ChromeOS 기기에 Kerberos 싱글 사인온(SSO) 설정하기

비즈니스 또는 학교의 ChromeOS 기기 관리자를 위한 페이지입니다.

관리자는 ChromeOS 기기에서 Kerberos 티켓을 사용하여 Kerberos 인증을 지원하는 내부 리소스에 싱글 사인온(SSO)을 사용 설정할 수 있습니다. 내부 리소스에는 웹사이트, 파일 공유, 인증서 등이 포함될 수 있습니다.

요구사항

ChromeOS 버전 91 이상을 실행하는 기기
현재 키오스크는 지원되지 않음
Active Directory 환경

Kerberos 설정하기

Google 관리 콘솔에 로그인하세요.
@gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.
관리 콘솔에서 메뉴 기기Chrome설정으로 이동합니다. 기본적으로 사용자 및 브라우저 설정 페이지가 열립니다.
Chrome 브라우저 클라우드 관리에 가입한 경우 메뉴 Chrome 브라우저설정으로 이동합니다.
(선택사항) 상단에서 관리 게스트 세션 설정을 클릭합니다.
(선택사항) 부서나 팀에 설정을 적용하려면 옆에서 조직 단위를 선택합니다. 방법 보기
Kerberos로 이동합니다.
Kerberos 티켓을 클릭합니다.
Kerberos 사용 설정을 선택합니다.
(선택사항) (사용자 및 브라우저만 해당) 사용자가 로그인할 때 Kerberos 티켓이 자동으로 요청됩니다.
1. Kerberos 계정을 자동으로 추가를 선택합니다.
2. 기본 이름을 입력합니다. ${LOGIN_ID} 및 ${LOGIN_EMAIL} 자리표시자가 지원됩니다.
3. 기본 Kerberos 구성 사용을 선택합니다. 또는 Kerberos 구성 맞춤설정을 선택하고 환경을 지원하는 데 필요한 Kerberos 구성을 지정하세요. 자세한 내용은 티켓 받는 방법 구성하기를 참고하세요.
  참고: Kerberos 구성(krb5.conf)을 검토하시기 바랍니다. 기본 구성에서는 강력한 AES 암호화를 시행하며, 환경 내 일부 부분에서는 지원되지 않을 수도 있습니다.
저장을 클릭합니다.

기기에서 Kerberos가 사용되는 방법 구성하기

Google 관리 콘솔에 로그인하세요.
@gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.
관리 콘솔에서 메뉴 기기Chrome설정으로 이동합니다. 기본적으로 사용자 및 브라우저 설정 페이지가 열립니다.
Chrome 브라우저 클라우드 관리에 가입한 경우 메뉴 Chrome 브라우저설정으로 이동합니다.
(선택사항) 상단에서 관리 게스트 세션 설정을 클릭합니다.
(선택사항) 부서나 팀에 설정을 적용하려면 옆에서 조직 단위를 선택합니다. 방법 보기
네트워크로 이동합니다.
허용된 인증 서버를 구성합니다.
1. 통합 인증 서버를 클릭합니다.
2. Kerberos로 보호되는 웹사이트의 URL을 입력합니다. 사용자는 로그인하지 않고도 활성 티켓을 사용해 관리자가 나열한 서버에 액세스할 수 있습니다.
  참고: 여러 개의 서버 이름을 쉼표로 구분하여 추가할 수 있습니다. 와일드 카드(*)를 사용할 수 있습니다. 도메인 이름에 와일드 카드를 포함하지 마세요. 예를 들어 목록에 *example.com을 추가하지 마시기 바랍니다. 다음은 *.example.com, example.com의 샘플 목록입니다.
3. 저장을 클릭합니다.
(사용자 및 브라우저만 해당) 위임이 허용된 서버를 구성합니다.
1. Kerberos 위임 서버를 클릭합니다.
2. Chrome에서 위임할 수 있는 서버 URL을 입력합니다.
  참고: 여러 개의 서버 이름을 쉼표로 구분하여 추가할 수 있습니다. 와일드 카드(*)를 사용할 수 있습니다.
3. 저장을 클릭합니다.
(사용자 및 브라우저만 해당) Kerberos 티켓을 위임할 때 KDC(키 배포 센터) 정책을 준수할지를 지정합니다.
1. Kerberos 티켓 위임을 클릭합니다.
2. 다음 옵션 중 하나를 선택합니다.
  - KDC 정책 준수
  - KDC 정책 무시
3. 저장을 클릭합니다.
(사용자 및 브라우저만 해당) Kerberos 서비스 기본 이름(SPN) 생성에 사용된 이름의 소스를 지정합니다.
1. Kerberos 서비스 기본 이름을 클릭합니다.
2. 다음 옵션 중 하나를 선택합니다.
  - 정규 DNS 이름 사용
  - 입력된 원래 이름 사용
3. 저장을 클릭합니다.
(사용자 및 브라우저만 해당) 생성된 Kerberos SPN에 비표준 포트를 포함해야 할지를 지정합니다.
1. Kerberos SPN 포트를 클릭합니다.
2. 다음 옵션 중 하나를 선택합니다.
  - 비표준 포트 포함
  - 비표준 포트를 포함하지 않음
3. 저장을 클릭합니다.
(사용자 및 브라우저만 해당) 페이지의 타사 하위 콘텐츠에서 HTTP 기본 인증 대화상자가 팝업되도록 허용할지를 지정합니다.
1. 교차 출처 인증을 클릭합니다.
2. 다음 옵션 중 하나를 선택합니다.
  - 교차 도메인 인증 허용
  - 교차 도메인 인증 차단
3. 저장을 클릭합니다.

