Stai pianificando la tua strategia di ritorno al lavoro in ufficio? Scopri come Chrome OS può aiutarti.

Configurare il servizio Single Sign-On Kerberos per dispositivi ChromeOS

Questa pagina si rivolge agli amministratori che gestiscono dispositivi Chrome OS per un'azienda o una scuola.

In qualità di amministratore puoi utilizzare i ticket Kerberos sui dispositivi ChromeOS così da attivare il servizio SSO (Single Sign-On) per le risorse interne che supportano l'autenticazione Kerberos. Le risorse interne possono includere siti web, condivisioni file, certificati e così via.

Requisiti

  • Dispositivi con ChromeOS 91 o versioni successive.
  • I kiosk non sono attualmente supportati.
  • Ambiente Active Directory.

Configurare Kerberos

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  3. A sinistra, fai clic su Impostazioni e scegli per chi configurare Kerberos:
    • Utenti e browser
    • Sessioni Ospite gestite
  4. Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.

  5. Vai a Kerberos.

  6. Per Ticket Kerberos, seleziona Abilita Kerberos.

  7. (Facoltativo) [Utenti e browser] Richiedi automaticamente i ticket Kerberos per gli utenti quando effettuano l'accesso. Nella sezione Ticket Kerberos:

    • Seleziona Aggiungi automaticamente un account Kerberos.

    • Inserisci il nome dell'entità. Sono supportati i segnaposto ${LOGIN_ID} e ${LOGIN_EMAIL}.

    • Seleziona Utilizza la configurazione Kerberos predefinita. In alternativa, seleziona Personalizza la configurazione Kerberos e specifica quella che ti serve per supportare il tuo ambiente. Per maggiori dettagli, consulta la sezione Configurare le richieste relative ai ticket.

      Nota: dovresti verificare la configurazione di Kerberos, krb5.conf. La configurazione predefinita applica una crittografia AES avanzata, che potrebbe non essere supportata da tutte le parti del tuo ambiente.

  8. Fai clic su Salva.

Configurare l'utilizzo di Kerberos sui dispositivi

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  3. A sinistra, fai clic su Impostazioni e scegli per chi configurare Kerberos per:
    • Utenti e browser
    • Sessioni Ospite gestite
  4. Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
  5. Vai a Rete.
  6. In Server di autenticazione integrati, inserisci gli URL dei siti web protetti da Kerberos. Gli utenti possono utilizzare i propri ticket attivi per accedere ai server da te indicati nella lista, senza dover eseguire l'accesso.
    Nota: puoi aggiungere più nomi di server, separati da virgole. I caratteri jolly * sono consentiti. Non includere caratteri jolly nel nome di dominio. Ad esempio, evita di aggiungere *example.com alla lista. Ecco una lista di esempio: *.example.com, example.com.
  7. [Utenti e browser] Per i server di delega Kerberos, inserisci gli URL dei server a cui Chrome può delegare.
    Nota: puoi aggiungere più nomi di server, separati da virgole. I caratteri jolly * sono consentiti.
  8. [Utenti e browser] Specifica se rispettare il criterio KDC (Key Distribution Center) per la delega dei ticket Kerberos. Per Delega ticket Kerberos, scegli un'opzione:
    • Rispetta criterio KDC
    • Ignora criterio KDC
  9. [Utenti e browser] Specifica l'origine del nome utilizzato per generare l'SPN Kerberos. Per Nome entità servizio Kerberos, scegli un'opzione:
    • Utilizza nome DNS canonico
    • Utilizza nome originale specificato
  10. [Utenti e browser] Specifica se l'SPN Kerberos generato deve includere una porta non standard. Per Porta SPN Kerberos, scegli un'opzione:
    • Includi porta non standard
    • Non includere porta non standard
  11. [Utenti e browser] Specifica se i contenuti secondari di terze parti in una pagina possono attivare una finestra di dialogo popup di autenticazione di base HTTP. Per Autenticazione multiorigine, scegli un'opzione:
    • Consenti autenticazione multiorigine
    • Blocca autenticazione multiorigine
  12. Fai clic su Salva.

Cosa possono fare gli utenti

Aggiungere un ticket

Se non consenti ai dispositivi ChromeOS di richiedere automaticamente i ticket Kerberos per gli utenti quando effettuano l'accesso, gli utenti dovranno aggiungerli manualmente.

