Notificación

Planning your return to office strategy? See how ChromeOS can help.

Cómo configurar el inicio de sesión único de Kerberos para los dispositivos ChromeOS

Para administradores que administran dispositivos con ChromeOS en una empresa o institución educativa.

Como administrador, puedes usar tickets de Kerberos en los dispositivos ChromeOS para habilitar el inicio de sesión único (SSO) para los recursos internos que admiten la autenticación Kerberos. Los recursos internos pueden incluir sitios web, archivos compartidos, certificados, etcétera.

Requisitos

  • Dispositivos con ChromeOS 91 o versiones posteriores
  • Por el momento, no se admiten los kioscos
  • Entorno de Active Directory

Cómo configurar Kerberos

  1. Accede a la Consola del administrador de Google.

    Accede con tu cuenta de administrador (no termina en @gmail.com).

  2. En la Consola del administrador, ve a Menú and then Dispositivosand thenChromeand thenConfiguración. La página Configuración de usuarios y del navegador se abre de forma predeterminada.

    Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú and then Navegador Chromeand thenConfiguración.

  3. (Opcional) En la parte superior, haz clic en Configuración de sesiones de invitado administradas.
  4. To apply the setting to everyone, leave the top organizational unit selected. Otherwise, select a child organizational unit.

  5. Ve a Kerberos.

  6. Haz clic en Tickets de Kerberos.

  7. Selecciona Habilitar Kerberos.

  8. (Opcional) (Solo usuarios y navegadores) Solicita automáticamente tickets de Kerberos a los usuarios cuando accedan.

    1. Selecciona Agregar una cuenta de Kerberos automáticamente.

    2. Ingresa el nombre de la principal. Se admiten los marcadores de posición ${LOGIN_ID} y ${LOGIN_EMAIL}.

    3. Selecciona Usar la configuración predeterminada de Kerberos. O bien, selecciona Personalizar la configuración de Kerberos y especifica la configuración de Kerberos que necesitas que admita tu entorno. Para conocer los detalles, consulta Cómo configurar cómo obtener tickets.
      Nota: Debes revisar la configuración de Kerberos, krb5.conf. La configuración predeterminada aplica una encriptación AES sólida que podría no ser compatible con todas las partes de tu entorno.

  9. Haz clic en Guardar.

Cómo configurar cómo se puede usar Kerberos en los dispositivos

  1. Accede a la Consola del administrador de Google.

    Accede con tu cuenta de administrador (no termina en @gmail.com).

  2. En la Consola del administrador, ve a Menú and then Dispositivosand thenChromeand thenConfiguración. La página Configuración de usuarios y del navegador se abre de forma predeterminada.

    Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú and then Navegador Chromeand thenConfiguración.

  3. (Opcional) En la parte superior, haz clic en Configuración de sesiones de invitado administradas.
  4. To apply the setting to everyone, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Ve a Red.
  6. Configura los servidores de autenticación permitidos:
    1. Haz clic en Servidores de autenticación integrados.
    2. Ingresa las URLs de los sitios web protegidos por Kerberos. Los usuarios pueden usar sus tickets activos para acceder a los servidores que incluiste en la lista sin tener que acceder.
      Nota: Puedes agregar varios nombres de servidor, separados por comas. Se permite el uso de comodines, *. No incluyas comodines en el nombre de dominio. Por ejemplo, evita agregar *example.com a la lista. Esta es una lista de ejemplo: *.example.com, example.com.
    3. Haz clic en Guardar.
  7. (Solo usuarios y navegadores) Configura los servidores permitidos para la delegación:
    1. Haz clic en Servidores de delegación de Kerberos.
    2. Ingresa las URLs de los servidores a los que Chrome puede delegar.
      Nota: Puedes agregar varios nombres de servidor, separados por comas. Se permite el uso de comodines, *.
    3. Haz clic en Guardar.
  8. (Solo usuarios y navegadores) Especifica si se debe respetar la política del Centro de distribución de claves (KDC) para delegar tickets de Kerberos
    1.  Haz clic en Delegación de tickets de Kerberos.
    2. Elija una opción:
      • Respetar la política de KDC
      • Ignorar la política de KDC
    3. Haz clic en Guardar.
  9. (Solo usuarios y navegadores) Especifica la fuente del nombre que se utiliza para generar el nombre principal del servicio (SPN) de Kerberos.
    1. Haz clic en Nombre principal del servicio de Kerberos.
    2. Elija una opción:
      • Usar un nombre de DNS canónico
      • Usar el nombre original que se ingresó
    3. Haz clic en Guardar.
  10. (Solo usuarios y navegadores) Especifica si el SPN de Kerberos generado debe incluir un puerto no estándar.
    1. Haz clic en Puerto SPN de Kerberos.
    2. Elija una opción:
      • Incluir el puerto no estándar
      • No incluir el puerto no estándar
    3. Haz clic en Guardar.
  11. Solo usuarios y navegadores) Especifica si se permite que en el subcontenido de terceros de una página se muestre un cuadro de diálogo emergente de autenticación básica de HTTP.
    1. Haz clic en Autenticación de distintos orígenes.
    2. Elija una opción:
      • Permitir la autenticación de distintos orígenes
      • Bloquear la autenticación de distintos orígenes
    3. Haz clic en Guardar.

