Notification

Vous prévoyez votre stratégie de retour au bureau ? Découvrez comment Chrome OS peut vous aider.

Configurer l'authentification unique Kerberos pour les appareils ChromeOS

Ces instructions s'adressent aux administrateurs qui gèrent des appareils ChromeOS au sein d'une entreprise ou d'un établissement scolaire.

En tant qu'administrateur, vous pouvez utiliser des tickets Kerberos sur des appareils ChromeOS afin d'activer l'authentification unique (SSO) pour les ressources internes compatibles avec l'authentification Kerberos, par exemple des sites Web, des partages de fichiers, des certificats, etc.

Conditions requises

  • Appareils exécutant ChromeOS version 91 ou ultérieure
  • Les kiosques ne sont pas compatibles actuellement.
  • Environnement Active Directory.

Configurer Kerberos

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur ChromepuisParamètres.

  3. (Facultatif) En haut de la page, cliquez sur Paramètres des sessions Invité gérées.
  4. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.

  5. Accédez à Kerberos.

  6. Cliquez sur Tickets Kerberos.

  7. Sélectionnez Activer Kerberos.

  8. (Facultatif) (Utilisateurs et navigateurs uniquement) Demandez automatiquement des tickets Kerberos pour les utilisateurs lorsqu'ils se connectent.

    1. Sélectionnez Ajouter automatiquement un compte Kerberos.

    2. Saisissez le nom principal. Les espaces réservés ${LOGIN_ID} et ${LOGIN_EMAIL} sont acceptés.

    3. Sélectionnez Utiliser la configuration Kerberos par défaut. Vous pouvez également sélectionner Personnaliser la configuration Kerberos et indiquer la configuration Kerberos dont vous avez besoin pour votre environnement. Pour en savoir plus, consultez la section Configurer le mode d'obtention des tickets.
      Remarque : Vous devez examiner votre configuration Kerberos, krb5.conf. La configuration par défaut applique un chiffrement AES fort qui peut ne pas être compatible avec les différentes parties de votre environnement.

  9. Cliquez sur Enregistrer.

Configurer l'utilisation de Kerberos sur les appareils

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur ChromepuisParamètres.

  3. (Facultatif) En haut de la page, cliquez sur Paramètres des sessions Invité gérées.
  4. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  5. Accédez à Réseau.
  6. Configurez les serveurs d'authentification autorisés :
    1. Cliquez sur Serveurs pour l'authentification intégrée.
    2. Saisissez les URL des sites Web protégés par Kerberos. Les utilisateurs peuvent utiliser leur ticket actif pour accéder aux serveurs que vous répertoriez, sans avoir à se connecter.
      Remarque : Vous pouvez ajouter plusieurs noms de serveur, en les séparant par une virgule. Les caractères génériques (*) sont autorisés. N'ajoutez pas de caractères génériques dans le nom de domaine. Par exemple, évitez d'ajouter *example.com à la liste. Voici un exemple de liste *.example.com, example.com.
    3. Cliquez sur Enregistrer.
  7. (Utilisateurs et navigateurs uniquement) Configurez les serveurs autorisés pour la délégation :
    1. Cliquez sur Serveurs de délégation Kerberos.
    2. Saisissez les URL des serveurs auxquels Chrome peut déléguer l'authentification.
      Remarque : Vous pouvez ajouter plusieurs noms de serveur, en les séparant par une virgule. Les caractères génériques (*) sont autorisés.
    3. Cliquez sur Enregistrer.
  8. (Utilisateurs et navigateurs uniquement) : indiquez si la règle du centre de distribution de clés (KDC, Key Distribution Center) doit être respectée pour déléguer des tickets Kerberos :
    1. Cliquez sur Délégation de ticket Kerberos.
    2. Sélectionnez une option :
      • Respecter la règle KDC
      • Ignorer la règle KDC
    3. Cliquez sur Enregistrer.
  9. (Utilisateurs et navigateurs uniquement) Spécifiez la source du nom utilisé pour générer le nom principal du service (SPN) Kerberos.
    1. Cliquez sur Nom principal du service Kerberos.
    2. Sélectionnez une option :
      • Utiliser le nom DNS canonique
      • Utiliser le nom d'origine saisi
    3. Cliquez sur Enregistrer.
  10. (Utilisateurs et navigateurs uniquement) Indiquez si le SPN Kerberos généré doit inclure un port non standard.
    1. Cliquez sur Port SPN Kerberos.
    2. Sélectionnez une option :
      • Inclure un port non standard
      • Ne pas inclure de port non standard
    3. Cliquez sur Enregistrer.
  11. (Utilisateurs et navigateursuniquement) Indiquez si le sous-contenu tiers disponible sur une page peut afficher une boîte de dialogue d'authentification HTTP de base.
    1. Cliquez sur Authentification d'origine croisée.
    2. Sélectionnez une option :
      • Autoriser l'authentification d'origine croisée
      • Bloquer l'authentification d'origine croisée
    3. Cliquez sur Enregistrer.

