Für Administratoren, die ChromeOS-Geräte in einem Unternehmen oder einer Bildungseinrichtung verwalten.
Als Administrator können Sie Kerberos-Tickets auf ChromeOS-Geräten verwenden, um die Einmalanmeldung (SSO) für interne Ressourcen zu aktivieren, die die Kerberos-Authentifizierung unterstützen. Interne Ressourcen können z. B. Websites, Dateifreigaben oder Zertifikate sein.
Voraussetzungen
- Geräte mit ChromeOS-Version 91 oder höher.
- Kioske werden derzeit nicht unterstützt.
- Active Directory-Umgebung
Kerberos einrichten
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Chrome Einstellungen. Die Seite Nutzer‑ und Browsereinstellungen wird standardmäßig angezeigt.
Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü Chrome-Browser Einstellungen.
- Optional: Klicken Sie oben auf Einstellungen für verwaltete Gastsitzungen.
-
Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus. Anleitung zeigen.
-
Rufen Sie Kerberos auf.
-
Klicken Sie auf Kerberos-Tickets.
-
Wählen Sie Kerberos aktivieren aus.
-
Optional (nur Nutzer und Browser): Sie können festlegen, dass für Nutzer bei der Anmeldung automatisch Kerberos-Tickets angefordert werden.
-
Wählen Sie Kerberos-Konto automatisch hinzufügen aus.
-
Geben Sie das Hauptkonto an. Die Platzhalter ${LOGIN_ID} und ${LOGIN_EMAIL} werden unterstützt.
-
Wählen Sie Kerberos-Standardkonfiguration verwenden aus. Alternativ können Sie Kerberos-Konfiguration anpassen auswählen und die Konfiguration festlegen, die Sie für Ihre Umgebung benötigen. Weitere Informationen finden Sie unter Erhalt von Tickets konfigurieren.
Hinweis: Überprüfen Sie die Kerberos-Konfiguration krb5.conf. Die Standardkonfiguration erzwingt eine starke AES-Verschlüsselung, die eventuell nicht von allen Bereichen Ihrer Umgebung unterstützt wird.
-
-
Klicken Sie auf Speichern.
Verwendung von Kerberos auf Geräten konfigurieren
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Chrome Einstellungen. Die Seite Nutzer‑ und Browsereinstellungen wird standardmäßig angezeigt.
Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü Chrome-Browser Einstellungen.
- Optional: Klicken Sie oben auf Einstellungen für verwaltete Gastsitzungen.
-
Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus. Anleitung zeigen.
- Rufen Sie Netzwerk auf.
- Konfigurieren Sie zulässige Authentifizierungsserver:
- Klicken Sie auf Integrierte Authentifizierungsserver.
- Geben Sie URLs von Websites ein, die durch Kerberos geschützt sind. Nutzer können ihr aktives Ticket verwenden, um auf die aufgeführten Server zuzugreifen, ohne sich anmelden zu müssen.
Hinweis: Sie können mehrere, durch Kommas getrennte Servernamen eingeben. Platzhalter wie * sind zulässig. jedoch nicht als Teil des Domainnamens. Ihre Liste sollte also keine Einträge wie *beispiel.com enthalten. Hier ein Muster für eine Liste: *.beispiel.com, beispiel.com. - Klicken Sie auf Speichern.
- (Nur Nutzer und Browser) Konfigurieren Sie zulässige Server für die Delegierung:
- Klicken Sie auf Kerberos-Delegierungsserver.
- Geben Sie die URLs der Server ein, an die Chrome delegieren kann.
Hinweis: Sie können mehrere, durch Kommas getrennte Servernamen eingeben. Platzhalter wie * sind zulässig. - Klicken Sie auf Speichern.
- Nur Nutzer und Browser: Geben Sie an, ob die KDC-Richtlinie (Key Distribution Center) zur Delegierung von Kerberos-Tickets berücksichtigt werden soll:
- Klicken Sie auf Kerberos-Ticketdelegierung.
- Wählen Sie eine Option aus:
- KDC-Richtlinie beachten
- KDC-Richtlinie ignorieren
- Klicken Sie auf Speichern.
- Nur Nutzer und Browser: Geben Sie die Quelle des Namens an, der zum Generieren des Kerberos-Dienstprinzipalnamens (SPN) verwendet wird.
