Configurare il servizio Single Sign-On Kerberos per i dispositivi ChromeOS

Questa pagina si rivolge agli amministratori che gestiscono dispositivi Chrome OS per un'azienda o una scuola.

In qualità di amministratore puoi utilizzare i ticket Kerberos sui dispositivi ChromeOS così da attivare il servizio SSO (Single Sign-On) per le risorse interne che supportano l'autenticazione Kerberos. Le risorse interne possono includere siti web, condivisioni file, certificati e così via.

Requisiti

Dispositivi con ChromeOS 91 o versioni successive.
I kiosk non sono attualmente supportati.
Ambiente Active Directory.

Configurare Kerberos

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeImpostazioni. Per impostazione predefinita si apre la pagina Impostazioni browser e utente.
Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu Browser ChromeImpostazioni.
(Facoltativo) In alto, fai clic su Impostazioni delle sessioni Ospite gestite.
Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Kerberos.
Fai clic su Ticket Kerberos.
Seleziona Attiva Kerberos.
(Facoltativo) (Solo utenti e browser) Richiedi automaticamente i ticket Kerberos per gli utenti quando effettuano l'accesso.
1. Seleziona Aggiungi automaticamente un account Kerberos.
2. Inserisci il nome dell'entità. Sono supportati i segnaposto ${LOGIN_ID} e ${LOGIN_EMAIL}.
3. Seleziona Utilizza la configurazione Kerberos predefinita. In alternativa, seleziona Personalizza la configurazione Kerberos e specifica quella che ti serve per supportare il tuo ambiente. Per maggiori dettagli, consulta la sezione Configurare le richieste relative ai ticket.
  Nota: dovresti verificare la configurazione di Kerberos, krb5.conf. La configurazione predefinita applica una crittografia AES avanzata, che potrebbe non essere supportata da tutte le parti del tuo ambiente.
Fai clic su Salva.

Configurare l'utilizzo di Kerberos sui dispositivi

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeImpostazioni. Per impostazione predefinita si apre la pagina Impostazioni browser e utente.
Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu Browser ChromeImpostazioni.
(Facoltativo) In alto, fai clic su Impostazioni delle sessioni Ospite gestite.
Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
Vai a Rete.
Configura i server di autenticazione consentiti:
1. Fai clic su Server di autenticazione integrati.
2. Inserisci gli URL dei siti web protetti da Kerberos. Gli utenti possono utilizzare i propri ticket attivi per accedere ai server da te indicati nella lista, senza dover eseguire l'accesso.
  Nota: puoi aggiungere più nomi di server, separati da virgole. I caratteri jolly * sono consentiti. Non includere caratteri jolly nel nome di dominio. Ad esempio, evita di aggiungere *example.com alla lista. Ecco una lista di esempio: *.example.com, example.com.
3. Fai clic su Salva.
(Solo utenti e browser) Configura i server consentiti per la delega:
1. Fai clic su Server di delega Kerberos.
2. Inserisci gli URL dei server a cui Chrome può delegare.
  Nota: puoi aggiungere più nomi di server, separati da virgole. I caratteri jolly * sono consentiti.
3. Fai clic su Salva.
(Solo utenti e browser) Specifica se rispettare il criterio KDC (Key Distribution Center) per la delega dei ticket Kerberos:
1. Fai clic su Delega ticket Kerberos.
2. Scegli un'opzione:
  - Rispetta criterio KDC
  - Ignora criterio KDC
3. Fai clic su Salva.
(Solo utenti e server) Specifica l'origine del nome utilizzato per generare il nome entità servizio Kerberos (SPN).
1. Fai clic su Nome entità servizio Kerberos.
2. Scegli un'opzione:
  - Utilizza nome DNS canonico
  - Utilizza nome originale specificato
3. Fai clic su Salva.
(Solo utenti e browser) Specifica se l'SPN Kerberos generato deve includere una porta non standard.
1. Fai clic su Porta SPN Kerberos.
2. Scegli un'opzione:
  - Includi porta non standard
  - Non includere porta non standard
3. Fai clic su Salva.
(Solo utenti e browser) Specifica se i contenuti secondari di terze parti in una pagina possono attivare una finestra di dialogo popup di autenticazione di base HTTP.
1. Fai clic su Autenticazione multiorigine.
2. Scegli un'opzione:
  - Consenti autenticazione multiorigine
  - Blocca autenticazione multiorigine
3. Fai clic su Salva.

Cosa possono fare gli utenti

Aggiungere un ticket

Quando gli utenti tentano di accedere a una risorsa protetta da Kerberos, possono scegliere se aggiungere un ticket o continuare senza.

