Benachrichtigung

Planen Sie Ihre Strategie für die Rückkehr ins Büro? Sehen Sie sich im Hilfeartikel Chromebooks für die Telearbeit einrichten an, wie Chrome OS Ihnen helfen kann.

Kerberos-SSO für ChromeOS-Geräte konfigurieren

Für Administratoren, die ChromeOS-Geräte in einem Unternehmen oder einer Bildungseinrichtung verwalten.

Als Administrator können Sie Kerberos-Tickets auf ChromeOS-Geräten verwenden, um die Einmalanmeldung (SSO) für interne Ressourcen zu aktivieren, die die Kerberos-Authentifizierung unterstützen. Interne Ressourcen können z. B. Websites, Dateifreigaben oder Zertifikate sein.

Voraussetzungen

  • Geräte mit ChromeOS-Version 91 oder höher.
  • Kioske werden derzeit nicht unterstützt.
  • Active Directory-Umgebung

Kerberos einrichten

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann  Geräte und dann Chrome und dann Einstellungen. Die Seite Nutzer‑ und Browsereinstellungen wird standardmäßig angezeigt.

    Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü  und dann  Chrome-Browser und dann Einstellungen.

  3. Optional: Klicken Sie oben auf Einstellungen für verwaltete Gastsitzungen.
  4. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus. Anleitung zeigen.

  5. Rufen Sie Kerberos auf.

  6. Klicken Sie auf Kerberos-Tickets.

  7. Wählen Sie Kerberos aktivieren aus.

  8. Optional (nur Nutzer und Browser): Sie können festlegen, dass für Nutzer bei der Anmeldung automatisch Kerberos-Tickets angefordert werden.

    1. Wählen Sie Kerberos-Konto automatisch hinzufügen aus.

    2. Geben Sie das Hauptkonto an. Die Platzhalter ${LOGIN_ID} und ${LOGIN_EMAIL} werden unterstützt.

    3. Wählen Sie Kerberos-Standardkonfiguration verwenden aus. Alternativ können Sie Kerberos-Konfiguration anpassen auswählen und die Konfiguration festlegen, die Sie für Ihre Umgebung benötigen. Weitere Informationen finden Sie unter Erhalt von Tickets konfigurieren.
      Hinweis: Überprüfen Sie die Kerberos-Konfiguration krb5.conf. Die Standardkonfiguration erzwingt eine starke AES-Verschlüsselung, die eventuell nicht von allen Bereichen Ihrer Umgebung unterstützt wird.

  9. Klicken Sie auf Speichern.

Verwendung von Kerberos auf Geräten konfigurieren

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann  Geräte und dann Chrome und dann Einstellungen. Die Seite Nutzer‑ und Browsereinstellungen wird standardmäßig angezeigt.

    Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü  und dann  Chrome-Browser und dann Einstellungen.