- Klicken Sie auf Kerberos-Dienstprinzipalname (SPN).
- Wählen Sie eine Option aus:
- Kanonischen DNS-Namen verwenden
- Ursprünglich eingegebenen Namen verwenden
- Klicken Sie auf Speichern.
- Nur Nutzer und Browser: Geben Sie an, ob der generierte Kerberos-SPN einen nicht standardmäßigen Port enthalten soll.
- Klicken Sie auf Kerberos-SPN-Port.
- Wählen Sie eine Option aus:
- Nicht-Standard-Port aufnehmen
- Nicht-Standard-Port nicht aufnehmen
- Klicken Sie auf Speichern.
- Nur Nutzer und Browser: Geben Sie an, ob der Subinhalt eines Drittanbieters auf einer Seite ein Dialogfeld für die HTTP-Basisauthentifizierung einblenden darf.
- Klicken Sie auf Cross-origin-Authentifizierung.
- Wählen Sie eine Option aus:
- Cross-origin-Authentifizierung erlauben
- Cross-origin-Authentifizierung blockieren
- Klicken Sie auf Speichern.
Das können Ihre Nutzer tun
Ticket hinzufügen
Wenn Nutzer versuchen, auf eine durch Kerberos geschützte Ressource zuzugreifen, können sie ein Ticket hinzufügen oder ohne fortfahren.
So fügen Sie ein Ticket hinzu:
- Klicken Sie im Feld auf Tickets verwalten.
- Klicken Sie auf der Seite Kerberos-Tickets auf Ticket hinzufügen.
- Geben Sie Ihren Active Directory-Nutzernamen und das zugehörige Passwort ein.
Hinweis: ChromeOS unterstützt nur die Notation user@domain , nicht jedoch die Notation domain/user. - Optional: Lassen Sie das Kästchen Passwort speichern markiert, damit das Ticket automatisch aktualisiert wird.
- (Optional) Bearbeiten Sie die Konfigurationsdatei:
- Klicken Sie auf Erweitert.
- Sie können die Kerberos-Konfigurationsinformationen ändern, z. B. die Lebensdauer von Tickets, Verschlüsselungstypen und Zuordnungen zu Domain-Bereichen. Weitere Informationen finden Sie unter Erhalt von Tickets konfigurieren.
- Klicken Sie auf Speichern.
- Klicken Sie auf Hinzufügen.
- Aktualisieren Sie die Seite, die Sie aufrufen möchten.
Hinweis: Kerberos erfordert ein bestimmtes DNS-Setup, insbesondere SRV-Einträge für die Dienste _kerberos
und _kerberos-master
. Weitere Informationen zur Fehlerbehebung
Aktives Ticket festlegen
Nutzer können auf ihren ChromeOS-Geräten mehrere Kerberos-Tickets hinzufügen. Es kann jedoch jeweils nur ein Ticket aktiv sein und für die Authentifizierung verwendet werden. Nutzer können auf Ressourcen zugreifen, für die andere Autorisierungsebenen erforderlich sind, indem sie Tickets wechseln. Es kann beispielsweise vorkommen, dass bestimmte interne Webseiten ein Kerberos-Ticket mit einer höheren Berechtigungsstufe benötigen.
- Melden Sie sich auf einem verwalteten ChromeOS-Gerät an.
- Wählen Sie rechts unten die Uhrzeit aus.
- Klicken Sie auf „Einstellungen“ .
- Klicken Sie im Abschnitt „Personen“ auf Kerberos-Tickets.
- Suchen Sie das Ticket, das Sie aktivieren möchten.
- Klicken Sie rechts auf „Mehr“ Als aktives Ticket festlegen.
Ticket aktualisieren und Konfiguration ändern
Standardmäßig sind Tickets 10 Stunden lang gültig und können eine Woche verlängert werden, ohne dass Nutzer ihren Nutzernamen und ihr Passwort noch einmal eingeben müssen. Wenn ein Ticket abläuft und nicht automatisch aktualisiert werden kann, erhält der Nutzer eine Nachricht, dass er das Ticket manuell aktualisieren muss. Wenn Nutzer das aktive Ticket ablaufen lassen, funktioniert die Kerberos-Authentifizierung erst wieder, wenn das Ticket aktualisiert wird.