사용자에게 제공되는 기능

티켓 추가하기

사용자가 Kerberos로 보호되는 리소스에 액세스하려고 하면 티켓을 추가하거나 티켓 없이 계속 진행할 수 있는 옵션이 제공됩니다.

티켓을 추가하려면 다음 단계를 따르세요.

상자에서 티켓 관리를 클릭합니다.
Kerberos 티켓 페이지에서 티켓 추가를 클릭합니다.
Active Directory 사용자 이름과 비밀번호를 입력합니다.
참고: ChromeOS에서는 domain/user 표기법이 아닌 user@domain 표기법만 지원합니다.
(선택사항) 티켓을 자동으로 새로고침하려면 비밀번호 저장 체크박스를 선택한 상태로 유지합니다.
(선택사항) 구성 파일을 수정합니다.
- 고급을 클릭합니다.
- 티켓 기간, 암호화 유형, 도메인 영역 매핑 등 Kerberos 구성 정보를 변경합니다. 자세한 내용은 티켓 받는 방법 구성하기를 참고하세요.
- 저장을 클릭합니다.
추가를 클릭합니다.
보려는 페이지를 새로고침합니다.

참고: Kerberos의 경우 특정 DNS 설정이 필요하며, 특히 _kerberos 및 _kerberos-master 서비스의 SRV 레코드가 필요합니다. 자세한 내용은 아래 문제 해결하기를 참고하세요.

활성 티켓 설정하기

사용자는 ChromeOS 기기에 여러 개의 Kerberos 티켓을 추가할 수 있습니다. 그러나 한 번에 티켓 1장만 활성화하여 인증에 사용할 수 있습니다. 사용자는 티켓을 전환하여 다른 승인 수준이 필요한 리소스에 액세스할 수 있습니다. 예를 들어 특정 내부 웹페이지에서 더 높은 수준의 권한을 가진 Kerberos 티켓이 필요한 경우가 있습니다.

아직 로그인하지 않았다면 관리 ChromeOS 기기에 로그인합니다.
오른쪽 하단에서 시간을 선택합니다.
설정 을 클릭합니다.
'사용자' 섹션에서 Kerberos 티켓을 클릭합니다.
활성 상태로 설정하려는 티켓을 찾습니다.
오른쪽에서 더보기 활성 티켓으로 설정을 클릭합니다.

티켓 새로고침 및 구성 수정하기

기본적으로 티켓은 10시간 동안 유효하며 사용자가 사용자 이름과 비밀번호를 다시 입력하지 않아도 1주일 더 갱신될 수 있습니다. 티켓이 만료되어 자동으로 갱신할 수 없는 경우 사용자에게 티켓을 수동으로 새로고침해야 한다는 메시지가 표시됩니다. 사용자가 활성 티켓이 만료되도록 두면 사용자가 티켓을 새로고침할 때까지 Kerberos 인증이 더 이상 작동하지 않습니다.