Qué pueden hacer los usuarios

Cómo agregar un ticket

Cuando los usuarios intentan acceder a un recurso protegido por Kerberos, tienen la opción de agregar un ticket o continuar sin él.

Para agregar un ticket, haz lo siguiente:

  1. En el cuadro, haz clic en Administrar tickets.
  2. En la página Tickets de Kerberos, haz clic en Agregar un ticket.
  3. Ingresa tu nombre de usuario y contraseña de Active Directory.
    Nota: ChromeOS solo admite la notación usuario@dominio, no la notación dominio/usuario.
  4. (Opcional) Para actualizar el ticket automáticamente, marca la casilla Recordar contraseña.
  5. (Opcional) Edita el archivo de configuración:
    • Haga clic en Configuración avanzada.
    • Cambia la información de configuración de Kerberos, como la vida útil de los tickets, los tipos de encriptación y las asignaciones del dominio del dominio. Para conocer los detalles, consulta Cómo configurar cómo obtener tickets.
    • Haz clic en Guardar.
  6. Haga clic en Agregar.
  7. Vuelve a cargar la página que intentas ver.

Nota: Kerberos requiere una configuración de DNS determinada, en particular los registros SRV para los servicios _kerberos y _kerberos-master. Para obtener más detalles, consulta Solución de problemas a continuación.

Cómo configurar un ticket activo

Los usuarios pueden agregar varios tickets de Kerberos en sus dispositivos ChromeOS. Sin embargo, solo puede estar activo un ticket y usarse para la autenticación en cualquier momento. Los usuarios pueden cambiar los tickets para acceder a los recursos que requieren diferentes niveles de autorización. Por ejemplo, si determinadas páginas web internas requieren un ticket de Kerberos con un nivel de privilegio superior.

  1. Si aún no lo has hecho, accede a un dispositivo ChromeOS administrado.
  2. En la parte inferior derecha, selecciona la hora.
  3. Haz clic en Configuración .
  4. En la sección Personas, haz clic en Tickets de Kerberos.
  5. Busca el ticket que quieres establecer como activo.
  6. A la derecha, haz clic en Más y luegoEstablecer como ticket activo.

Cómo actualizar un ticket y modificar la configuración

De forma predeterminada, los tickets son válidos por 10 horas y se pueden renovar por una semana sin que los usuarios tengan que volver a ingresar su nombre de usuario y contraseña. Cuando un ticket vence y no se puede actualizar automáticamente, los usuarios ven un mensaje que les indica que deben actualizarlo de forma manual. Si los usuarios dejan que el ticket activo venza, la autenticación de Kerberos no funcionará hasta que lo actualicen.

  1. Si aún no lo has hecho, accede a un dispositivo ChromeOS administrado.
  2. En la parte inferior derecha, selecciona la hora.
  3. Haz clic en Configuración .
  4. En la sección Personas, haz clic en Tickets de Kerberos.
  5. Busca el ticket que quieres actualizar.
  6. Haz clic en Actualizar.
    Si no se acerca su fecha de vencimiento, a la derecha, haz clic en Más y luegoActualizar ahora.
  7. Ingresa tu nombre de usuario y contraseña de Active Directory.
    Nota: ChromeOS solo admite la notación usuario@dominio, no la notación dominio/usuario.
  8. (Opcional) Para actualizar el ticket automáticamente, marca la casilla de verificación Recordar contraseña.
  9. (Opcional) Edita el archivo de configuración.
    1. Haga clic en Configuración avanzada.
    2. Cambia la información de configuración de Kerberos, como la vida útil de los tickets, los tipos de encriptación y las asignaciones del dominio del dominio. Para conocer los detalles, consulta Cómo configurar cómo obtener tickets.
    3. Haz clic en Guardar.
  10. Haz clic en Actualizar.

Cómo quitar un ticket

  1. Si aún no lo has hecho, accede a un dispositivo ChromeOS administrado.
  2. En la parte inferior derecha, selecciona la hora.
  3. Haz clic en Configuración .
  4. En la sección Personas, haz clic en Tickets de Kerberos.
  5. Busca el ticket que quieres quitar.
  6. A la derecha, haz clic en Más y luegoQuitar de este dispositivo.

Cómo configurar cómo obtener tickets

Los usuarios pueden modificar la configuración de Kerberos, krb5.conf, cuando agregan un ticket nuevo o actualizan uno existente. El código de ChromeOS que interactúa con el centro de distribución de claves (KDC) de Kerberos se basa en la biblioteca de Kerberos de MIT. Para obtener detalles sobre la configuración, consulta la documentación de Kerberos de MIT. Sin embargo, no todas las opciones son compatibles.
A continuación, se muestra una lista de las opciones que admite ChromeOS:
Sección Relación
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Cualquier valor
[capaths]

Cualquier valor

Ejemplo: Solicita un ciclo de vida diferente para un ticket.