- Melden Sie sich auf einem verwalteten ChromeOS-Gerät an.
- Wählen Sie rechts unten die Uhrzeit aus.
- Klicken Sie auf „Einstellungen“ .
- Klicken Sie im Abschnitt „Personen“ auf Kerberos-Tickets.
- Suchen Sie das Ticket, das Sie aktualisieren möchten.
- Klicken Sie auf Aktualisieren.
Wenn das Ticket nicht demnächst abläuft, klicken Sie rechts auf „Mehr“ Jetzt aktualisieren, um die Option zu aktivieren. - Geben Sie Ihren Active Directory-Nutzernamen und das zugehörige Passwort ein.
Hinweis: ChromeOS unterstützt nur die Notation user@domain , nicht jedoch die Notation domain/user. - Optional: Klicken Sie das Kästchen Passwort speichern an, damit das Ticket automatisch aktualisiert wird.
- Optional: Konfigurationsdatei bearbeiten
- Klicken Sie auf Erweitert.
- Sie können die Kerberos-Konfigurationsinformationen ändern, z. B. die Lebensdauer von Tickets, Verschlüsselungstypen und Zuordnungen zu Domain-Bereichen. Weitere Informationen finden Sie unter Erhalt von Tickets konfigurieren.
- Klicken Sie auf Speichern.
- Klicken Sie auf Aktualisieren.
Ticket entfernen
- Melden Sie sich auf einem verwalteten ChromeOS-Gerät an.
- Wählen Sie rechts unten die Uhrzeit aus.
- Klicken Sie auf „Einstellungen“ .
- Klicken Sie im Abschnitt „Personen“ auf Kerberos-Tickets.
- Suchen Sie das Ticket, das Sie entfernen möchten.
- Klicken Sie rechts auf „Mehr“ Von diesem Gerät entfernen.
Erhalt von Tickets konfigurieren
Bereich | Beziehung |
---|---|
[libdefaults] |
|
[realms] |
|
[domain_realm] |
Beliebiger Wert |
[capaths] |
Beliebiger Wert |
Beispiel: Gültigkeitsdauer von Tickets ändern
[libdefaults]
ticket_lifetime = 16h
Im Beispiel wird ein Ticket für 16 Stunden angefordert. Die Lebensdauer ist möglicherweise serverseitig beschränkt, wobei der Standardwert 10 Stunden beträgt.
So ändern Sie das serverseitige Limit:
- Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien.
- Gehen Sie zu EinstellungenSicherheitseinstellungenKontorichtlinien. Kerberos-Richtlinie.
- Ändern Sie die Richtlinie Maximale Lebensdauer für Nutzertickets.
Beispiel: Gültigkeitsdauer von verlängerten Tickets ändern
[libdefaults]
renew_lifetime = 14d
Im Beispiel wird ein Ticket angefordert, das für 14 Tage verlängert werden kann. Die Lebensdauer der Verlängerung ist möglicherweise serverseitig beschränkt, wobei der Standardwert 7 Tage beträgt.
So ändern Sie das serverseitige Limit:
- Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien.
- Gehen Sie zu EinstellungenSicherheitseinstellungenKontorichtlinien. Kerberos-Richtlinie.
- Ändern Sie die Richtlinie Maximale Lebensdauer für verlängerte Nutzertickets.
Fehlerbehebung
Im Allgemeinen können Sie Probleme mit dem Befehlszeilentool kinit unter Linux beheben. ChromeOS ist Linux-basiert und die Implementierung der Kerberos-Tickets verwendet kinit
. Wenn Sie unter Linux ein Kerberos-Ticket mit kinit
abrufen können, sollten Sie in ChromeOS auch ein Ticket mit derselben Konfiguration erhalten.
Fehlermeldung: KDC unterstützt den Verschlüsselungstyp nicht
Google erzwingt standardmäßig eine starke AES-Verschlüsselung. Wenn Sie eine Fehlermeldung zu Verschlüsselungstypen sehen, kann es sein, dass Teile Ihrer Serverumgebung die AES-Verschlüsselung nicht verarbeiten. Wir empfehlen Ihnen, dieses Problem zu beheben.
