企業または学校の ChromeOS デバイスの管理者を対象としています。
管理者は ChromeOS デバイスで Kerberos チケットを使用して、Kerberos 認証対応の内部リソースに対してシングル サインオン(SSO)を有効にすることができます。内部リソースには、ウェブサイト、ファイル共有、証明書などがあります。
要件
- ChromeOS バージョン 91 以降のデバイス。
- Chrome Kiosk には現在のところ対応していません。
- Active Directory 環境
Kerberos を設定する
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [設定] に移動します。
- (省略可)上部で、[管理対象ゲスト セッションの設定] をクリックします。
-
(省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
-
[Kerberos] に移動します。
-
[Kerberos チケット] をクリックします。
-
[Kerberos を有効にする] を選択します。
-
(省略可)(ユーザーとブラウザにのみ適用可能)ユーザーがログインしたときに Kerberos チケットを自動的にリクエストするようにします。
-
[Kerberos アカウントを自動追加する] を選択します。
-
プリンシパル名を入力します。${LOGIN_ID} と ${LOGIN_EMAIL} のプレースホルダがサポートされています。
-
[デフォルトの Kerberos の設定を使用する] を選択します。または、[Kerberos の設定をカスタマイズする] を選択し、ご利用環境をサポートするために必要な Kerberos 設定を指定します。詳しくは、チケットの取得方法を設定するをご覧ください。
注: Kerberos の設定(krb5.conf)をご確認ください。デフォルトの設定では強力な AES 暗号化が実行されますが、使用環境の一部で AES 暗号化がサポートされていないことがあります。
-
-
[保存] をクリックします。
デバイスで Kerberos を使用する方法を設定する
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [設定] に移動します。
- (省略可)上部で、[管理対象ゲスト セッションの設定] をクリックします。
-
(省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
- [ネットワーク] に移動します。
- 有効な認証サーバーを設定する場合:
- [統合認証サーバー] をクリックします。
- Kerberos で保護されているウェブサイトの URL を入力します。ユーザーは有効なチケットを使用してリスト内のサーバーにアクセスできます。ログインする必要はありません。
注: 複数のサーバー名をカンマで区切って追加できます。ワイルドカード(*)も使用できます。ただし、ドメイン名にはワイルドカードを含めないでください。たとえば、リストには *example.com と追加するのではなく、*.example.com, example.com のように追加します。 - [保存] をクリックします。
- (ユーザーとブラウザにのみ適用可能)委任可能な有効なサーバーを設定する場合:
- [Kerberos 委任サーバー] をクリックします。
- Chrome が委任可能なサーバーの URL を入力します。
注: 複数のサーバー名をカンマで区切って追加できます。ワイルドカード(*)も使用できます。 - [保存] をクリックします。
- (ユーザーとブラウザにのみ適用可能)Kerberos チケットの委任に、鍵配布センター(KDC)のポリシーを適用するかどうかを指定します。
- [Kerberos チケットの委任] をクリックします。
- 次のいずれかを選択します。
- KDC ポリシーを適用
- KDC ポリシーを無視
- [保存] をクリックします。
- (ユーザーとブラウザにのみ適用可能)Kerberos のサービス プリンシパル名(SPN)の生成に使用される名前のソースを指定します。
- [Kerberos のサービス プリンシパル名] をクリックします。
- 次のいずれかを選択します。
- 正規化された DNS 名を使用
- 入力したオリジン名を使用
- [保存] をクリックします。
- (ユーザーとブラウザにのみ適用可能)生成した Kerberos SPN に標準以外のポートを含めるかどうかを指定します。
- [Kerberos の SPN ポート] をクリックします。
- 次のいずれかを選択します。
- 標準以外のポートを含める
- 標準以外のポートを含めない
- [保存] をクリックします。
- (ユーザーとブラウザにのみ適用可能)ページ上のサードパーティのサブコンテンツに対し、HTTP 基本認証ダイアログ ボックスのポップアップ表示を許可するかどうかを指定します。
- [クロスオリジン認証] をクリックします。