Per aggiungere un ticket:

Nel riquadro, fai clic su Gestisci ticket.
Nella pagina Ticket Kerberos, fai clic su Aggiungi un ticket.
Inserisci il tuo nome utente e la password di Active Directory.
Nota: ChromeOS supporta solo la notazione utente@dominio e non dominio/utente.
(Facoltativo) Per aggiornare automaticamente il ticket, lascia selezionata la casella Memorizza la password.
(Facoltativo) Modifica il file di configurazione:
- Fai clic su Avanzate.
- Modifica le informazioni di configurazione di Kerberos, come la durata dei ticket, i tipi di crittografia e le mappature dominio-realm. Per maggiori dettagli, consulta la sezione Configurare le richieste relative ai ticket.
- Fai clic su Salva.
Fai clic su Aggiungi.
Ricarica la pagina che stai cercando di visualizzare.

Nota: Kerberos richiede una configurazione DNS specifica, in particolare i record SRV per i servizi _kerberos e _kerberos-master. Per maggiori dettagli, consulta la sezione Risolvere i problemi di seguito.

Impostare un ticket attivo

Gli utenti possono aggiungere più ticket Kerberos ai propri dispositivi ChromeOS. Tuttavia, è possibile attivare e utilizzare un solo ticket per l'autenticazione in un determinato momento. Gli utenti possono accedere alle risorse che richiedono livelli di autorizzazione diversi disattivando un ticket e attivandone un altro, ad esempio, se determinate pagine web interne richiedono un ticket Kerberos con un livello di privilegio superiore.

Se non l'hai ancora fatto, accedi a un dispositivo ChromeOS gestito.
Seleziona l'ora in basso a destra.
Fai clic su Impostazioni .
Nella sezione Persone, fai clic su Ticket Kerberos.
Individua il ticket che vuoi attivare.
A destra, fai clic su Altro Imposta come ticket attivo.

Aggiornare un ticket e modificare la configurazione

Per impostazione predefinita, i ticket sono validi per 10 ore e possono essere rinnovati per una settimana senza dover inserire di nuovo nome utente e password. Se un ticket scade e non può aggiornarsi automaticamente, gli utenti visualizzano un messaggio che li informa che il ticket deve essere aggiornato manualmente. Se gli utenti lasciano scadere il ticket attivo, l'autenticazione Kerberos non funzionerà più finché non verrà effettuato l'aggiornamento.

Se non l'hai ancora fatto, accedi a un dispositivo ChromeOS gestito.
Seleziona l'ora in basso a destra.
Fai clic su Impostazioni .
Nella sezione Persone, fai clic su Ticket Kerberos.
Individua il ticket che vuoi aggiornare.
Fai clic su Aggiorna.
Se la scadenza del ticket non è imminente, a destra, fai clic su Altro Aggiorna ora.
Inserisci il tuo nome utente e la password di Active Directory.
Nota: ChromeOS supporta solo la notazione utente@dominio e non dominio/utente.
(Facoltativo) Per aggiornare automaticamente il ticket, seleziona la casella di controllo Memorizza la password.
(Facoltativo) Modifica il file di configurazione:
1. Fai clic su Avanzate.
2. Modifica le informazioni di configurazione di Kerberos, come la durata dei ticket, i tipi di crittografia e le mappature dominio-realm. Per maggiori dettagli, consulta la sezione Configurare le richieste relative ai ticket.
3. Fai clic su Salva.
Fai clic su Aggiorna.

Rimuovere un ticket

Se non l'hai ancora fatto, accedi a un dispositivo ChromeOS gestito.
Seleziona l'ora in basso a destra.
Fai clic su Impostazioni .
Nella sezione Persone, fai clic su Ticket Kerberos.
Individua il ticket che vuoi rimuovere.
A destra, fai clic su Altro Rimuovi da questo dispositivo.

Configurare le richieste relative ai ticket

Gli utenti possono modificare la configurazione di Kerberos, krb5.conf, quando aggiungono un nuovo ticket o ne aggiornano uno esistente. Il codice di ChromeOS che interagisce con il criterio KDC (Key Distribution Center) si basa sulla libreria Kerberos MIT. Per i dettagli sulla configurazione, consulta la documentazione relativa a Kerberos MIT. Tuttavia, non tutte le opzioni sono supportate.

Di seguito è riportato un elenco delle opzioni supportate da ChromeOS:

Sezione	Relazione
`[libdefaults]`	`canonicalize` `clockskew` `default_tgs_enctypes` `default_tkt_enctypes` `dns_canonicalize_hostname` `dns_lookup_kdc` `extra_addresses` `forwardable` `ignore_acceptor_hostname` `kdc_default_options` `kdc_timesync` `noaddresses` `permitted_enctypes` `preferred_preauth_types` `proxiable` `rdns` `renew_lifetime` `ticket_lifetime` `Udp_preference_limit`
`[realms]`	`admin_server` `auth_to_local` `kdc` `kpasswd_server` `master_kdc`
`[domain_realm]`	Qualsiasi valore
`[capaths]`	Qualsiasi valore

Esempio: richiedere una durata del ticket diversa

[libdefaults]

ticket_lifetime = 16h

Nell'esempio, viene richiesto un ticket valido per 16 ore. La durata potrebbe essere limitata al lato server, dove il valore predefinito è 10 ore.

