exempel:

[realms]

        EXEMPEL.COM = {

            kdc = dc.exempel.com

        master_kdc = dc.exempel.com

}

Om du fortfarande har problem med att hämta Kerberos-biljetter samlar du in systemloggar. Samla även in tcpdump- eller wireshark-loggar, om möjligt. Sedan kontaktar du support.

Felmeddelande: Användarnamnet är inte känt för servern

Kontrollera att användaren med det angivna inloggningsnamnet finns i Active Directory-databasen på servern.

Felmeddelande: Det gick inte att hämta Kerberos-biljetten. Försök igen eller kontakta organisationens enhetsadministratör. (Felkod X).

Samla in systemloggar och kontakta support.

Relaterade ämnen

Var det här till hjälp?

Hur kan vi förbättra den?
true
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
9173880401975109136
true
Sök i hjälpcentret
true
true
true
true
true
410864
false
false