아직 로그인하지 않았다면 관리 ChromeOS 기기에 로그인합니다.
오른쪽 하단에서 시간을 선택합니다.
설정 을 클릭합니다.
'사용자' 섹션에서 Kerberos 티켓을 클릭합니다.
새로고침하려는 티켓을 찾습니다.
새로고침을 클릭합니다.
티켓 만료가 임박하지 않은 경우 오른쪽에서 더보기 지금 새로고침을 클릭합니다.
Active Directory 사용자 이름과 비밀번호를 입력합니다.
참고: ChromeOS에서는 domain/user 표기법이 아닌 user@domain 표기법만 지원합니다.
(선택사항) 티켓을 자동으로 새로고침하려면 비밀번호 저장 체크박스를 선택합니다.
(선택사항) 구성 파일을 수정합니다.
1. 고급을 클릭합니다.
2. 티켓 기간, 암호화 유형, 도메인 영역 매핑 등 Kerberos 구성 정보를 변경합니다. 자세한 내용은 티켓 받는 방법 구성하기를 참고하세요.
3. 저장을 클릭합니다.
새로고침을 클릭합니다.

티켓 삭제하기

아직 로그인하지 않았다면 관리 ChromeOS 기기에 로그인합니다.
오른쪽 하단에서 시간을 선택합니다.
설정 을 클릭합니다.
'사용자' 섹션에서 Kerberos 티켓을 클릭합니다.
삭제하려는 티켓을 찾습니다.
오른쪽에서 더보기 이 기기에서 삭제를 클릭합니다.

티켓 받는 방법 구성하기

사용자는 새 티켓을 추가하거나 기존 티켓을 새로고침할 때 Kerberos 구성(krb5.conf)을 수정할 수 있습니다. Kerberos 키 배포 센터(KDC)와 상호작용하는 ChromeOS 코드는 MIT Kerberos 라이브러리를 기반으로 합니다. 구성에 관한 자세한 내용은 MIT Kerberos 문서를 참고하세요. 하지만 모든 옵션이 지원되지는 않습니다.

다음은 ChromeOS에서 지원하는 옵션 목록입니다.

섹션	관계
`[libdefaults]`	`canonicalize` `clockskew` `default_tgs_enctypes` `default_tkt_enctypes` `dns_canonicalize_hostname` `dns_lookup_kdc` `extra_addresses` `forwardable` `ignore_acceptor_hostname` `kdc_default_options` `kdc_timesync` `noaddresses` `permitted_enctypes` `preferred_preauth_types` `proxiable` `rdns` `renew_lifetime` `ticket_lifetime` `Udp_preference_limit`
`[realms]`	`admin_server` `auth_to_local` `kdc` `kpasswd_server` `master_kdc`
`[domain_realm]`	모든 값
`[capaths]`	모든 값

예: 다른 티켓 기간 요청

[libdefaults]

ticket_lifetime = 16h

이 예시에서는 16시간 동안 유효한 티켓을 요청합니다. 유효 기간은 서버 측에서 제한할 수 있으며, 기본값은 10시간입니다.

서버 측 한도를 변경하는 방법은 다음과 같습니다.

Group Policy Management Console(그룹 정책 관리 콘솔)을 엽니다.
Settings(설정) Security settings(보안 설정) Account policies(계정 정책) Kerberos policy(Kerberos 정책)로 이동합니다.
Maximum lifetime for user ticket(사용자 티켓의 최대 기간) 정책을 수정합니다.

예: 다른 티켓 갱신 기간 요청

[libdefaults]

renew_lifetime = 14d

이 예시에서는 갱신하여 14일 더 연장할 수 있는 티켓을 요청합니다. 갱신 기간은 서버 측에서 제한할 수 있으며, 기본값은 7일입니다.

서버 측 한도를 변경하는 방법은 다음과 같습니다.

