Notificación

¿Estás planificando tu estrategia de regreso a la oficina? Descubre cómo puede ayudarte Chrome OS.

Configurar el inicio de sesión único basado en Kerberos en dispositivos ChromeOS

Esta página está dirigida a administradores que gestionan dispositivos equipados con ChromeOS en una empresa o un centro educativo.

Como administrador, puedes utilizar tickets de Kerberos en dispositivos ChromeOS para habilitar el inicio de sesión único (SSO) en recursos internos que admitan la autenticación de Kerberos. Entre los recursos internos se incluyen sitios web, sistemas de archivos compartidos y certificados.

Requisitos

  • Dispositivos con ChromeOS 91 o versiones posteriores.
  • Actualmente, los kioscos no admiten este tipo de inicio de sesión.
  • Entorno de Active Directory.

Configurar Kerberos

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoChromey luegoConfiguración. La página Configuración de usuarios y navegadores se abre de forma predeterminada.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chromey luegoConfiguración.

  3. (Opcional) En la parte superior, haz clic en Configuración de las sesiones de invitado gestionadas.
  4. (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo

  5. Ve a Kerberos.

  6. Haz clic en Talleres de Kerberos.

  7. Selecciona Habilitar Kerberos.

  8. (Opcional) (Solo usuarios y navegadores) Solicita automáticamente incidencias de Kerberos a los usuarios cuando inicien sesión.

    1. Selecciona Añadir automáticamente una cuenta de Kerberos.

    2. Introduce el Nombre principal. Se admiten los marcadores de posición ${LOGIN_ID} y ${LOGIN_EMAIL}.

    3. Selecciona Usar la configuración de Kerberos predeterminada. También puedes seleccionar Personalizar la configuración de Kerberos e indicar la configuración de Kerberos que necesitas para tu entorno. Consulta más información en Configurar el modo de obtener tickets.
      Nota: Deberías revisar tu configuración de Kerberos, krb5.conf. La configuración predeterminada aplica un cifrado AES seguro que es posible que no sea compatible con todas las partes de tu entorno.

  9. Haz clic en Guardar.

Configurar cómo se puede usar Kerberos en los dispositivos

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoChromey luegoConfiguración. La página Configuración de usuarios y navegadores se abre de forma predeterminada.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chromey luegoConfiguración.

  3. (Opcional) En la parte superior, haz clic en Configuración de las sesiones de invitado gestionadas.
  4. (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
  5. Ve a Red.
  6. Configura los servidores de autenticación permitidos:
    1. Haz clic en Servidores de autenticación integrados.
    2. Introduce las URLs de los sitios web que están protegidos por Kerberos. Los usuarios pueden usar su ticket activo para acceder a los servidores que incluyas en la lista, sin necesidad de iniciar sesión.
      Nota: Puedes añadir varios nombres de servidor separados por comas. Se permite el uso de comodines (*). No incluyas comodines en el nombre de dominio. Por ejemplo, no añadas *example.com a la lista. Aquí tienes una lista de ejemplo: *.example.com, example.com.
    3. Haz clic en Guardar.
  7. (Solo usuarios y navegadores) Configura los servidores permitidos para la delegación:
    1. Haz clic en Servidores de delegación Kerberos.
    2. Introduce las URLs de los servidores en los que Chrome puede delegar.
      Nota: Puedes añadir varios nombres de servidor separados por comas. Se permite el uso de comodines (*).
    3. Haz clic en Guardar.
  8. (Solo usuarios y navegadores) Especifica si se debe respetar la política del centro de distribución de claves (KDC) para delegar incidencias de Kerberos.:
    1. Haz clic en Delegación de incidencias de Kerberos.
    2. Elige una de estas opciones:
      • Respetar la política del KDC
      • Ignorar la política del KDC
    3. Haz clic en Guardar.
  9. (Solo usuarios y navegadores) Especifica el origen del nombre utilizado para generar el nombre principal del servicio Kerberos.
    1. Haz clic en Nombre principal del servicio Kerberos.
    2. Elige una de estas opciones:
      • Usar el nombre de DNS canónico
      • Usar el nombre original introducido
    3. Haz clic en Guardar.
  10. (Solo usuarios y navegadores) Especifica si el SPN de Kerberos generado debe incluir un puerto no estándar.
    1. Haz clic en Puerto del SPN de Kerberos.
    2. Elige una de estas opciones:
      • Incluir el puerto no estándar
      • No incluir el puerto no estándar
    3. Haz clic en Guardar.
  11. (Solo usuarios y navegadores) Especifica si el subcontenido de terceros de una página puede abrir un cuadro de diálogo emergente de autenticación HTTP básica.
    1. Haz clic en Autenticación de diferentes orígenes.
    2. Elige una de estas opciones:
      • Permitir la autenticación de diferentes orígenes
      • Bloquear la autenticación de diferentes orígenes
    3. Haz clic en Guardar.