  1. Se non l'hai ancora fatto, accedi a un dispositivo ChromeOS gestito.
  2. In basso a destra, seleziona il periodo di tempo.
  3. Fai clic su Impostazioni "".
  4. Nella sezione Persone, fai clic su Ticket Kerberos.
  5. Fai clic su Aggiungi un ticket.
  6. Inserisci il tuo nome utente e la password di Active Directory.
    Nota: ChromeOS supporta solo la notazione utente@dominio e non dominio/utente.
  7. (Facoltativo) Per aggiornare automaticamente il ticket, seleziona la casella di controllo Memorizza la password.
  8. (Facoltativo) Modifica il file di configurazione:
    1. Fai clic su Avanzate.
    2. Modifica le informazioni di configurazione di Kerberos, come la durata dei ticket, i tipi di crittografia e le mappature dominio-realm. Per maggiori dettagli, consulta la sezione Configurare le richieste relative ai ticket.
    3. Fai clic su Salva.
  9. Fai clic su Aggiungi.

Nota: Kerberos richiede una configurazione DNS specifica, in particolare i record SRV per i servizi _kerberos e _kerberos-master. Per maggiori dettagli, consulta la sezione Risolvere i problemi di seguito.

Impostare un ticket attivo

Gli utenti possono aggiungere più ticket Kerberos ai propri dispositivi ChromeOS. Tuttavia, è possibile attivare e utilizzare un solo ticket per l'autenticazione in un determinato momento. Gli utenti possono accedere alle risorse che richiedono livelli di autorizzazione diversi disattivando un ticket e attivandone un altro, ad esempio, se determinate pagine web interne richiedono un ticket Kerberos con un livello di privilegio superiore.

  1. Se non l'hai ancora fatto, accedi a un dispositivo ChromeOS gestito.
  2. In basso a destra, seleziona il periodo di tempo.
  3. Fai clic su Impostazioni "".
  4. Nella sezione Persone, fai clic su Ticket Kerberos.
  5. Individua il ticket che vuoi attivare.
  6. A destra, fai clic su Altro ""quindiImposta come ticket attivo.

Aggiornare un ticket e modificare la configurazione

Per impostazione predefinita, i ticket sono validi per 10 ore e possono essere rinnovati per una settimana senza dover inserire di nuovo nome utente e password. Se un ticket scade e non può aggiornarsi automaticamente, gli utenti visualizzano un messaggio che li informa che il ticket deve essere aggiornato manualmente. Se gli utenti lasciano scadere il ticket attivo, l'autenticazione Kerberos non funzionerà più finché non verrà effettuato l'aggiornamento.

  1. Se non l'hai ancora fatto, accedi a un dispositivo ChromeOS gestito.
  2. In basso a destra, seleziona il periodo di tempo.
  3. Fai clic su Impostazioni "".
  4. Nella sezione Persone, fai clic su Ticket Kerberos.
  5. Individua il ticket che vuoi aggiornare.
  6. Fai clic su Aggiorna.
    Se la scadenza del ticket non è imminente, a destra, fai clic su Altro ""quindiAggiorna ora.
  7. Inserisci il tuo nome utente e la password di Active Directory.
    Nota: ChromeOS supporta solo la notazione utente@dominio e non dominio/utente.
  8. (Facoltativo) Per aggiornare automaticamente il ticket, seleziona la casella di controllo Memorizza la password.
  9. (Facoltativo) Modifica il file di configurazione:
    1. Fai clic su Avanzate.
    2. Modifica le informazioni di configurazione di Kerberos, come la durata dei ticket, i tipi di crittografia e le mappature dominio-realm. Per maggiori dettagli, consulta la sezione Configurare le richieste relative ai ticket.
    3. Fai clic su Salva.
  10. Fai clic su Aggiorna.

Rimuovere un ticket

  1. Se non l'hai ancora fatto, accedi a un dispositivo ChromeOS gestito.
  2. In basso a destra, seleziona il periodo di tempo.
  3. Fai clic su Impostazioni "".
  4. Nella sezione Persone, fai clic su Ticket Kerberos.
  5. Individua il ticket che vuoi rimuovere.
  6. A destra, fai clic su Altro ""quindiRimuovi da questo dispositivo.

Configurare le richieste relative ai ticket

Gli utenti possono modificare la configurazione di Kerberos, krb5.conf, quando aggiungono un nuovo ticket o ne aggiornano uno esistente. Il codice di ChromeOS che interagisce con il criterio KDC (Key Distribution Center) si basa sulla libreria Kerberos MIT. Per i dettagli sulla configurazione, consulta la documentazione relativa a Kerberos MIT. Tuttavia, non tutte le opzioni sono supportate.
Di seguito è riportato un elenco delle opzioni supportate da ChromeOS:
Sezione Relazione
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Qualsiasi valore
[capaths]

Qualsiasi valore

Esempio: richiedere una durata del ticket diversa

[libdefaults]

        ticket_lifetime = 16h

Nell'esempio, viene richiesto un ticket valido per 16 ore. La durata potrebbe essere limitata al lato server, dove il valore predefinito è 10 ore.