  3. Optional: Klicken Sie oben auf Einstellungen für verwaltete Gastsitzungen.
  4. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus. Anleitung zeigen.
  5. Rufen Sie Netzwerk auf.
  6. Konfigurieren Sie zulässige Authentifizierungsserver:
    1. Klicken Sie auf Integrierte Authentifizierungsserver.
    2. Geben Sie URLs von Websites ein, die durch Kerberos geschützt sind. Nutzer können ihr aktives Ticket verwenden, um auf die aufgeführten Server zuzugreifen, ohne sich anmelden zu müssen.
      Hinweis: Sie können mehrere, durch Kommas getrennte Servernamen eingeben. Platzhalter wie * sind zulässig. jedoch nicht als Teil des Domainnamens. Ihre Liste sollte also keine Einträge wie *beispiel.com enthalten. Hier ein Muster für eine Liste: *.beispiel.com, beispiel.com.
    3. Klicken Sie auf Speichern.
  7. Nur Nutzer und Browser: Konfigurieren Sie zulässige Server für die Delegierung:
    1. Klicken Sie auf Kerberos-Delegierungsserver.
    2. Geben Sie die URLs der Server ein, an die Chrome delegieren kann.
      Hinweis: Sie können mehrere, durch Kommas getrennte Servernamen eingeben. Platzhalter wie * sind zulässig.
    3. Klicken Sie auf Speichern.
  8. Nur Nutzer und Browser: Geben Sie an, ob die KDC-Richtlinie (Key Distribution Center) zur Delegierung von Kerberos-Tickets berücksichtigt werden soll:
    1.  Klicken Sie auf Kerberos-Ticketdelegierung.
    2. Wählen Sie eine Option aus:
      • KDC-Richtlinie beachten
      • KDC-Richtlinie ignorieren
    3. Klicken Sie auf Speichern.
  9. Nur Nutzer und Browser: Geben Sie die Quelle des Namens an, der zum Generieren des Kerberos-Dienstprinzipalnamens (SPN) verwendet wird.
    1. Klicken Sie auf Kerberos-Dienstprinzipalname (SPN).
    2. Wählen Sie eine Option aus:
      • Kanonischen DNS-Namen verwenden
      • Ursprünglich eingegebenen Namen verwenden
    3. Klicken Sie auf Speichern.
  10. Nur Nutzer und Browser: Geben Sie an, ob der generierte Kerberos-SPN einen nicht standardmäßigen Port enthalten soll.
    1. Klicken Sie auf Kerberos-SPN-Port.
    2. Wählen Sie eine Option aus:
      • Nicht-Standard-Port aufnehmen
      • Nicht-Standard-Port nicht aufnehmen
    3. Klicken Sie auf Speichern.
  11. Nur Nutzer und Browser: Geben Sie an, ob der Subinhalt eines Drittanbieters auf einer Seite ein Dialogfeld für die HTTP-Basisauthentifizierung einblenden darf.
    1. Klicken Sie auf Cross-origin-Authentifizierung.
    2. Wählen Sie eine Option aus:
      • Cross-origin-Authentifizierung erlauben
      • Cross-origin-Authentifizierung blockieren
    3. Klicken Sie auf Speichern.

Das können Ihre Nutzer tun

Ticket hinzufügen

Wenn Nutzer versuchen, auf eine durch Kerberos geschützte Ressource zuzugreifen, können sie ein Ticket hinzufügen oder ohne fortfahren.

So fügen Sie ein Ticket hinzu:

  1. Klicken Sie im Feld auf Tickets verwalten.
  2. Klicken Sie auf der Seite Kerberos-Tickets auf Ticket hinzufügen.
  3. Geben Sie Ihren Active Directory-Nutzernamen und das zugehörige Passwort ein.
    Hinweis: ChromeOS unterstützt nur die Notation user@domain , nicht jedoch die Notation domain/user.
  4. Optional: Lassen Sie das Kästchen Passwort speichern markiert, damit das Ticket automatisch aktualisiert wird.
  5. (Optional) Bearbeiten Sie die Konfigurationsdatei:
    • Klicken Sie auf Erweitert.
    • Sie können die Kerberos-Konfigurationsinformationen ändern, z. B. die Lebensdauer von Tickets, Verschlüsselungstypen und Zuordnungen zu Domain-Bereichen. Weitere Informationen finden Sie unter Erhalt von Tickets konfigurieren.
    • Klicken Sie auf Speichern.
  6. Klicken Sie auf Hinzufügen.
  7. Aktualisieren Sie die Seite, die Sie aufrufen möchten.

Hinweis: Kerberos erfordert ein bestimmtes DNS-Setup, insbesondere SRV-Einträge für die Dienste _kerberos und _kerberos-master. Weitere Informationen zur Fehlerbehebung

Aktives Ticket festlegen

Nutzer können auf ihren ChromeOS-Geräten mehrere Kerberos-Tickets hinzufügen. Es kann jedoch jeweils nur ein Ticket aktiv sein und für die Authentifizierung verwendet werden. Nutzer können auf Ressourcen zugreifen, für die andere Autorisierungsebenen erforderlich sind, indem sie Tickets wechseln. Es kann beispielsweise vorkommen, dass bestimmte interne Webseiten ein Kerberos-Ticket mit einer höheren Berechtigungsstufe benötigen.

  1. Melden Sie sich auf einem verwalteten ChromeOS-Gerät an.
  2. Wählen Sie rechts unten die Uhrzeit aus.
  3. Klicken Sie auf „Einstellungen“ .
  4. Klicken Sie im Abschnitt „Personen“ auf Kerberos-Tickets.
  5. Suchen Sie das Ticket, das Sie aktivieren möchten.
  6. Klicken Sie rechts auf „Mehr“ und dannAls aktives Ticket festlegen.