- 次のいずれかを選択します。
- クロスオリジン認証を許可
- クロスオリジン認証をブロック
- [保存] をクリックします。
ユーザーができること
チケットを追加する
ユーザーが Kerberos で保護されているリソースにアクセスする場合、チケットを追加するか、チケットなしで続行するかを選択できます。
チケットは以下の手順に沿って追加します。
- ボックス内の [チケットを管理] をクリックします。
- [Kerberos チケット] ページで [チケットを追加] をクリックします。
- Active Directory のユーザー名とパスワードを入力します。
注: ChromeOS では user@domain 表記のみをサポートしています。domain/user 表記はサポートしていません。 - (省略可)チケットを自動で更新するには、[パスワードを保存する] チェックボックスをオンにします。
- (省略可)設定ファイルを編集します。
- [詳細設定] をクリックします。
- Kerberos の設定情報(チケットの有効期間、暗号化タイプ、ドメインレルムのマッピングなど)を変更します。詳しくは、チケットの取得方法を設定するをご覧ください。
- [保存] をクリックします。
- [追加] をクリックします。
- 表示しようとしているページを再読み込みします。
注: Kerberos を使用するには、特定の DNS 設定(特に _kerberos
サービスと _kerberos-master
サービスの SRV レコード)が必要です。詳しくは、以下のトラブルシューティングをご覧ください。
有効なチケットを設定する
ユーザーは ChromeOS デバイスに複数の Kerberos チケットを追加できます。ただし、認証に使える有効なチケットは一度に 1 つのみです。ユーザーはチケットを切り替えることで、異なる認証レベルが必要なリソースにアクセスできます(たとえば、特定の内部ウェブページで権限レベルが高い Kerberos チケットを必要とする場合)。
- 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
- 右下の時刻を選択します。
- 設定アイコン をクリックします。
- [ユーザー] で [Kerberos チケット] をクリックします。
- 有効にするチケットを見つけます。
- 右側のその他アイコン [有効なチケットとして設定] をクリックします。
チケットを更新して設定を変更する
デフォルトでは、チケットは 10 時間有効で、ユーザーがユーザー名とパスワードを再入力しなくても 1 週間は更新できます。チケットが有効期限切れで自動更新できない場合、手動でチケットを更新する必要があるというメッセージが表示されます。チケットの有効期限が切れたままの場合、ユーザーがチケットを更新するまで Kerberos 認証は機能しません。
- 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
- 右下の時刻を選択します。
- 設定アイコン をクリックします。
- [ユーザー] で [Kerberos チケット] をクリックします。
- 更新するチケットを見つけます。
- [更新] をクリックします。
チケットの有効期限まで余裕がある場合は、右側のその他アイコン [今すぐ更新] をクリックします。 - Active Directory のユーザー名とパスワードを入力します。
注: Chrome OS では user@domain 表記のみをサポートしています。domain/user 表記はサポートしていません。 - (省略可)チケットを自動的に更新するには、[パスワードを保存する] チェックボックスをオンにします。
- (省略可)設定ファイルを編集します。
- [詳細設定] をクリックします。
- Kerberos の設定情報(チケットの有効期間、暗号化タイプ、ドメインレルムのマッピングなど)を変更します。詳しくは、チケットの取得方法を設定するをご覧ください。
- [保存] をクリックします。
- [更新] をクリックします。
チケットを削除する
- 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
- 右下の時刻を選択します。
- 設定アイコン をクリックします。
- [ユーザー] で [Kerberos チケット] をクリックします。
- 削除するチケットを見つけます。
- 右側のその他アイコン [このデバイスから削除] をクリックします。
チケットの取得方法を設定する
セクション | 関連するオプション、値 |
---|---|
[libdefaults] |
|
[realms] |
|
[domain_realm] |
任意の値 |
[capaths] |
任意の値 |
例: 有効期間が異なるチケットをリクエストする
[libdefaults]
ticket_lifetime = 16h
この例では、有効期間が 16 時間のチケットをリクエストしています。有効期間はサーバー側で制限されていることがあります。デフォルトは 10 時間です。
