Notifikasi

Merencanakan strategi kembali bekerja di kantor? Lihat cara Chrome OS dapat membantu.

Mengonfigurasi single sign-on Kerberos untuk perangkat ChromeOS

Ditujukan bagi administrator yang mengelola perangkat ChromeOS untuk akun bisnis atau sekolah.

Sebagai admin, Anda dapat menggunakan tiket Kerberos di perangkat ChromeOS guna mengaktifkan single sign-on (SSO) untuk resource internal yang mendukung autentikasi Kerberos. Resource internal dapat mencakup situs, berbagi file, sertifikat, dan sebagainya.

Persyaratan

  • Perangkat dengan ChromeOS versi 91 atau yang lebih baru.
  • Kios saat ini tidak didukung.
  • Lingkungan Active Directory.

Menyiapkan Kerberos

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluSetelan. Halaman Setelan pengguna & browser akan terbuka secara default.

    Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu lalu Browser ChromelaluSetelan.

  3. (Opsional) Di bagian atas, klik Setelan sesi tamu terkelola.
  4. Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.

  5. Buka Kerberos.

  6. Klik Tiket Kerberos.

  7. Pilih Aktifkan Kerberos.

  8. [Opsional] [Khusus pengguna & browser] Otomatis meminta tiket Kerberos bagi pengguna saat mereka login.

    1. Pilih Tambahkan akun Kerberos secara otomatis.

    2. Masukkan Nama utama. Placeholder ${LOGIN_ID} dan ${LOGIN_EMAIL} didukung.

    3. Pilih Gunakan konfigurasi Kerberos default. Atau, pilih Sesuaikan konfigurasi Kerberos dan tentukan konfigurasi Kerberos yang diperlukan untuk mendukung lingkungan Anda. Untuk detailnya, lihat Mengonfigurasi cara mendapatkan tiket.
      Catatan: Anda harus meninjau konfigurasi Kerberos, krb5.conf. Konfigurasi default menerapkan enkripsi AES yang kuat yang mungkin tidak didukung oleh setiap bagian lingkungan Anda.

  9. Klik Simpan.

Mengonfigurasi cara Kerberos dapat digunakan di perangkat

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluSetelan. Halaman Setelan pengguna & browser akan terbuka secara default.

    Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu lalu Browser ChromelaluSetelan.

  3. (Opsional) Di bagian atas, klik Setelan sesi tamu terkelola.
  4. Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  5. Buka Jaringan.
  6. Konfigurasi server autentikasi yang diizinkan:
    1. Klik Server autentikasi terintegrasi.
    2. Masukkan URL situs yang dilindungi oleh Kerberos. Pengguna dapat menggunakan tiket aktif untuk mengakses server yang Anda cantumkan, tanpa harus login.
      Catatan: Anda dapat menambahkan beberapa nama server yang dipisahkan dengan koma. Karakter pengganti, *, diizinkan. Jangan menyertakan karakter pengganti dalam nama domain. Misalnya, hindari menambahkan *example.com ke daftar. Berikut adalah contoh daftar *.example.com, example.com.
    3. Klik Simpan.
  7. (Khusus pengguna & browser) Konfigurasi server yang diizinkan untuk delegasi:
    1. Klik Server delegasi Kerberos.
    2. Masukkan URL server yang dapat didelegasikan oleh Chrome.
      Catatan: Anda dapat menambahkan beberapa nama server yang dipisahkan dengan koma. Karakter pengganti, *, diizinkan.
    3. Klik Simpan.
  8. (Khusus pengguna & browser) Tentukan apakah akan mematuhi kebijakan Key Distribution Center (KDC) untuk mendelegasikan tiket Kerberos.:
    1.  Klik Delegasi tiket Kerberos.
    2. Pilih salah satu opsi:
      • Patuhi kebijakan KDC
      • Abaikan kebijakan KDC
    3. Klik Simpan.
  9. (Khusus pengguna & browser) Tentukan sumber nama yang digunakan untuk membuat nama utama layanan (SPN) Kerberos.
    1. Klik Nama utama layanan Kerberos.
    2. Pilih salah satu opsi:
      • Gunakan nama DNS kanonis
      • Gunakan nama asal yang dimasukkan
    3. Klik Simpan.
  10. [Khusus pengguna & browser] Tentukan apakah SPN Kerberos yang dibuat harus menyertakan port non-standar.
    1. Klik Port SPN Kerberos.
    2. Pilih salah satu opsi:
      • Sertakan port non-standar
      • Jangan sertakan port non-standar
    3. Klik Simpan.
  11. [Khusus pengguna & browser] Tentukan apakah sub-konten pihak ketiga di halaman diizinkan untuk menampilkan jendela pop-up kotak dialog autentikasi dasar HTTP.
    1. Klik Autentikasi lintas asal
    2. Pilih salah satu opsi:
      • Izinkan autentikasi lintas asal
      • Blokir autentikasi lintas asal
    3. Klik Simpan.