Ticket aktualisieren und Konfiguration ändern

Standardmäßig sind Tickets 10 Stunden lang gültig und können eine Woche verlängert werden, ohne dass Nutzer ihren Nutzernamen und ihr Passwort noch einmal eingeben müssen. Wenn ein Ticket abläuft und nicht automatisch aktualisiert werden kann, erhält der Nutzer eine Nachricht, dass er das Ticket manuell aktualisieren muss. Wenn Nutzer das aktive Ticket ablaufen lassen, funktioniert die Kerberos-Authentifizierung erst wieder, wenn das Ticket aktualisiert wird.

  1. Melden Sie sich auf einem verwalteten ChromeOS-Gerät an.
  2. Wählen Sie rechts unten die Uhrzeit aus.
  3. Klicken Sie auf „Einstellungen“ .
  4. Klicken Sie im Abschnitt „Personen“ auf Kerberos-Tickets.
  5. Suchen Sie das Ticket, das Sie aktualisieren möchten.
  6. Klicken Sie auf Aktualisieren.
    Wenn das Ticket nicht demnächst abläuft, klicken Sie rechts auf „Mehr“ und dannJetzt aktualisieren, um die Option zu aktivieren.
  7. Geben Sie Ihren Active Directory-Nutzernamen und das zugehörige Passwort ein.
    Hinweis: ChromeOS unterstützt nur die Notation user@domain , nicht jedoch die Notation domain/user.
  8. Optional: Klicken Sie das Kästchen Passwort speichern an, damit das Ticket automatisch aktualisiert wird.
  9. Optional: Konfigurationsdatei bearbeiten
    1. Klicken Sie auf Erweitert.
    2. Sie können die Kerberos-Konfigurationsinformationen ändern, z. B. die Lebensdauer von Tickets, Verschlüsselungstypen und Zuordnungen zu Domain-Bereichen. Weitere Informationen finden Sie unter Erhalt von Tickets konfigurieren.
    3. Klicken Sie auf Speichern.
  10. Klicken Sie auf Aktualisieren.

Ticket entfernen

  1. Melden Sie sich auf einem verwalteten ChromeOS-Gerät an.
  2. Wählen Sie rechts unten die Uhrzeit aus.
  3. Klicken Sie auf „Einstellungen“ .
  4. Klicken Sie im Abschnitt „Personen“ auf Kerberos-Tickets.
  5. Suchen Sie das Ticket, das Sie entfernen möchten.
  6. Klicken Sie rechts auf „Mehr“ und dannVon diesem Gerät entfernen.

Erhalt von Tickets konfigurieren

Nutzer können die Kerberos-Konfiguration „krb5.conf“ ändern, wenn sie ein neues Ticket hinzufügen oder ein vorhandenes Ticket aktualisieren. Der ChromeOS-Code, der mit dem Kerberos Key Distribution Center (KDC) interagiert, basiert auf der Kerberos-Mediathek des Massachusetts Institute of Technology (MIT). Weitere Informationen zur Konfiguration finden Sie in der Kerberos-Dokumentation des MIT. Wir unterstützen jedoch nicht alle Optionen.
Folgende Optionen werden von ChromeOS unterstützt:
Bereich Beziehung
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Beliebiger Wert
[capaths]

Beliebiger Wert

Beispiel: Gültigkeitsdauer von Tickets ändern

[libdefaults]

        ticket_lifetime = 16h

Im Beispiel wird ein Ticket für 16 Stunden angefordert. Die Lebensdauer ist möglicherweise serverseitig beschränkt, wobei der Standardwert 10 Stunden beträgt.

So ändern Sie das serverseitige Limit:

  1. Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien.
  2. Gehen Sie zu Einstellungenund dannSicherheitseinstellungenund dannKontorichtlinien. und dannKerberos-Richtlinie.
  3. Ändern Sie die Richtlinie Maximale Lebensdauer für Nutzertickets.

Beispiel: Gültigkeitsdauer von verlängerten Tickets ändern

[libdefaults]

        renew_lifetime = 14d

Im Beispiel wird ein Ticket angefordert, das für 14 Tage verlängert werden kann. Die Lebensdauer der Verlängerung ist möglicherweise serverseitig beschränkt, wobei der Standardwert 7 Tage beträgt.

So ändern Sie das serverseitige Limit:

  1. Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien.
  2. Gehen Sie zu Einstellungenund dannSicherheitseinstellungenund dannKontorichtlinien. und dannKerberos-Richtlinie.
  3. Ändern Sie die Richtlinie Maximale Lebensdauer für verlängerte Nutzertickets.