[libdefaults]

        ticket_lifetime = 16h

En el ejemplo, se solicita un ticket válido por 16 horas. La vida útil puede ser limitada en el servidor, y el valor predeterminado es de 10 horas.

Para cambiar el límite del servidor, haz lo siguiente:

  1. Abre la Consola de administración de políticas de grupo.
  2. Ve a Configuracióny luegoConfiguración de seguridady luegoPolíticas de la cuentay luegoPolítica de Kerberos.
  3. Modifica la política Ciclo de vida máximo para los tickets del usuario.

Ejemplo: Solicita un ciclo de vida diferente para la renovación del ticket

[libdefaults]

        renew_lifetime = 14d

En el ejemplo, se solicita un ticket que se puede renovar por 14 días. La vida útil de la renovación puede ser limitada en el servidor, y el valor predeterminado es de 7 días.

Para cambiar el límite del servidor, haz lo siguiente:

  1. Abre la Consola de administración de políticas de grupo.
  2. Ve a Configuracióny luegoConfiguración de seguridady luegoPolíticas de la cuentay luegoPolítica de Kerberos.
  3. Modifica la política Ciclo de vida máximo para la renovación de tickets de usuario.

Solución de problemas

En general, puedes solucionar problemas con la herramienta de línea de comandos kinit en Linux. ChromeOS está basado en Linux y la implementación de tickets de Kerberos utiliza kinit. Por lo tanto, si puedes obtener un ticket de Kerberos a través de kinit en Linux, también deberías poder obtener un ticket en ChromeOS con la misma configuración.

Mensaje de error: KDC no admite el tipo de encriptación

Google aplica una encriptación AES sólida de forma predeterminada. Si ves un error sobre los tipos de encriptación, es posible que algunas partes del entorno de tu servidor no puedan manejar la encriptación AES. Te recomendamos que corrijas este problema.

De lo contrario, considera quitar las 3 líneas para default_tgs_enctypes, default_tkt_enctypes y permitted_enctypes de la configuración para desarrollo. Esto habilitará todos los tipos de encriptación incluidos en la documentación de Kerberos de MIT, excepto los marcados como débiles. Asegúrate de que las implicaciones de seguridad sean aceptables para tus necesidades. Algunos tipos de encriptación ya no se consideran robustos.

Después de confirmar que el conjunto de todos los tipos de encriptación funciona, te recomendamos que limites los tipos de encriptación para default_tgs_enctypes, default_tkt_enctypes y permitted_enctypes a un subconjunto adecuado de tipos para minimizar el riesgo de seguridad.

Mensaje de error: Falló la comunicación con el servidor para el dominio

  1. Verifica que ingresaste el nombre de usuario de Kerberos correcto.
    El nombre de usuario de Kerberos usuario@example.com consta de lo siguiente:
    • Nombre de acceso del usuario, también conocido como sAMAccountName
    • Dominio de Kerberos, que suele coincidir con el nombre de dominio de Windows
  2. Asegúrate de que la conexión de red esté configurada correctamente.
    Asegúrate de que se pueda acceder al servidor desde el dispositivo ChromeOS en el puerto estándar Kerberos 88.
  3. Verifica que el DNS esté configurado de forma correcta.
    Kerberos solicita ciertos registros SRV de DNS para buscar el nombre de dominio DNS del servicio Kerberos. Por ejemplo, si el dominio de acceso o dominio es example.com y el nombre de dominio DNS del único servicio de Kerberos es dc.example.com, se deben agregar los siguientes registros SRV de DNS:
Servicios Protocolo Prioridad Peso Puerto Destino (nombre de host)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Si no puedes modificar la configuración del DNS, puedes agregar estas asignaciones en la configuración de Kerberos.

Por ejemplo:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Si aún tienes problemas para obtener tickets de Kerberos, recopila los registros del sistema. Si es posible, también recopila registros tcpdump o wireshark. Luego, comunícate con el equipo de asistencia.

Mensaje de error: El servidor no conoce el nombre de usuario

Verifica que el usuario con el nombre de acceso determinado exista en la base de datos de Active Directory del servidor.

Mensaje de error: No se pudo obtener el ticket de Kerberos. Vuelve a intentarlo o comunícate con el administrador de dispositivos de tu organización. (código de error X).

Recopila registros del sistema y comunícate con el equipo de asistencia.

Temas relacionados

¿Te resultó útil esto?

¿Cómo podemos mejorarla?
true
Búsqueda
Borrar búsqueda
Cerrar la búsqueda
Menú principal
17643122930960885262
true
Buscar en el Centro de asistencia
true
true
true
true
true
410864
false
false