Ditujukan bagi administrator yang mengelola perangkat ChromeOS untuk akun bisnis atau sekolah.
Sebagai admin, Anda dapat menggunakan tiket Kerberos di perangkat ChromeOS guna mengaktifkan single sign-on (SSO) untuk resource internal yang mendukung autentikasi Kerberos. Resource internal dapat mencakup situs, berbagi file, sertifikat, dan sebagainya.
Persyaratan
- Perangkat dengan ChromeOS versi 91 atau yang lebih baru.
- Kios saat ini tidak didukung.
- Lingkungan Active Directory.
Menyiapkan Kerberos
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu PerangkatChromeSetelan. Halaman Setelan pengguna & browser akan terbuka secara default.
Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu Browser ChromeSetelan.
- (Opsional) Di bagian atas, klik Setelan sesi tamu terkelola.
-
Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
-
Buka Kerberos.
-
Klik Tiket Kerberos.
-
Pilih Aktifkan Kerberos.
-
[Opsional] [Khusus pengguna & browser] Otomatis meminta tiket Kerberos bagi pengguna saat mereka login.
-
Pilih Tambahkan akun Kerberos secara otomatis.
-
Masukkan Nama utama. Placeholder ${LOGIN_ID} dan ${LOGIN_EMAIL} didukung.
-
Pilih Gunakan konfigurasi Kerberos default. Atau, pilih Sesuaikan konfigurasi Kerberos dan tentukan konfigurasi Kerberos yang diperlukan untuk mendukung lingkungan Anda. Untuk detailnya, lihat Mengonfigurasi cara mendapatkan tiket.
Catatan: Anda harus meninjau konfigurasi Kerberos, krb5.conf. Konfigurasi default menerapkan enkripsi AES yang kuat yang mungkin tidak didukung oleh setiap bagian lingkungan Anda.
-
-
Klik Simpan.
Mengonfigurasi cara Kerberos dapat digunakan di perangkat
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu PerangkatChromeSetelan. Halaman Setelan pengguna & browser akan terbuka secara default.
Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu Browser ChromeSetelan.
- (Opsional) Di bagian atas, klik Setelan sesi tamu terkelola.
-
Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
- Buka Jaringan.
- Konfigurasi server autentikasi yang diizinkan:
- Klik Server autentikasi terintegrasi.
- Masukkan URL situs yang dilindungi oleh Kerberos. Pengguna dapat menggunakan tiket aktif untuk mengakses server yang Anda cantumkan, tanpa harus login.
Catatan: Anda dapat menambahkan beberapa nama server yang dipisahkan dengan koma. Karakter pengganti, *, diizinkan. Jangan menyertakan karakter pengganti dalam nama domain. Misalnya, hindari menambahkan *example.com ke daftar. Berikut adalah contoh daftar *.example.com, example.com. - Klik Simpan.
- (Khusus pengguna & browser) Konfigurasi server yang diizinkan untuk delegasi:
- Klik Server delegasi Kerberos.
- Masukkan URL server yang dapat didelegasikan oleh Chrome.
Catatan: Anda dapat menambahkan beberapa nama server yang dipisahkan dengan koma. Karakter pengganti, *, diizinkan. - Klik Simpan.
- (Khusus pengguna & browser) Tentukan apakah akan mematuhi kebijakan Key Distribution Center (KDC) untuk mendelegasikan tiket Kerberos.:
- Klik Delegasi tiket Kerberos.
- Pilih salah satu opsi:
- Patuhi kebijakan KDC
- Abaikan kebijakan KDC
- Klik Simpan.
- (Khusus pengguna & browser) Tentukan sumber nama yang digunakan untuk membuat nama utama layanan (SPN) Kerberos.
- Klik Nama utama layanan Kerberos.
- Pilih salah satu opsi:
- Gunakan nama DNS kanonis
- Gunakan nama asal yang dimasukkan
- Klik Simpan.
- [Khusus pengguna & browser] Tentukan apakah SPN Kerberos yang dibuat harus menyertakan port non-standar.
- Klik Port SPN Kerberos.
- Pilih salah satu opsi:
- Sertakan port non-standar
- Jangan sertakan port non-standar
- Klik Simpan.
- [Khusus pengguna & browser] Tentukan apakah sub-konten pihak ketiga di halaman diizinkan untuk menampilkan jendela pop-up kotak dialog autentikasi dasar HTTP.
