Vous prévoyez votre stratégie de retour au bureau ? Découvrez comment Chrome OS peut vous aider.

Configurer l'authentification unique Kerberos pour les appareils Chrome

Ces instructions s'adressent aux administrateurs qui gèrent des appareils Chrome OS au sein d'une entreprise ou d'un établissement scolaire.

En tant qu'administrateur, vous pouvez utiliser des tickets Kerberos sur des appareils Chrome afin d'activer l'authentification unique (SSO) pour les ressources internes compatibles avec l'authentification Kerberos, par exemple des sites Web, des partages de fichiers, des certificats, etc.

Conditions requises

  • Les appareils exécutant Chrome OS 91 (ou une version ultérieure) sont compatibles avec l'authentification unique Kerberos pour les sessions Invité gérées.
  • Les kiosques ne sont pas compatibles actuellement.
  • Environnement Active Directory.

Configurer Kerberos

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
  3. Sur la gauche, cliquez sur Paramètres, puis choisissez pour qui configurer Kerberos :
    • Utilisateurs et navigateurs
    • Sessions Invité gérées
  4. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  5. Accédez à Kerberos.

  6. Pour les tickets Kerberos, sélectionnez Activer Kerberos.

  7. (Facultatif) Utilisateurs et navigateurs : demandez automatiquement des tickets Kerberos pour les utilisateurs lorsqu'ils se connectent. Sous Tickets Kerberos :

    • Sélectionnez Ajouter automatiquement un compte Kerberos.

    • Saisissez le nom principal. Les espaces réservés ${LOGIN_ID} et ${LOGIN_EMAIL} sont acceptés.

    • Sélectionnez Utiliser la configuration Kerberos par défaut. Vous pouvez également sélectionner Personnaliser la configuration Kerberos et indiquer la configuration Kerberos dont vous avez besoin pour votre environnement. Pour en savoir plus, consultez Configurer le mode d'obtention des tickets.

      Remarque : Vous devez examiner votre configuration Kerberos, krb5.conf. La configuration par défaut applique un chiffrement AES fort qui peut ne pas être compatible avec les différentes parties de votre environnement.

  8. Cliquez sur Enregistrer.

Configurer l'utilisation de Kerberos sur les appareils

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à la page Appareils puis Gestion de Chrome.
  3. Sur la gauche, cliquez sur Paramètres, puis choisissez pour qui configurer Kerberos :
    • Utilisateurs et navigateurs
    • Sessions Invité gérées
  4. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  5. Accédez à Réseau.
  6. Dans le champ Serveurs pour l'authentification intégrée, saisissez les URL des sites Web protégés par Kerberos. Les utilisateurs peuvent utiliser leur ticket actif pour accéder aux serveurs que vous répertoriez, sans avoir à se connecter.
    Remarque : Vous pouvez ajouter plusieurs noms de serveur, en les séparant par une virgule. Les caractères génériques (*) sont autorisés. N'ajoutez pas de caractères génériques dans le nom de domaine. Par exemple, évitez d'ajouter *example.com à la liste. Voici un exemple de liste *.example.com, example.com.
  7. Utilisateurs et navigateurs : dans le champ Serveurs de délégation Kerberos, saisissez les URL des serveurs auxquels Chrome peut déléguer l'authentification.
    Remarque : Vous pouvez ajouter plusieurs noms de serveur, en les séparant par une virgule. Les caractères génériques (*) sont autorisés.
  8. Utilisateurs et navigateurs : indiquez si la règle du centre de distribution de clés (KDC, Key Distribution Center) doit être respectée pour déléguer des tickets Kerberos. Pour la délégation des tickets Kerberos, choisissez une option :
    • Respecter la règle KDC
    • Ignorer la règle KDC
  9. Utilisateurs et navigateurs : indiquez la source du nom utilisé pour générer le SPN Kerberos. Sous Nom principal du service Kerberos, choisissez une option :
    • Utiliser le nom DNS canonique
    • Utiliser le nom d'origine saisi
  10. Utilisateurs et navigateurs : indiquez si le SPN Kerberos généré doit inclure un port non standard. Pour le port SPN de Kerberos, choisissez une option :
    • Inclure un port non standard
    • Ne pas inclure de port non standard
  11. Utilisateurs et navigateurs : indiquez si le sous-contenu tiers disponible sur une page peut afficher une boîte de dialogue d'authentification HTTP de base. Pour Authentification d'origine croisée, choisissez une option :
    • Autoriser l'authentification d'origine croisée
    • Bloquer l'authentification d'origine croisée
  12. Cliquez sur Enregistrer.