Group Policy Management Console(그룹 정책 관리 콘솔)을 엽니다.
Settings(설정) Security settings(보안 설정) Account policies(계정 정책) Kerberos policy(Kerberos 정책)로 이동합니다.
Maximum lifetime for user ticket renewal(사용자 티켓 갱신의 최대 기간) 정책을 수정합니다.

문제 해결하기

일반적으로 Linux에서 kinit 명령줄 도구를 사용하여 문제를 해결할 수 있습니다. ChromeOS는 Linux를 기반으로 하며 Kerberos 티켓 구현에서는 kinit를 사용합니다. 따라서 Linux에서 kinit을 사용하여 Kerberos 티켓을 받을 경우 동일한 구성을 사용해 ChromeOS에서 티켓을 받을 수 있습니다.

오류 메시지: KDC가 암호화 유형을 지원하지 않음

Google은 기본적으로 강력한 AES 암호화를 시행합니다. 암호화 유형에 대한 오류가 표시된다면 서버 환경의 일부가 AES 암호화를 처리할 수 없는 것일 수도 있습니다. 이 문제는 수정하는 것이 좋습니다.

아니면 개발 구성에서 default_tgs_enctypes, default_tkt_enctypes, permitted_enctypes에 관한 줄 3개를 삭제하는 것이 좋습니다. 이렇게 하면 MIT Kerberos 문서에서 '약함'이라고 표시된 암호화 유형을 제외한 모든 암호화 유형이 사용 설정됩니다. 필요한 사항에 맞게 보안 기술이 구현되었는지 확인하세요. 일부 암호화 유형은 더 이상 강력하다고 간주되지 않습니다.

모든 암호화 유형의 세트가 작동하는지 확인한 후 default_tgs_enctypes, default_tkt_enctypes, permitted_enctypes의 암호화 유형을 적절한 유형으로 구성된 하위 세트로 제한하여 보안 위험을 최소화하는 것이 좋습니다.

오류 메시지: 영역 서버에 연결하는 데 실패함

올바른 Kerberos 사용자 이름을 입력했는지 확인합니다.
Kerberos 사용자 이름 user@example.com은 다음과 같이 구성됩니다.
- 사용자 로그인 이름(sAMAccountName이라고도 함)
- 일반적으로 Windows 도메인 이름과 일치하는 Kerberos 영역
네트워크 연결이 올바르게 설정되었는지 확인합니다.
표준 Kerberos 포트 88에서 ChromeOS 기기를 통해 서버에 연결할 수 있는지 확인합니다.
DNS가 올바르게 설정되었는지 확인합니다.
Kerberos는 특정 DNS SRV 레코드를 요청하여 Kerberos 서비스의 DNS 도메인 이름을 확인합니다. 예를 들어 로그인 도메인 또는 영역이 example.com이고 유일한 Kerberos 서비스의 DNS 도메인 이름이 dc.example.com이면 다음의 DNS SRV 레코드를 추가해야 합니다.

서비스	프로토콜	가중치	포트	대상(호스트 이름)
_kerberos	_udp.dc._msdcs	100	88	dc.example.com
_kerberos	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos	_udp	100	88	dc.example.com
_kerberos	_tcp	100	88	dc.example.com
_kerberos-master	_udp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_udp	100	88	dc.example.com
_kerberos-master	_tcp	100	88	dc.example.com

DNS 설정을 수정할 수 없다면 Kerberos 구성에서 매핑을 추가할 수 있습니다.

예를 들면 다음과 같습니다.

[realms]

EXAMPLE.COM = {

kdc = dc.example.com

master_kdc = dc.example.com

}

Kerberos 티켓을 가져올 때 문제가 계속 발생하면 시스템 로그를 수집하세요. 가능하면 tcpdump 또는 wireshark 로그도 수집합니다. 그런 다음 지원팀에 문의하세요.

오류 메시지: 서버에서 알 수 없는 사용자 이름

지정된 로그인 이름을 가진 사용자가 서버의 Active Directory 데이터베이스에 있는지 확인합니다.

오류 메시지: Kerberos 티켓을 가져올 수 없음 다시 시도해 보거나 조직의 기기 관리자에게 문의하세요. (오류 코드: X)

시스템 로그를 수집하고 지원팀에 문의합니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?