通知

在宅勤務からオフィス勤務に戻すことをご検討中のお客様は、Chrome OS の活用方法をご覧ください。

ChromeOS デバイスに Kerberos シングル サインオンを設定する

企業または学校の ChromeOS デバイスの管理者を対象としています。

管理者は ChromeOS デバイスで Kerberos チケットを使用して、Kerberos 認証対応の内部リソースに対してシングル サインオン(SSO)を有効にすることができます。内部リソースには、ウェブサイト、ファイル共有、証明書などがあります。

要件

  • ChromeOS バージョン 91 以降のデバイス。
  • Chrome Kiosk には現在のところ対応していません。
  • Active Directory 環境

Kerberos を設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [Chrome] 次に [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。

    Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン 次に [Chrome ブラウザ] 次に [設定] に移動します。

  3. (省略可)上部で、[管理対象ゲスト セッションの設定] をクリックします。
  4. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る

  5. [Kerberos] に移動します。

  6. [Kerberos チケット] をクリックします。

  7. [Kerberos を有効にする] を選択します。

  8. (省略可)(ユーザーとブラウザにのみ適用可能)ユーザーがログインしたときに Kerberos チケットを自動的にリクエストするようにします。

    1. [Kerberos アカウントを自動追加する] を選択します。

    2. プリンシパル名を入力します。${LOGIN_ID}${LOGIN_EMAIL} のプレースホルダがサポートされています。

    3. [デフォルトの Kerberos の設定を使用する] を選択します。または、[Kerberos の設定をカスタマイズする] を選択し、ご利用環境をサポートするために必要な Kerberos 設定を指定します。詳しくは、チケットの取得方法を設定するをご覧ください。
      注: Kerberos の設定(krb5.conf)をご確認ください。デフォルトの設定では強力な AES 暗号化が実行されますが、使用環境の一部で AES 暗号化がサポートされていないことがあります。

  9. [保存] をクリックします。

デバイスで Kerberos を使用する方法を設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [Chrome] 次に [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。

    Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン 次に [Chrome ブラウザ] 次に [設定] に移動します。

  3. (省略可)上部で、[管理対象ゲスト セッションの設定] をクリックします。
  4. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
  5. [ネットワーク] に移動します。
  6. 有効な認証サーバーを設定する場合:
    1. [統合認証サーバー] をクリックします。
    2. Kerberos で保護されているウェブサイトの URL を入力します。ユーザーは有効なチケットを使用してリスト内のサーバーにアクセスできます。ログインする必要はありません。
      : 複数のサーバー名をカンマで区切って追加できます。ワイルドカード(*)も使用できます。ただし、ドメイン名にはワイルドカードを含めないでください。たとえば、リストには *example.com と追加するのではなく、*.example.com, example.com のように追加します。
    3. [保存] をクリックします。
  7. (ユーザーとブラウザにのみ適用可能)委任可能な有効なサーバーを設定する場合:
    1. [Kerberos 委任サーバー] をクリックします。
    2. Chrome が委任可能なサーバーの URL を入力します。
      : 複数のサーバー名をカンマで区切って追加できます。ワイルドカード(*)も使用できます。
    3. [保存] をクリックします。
  8. (ユーザーとブラウザにのみ適用可能)Kerberos チケットの委任に、鍵配布センター(KDC)のポリシーを適用するかどうかを指定します。
    1. [Kerberos チケットの委任] をクリックします。
    2. 次のいずれかを選択します。
      • KDC ポリシーを適用
      • KDC ポリシーを無視
    3. [保存] をクリックします。
  9. (ユーザーとブラウザにのみ適用可能)Kerberos のサービス プリンシパル名(SPN)の生成に使用される名前のソースを指定します。
    1. [Kerberos のサービス プリンシパル名] をクリックします。
    2. 次のいずれかを選択します。
      • 正規化された DNS 名を使用
      • 入力したオリジン名を使用
    3. [保存] をクリックします。
  10. (ユーザーとブラウザにのみ適用可能)生成した Kerberos SPN に標準以外のポートを含めるかどうかを指定します。
    1. [Kerberos の SPN ポート] をクリックします。
    2. 次のいずれかを選択します。
      • 標準以外のポートを含める
      • 標準以外のポートを含めない
    3. [保存] をクリックします。
  11. (ユーザーとブラウザにのみ適用可能)ページ上のサードパーティのサブコンテンツに対し、HTTP 基本認証ダイアログ ボックスのポップアップ表示を許可するかどうかを指定します。
    1. [クロスオリジン認証] をクリックします。
    2. 次のいずれかを選択します。
      • クロスオリジン認証を許可
      • クロスオリジン認証をブロック
    3. [保存] をクリックします。