Qué pueden hacer los usuarios

Añadir un ticket

Cuando los usuarios intentan acceder a un recurso protegido por Kerberos, se les da la opción de añadir una incidencia o de continuar sin incidencia.

Para añadir un ticket, haz lo siguiente:

  1. En el cuadro, haz clic en Gestionar tickets.
  2. En la página Tickets de Kerberos, haz clic en Añadir ticket.
  3. Introduce el nombre de usuario y la contraseña de Active Directory.
    Nota: ChromeOS solo admite la notación usuario@dominio, no la notación dominio/usuario.
  4. (Opcional) Para renovar el ticket automáticamente, deja marcada la casilla Recordar contraseña .
  5. (Opcional) Edita el archivo de configuración:
    • Haz clic en Avanzado.
    • Cambia la información de configuración de Kerberos, como la duración de una incidencia, los tipos de cifrado y las asignaciones de dominios. Para obtener más información, consulta Configurar el modo de obtener tickets.
    • Haz clic en Guardar.
  6. Haz clic en Añadir.
  7. Vuelve a cargar la página que intentas ver.

Nota: Kerberos requiere una determinada configuración de DNS, específicamente, los registros SRV de los servicios _kerberos y _kerberos-master. Para obtener más información, consulta la sección Solucionar problemas, más abajo.

Configurar un ticket activo

Los usuarios pueden añadir varios tickets de Kerberos en sus dispositivos ChromeOS. Sin embargo, solo un ticket puede estar activo y utilizarse para la autenticación en un momento dado. Los usuarios pueden acceder a recursos que requieran diferentes niveles de autorización cambiando de ticket. Por ejemplo, si determinadas páginas web internas requieren un ticket de Kerberos con un nivel de privilegios superior.

  1. Si aún no lo has hecho, inicia sesión en un dispositivo ChromeOS gestionado.
  2. Abajo a la derecha, selecciona la hora.
  3. Haz clic en Configuración .
  4. En la sección Personas, haz clic en Tickets de Kerberos.
  5. Busca el ticket que quieras activar.
  6. En la parte derecha, haz clic en Más y luegoDefinir como incidencia activa.

Renovar un ticket y modificar la configuración

De forma predeterminada, los tickets tienen una validez de 10 horas y se pueden renovar hasta una semana sin que los usuarios tengan que volver a introducir su nombre de usuario y contraseña. Cuando un ticket caduca y no se puede renovar automáticamente, los usuarios ven un mensaje en el que se indica que deben hacerlo manualmente. Si los usuarios dejan que el ticket activo caduque, la autenticación de Kerberos dejará de funcionar hasta que lo renueven.

  1. Si aún no lo has hecho, inicia sesión en un dispositivo ChromeOS gestionado.
  2. Abajo a la derecha, selecciona la hora.
  3. Haz clic en Configuración .
  4. En la sección Personas, haz clic en Tickets de Kerberos.
  5. Busca el ticket que quieras renovar.
  6. Haz clic en Renovar.
    Si la incidencia no está a punto de caducar, a la derecha, haz clic en Más y luegoRenovar ahora.
  7. Introduce el nombre de usuario y la contraseña de Active Directory.
    Nota: ChromeOS solo admite la notación user@domain, no la notación domain/user.
  8. (Opcional) Para renovar el ticket automáticamente, marca la casilla Recordar contraseña.
  9. (Opcional) Edita el archivo de configuración:
    1. Haz clic en Avanzado.
    2. Cambia la información de configuración de Kerberos, como la duración de una incidencia, los tipos de cifrado y las asignaciones de dominios. Para obtener más información, consulta Configurar el modo de obtener tickets.
    3. Haz clic en Guardar.
  10. Haz clic en Renovar.

Eliminar un ticket

  1. Si aún no lo has hecho, inicia sesión en un dispositivo ChromeOS gestionado.
  2. Abajo a la derecha, selecciona la hora.
  3. Haz clic en Configuración .
  4. En la sección Personas, haz clic en Tickets de Kerberos.
  5. Busca el ticket que quieras eliminar.
  6. En la parte derecha, haz clic en Más y luegoEliminar del dispositivo.

Configurar el modo de obtener tickets

Los usuarios pueden modificar la configuración de Kerberos, krb5.conf, cuando añaden un nuevo ticket o renuevan uno ya creado. El código de ChromeOS que interactúa con el centro de distribución de claves de Kerberos (KDC) se basa en la biblioteca de Kerberos del MIT. Para obtener más información sobre la configuración, consulta la documentación de Kerberos del MIT. Sin embargo, no admitimos todas las opciones.
Estas son las opciones disponibles en ChromeOS:
Sección Relación
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Cualquier valor
[capaths]

Cualquier valor

Ejemplo: Solicitar otra duración del ticket

[libdefaults]

        ticket_lifetime = 16h

En este ejemplo, se solicita un ticket válido durante 16 horas. La duración total puede estar limitada en el servidor, donde el valor predeterminado es de 10 horas.