Actions possibles

Ajouter un ticket

Lorsque les utilisateurs tentent d'accéder à une ressource protégée par Kerberos, ils peuvent ajouter un ticket ou continuer sans.

Pour ajouter un ticket, procédez comme suit :

  1. Dans la boîte de dialogue, cliquez sur Gérer les tickets.
  2. Sur la page Tickets Kerberos, cliquez sur Ajouter un ticket.
  3. Saisissez votre nom d'utilisateur et votre mot de passe Active Directory.
    Remarque : ChromeOS n'est compatible qu'avec la notation utilisateur@domaine (et non domaine/utilisateur).
  4. (Facultatif) Pour actualiser automatiquement le ticket, laissez la case Mémoriser le mot de passe cochée.
  5. (Facultatif) Modifiez le fichier de configuration :
    • Cliquez sur Avancé.
    • Modifiez les informations de configuration Kerberos, telles que la durée de vie des tickets, les types de chiffrement et les mappages de domaine. Pour en savoir plus, consultez Configurer le mode d'obtention des tickets.
    • Cliquez sur Enregistrer.
  6. Cliquez sur Ajouter.
  7. Actualisez la page que vous essayez d'afficher.

Remarque : Kerberos nécessite une configuration DNS spécifique, en particulier les enregistrements SRV des services _kerberos et _kerberos-master. Pour en savoir plus, consultez la section Résoudre des problèmes ci-dessous.

Définir un ticket actif

Les utilisateurs peuvent ajouter plusieurs tickets Kerberos sur leurs appareils ChromeOS. Cependant, il ne peut y avoir qu'un ticket actif et servant pour l'authentification à un moment donné. Les utilisateurs peuvent accéder aux ressources nécessitant des niveaux d'autorisation différents en changeant de ticket. C'est le cas, par exemple, si certaines pages Web internes requièrent un ticket Kerberos avec un niveau d'accès supérieur.

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil ChromeOS géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres .
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket que vous souhaitez activer.
  6. À droite, cliquez sur Plus puisDéfinir comme ticket actif.

Actualiser un ticket et modifier la configuration

Par défaut, les tickets sont valables 10 heures et peuvent être renouvelés pour une semaine sans que les utilisateurs aient à saisir de nouveau leur nom d'utilisateur et leur mot de passe. Lorsqu'un ticket arrive à expiration et ne peut pas être actualisé automatiquement, un message s'affiche pour informer les utilisateurs qu'ils doivent l'actualiser manuellement. Si les utilisateurs laissent le ticket expirer, l'authentification Kerberos ne fonctionne plus tant qu'ils ne l'ont pas actualisé.

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil ChromeOS géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres .
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket à actualiser.
  6. Cliquez sur Actualiser.
    Si le ticket n'est pas sur le point d'expirer, cliquez à droite sur Plus puisActualiser maintenant.
  7. Saisissez votre nom d'utilisateur et votre mot de passe Active Directory.
    Remarque : ChromeOS n'est compatible qu'avec la notation utilisateur@domaine (et non domaine/utilisateur).
  8. (Facultatif) Pour actualiser automatiquement le ticket, cochez la case Mémoriser le mot de passe.
  9. (Facultatif) Modifiez le fichier de configuration :
    1. Cliquez sur Avancé.
    2. Modifiez les informations de configuration Kerberos, telles que la durée de vie des tickets, les types de chiffrement et les mappages de domaine. Pour en savoir plus, consultez Configurer le mode d'obtention des tickets.
    3. Cliquez sur Enregistrer.
  10. Cliquez sur Actualiser.

Supprimer un ticket

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil ChromeOS géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres .
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket à supprimer.
  6. Sur la droite, cliquez sur Plus puisSupprimer de cet appareil.

Configurer le mode d'obtention des tickets

Les utilisateurs peuvent modifier la configuration Kerberos, krb5.conf, lorsqu'ils ajoutent un nouveau ticket ou qu'ils actualisent un ticket existant. Le code ChromeOS qui interagit avec le centre de distribution de clés (KDC) Kerberos est basé sur la bibliothèque MIT Kerberos. Pour en savoir plus sur la configuration, consultez la documentation MIT Kerberos. Toutefois, toutes les options ne sont pas compatibles.
Voici une liste des options compatibles avec ChromeOS :
Section Relation
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Toute valeur
[capaths]

Toute valeur

Exemple : Demander une durée de vie de ticket différente

[libdefaults]

        ticket_lifetime = 16h

L'exemple demande un ticket valide pendant 16 heures. La durée de vie peut être limitée côté serveur, où la valeur par défaut est de 10 heures.