サーバー側の制限を変更するには:
- グループ ポリシー管理コンソールを開きます。
- [設定] [セキュリティ設定] [アカウント ポリシー] [Kerberos ポリシー] に移動します。
- [ユーザー チケットの最長有効期間] ポリシーを変更します。
例: 更新可能な期間が異なるチケットをリクエストする
[libdefaults]
renew_lifetime = 14d
この例では、更新可能な期間が 14 日間のチケットをリクエストしています。更新可能な期間はサーバー側で制限されていることがあります。デフォルトは 7 日間です。
サーバー側の制限を変更するには:
- グループ ポリシー管理コンソールを開きます。
- [設定] [セキュリティ設定] [アカウント ポリシー] [Kerberos ポリシー] に移動します。
- [ユーザー チケットを更新できる最長有効期間] ポリシーを変更します。
トラブルシューティング
Linux では通常、kinit コマンドライン ツールを使用して問題をトラブルシューティングします。Chrome OS は Linux ベースであり、Kerberos チケットの実装には kinit
を使用しています。そのため、Linux で kinit
を使用して Kerberos チケットを取得できる場合は、ChromeOS でも同じ設定でチケットを取得できます。
エラー メッセージ: KDC でサポートされていない暗号化タイプです
Google は、デフォルトで強力な AES 暗号化を実行します。暗号化タイプに関するエラーが発生した場合は、サーバー環境の一部で AES 暗号化を処理できていない可能性があるため、これを修正することをおすすめします。
あるいは、開発環境用の設定から default_tgs_enctypes
、default_tkt_enctypes
、permitted_enctypes
の 3 行を削除することを検討してください。削除することで、MIT Kerberos ドキュメントにあるすべての暗号化タイプが有効になります(脆弱と判断されたものを除く)。セキュリティの設定がご利用環境のニーズに合っていることをご確認ください。暗号化タイプには、安全とはみなされなくなったものも存在します。
すべての暗号化タイプが有効であることを確認したら、セキュリティ リスクを最小限に抑えるために default_tgs_enctypes
、default_tkt_enctypes
、permitted_enctypes
の暗号化タイプを適切なタイプのみに制限することをおすすめします。
エラー メッセージ: レルムのサーバーに接続できませんでした
- Kerberos のユーザー名が正しく入力されていることを確認します。
Kerberos のユーザー名(user@example.com)は、次の要素で構成されます。- ユーザーのログイン名(sAMAccountName)
- Kerberos レルム(通常は Windows ドメイン名と同じ)
- ネットワーク接続が正しく設定されていることを確認します。
Kerberos で標準として使用される 88 番のポートを使って ChromeOS デバイスからサーバーにアクセスできることを確認してください。 - DNS が正しく設定されていることを確認します。
Kerberos は、特定の DNS SRV レコードをリクエストして Kerberos サービスの DNS ドメイン名を見つけます。たとえば、ログイン ドメイン(レルム)が example.com で、唯一の Kerberos サービスの DNS ドメイン名が dc.example.com である場合は、次の DNS SRV レコードを追加する必要があります。
サービス | プロトコル | 優先度 | 重み | ポート | ターゲット(ホスト名) |
---|---|---|---|---|---|
_kerberos | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos | _udp | 0 | 100 | 88 | dc.example.com |
_kerberos | _tcp | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _udp | 0 | 100 | 88 | dc.example.com |
_kerberos-master | _tcp | 0 | 100 | 88 | dc.example.com |
DNS 設定を変更できない場合は、このようなマッピングを Kerberos の設定に追加できます。
例:
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
master_kdc = dc.example.com
}
それでも Kerberos チケットを取得できない場合は、システムログを収集します。可能であれば、tcpdump のログや Wireshark のログも収集して、サポートにお問い合わせください。