- Klik Autentikasi lintas asal
- Pilih salah satu opsi:
- Izinkan autentikasi lintas asal
- Blokir autentikasi lintas asal
- Klik Simpan.
Yang dapat dilakukan pengguna
Menambahkan tiket
Saat pengguna mencoba mengakses resource yang dilindungi Kerberos, mereka diberi opsi untuk menambahkan tiket atau melanjutkan tanpa tiket.
Untuk menambahkan tiket, lakukan langkah-langkah berikut:
- Di kotak, klik Kelola tiket.
- Di halaman Tiket Kerberos, klik Tambahkan tiket.
- Masukkan nama pengguna dan sandi Active Directory Anda.
Catatan: ChromeOS hanya mendukung notasi pengguna@domain, bukan notasi domain/pengguna. - (Opsional) Untuk memperbarui tiket secara otomatis, centang kotak Ingat sandi .
- (Opsional) Edit file konfigurasi:
- Klik Lanjutan.
- Ubah informasi konfigurasi Kerberos, seperti masa berlaku tiket, jenis enkripsi, dan pemetaan lingkup domain. Untuk mengetahui detailnya, lihat Mengonfigurasi cara mendapatkan tiket.
- Klik Simpan.
- Klik Tambahkan.
- Muat ulang halaman yang ingin Anda lihat.
Catatan: Kerberos membutuhkan penyiapan DNS tertentu, khususnya data SRV untuk layanan _kerberos
dan _kerberos-master
. Untuk detailnya, lihat Pemecahan masalah di bawah.
Menetapkan tiket aktif
Pengguna dapat menambahkan beberapa tiket Kerberos di perangkat ChromeOS mereka. Namun, hanya satu tiket yang dapat aktif dan digunakan untuk autentikasi setiap saat. Pengguna dapat mengakses resource yang memerlukan tingkat otorisasi berbeda dengan beralih tiket. Misalnya, jika halaman web internal tertentu memerlukan tiket Kerberos dengan level hak istimewa yang lebih tinggi.
- Jika Anda belum, login ke perangkat ChromeOS terkelola.
- Di kanan bawah, pilih waktu.
- Klik Setelan .
- Di bagian Orang, klik Tiket Kerberos.
- Temukan tiket yang ingin disetel ke aktif.
- Di sebelah kanan, klik Lainnya Setel sebagai tiket aktif.
Memperbarui tiket dan mengubah konfigurasi
Secara default, tiket berlaku selama 10 jam dan dapat diperpanjang selama satu minggu tanpa harus memasukkan ulang nama dan sandi pengguna. Jika masa berlaku tiket berakhir dan tidak dapat diperbarui secara otomatis, pengguna akan melihat pesan yang memberitahukan bahwa mereka perlu memperbarui tiket secara manual. Jika pengguna membiarkan masa berlaku tiket aktif habis, autentikasi Kerberos tidak lagi berfungsi hingga mereka memperbarui tiket.
- Jika Anda belum, login ke perangkat ChromeOS terkelola.
- Di kanan bawah, pilih waktu.
- Klik Setelan .
- Di bagian Orang, klik Tiket Kerberos.
- Temukan tiket yang ingin Anda perbarui.
- Klik Muat ulang.
Jika tiket belum mendekati akhir masa berlaku, di sebelah kanan klik Lainnya Muat ulang sekarang. - Masukkan nama pengguna dan sandi Active Directory Anda.
Catatan: ChromeOS hanya mendukung notasi pengguna@domain, bukan notasi domain/pengguna. - (Opsional) Untuk memperbarui tiket secara otomatis, centang kotak Ingat sandi.
- (Opsional) Edit file konfigurasi:
- Klik Lanjutan.
- Ubah informasi konfigurasi Kerberos, seperti masa berlaku tiket, jenis enkripsi, dan pemetaan lingkup domain. Untuk mengetahui detailnya, lihat Mengonfigurasi cara mendapatkan tiket.
- Klik Simpan.
- Klik Muat ulang.
Menghapus tiket
- Jika Anda belum, login ke perangkat ChromeOS terkelola.
- Di kanan bawah, pilih waktu.
- Klik Setelan .
- Di bagian Orang, klik Tiket Kerberos.
- Temukan tiket yang ingin Anda hapus.
- Di sebelah kanan, klik Lainnya Hapus dari perangkat ini.