Fehlerbehebung

Im Allgemeinen können Sie Probleme mit dem Befehlszeilentool kinit unter Linux beheben. ChromeOS ist Linux-basiert und die Implementierung der Kerberos-Tickets verwendet kinit. Wenn Sie unter Linux ein Kerberos-Ticket mit kinit abrufen können, sollten Sie in ChromeOS auch ein Ticket mit derselben Konfiguration erhalten.

Fehlermeldung: KDC unterstützt den Verschlüsselungstyp nicht

Google erzwingt standardmäßig eine starke AES-Verschlüsselung. Wenn Sie eine Fehlermeldung zu Verschlüsselungstypen sehen, kann es sein, dass Teile Ihrer Serverumgebung die AES-Verschlüsselung nicht verarbeiten. Wir empfehlen Ihnen, dieses Problem zu beheben.

Andernfalls sollten Sie die drei Zeilen für default_tgs_enctypes, default_tkt_enctypes und permitted_enctypes aus der Konfiguration für die Entwicklung entfernen. Dadurch werden alle Verschlüsselungstypen in der MIT Kerberos-Dokumentation aktiviert, mit Ausnahme der als schwach markierten. Prüfen Sie, ob die Auswirkungen auf die Sicherheit Ihren Anforderungen entsprechen. Einige Verschlüsselungstypen gelten nicht mehr als stark.

Nachdem Sie bestätigt haben, dass alle Verschlüsselungstypen funktionieren, sollten Sie die Verschlüsselungstypen für default_tgs_enctypes, default_tkt_enctypes und permitted_enctypes auf eine passende Untergruppe von Typen beschränken, um das Sicherheitsrisiko zu minimieren.

Fehlermeldung: Verbindung zum Server konnte nicht hergestellt werden

  1. Achten Sie darauf, dass Sie den richtigen Kerberos-Nutzernamen eingegeben haben.
    Der Kerberos-Nutzername nutzer@beispiel.com besteht aus:
    • Anmeldename des Nutzers (auch bekannt als sAMAccountName)
    • Kerberos-Bereich, der in der Regel dem Windows-Domainnamen entspricht
  2. Überprüfen Sie, ob die Netzwerkverbindung korrekt eingerichtet ist.
    Der Server muss auf dem ChromeOS-Gerät über den Kerberos-Standardport 88 erreichbar sein.
  3. Prüfen Sie, ob DNS richtig eingerichtet ist.
    Kerberos fordert bestimmte DNS-SRV-Einträge an, um den DNS-Domainnamen des Kerberos-Dienstes zu finden. Wenn beispielsweise die Anmeldedomain oder der Bereich beispiel.com lautet und der DNS-Domainname des einzigen Kerberos-Dienstes dc.beispiel.com lautet, sollten Sie die folgenden DNS-SRV-Einträge hinzufügen:
Dienst Protokoll Priorität Gewicht Port Ziel (Hostname)
_kerberos _udp.dc._msdcs 0 100 88 dc.beispiel.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.beispiel.com
_kerberos _udp 0 100 88 dc.beispiel.com
_kerberos _tcp 0 100 88 dc.beispiel.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.beispiel.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.beispiel.com
_kerberos-master _udp 0 100 88 dc.beispiel.com
_kerberos-master _tcp 0 100 88 dc.beispiel.com

Wenn sich die DNS-Einstellungen nicht ändern lassen, können Sie diese Zuordnungen in der Kerberos-Konfiguration hinzufügen.

Beispiele:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Falls Sie weiterhin Probleme beim Abrufen von Kerberos-Tickets haben, sollten Sie Systemprotokolle anlegen. Erfassen Sie nach Möglichkeit auch tcpdump- oder Wireshark-Protokolle. Wenden Sie sich dann an den Support.

Fehlermeldung: Nutzername ist auf dem Server nicht bekannt

Sehen Sie nach, ob der Nutzer mit dem angegebenen Anmeldenamen in der Active Directory-Datenbank des Servers vorhanden ist.

Fehlermeldung: Kerberos-Ticket konnte nicht abgerufen werden (Fehlercode: X). Versuchen Sie es noch einmal oder wenden Sie sich an den Geräteadministrator Ihrer Organisation.

Erstellen Sie Systemprotokolle und wenden Sie sich dann an den Support.

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
7164199996505704717
true
Suchen in der Hilfe
true
true
true
true
true
410864
false
false