Per modificare il limite del lato server:

Apri la Console Gestione Criteri di gruppo.
Vai a ImpostazioniImpostazioni di sicurezzaCriteri accountCriteri Kerberos.
Modifica il criterio Durata massima ticket utente.

Esempio: richiedere una durata di rinnovo del ticket diversa

[libdefaults]

renew_lifetime = 14d

Nell'esempio, viene richiesto un ticket che può essere rinnovato per 14 giorni. La durata del rinnovo potrebbe essere limitata al lato server, dove il valore predefinito è 7 giorni.

Per modificare il limite del lato server:

Apri la Console Gestione Criteri di gruppo.
Vai a ImpostazioniImpostazioni di sicurezzaCriteri accountCriteri Kerberos.
Modifica il criterio Durata massima rinnovo ticket utente.

Risolvere i problemi

In genere, puoi risolvere i problemi utilizzando lo strumento a riga di comando kinit su Linux. ChromeOS è basato su Linux e l'implementazione dei ticket Kerberos utilizza kinit. Pertanto, se puoi ricevere un ticket Kerberos utilizzando kinit su Linux, dovresti anche essere in grado di riceverne uno su ChromeOS con la stessa configurazione.

Messaggio di errore: KDC non supporta il tipo di crittografia

Per impostazione predefinita, Google applica una crittografia AES avanzata. Se viene visualizzato un errore relativo ai tipi di crittografia, è possibile che alcune parti dell'ambiente del server non siano in grado di gestire la crittografia AES. Ti consigliamo di risolvere il problema.

In alternativa, puoi rimuovere le 3 linee per default_tgs_enctypes, default_tkt_enctypes e permitted_enctypes dalla configurazione per lo sviluppo. In questo modo verranno abilitati tutti i tipi di crittografia nella documentazione relativa a Kerberos, ad eccezione di quelli contrassegnati come deboli. Verifica che le implicazioni relative alla sicurezza siano accettabili per le tue esigenze. Alcuni tipi di crittografia non sono più considerati efficaci.

Dopo aver verificato il funzionamento di tutti i tipi di crittografia, ti consigliamo di limitarli per default_tgs_enctypes, default_tkt_enctypes e permitted_enctypes a un sottoinsieme di tipi appropriati al fine di ridurre al minimo i rischi per la sicurezza.

Messaggio di errore: Tentativo di contatto del server per area di autenticazione non riuscito

Verifica di aver inserito il nome utente di Kerberos corretto.
Il nome utente di Kerberos, user@example.com, è costituito da:
- Nome di accesso dell'utente, noto anche come sAMAccountName.
- Realm di Kerberos, che solitamente corrisponde al nome di dominio Windows.
Assicurati che la connessione di rete sia configurata correttamente.
Assicurati che il server sia raggiungibile dal dispositivo ChromeOS alla porta 88 standard di Kerberos.
Verifica che il DNS sia configurato correttamente.
Kerberos richiede che determinati record SRV DNS rilevino il nome di dominio DNS del servizio Kerberos. Ad esempio, se il dominio di accesso, o realm, è example.com e il nome di dominio DNS dell'unico servizio Kerberos è dc.example.com, dovresti aggiungere i seguenti record SRV DNS:

Servizio	Protocollo	Peso	Porta	Target (nome host)
_kerberos	_udp.dc._msdcs	100	88	dc.example.com
_kerberos	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos	_udp	100	88	dc.example.com
_kerberos	_tcp	100	88	dc.example.com
_kerberos-master	_udp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_udp	100	88	dc.example.com
_kerberos-master	_tcp	100	88	dc.example.com

Se non riesci a modificare le impostazioni DNS, puoi aggiungere queste mappature nella configurazione di Kerberos.

Ad esempio:

[realms]

EXAMPLE.COM = {

kdc = dc.example.com

master_kdc = dc.example.com

}

Se continui a riscontrare problemi con le richieste relative ai ticket Kerberos, raccogli i log di sistema. Se possibile, raccogli inoltre i log tcpdump o wireshark e contatta l'assistenza.

Messaggio di errore: Nome utente non noto al server

Verifica che nel database del server Active Directory sia presente un utente con il nome di accesso specificato.

Messaggio di errore: Impossibile recuperare il ticket Kerberos. Riprova o contatta l'amministratore del dispositivo dell'organizzazione. (Codice errore: X)

Raccogli i log di sistema e contatta l'assistenza.

Argomenti correlati

Come recuperare i log del dispositivo ChromeOS

È stato utile?

Come possiamo migliorare l'articolo?