Yang dapat dilakukan pengguna

Menambahkan tiket

Saat pengguna mencoba mengakses resource yang dilindungi Kerberos, mereka diberi opsi untuk menambahkan tiket atau melanjutkan tanpa tiket.

Untuk menambahkan tiket, lakukan langkah-langkah berikut:

  1. Di kotak, klik Kelola tiket.
  2. Di halaman Tiket Kerberos, klik Tambahkan tiket.
  3. Masukkan nama pengguna dan sandi Active Directory Anda.
    Catatan: ChromeOS hanya mendukung notasi pengguna@domain, bukan notasi domain/pengguna.
  4. (Opsional) Untuk memperbarui tiket secara otomatis, centang kotak Ingat sandi .
  5. (Opsional) Edit file konfigurasi:
    • Klik Lanjutan.
    • Ubah informasi konfigurasi Kerberos, seperti masa berlaku tiket, jenis enkripsi, dan pemetaan lingkup domain. Untuk mengetahui detailnya, lihat Mengonfigurasi cara mendapatkan tiket.
    • Klik Simpan.
  6. Klik Tambahkan.
  7. Muat ulang halaman yang ingin Anda lihat.

Catatan: Kerberos membutuhkan penyiapan DNS tertentu, khususnya data SRV untuk layanan _kerberos dan _kerberos-master. Untuk detailnya, lihat Pemecahan masalah di bawah.

Menetapkan tiket aktif

Pengguna dapat menambahkan beberapa tiket Kerberos di perangkat ChromeOS mereka. Namun, hanya satu tiket yang dapat aktif dan digunakan untuk autentikasi setiap saat. Pengguna dapat mengakses resource yang memerlukan tingkat otorisasi berbeda dengan beralih tiket. Misalnya, jika halaman web internal tertentu memerlukan tiket Kerberos dengan level hak istimewa yang lebih tinggi.

  1. Jika Anda belum, login ke perangkat ChromeOS terkelola.
  2. Di kanan bawah, pilih waktu.
  3. Klik Setelan .
  4. Di bagian Orang, klik Tiket Kerberos.
  5. Temukan tiket yang ingin disetel ke aktif.
  6. Di sebelah kanan, klik Lainnya laluSetel sebagai tiket aktif.

Memperbarui tiket dan mengubah konfigurasi

Secara default, tiket berlaku selama 10 jam dan dapat diperpanjang selama satu minggu tanpa harus memasukkan ulang nama dan sandi pengguna. Jika masa berlaku tiket berakhir dan tidak dapat diperbarui secara otomatis, pengguna akan melihat pesan yang memberitahukan bahwa mereka perlu memperbarui tiket secara manual. Jika pengguna membiarkan masa berlaku tiket aktif habis, autentikasi Kerberos tidak lagi berfungsi hingga mereka memperbarui tiket.

  1. Jika Anda belum, login ke perangkat ChromeOS terkelola.
  2. Di kanan bawah, pilih waktu.
  3. Klik Setelan .
  4. Di bagian Orang, klik Tiket Kerberos.
  5. Temukan tiket yang ingin Anda perbarui.
  6. Klik Muat ulang.
    Jika tiket belum mendekati akhir masa berlaku, di sebelah kanan klik Lainnya laluMuat ulang sekarang.
  7. Masukkan nama pengguna dan sandi Active Directory Anda.
    Catatan: ChromeOS hanya mendukung notasi pengguna@domain, bukan notasi domain/pengguna.
  8. (Opsional) Untuk memperbarui tiket secara otomatis, centang kotak Ingat sandi.
  9. (Opsional) Edit file konfigurasi:
    1. Klik Lanjutan.
    2. Ubah informasi konfigurasi Kerberos, seperti masa berlaku tiket, jenis enkripsi, dan pemetaan lingkup domain. Untuk mengetahui detailnya, lihat Mengonfigurasi cara mendapatkan tiket.
    3. Klik Simpan.
  10. Klik Muat ulang.

Menghapus tiket

  1. Jika Anda belum, login ke perangkat ChromeOS terkelola.
  2. Di kanan bawah, pilih waktu.
  3. Klik Setelan .
  4. Di bagian Orang, klik Tiket Kerberos.
  5. Temukan tiket yang ingin Anda hapus.
  6. Di sebelah kanan, klik Lainnya laluHapus dari perangkat ini.