ユーザーができること

チケットを追加する

ユーザーが Kerberos で保護されているリソースにアクセスする場合、チケットを追加するか、チケットなしで続行するかを選択できます。

チケットは以下の手順に沿って追加します。

  1. ボックス内の [チケットを管理] をクリックします。
  2. [Kerberos チケット] ページで [チケットを追加] をクリックします。
  3. Active Directory のユーザー名とパスワードを入力します。
    注: ChromeOS では user@domain 表記のみをサポートしています。domain/user 表記はサポートしていません。
  4. (省略可)チケットを自動で更新するには、[パスワードを保存する] チェックボックスをオンにします。
  5. (省略可)設定ファイルを編集します。
    • [詳細設定] をクリックします。
    • Kerberos の設定情報(チケットの有効期間、暗号化タイプ、ドメインレルムのマッピングなど)を変更します。詳しくは、チケットの取得方法を設定するをご覧ください。
    • [保存] をクリックします。
  6. [追加] をクリックします。
  7. 表示しようとしているページを再読み込みします。

注: Kerberos を使用するには、特定の DNS 設定(特に _kerberos サービスと _kerberos-master サービスの SRV レコード)が必要です。詳しくは、以下のトラブルシューティングをご覧ください。

有効なチケットを設定する

ユーザーは ChromeOS デバイスに複数の Kerberos チケットを追加できます。ただし、認証に使える有効なチケットは一度に 1 つのみです。ユーザーはチケットを切り替えることで、異なる認証レベルが必要なリソースにアクセスできます(たとえば、特定の内部ウェブページで権限レベルが高い Kerberos チケットを必要とする場合)。

  1. 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
  2. 右下の時刻を選択します。
  3. 設定アイコン をクリックします。
  4. [ユーザー] で [Kerberos チケット] をクリックします。
  5. 有効にするチケットを見つけます。
  6. 右側のその他アイコン 次へ [有効なチケットとして設定] をクリックします。

チケットを更新して設定を変更する

デフォルトでは、チケットは 10 時間有効で、ユーザーがユーザー名とパスワードを再入力しなくても 1 週間は更新できます。チケットが有効期限切れで自動更新できない場合、手動でチケットを更新する必要があるというメッセージが表示されます。チケットの有効期限が切れたままの場合、ユーザーがチケットを更新するまで Kerberos 認証は機能しません。

  1. 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
  2. 右下の時刻を選択します。
  3. 設定アイコン をクリックします。
  4. [ユーザー] で [Kerberos チケット] をクリックします。
  5. 更新するチケットを見つけます。
  6. [更新] をクリックします。
    チケットの有効期限まで余裕がある場合は、右側のその他アイコン 次へ [今すぐ更新] をクリックします。
  7. Active Directory のユーザー名とパスワードを入力します。
    注: Chrome OS では user@domain 表記のみをサポートしています。domain/user 表記はサポートしていません。
  8. (省略可)チケットを自動的に更新するには、[パスワードを保存する] チェックボックスをオンにします。
  9. (省略可)設定ファイルを編集します。
    1. [詳細設定] をクリックします。
    2. Kerberos の設定情報(チケットの有効期間、暗号化タイプ、ドメインレルムのマッピングなど)を変更します。詳しくは、チケットの取得方法を設定するをご覧ください。
    3. [保存] をクリックします。
  10. [更新] をクリックします。

チケットを削除する

  1. 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
  2. 右下の時刻を選択します。
  3. 設定アイコン をクリックします。
  4. [ユーザー] で [Kerberos チケット] をクリックします。
  5. 削除するチケットを見つけます。
  6. 右側のその他アイコン 次へ [このデバイスから削除] をクリックします。

チケットの取得方法を設定する

ユーザーは Kerberos の設定(krb5.conf)を変更して、新しいチケットを追加したり、既存のチケットを更新したりできます。Kerberos 鍵配布センター(KDC)とやり取りする ChromeOS コードは、MIT Kerberos ライブラリをベースにしています。設定の詳細については、MIT Kerberos のドキュメントをご覧ください。ただし、すべてのオプションをサポートしているわけではありません。
ChromeOS がサポートしているオプションは次のとおりです。
セクション 関連するオプション、値
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