Per modificare il limite del lato server:

  1. Apri la Console Gestione Criteri di gruppo.
  2. Vai a ImpostazioniquindiImpostazioni di sicurezzaquindiCriteri accountquindiCriteri Kerberos.
  3. Modifica il criterio Durata massima ticket utente.

Esempio: richiedere una durata di rinnovo del ticket diversa

[libdefaults]

        renew_lifetime = 14d

Nell'esempio, viene richiesto un ticket che può essere rinnovato per 14 giorni. La durata del rinnovo potrebbe essere limitata al lato server, dove il valore predefinito è 7 giorni.

Per modificare il limite del lato server:

  1. Apri la Console Gestione Criteri di gruppo.
  2. Vai a ImpostazioniquindiImpostazioni di sicurezzaquindiCriteri accountquindiCriteri Kerberos.
  3. Modifica il criterio Durata massima rinnovo ticket utente.

Risolvere i problemi

In genere, puoi risolvere i problemi utilizzando lo strumento a riga di comando kinit su Linux. ChromeOS è basato su Linux e l'implementazione dei ticket Kerberos utilizza kinit. Pertanto, se puoi ricevere un ticket Kerberos utilizzando kinit su Linux, dovresti anche essere in grado di riceverne uno su ChromeOS con la stessa configurazione.

Messaggio di errore: KDC non supporta il tipo di crittografia

Per impostazione predefinita, Google applica una crittografia AES avanzata. Se viene visualizzato un errore relativo ai tipi di crittografia, è possibile che alcune parti dell'ambiente del server non siano in grado di gestire la crittografia AES. Ti consigliamo di risolvere il problema.

In alternativa, puoi rimuovere le 3 linee per default_tgs_enctypes, default_tkt_enctypes e permitted_enctypes dalla configurazione per lo sviluppo. In questo modo verranno abilitati tutti i tipi di crittografia nella documentazione relativa a Kerberos, ad eccezione di quelli contrassegnati come deboli. Verifica che le implicazioni relative alla sicurezza siano accettabili per le tue esigenze. Alcuni tipi di crittografia non sono più considerati efficaci.

Dopo aver verificato il funzionamento di tutti i tipi di crittografia, ti consigliamo di limitarli per default_tgs_enctypes, default_tkt_enctypes e permitted_enctypes a un sottoinsieme di tipi appropriati al fine di ridurre al minimo i rischi per la sicurezza.

Messaggio di errore: Tentativo di contatto del server per area di autenticazione non riuscito

  1. Verifica di aver inserito il nome utente di Kerberos corretto.
    Il nome utente di Kerberos, user@example.com, è costituito da:
    • Nome di accesso dell'utente, noto anche come sAMAccountName.
    • Realm di Kerberos, che solitamente corrisponde al nome di dominio Windows.
  2. Assicurati che la connessione di rete sia configurata correttamente.
    Assicurati che il server sia raggiungibile dal dispositivo ChromeOS alla porta 88 standard di Kerberos.
  3. Verifica che il DNS sia configurato correttamente.
    Kerberos richiede che determinati record SRV DNS rilevino il nome di dominio DNS del servizio Kerberos. Ad esempio, se il dominio di accesso, o realm, è example.com e il nome di dominio DNS dell'unico servizio Kerberos è dc.example.com, dovresti aggiungere i seguenti record SRV DNS:
Servizio Protocollo Priorità Peso Porta Target (nome host)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Se non riesci a modificare le impostazioni DNS, puoi aggiungere queste mappature nella configurazione di Kerberos.

Ad esempio:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Se continui a riscontrare problemi con le richieste relative ai ticket Kerberos, raccogli i log di sistema. Se possibile, raccogli inoltre i log tcpdump o wireshark e contatta l'assistenza.

Messaggio di errore: Nome utente non noto al server

Verifica che nel database del server Active Directory sia presente un utente con il nome di accesso specificato.

Messaggio di errore: Impossibile recuperare il ticket Kerberos. Riprova o contatta l'amministratore del dispositivo dell'organizzazione. (Codice errore: X)

Raccogli i log di sistema e contatta l'assistenza.

Argomenti correlati

È stato utile?
Come possiamo migliorare l'articolo?
true
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
Cerca nel Centro assistenza
true
true
false
true
true
410864
false
false