Actions possibles

Ajouter un ticket

Si vous n'autorisez pas les appareils Chrome à demander automatiquement un ticket Kerberos pour les utilisateurs souhaitant se connecter, le ticket devra être ajouté manuellement.

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil Chrome géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres "".
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Cliquez sur Ajouter un ticket.
  6. Saisissez votre nom d'utilisateur et votre mot de passe Active Directory.
    Remarque : Chrome OS n'est compatible qu'avec la notation utilisateur@domaine (et non domaine/utilisateur).
  7. (Facultatif) Pour actualiser automatiquement le ticket, cochez la case Mémoriser le mot de passe.
  8. (Facultatif) Modifiez le fichier de configuration :
    1. Cliquez sur Avancé.
    2. Modifiez les informations de configuration Kerberos, telles que la durée de vie des tickets, les types de chiffrement et les mappages de domaine. Pour en savoir plus, consultez la section Configurer le mode d'obtention des tickets.
    3. Cliquez sur Enregistrer.
  9. Cliquez sur Ajouter.

Remarque : Kerberos nécessite une configuration DNS spécifique, en particulier les enregistrements SRV des services _kerberos et _kerberos-master. Pour en savoir plus, consultez la section Résoudre des problèmes ci-dessous.

Définir un ticket actif

Les utilisateurs peuvent ajouter plusieurs tickets Kerberos sur leurs appareils Chrome. Cependant, il ne peut y avoir qu'un ticket actif et servant pour l'authentification à un moment donné. Les utilisateurs peuvent accéder aux ressources nécessitant des niveaux d'autorisation différents en changeant de ticket. C'est le cas, par exemple, si certaines pages Web internes requièrent un ticket Kerberos avec un niveau d'accès supérieur.

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil Chrome géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres "".
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket que vous souhaitez activer.
  6. À droite, cliquez sur Plus ""puisDéfinir comme ticket actif.

Actualiser un ticket et modifier la configuration

Par défaut, les tickets sont valables 10 heures et peuvent être renouvelés pour une semaine sans que les utilisateurs aient à saisir de nouveau leur nom d'utilisateur et leur mot de passe. Lorsqu'un ticket arrive à expiration et ne peut pas être actualisé automatiquement, un message s'affiche pour informer les utilisateurs qu'ils doivent l'actualiser manuellement. Si les utilisateurs laissent le ticket expirer, l'authentification Kerberos ne fonctionne plus tant qu'ils ne l'ont pas actualisé.

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil Chrome géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres "".
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket à actualiser.
  6. Cliquez sur Actualiser.
    Si le ticket n'est pas sur le point d'expirer, cliquez à droite sur Plus ""puisActualiser maintenant.
  7. Saisissez votre nom d'utilisateur et votre mot de passe Active Directory.
    Remarque : Chrome OS n'est compatible qu'avec la notation utilisateur@domaine (et non domaine/utilisateur).
  8. (Facultatif) Pour actualiser automatiquement le ticket, cochez la case Mémoriser le mot de passe.
  9. (Facultatif) Modifiez le fichier de configuration :
    1. Cliquez sur Avancé.
    2. Modifiez les informations de configuration Kerberos, telles que la durée de vie des tickets, les types de chiffrement et les mappages de domaine. Pour en savoir plus, consultez la section Configurer le mode d'obtention des tickets.
    3. Cliquez sur Enregistrer.
  10. Cliquez sur Actualiser.

Supprimer un ticket

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil Chrome géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres "".
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket à supprimer.
  6. Sur la droite, cliquez sur Plus ""puisSupprimer de cet appareil.

Configurer le mode d'obtention des tickets

Les utilisateurs peuvent modifier la configuration Kerberos, krb5.conf, lorsqu'ils ajoutent un nouveau ticket ou qu'ils actualisent un ticket existant. Le code Chrome OS qui interagit avec le centre de distribution de clés (KDC) Kerberos est basé sur la bibliothèque MIT Kerberos. Pour en savoir plus sur la configuration, consultez la documentation MIT Kerberos. Toutefois, toutes les options ne sont pas compatibles.
Voici une liste des options compatibles avec Chrome OS :
Section Relation
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit

[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc

[domain_realm]

Toute valeur

[capaths]

Toute valeur

Exemple : Demander une durée de vie de ticket différente

[libdefaults]

        ticket_lifetime = 16h

L'exemple demande un ticket valide pendant 16 heures. La durée de vie peut être limitée côté serveur, où la valeur par défaut est de 10 heures.