Mengonfigurasi cara mendapatkan tiket
Bagian | Hubungan |
---|---|
[libdefaults] |
|
[realms] |
|
[domain_realm] |
Semua nilai |
[capaths] |
Semua nilai |
Contoh: Meminta masa berlaku tiket yang berbeda
[libdefaults]
ticket_lifetime = 16h
Contoh ini meminta tiket valid selama 16 jam. Masa berlaku mungkin terbatas pada sisi server yang setelan defaultnya 10 jam.
Untuk mengubah batas sisi server:
- Buka Group Policy Management Console.
- Buka SettingsSecurity settingsAccount policiesKerberos policy.
- Ubah kebijakan Maximum lifetime for user ticket.
Contoh: Meminta masa berlaku perpanjangan tiket yang berbeda
[libdefaults]
renew_lifetime = 14d
Contoh ini meminta tiket yang dapat diperpanjang selama 14 hari. Masa berlaku perpanjangan mungkin terbatas pada sisi server yang setelan defaultnya 7 hari.
Untuk mengubah batas sisi server:
- Buka Group Policy Management Console.
- Buka SettingsSecurity settingsAccount policiesKerberos policy.
- Ubah kebijakan Maximum lifetime for user ticket renewal.
Memecahkan masalah
Secara umum, Anda dapat memecahkan masalah menggunakan alat command line kinit di Linux. ChromeOS berbasis Linux dan implementasi tiket Kerberos menggunakan kinit
. Jadi, jika Anda bisa mendapatkan tiket Kerberos menggunakan kinit
di Linux, Anda juga akan bisa mendapatkan tiket di ChromeOS dengan konfigurasi yang sama.
Pesan error: KDC tidak mendukung jenis enkripsi
Secara default, Google menerapkan enkripsi AES yang kuat. Jika Anda melihat error terkait jenis enkripsi, ada kemungkinan bagian dari lingkungan server Anda tidak dapat menangani enkripsi AES. Sebaiknya Anda memperbaikinya.
Atau, pertimbangkan untuk menghapus 3 baris default_tgs_enctypes
, default_ktk_enctypes
, dan permitted_enctypes
dari konfigurasi untuk pengembangan. Ini akan mengaktifkan semua jenis enkripsi dalam dokumentasi Kerberos MIT kecuali yang ditandai lemah. Pastikan bahwa implikasi keamanan dapat diterima sesuai dengan kebutuhan. Beberapa jenis enkripsi tidak lagi dianggap kuat.
Setelah mengonfirmasi bahwa kumpulan semua jenis enkripsi berfungsi, sebaiknya batasi jenis enkripsi untuk default_tgs_enctypes
, default_kt_enctypes
, dan permitted_enctypes
ke sebagian jenis yang sesuai untuk meminimalkan risiko keamanan.
Pesan error: Menghubungi server untuk realm gagal
- Pastikan Anda memasukkan nama pengguna Kerberos yang benar.
Nama pengguna Kerberos, user@example.com, terdiri dari:- Nama login pengguna, juga dikenal sebagai sAMAccountName
- Realm Kerberos, yang biasanya sesuai dengan nama domain Windows
- Pastikan bahwa koneksi jaringan disiapkan dengan benar.
Pastikan server dapat dijangkau dari perangkat ChromeOS pada port 88 Kerberos standar. - Pastikan DNS disiapkan dengan benar.
Kerberos meminta data SRV DNS tertentu untuk menemukan nama domain DNS dari layanan Kerberos. Misalnya, jika domain login, atau realm-nya, adalah example.com dan nama domain DNS layanan Kerberos hanya dc.example.com, data SRV DNS berikut harus ditambahkan:
Layanan | Protokol | Prioritas | Bobot | Port | Target (Nama host) |
---|---|---|---|---|---|
_kerberos | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos | _udp | 0 | 100 | 88 | dc.example.com |
_kerberos | _tcp | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _udp | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _tcp | 0 | 100 | 88 | dc.example.com |
Jika tidak dapat mengubah setelan DNS, Anda dapat menambahkan pemetaan ini di konfigurasi Kerberos.
Contoh:
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
master_kdc = dc.example.com
}
Jika Anda masih mengalami masalah dalam mendapatkan tiket Kerberos, kumpulkan log sistem. Kumpulkan juga log tcpdump atau wireshark jika memungkinkan. Lalu, hubungi dukungan.