Pour modifier la limite côté serveur, procédez comme suit :

  1. Ouvrez la console de gestion des stratégies de groupe.
  2. Accédez à ParamètrespuisParamètres de sécuritépuisRègles du comptepuisRègle Kerberos.
  3. Modifiez la règle Durée de vie maximale des tickets de l'utilisateur.

Exemple : Demander une durée de renouvellement d'un ticket différente

[libdefaults]

        renew_lifetime = 14d

L'exemple demande un ticket qui peut être renouvelé pour une durée de 14 jours. La durée de renouvellement peut être limitée côté serveur, où la valeur par défaut est de sept jours.

Pour modifier la limite côté serveur, procédez comme suit :

  1. Ouvrez la console de gestion des stratégies de groupe.
  2. Accédez à ParamètrespuisParamètres de sécuritépuisRègles du comptepuisRègle Kerberos.
  3. Modifiez la règle Durée de renouvellement maximale des tickets d'un utilisateur.

Résoudre des problèmes

En général, vous pouvez utiliser l'outil de ligne de commande kinit sous Linux pour résoudre les problèmes. ChromeOS est basé sur Linux, et la mise en œuvre des tickets Kerberos utilise kinit. Par conséquent, si vous pouvez obtenir un ticket Kerberos en utilisant kinit sous Linux, vous devriez également pouvoir obtenir un ticket dans ChromeOS avec la même configuration.

Message d'erreur : KDC n'est pas compatible avec le type de chiffrement.

Google applique par défaut le chiffrement AES fort. Si un message d'erreur concernant les types de chiffrement s'affiche, il est possible que certaines parties de votre environnement de serveur ne puissent pas traiter le chiffrement AES. Nous vous recommandons de corriger ce problème.

Sinon, supprimez les trois lignes default_tgs_enctypes, default_tkt_enctypes et permitted_enctypes de la configuration pour le développement. Tous les types de chiffrement présentés dans la documentation MIT Kerberos seront alors activés, à l'exception de ceux indiqués comme faibles. Vérifiez que les implications sur la sécurité correspondent à vos besoins. Certains types de chiffrement ne sont plus considérés comme forts.

Une fois que vous avez vérifié que tous les types de chiffrement fonctionnent, nous vous recommandons de limiter les types de chiffrement pour default_tgs_enctypes, default_tkt_enctypes et permitted_enctypes à un sous-ensemble de types pour réduire les risques de sécurité.

Message d'erreur : Échec de la connexion au serveur pour le domaine.

  1. Vérifiez que le nom d'utilisateur Kerberos que vous avez saisi est correct.
    Le nom d'utilisateur Kerberos user@example.com se compose ainsi :
    • Nom de connexion utilisateur (sAMAccountName)
    • Domaine Kerberos (généralement, le nom de domaine Windows)
  2. Vérifiez que la connexion réseau est correctement configurée.
    Assurez-vous que le serveur est accessible depuis l'appareil ChromeOS à l'aide du port Kerberos 88 standard.
  3. Vérifiez que le DNS est correctement configuré.
    Kerberos demande certains enregistrements SRV DNS pour trouver le nom de domaine DNS du service Kerberos. Par exemple, si le domaine de connexion est example.com et que le nom de domaine DNS du seul service Kerberos est dc.example.com, vous devez ajouter les enregistrements SRV DNS suivants :
Service Protocole Priorité Poids Port Cible (nom d'hôte)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_Kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_Kerberos _udp 0 100 88 dc.example.com
_Kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Si vous ne pouvez pas modifier les paramètres DNS, vous pouvez ajouter ces mappages à la configuration Kerberos.

Exemple :

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Si vous ne parvenez toujours pas à obtenir des tickets Kerberos, rassemblez les journaux système. Collectez également les journaux tcpdump ou wireshark, si possible. Ensuite, contactez l'assistance.

Message d'erreur : Nom d'utilisateur introuvable sur le serveur.

Vérifiez que l'utilisateur possédant le nom de connexion donné existe dans la base de données Active Directory du serveur.

Message d'erreur : Impossible d'obtenir un ticket Kerberos. Veuillez réessayer ou contacter l'administrateur des appareils de votre organisation. (Code d'erreur X).

Rassemblez les journaux système et contactez l'assistance.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
581130528311797038
true
Rechercher dans le centre d'aide
true
true
true
true
true
410864
false
false