Andernfalls sollten Sie die drei Zeilen für default_tgs_enctypes
, default_tkt_enctypes
und permitted_enctypes
aus der Konfiguration für die Entwicklung entfernen. Dadurch werden alle Verschlüsselungstypen in der MIT Kerberos-Dokumentation aktiviert, mit Ausnahme der als schwach markierten. Prüfen Sie, ob die Auswirkungen auf die Sicherheit Ihren Anforderungen entsprechen. Einige Verschlüsselungstypen gelten nicht mehr als stark.
Nachdem Sie bestätigt haben, dass alle Verschlüsselungstypen funktionieren, sollten Sie die Verschlüsselungstypen für default_tgs_enctypes
, default_tkt_enctypes
und permitted_enctypes
auf eine passende Untergruppe von Typen beschränken, um das Sicherheitsrisiko zu minimieren.
Fehlermeldung: Verbindung zum Server konnte nicht hergestellt werden
- Achten Sie darauf, dass Sie den richtigen Kerberos-Nutzernamen eingegeben haben.
Der Kerberos-Nutzername nutzer@beispiel.com besteht aus:- Anmeldename des Nutzers (auch bekannt als sAMAccountName)
- Kerberos-Bereich, der in der Regel dem Windows-Domainnamen entspricht
- Überprüfen Sie, ob die Netzwerkverbindung korrekt eingerichtet ist.
Der Server muss auf dem ChromeOS-Gerät über den Kerberos-Standardport 88 erreichbar sein. - Prüfen Sie, ob DNS richtig eingerichtet ist.
Kerberos fordert bestimmte DNS-SRV-Einträge an, um den DNS-Domainnamen des Kerberos-Dienstes zu finden. Wenn beispielsweise die Anmeldedomain oder der Bereich beispiel.com lautet und der DNS-Domainname des einzigen Kerberos-Dienstes dc.beispiel.com lautet, sollten Sie die folgenden DNS-SRV-Einträge hinzufügen:
Dienst | Protokoll | Priorität | Gewicht | Port | Ziel (Hostname) |
---|---|---|---|---|---|
_kerberos | _udp.dc._msdcs | 0 | 100 | 88 | dc.beispiel.com |
_kerberos | _tcp.dc._msdcs | 0 | 100 | 88 | dc.beispiel.com |
_kerberos | _udp | 0 | 100 | 88 | dc.beispiel.com |
_kerberos | _tcp | 0 | 100 | 88 | dc.beispiel.com |
_kerberos-master | _udp.dc._msdcs | 0 | 100 | 88 | dc.beispiel.com |
_kerberos-master | _tcp.dc._msdcs | 0 | 100 | 88 | dc.beispiel.com |
_kerberos-master | _udp | 0 | 100 | 88 | dc.beispiel.com |
_kerberos-master | _tcp | 0 | 100 | 88 | dc.beispiel.com |
Wenn sich die DNS-Einstellungen nicht ändern lassen, können Sie diese Zuordnungen in der Kerberos-Konfiguration hinzufügen.
Beispiele:
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
master_kdc = dc.example.com
}
Falls Sie weiterhin Probleme beim Abrufen von Kerberos-Tickets haben, sollten Sie Systemprotokolle anlegen. Erfassen Sie nach Möglichkeit auch tcpdump- oder Wireshark-Protokolle. Wenden Sie sich dann an den Support.
Fehlermeldung: Nutzername ist auf dem Server nicht bekannt
Fehlermeldung: Kerberos-Ticket konnte nicht abgerufen werden (Fehlercode: X). Versuchen Sie es noch einmal oder wenden Sie sich an den Geräteadministrator Ihrer Organisation.
Fehlermeldung: Kerberos-Authentifizierung fehlgeschlagen.
Damit Kerberos-Tickets nach der Anmeldung automatisch hinzugefügt werden, müssen sich Nutzer mit ihrem Passwort und nicht mit ihrer PIN anmelden. Dieses Passwort muss mit dem Passwort übereinstimmen, das beim Hinzufügen eines Tickets für die Authentifizierung beim Active Directory-Server verwendet wird. Weitere Informationen finden Sie unter Ticket hinzufügen.
Wenn sich Nutzer weiterhin mit ihrer PIN anmelden möchten, müssen sie Tickets manuell erstellen.