Mengonfigurasi cara mendapatkan tiket

Pengguna dapat mengubah konfigurasi Kerberos, krb5.conf, saat menambahkan tiket baru atau memperbarui tiket lama. Kode ChromeOS yang berinteraksi dengan Key Distribution Center (KDC) Kerberos didasarkan pada library Kerberos MIT. Untuk mengetahui detail konfigurasi, buka dokumentasi Kerberos MIT. Namun, kami tidak mendukung semua opsi.
Berikut adalah daftar opsi yang didukung ChromeOS:
Bagian Hubungan
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Semua nilai
[capaths]

Semua nilai

Contoh: Meminta masa berlaku tiket yang berbeda

[libdefaults]

        ticket_lifetime = 16h

Contoh ini meminta tiket valid selama 16 jam. Masa berlaku mungkin terbatas pada sisi server yang setelan defaultnya 10 jam.

Untuk mengubah batas sisi server:

  1. Buka Group Policy Management Console.
  2. Buka SettingslaluSecurity settingslaluAccount policieslaluKerberos policy.
  3. Ubah kebijakan Maximum lifetime for user ticket.

Contoh: Meminta masa berlaku perpanjangan tiket yang berbeda

[libdefaults]

        renew_lifetime = 14d

Contoh ini meminta tiket yang dapat diperpanjang selama 14 hari. Masa berlaku perpanjangan mungkin terbatas pada sisi server yang setelan defaultnya 7 hari.

Untuk mengubah batas sisi server:

  1. Buka Group Policy Management Console.
  2. Buka SettingslaluSecurity settingslaluAccount policieslaluKerberos policy.
  3. Ubah kebijakan Maximum lifetime for user ticket renewal.

Memecahkan masalah

Secara umum, Anda dapat memecahkan masalah menggunakan alat command line kinit di Linux. ChromeOS berbasis Linux dan implementasi tiket Kerberos menggunakan kinit. Jadi, jika Anda bisa mendapatkan tiket Kerberos menggunakan kinit di Linux, Anda juga akan bisa mendapatkan tiket di ChromeOS dengan konfigurasi yang sama.

Pesan error: KDC tidak mendukung jenis enkripsi

Secara default, Google menerapkan enkripsi AES yang kuat. Jika Anda melihat error terkait jenis enkripsi, ada kemungkinan bagian dari lingkungan server Anda tidak dapat menangani enkripsi AES. Sebaiknya Anda memperbaikinya.

Atau, pertimbangkan untuk menghapus 3 baris default_tgs_enctypes, default_ktk_enctypes, dan permitted_enctypes dari konfigurasi untuk pengembangan. Ini akan mengaktifkan semua jenis enkripsi dalam dokumentasi Kerberos MIT kecuali yang ditandai lemah. Pastikan bahwa implikasi keamanan dapat diterima sesuai dengan kebutuhan. Beberapa jenis enkripsi tidak lagi dianggap kuat.

Setelah mengonfirmasi bahwa kumpulan semua jenis enkripsi berfungsi, sebaiknya batasi jenis enkripsi untuk default_tgs_enctypes, default_kt_enctypes, dan permitted_enctypes ke sebagian jenis yang sesuai untuk meminimalkan risiko keamanan.

Pesan error: Menghubungi server untuk realm gagal

  1. Pastikan Anda memasukkan nama pengguna Kerberos yang benar.
    Nama pengguna Kerberos, user@example.com, terdiri dari:
    • Nama login pengguna, juga dikenal sebagai sAMAccountName
    • Realm Kerberos, yang biasanya sesuai dengan nama domain Windows
  2. Pastikan bahwa koneksi jaringan disiapkan dengan benar.
    Pastikan server dapat dijangkau dari perangkat ChromeOS pada port 88 Kerberos standar.
  3. Pastikan DNS disiapkan dengan benar.
    Kerberos meminta data SRV DNS tertentu untuk menemukan nama domain DNS dari layanan Kerberos. Misalnya, jika domain login, atau realm-nya, adalah example.com dan nama domain DNS layanan Kerberos hanya dc.example.com, data SRV DNS berikut harus ditambahkan:
Layanan Protokol Prioritas Bobot Port Target (Nama host)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Jika tidak dapat mengubah setelan DNS, Anda dapat menambahkan pemetaan ini di konfigurasi Kerberos.

Contoh:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Jika Anda masih mengalami masalah dalam mendapatkan tiket Kerberos, kumpulkan log sistem. Kumpulkan juga log tcpdump atau wireshark jika memungkinkan. Lalu, hubungi dukungan.

Pesan error: Nama pengguna tidak dikenali server

Pastikan bahwa pengguna dengan nama login yang ditentukan ada dalam database Active Directory server.

Pesan error: Tidak bisa mendapatkan tiket Kerberos. Coba lagi atau hubungi admin perangkat organisasi Anda. (Kode error X).

Kumpulkan log sistem dan hubungi dukungan.

Topik terkait

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
18437687794379629146
true
Pusat Bantuan Penelusuran
true
true
true
true
true
410864
false
false