Pour modifier la limite côté serveur, procédez comme suit :

  1. Ouvrez la console de gestion des stratégies de groupe.
  2. Accédez à ParamètrespuisParamètres de sécuritépuisRègles du comptepuisRègle Kerberos.
  3. Modifiez la règle Durée de vie maximale des tickets de l'utilisateur.

Exemple : Demander une durée de renouvellement d'un ticket différente

[libdefaults]

        renew_lifetime = 14d

L'exemple demande un ticket qui peut être renouvelé pour une durée de 14 jours. La durée de renouvellement peut être limitée côté serveur, où la valeur par défaut est de sept jours.

Pour modifier la limite côté serveur, procédez comme suit :

  1. Ouvrez la console de gestion des stratégies de groupe.
  2. Accédez à ParamètrespuisParamètres de sécuritépuisRègles du comptepuisRègle Kerberos.
  3. Modifiez la règle Durée de renouvellement maximale des tickets d'un utilisateur.

Résoudre des problèmes

En général, vous pouvez utiliser l'outil de ligne de commande kinit sous Linux pour résoudre les problèmes. Chrome OS est basé sur Linux, et la mise en œuvre des tickets Kerberos utilise kinit. Par conséquent, si vous pouvez obtenir un ticket Kerberos en utilisant kinit sous Linux, vous devriez également pouvoir obtenir un ticket dans Chrome OS avec la même configuration.

Message d'erreur : KDC n'est pas compatible avec le type de chiffrement.

Google applique par défaut le chiffrement AES fort. Si un message d'erreur concernant les types de chiffrement s'affiche, il est possible que certaines parties de votre environnement de serveur ne puissent pas traiter le chiffrement AES. Nous vous recommandons de corriger ce problème.

Sinon, supprimez les trois lignes default_tgs_enctypes, default_tkt_enctypes et permitted_enctypes de la configuration pour le développement. Tous les types de chiffrement présentés dans la documentation MIT Kerberos seront alors activés, à l'exception de ceux indiqués comme faibles. Vérifiez que les implications sur la sécurité correspondent à vos besoins. Certains types de chiffrement ne sont plus considérés comme forts.

Une fois que vous avez vérifié que tous les types de chiffrement fonctionnent, nous vous recommandons de limiter les types de chiffrement pour default_tgs_enctypes, default_tkt_enctypes et permitted_enctypes à un sous-ensemble de types pour réduire les risques de sécurité.

Message d'erreur : Échec de la connexion au serveur pour le domaine.

  1. Vérifiez que le nom d'utilisateur Kerberos que vous avez saisi est correct.
    Le nom d'utilisateur Kerberos user@example.com se compose ainsi :
    • Nom de connexion utilisateur (sAMAccountName)
    • Domaine Kerberos (généralement, le nom de domaine Windows)
  2. Vérifiez que la connexion réseau est correctement configurée.
    Assurez-vous que le serveur est accessible depuis l'appareil Chrome à l'aide du port Kerberos 88 standard.
  3. Vérifiez que le DNS est correctement configuré.
    Kerberos demande certains enregistrements SRV DNS pour trouver le nom de domaine DNS du service Kerberos. Par exemple, si le domaine de connexion est example.com et que le nom de domaine DNS du seul service Kerberos est dc.example.com, vous devez ajouter les enregistrements SRV DNS suivants :
Service Protocole Priorité Poids Port Cible (nom d'hôte)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_Kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_Kerberos _udp 0 100 88 dc.example.com
_Kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Si vous ne pouvez pas modifier les paramètres DNS, vous pouvez ajouter ces mappages à la configuration Kerberos.

Exemple :

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Si vous ne parvenez toujours pas à obtenir des tickets Kerberos, rassemblez les journaux système. Collectez également les journaux tcpdump ou wireshark, si possible. Ensuite, contactez l'assistance.

Message d'erreur : Nom d'utilisateur introuvable sur le serveur.

Vérifiez que l'utilisateur possédant le nom de connexion donné existe dans la base de données Active Directory du serveur.

Message d'erreur : Impossible d'obtenir un ticket Kerberos. Veuillez réessayer ou contacter l'administrateur des appareils de votre organisation. (Code d'erreur X).

Rassemblez les journaux système et contactez l'assistance.

Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
410864
false