Para cambiar el límite de servidor:

  1. Abre la consola de administración de directivas de grupo.
  2. Ve a Configuracióny luegoConfiguración de seguridady luegoDirectivas de cuentay luegoDirectiva Kerberos.
  3. Modifica la política Vigencia máxima del vale de usuario.

Ejemplo: Solicitar otra duración de la renovación del ticket

[libdefaults]

        renew_lifetime = 14d

En este ejemplo, se solicita un ticket que se puede renovar durante 14 días. La duración de la renovación puede estar limitada en el servidor, donde el valor predeterminado es de 7 días.

Para cambiar el límite de servidor:

  1. Abre la consola de administración de directivas de grupo.
  2. Ve a Configuracióny luegoConfiguración de seguridady luegoDirectivas de cuentay luegoDirectiva Kerberos.
  3. Modifica la política Vigencia máxima de renovación de vales de usuario.

Solucionar problemas

En general, puedes solucionar problemas utilizando la herramienta de línea de comandos kinit en Linux. ChromeOS está basado en Linux y la implementación de incidencias de Kerberos utiliza kinit. Por lo tanto, si puedes obtener un ticket de Kerberos mediante kinit en Linux, también deberías poder obtener un ticket en ChromeOS con la misma configuración.

Mensaje de error: El centro de distribución de llaves (KDC) no es compatible con este tipo de cifrado

Google aplica de forma predeterminada un cifrado AES seguro. Si se produce un error sobre los tipos de cifrado, quizás algunas partes de tu entorno de servidor no pueden gestionar el cifrado AES. Se recomienda solucionar este problema.

De lo contrario, considera la posibilidad de eliminar las tres líneas de default_tgs_enctypes, default_tkt_enctypes y permited_enctypes de la configuración para el desarrollo. Esto habilitará todos los tipos de cifrado en la documentación de Kerberos del MIT, excepto los que estén marcados como poco seguros. Comprueba que las implicaciones de seguridad sean adecuadas para tus necesidades. Algunos tipos de cifrado ya no se consideran seguros.

Una vez que hayas confirmado que el conjunto de todos los tipos de cifrado funciona, te recomendamos que limites los tipos de cifrado default_tgs_enctypes, default_tkt_enctypes y permited_enctypes a un subconjunto de tipos adecuado para minimizar los riesgos de seguridad.

Mensaje de error: Se ha producido un error al contactar con el servidor del dominio

  1. Comprueba que has introducido el nombre de usuario de Kerberos correcto.
    El nombre de usuario de Kerberos, usuario@example.com, está compuesto por:
    • El nombre de inicio de sesión del usuario, también conocido como sAMAccountName
    • El dominio Kerberos, que suele coincidir con el nombre de dominio de Windows.
  2. Comprueba que la conexión de red se haya configurado correctamente.
    Asegúrate de que se pueda acceder al servidor desde el dispositivo ChromeOS en el puerto estándar de Kerberos 88.
  3. Asegúrate de que el DNS se haya configurado correctamente.
    Kerberos solicita ciertos registros SRV de DNS para encontrar el nombre de dominio DNS del servicio Kerberos. Por ejemplo, si el dominio de inicio de sesión es example.com y el nombre de dominio DNS del único servicio de Kerberos es dc.example.com, se deben añadir los siguientes registros SRV de DNS:
Servicio Protocolo Prioridad Peso Puerto Destino (nombre de host)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Si no puedes modificar la configuración de DNS, puedes añadir estas asignaciones en la configuración de Kerberos.

Por ejemplo:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Si sigues teniendo problemas para obtener los tickets de Kerberos, recopila los registros del sistema. Si es posible, recopila también los registros de tcpdump o wireshark. A continuación, ponte en contacto con el servicio de asistencia.

Mensaje de error: El servidor no reconoce este nombre de usuario

Verifica que el usuario con el nombre de inicio de sesión indicado existe en la base de datos de Active Directory del servidor.

Mensaje de error: No se ha podido obtener el ticket de Kerberos. Vuelve a intentarlo o ponte en contacto con el administrador de dispositivos de tu organización. Código de error: X.

Recopila los registros del sistema y ponte en contacto con el equipo de asistencia.

Mensaje de error: Error de autenticación en Kerberos.

Para añadir automáticamente incidencias de Kerberos después de iniciar sesión, los usuarios deben iniciar sesión con sus contraseñas y no con su PIN. Esta contraseña debe ser la misma que se usa para autenticarse en el servidor de Active Directory al añadir una incidencia. Consulta Añadir una incidencia.

Si los usuarios quieren seguir iniciando sesión con su PIN, deberán crear incidencias manualmente.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
16050581636510520773
true
Buscar en el Centro de ayuda
true
true
true
true
true
410864
false
false