任意の値
[capaths]

任意の値

例: 有効期間が異なるチケットをリクエストする

[libdefaults]

        ticket_lifetime = 16h

この例では、有効期間が 16 時間のチケットをリクエストしています。有効期間はサーバー側で制限されていることがあります。デフォルトは 10 時間です。

サーバー側の制限を変更するには:

  1. グループ ポリシー管理コンソールを開きます。
  2. [設定] 次へ [セキュリティ設定] 次へ [アカウント ポリシー] 次へ [Kerberos ポリシー] に移動します。
  3. [ユーザー チケットの最長有効期間] ポリシーを変更します。

例: 更新可能な期間が異なるチケットをリクエストする

[libdefaults]

        renew_lifetime = 14d

この例では、更新可能な期間が 14 日間のチケットをリクエストしています。更新可能な期間はサーバー側で制限されていることがあります。デフォルトは 7 日間です。

サーバー側の制限を変更するには:

  1. グループ ポリシー管理コンソールを開きます。
  2. [設定] 次へ [セキュリティ設定] 次へ [アカウント ポリシー] 次へ [Kerberos ポリシー] に移動します。
  3. [ユーザー チケットを更新できる最長有効期間] ポリシーを変更します。

トラブルシューティング

Linux では通常、kinit コマンドライン ツールを使用して問題をトラブルシューティングします。Chrome OS は Linux ベースであり、Kerberos チケットの実装には kinit を使用しています。そのため、Linux で kinit を使用して Kerberos チケットを取得できる場合は、ChromeOS でも同じ設定でチケットを取得できます。

エラー メッセージ: KDC でサポートされていない暗号化タイプです

Google は、デフォルトで強力な AES 暗号化を実行します。暗号化タイプに関するエラーが発生した場合は、サーバー環境の一部で AES 暗号化を処理できていない可能性があるため、これを修正することをおすすめします。

あるいは、開発環境用の設定から default_tgs_enctypesdefault_tkt_enctypespermitted_enctypes の 3 行を削除することを検討してください。削除することで、MIT Kerberos ドキュメントにあるすべての暗号化タイプが有効になります(脆弱と判断されたものを除く)。セキュリティの設定がご利用環境のニーズに合っていることをご確認ください。暗号化タイプには、安全とはみなされなくなったものも存在します。

すべての暗号化タイプが有効であることを確認したら、セキュリティ リスクを最小限に抑えるために default_tgs_enctypesdefault_tkt_enctypespermitted_enctypes の暗号化タイプを適切なタイプのみに制限することをおすすめします。

エラー メッセージ: レルムのサーバーに接続できませんでした

  1. Kerberos のユーザー名が正しく入力されていることを確認します。
    Kerberos のユーザー名(user@example.com)は、次の要素で構成されます。
    • ユーザーのログイン名(sAMAccountName)
    • Kerberos レルム(通常は Windows ドメイン名と同じ)
  2. ネットワーク接続が正しく設定されていることを確認します。
    Kerberos で標準として使用される 88 番のポートを使って ChromeOS デバイスからサーバーにアクセスできることを確認してください。
  3. DNS が正しく設定されていることを確認します。
    Kerberos は、特定の DNS SRV レコードをリクエストして Kerberos サービスの DNS ドメイン名を見つけます。たとえば、ログイン ドメイン(レルム)が example.com で、唯一の Kerberos サービスの DNS ドメイン名が dc.example.com である場合は、次の DNS SRV レコードを追加する必要があります。
サービス プロトコル 優先度 重み ポート ターゲット(ホスト名)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

DNS 設定を変更できない場合は、このようなマッピングを Kerberos の設定に追加できます。

例:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

それでも Kerberos チケットを取得できない場合は、システムログを収集します。可能であれば、tcpdump のログや Wireshark のログも収集して、サポートにお問い合わせください。

エラー メッセージ: サーバーに認識されないユーザー名です

指定したログイン名のユーザーがサーバーの Active Directory データベースに存在することを確認します。

エラー メッセージ: Kerberos チケットを取得できませんでした。もう一度お試しいただくか、組織のデバイス管理者にお問い合わせください(エラーコード: X)

システムログを収集してサポートにお問い合わせください。

関連トピック

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
true
検索
検索をクリア
検索を終了
メインメニュー
3034131871114247716
true
ヘルプセンターを検索
true
true
true
true
true
410864
false
false