Voor beheerders die Chrome OS-apparaten beheren voor een bedrijf of school.
Als beheerder kun je Kerberos-tickets op ChromeOS-apparaten gebruiken om Single sign-on (SSO) aan te zetten voor interne bronnen die Kerberos-verificatie ondersteunen. Interne bronnen zijn bijvoorbeeld websites, fileshares en certificaten.
Vereisten
- Apparaten met ChromeOS-versie 91 of hoger.
- Kiosks worden momenteel niet ondersteund.
- Active Directory-omgeving.
Kerberos instellen
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Apparaten
Chrome
Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu
Chrome-browser
- (Optioneel) Klik bovenaan op Instellingen voor beheerde gastsessies.
-
Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling voor iedereen geldt. Selecteer anders een onderliggende organisatie-eenheid.
-
Ga naar Kerberos.
-
Klik op Kerberos-tickets.
-
Selecteer Kerberos aanzetten.
-
(Optioneel, alleen gebruikers en browsers) Vraag automatisch Kerberos-tickets aan voor gebruikers als ze inloggen.
-
Selecteer Automatisch een Kerberos-account toevoegen.
-
Voer de naam van het hoofdaccount in. Je kunt de tijdelijke aanduidingen ${LOGIN_ID} en ${LOGIN_EMAIL} gebruiken.
-
Selecteer Standaard Kerberos-configuratie gebruiken. Of selecteer Kerberos-configuratie aanpassen en geef de Kerberos-configuratie op die nodig is voor jouw omgeving. Zie Instellen hoe tickets worden opgehaald voor meer informatie.
Opmerking: Controleer de Kerberos-configuratie, krb5.conf. In de standaardconfiguratie wordt sterke AES-encryptie afgedwongen, maar dit wordt mogelijk niet ondersteund door elk deel van je omgeving.
-
-
Klik op Opslaan.
Instellen hoe Kerberos kan worden gebruikt op apparaten
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu
- (Optioneel) Klik bovenaan op Instellingen voor beheerde gastsessies.
-
Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling voor iedereen geldt. Selecteer anders een onderliggende organisatie-eenheid.
- Ga naar Netwerk.
- Stel toegestane verificatieservers in:
- Klik op Geïntegreerde verificatieservers.
- Geef URL's op van websites die worden beschermd door Kerberos. Gebruikers kunnen hun actieve ticket gebruiken om toegang te krijgen tot de servers die je opgeeft, zonder dat ze hoeven in te loggen.
Opmerking: Je kunt meerdere servernamen toevoegen, gescheiden door komma's. Je mag jokertekens (*) gebruiken. Gebruik echter geen jokertekens in de domeinnaam. Voeg bijvoorbeeld niet *example.com toe aan de lijst. Een voorbeeldlijst: *.example.com, example.com. - Klik op Opslaan.
- (Alleen gebruikers en browsers) Stel toegestane servers voor machtiging in:
- Klik op Servers voor Kerberos-machtiging.
- Voer URL's in van de servers die Chrome kan machtigen.
Opmerking: Je kunt meerdere servernamen toevoegen, gescheiden door komma's. Je mag jokertekens (*) gebruiken. - Klik op Opslaan.
- (Gebruikers en browsers) Geef op of het Key Distribution Center-beleid (KDC) moet worden overgenomen om Kerberos-tickets te delegeren:
- Klik op Kerberos-ticketmachtiging.
- Kies een optie:
- KDC-beleid volgen
- KDC-beleid negeren
- Klik op Opslaan.
- (Alleen gebruikers en browsers) Geef de bron op van de naam die wordt gebruikt om de Kerberos Service Principal Name (SPN) te maken.
- Klik op Kerberos Service Principal Name.
- Kies een optie:
- Canonieke DNS-naam gebruiken
- Oorspronkelijk ingevoerde naam gebruiken
- Klik op Opslaan.
- (Alleen gebruikers en browsers) Geef op of de gegenereerde Kerberos SPN een niet-standaard poort moet bevatten.
- Klik op Kerberos SPN-poort.
- Kies een optie:
- Niet-standaard poort opnemen
- Niet-standaard poort niet opnemen
- Klik op Opslaan.
- (Alleen gebruikers en browsers) Geef op of subcontent van derden op een pagina een dialoogvenster voor algemene HTTP-verificatie als pop-up mag weergeven.
- Klik op Cross-originverificatie.
- Kies een optie:
- Cross-originverificatie toestaan
- Cross-originverificatie blokkeren
- Klik op Opslaan.
Wat gebruikers kunnen doen
Een ticket toevoegen
Als gebruikers toegang proberen te krijgen tot een door Kerberos beveiligde resource, krijgen ze de optie om een ticket toe te voegen of door te gaan zonder een ticket.
Zo voeg je een ticket toe:
- Klik in het vak op Tickets beheren.
- Klik op de pagina Kerberos-tickets op Een ticket toevoegen.
- Voer je gebruikersnaam en wachtwoord voor Active Directory in.
Opmerking: ChromeOS ondersteunt alleen de indeling gebruiker@domein, niet de indeling domein/gebruiker. - (Optioneel) Als je het ticket automatisch wilt vernieuwen, laat je het vakje voor Wachtwoord onthouden aangevinkt.
- (Optioneel) Bewerk het configuratiebestand:
- Klik op Geavanceerd.
- Wijzig Kerberos-configuratiegegevens, zoals de levensduur van het ticket, versleutelingstypen en domeintoewijzingen. Ga naar Instellen hoe tickets worden opgehaald voor meer informatie.
- Klik op Opslaan.
- Klik op Toevoegen.
- Laad de pagina die je probeert te openen opnieuw.
Opmerking: Voor Kerberos is een bepaalde DNS-installatie vereist, met name SRV-records voor de services _kerberos en _kerberos-master. Zie Problemen oplossen hieronder voor meer informatie.
Actief ticket instellen
Gebruikers kunnen meerdere Kerberos-tickets toevoegen aan hun ChromeOS-apparaten. Er kan echter op elk moment slechts 1 ticket actief zijn en worden gebruikt voor verificatie. Gebruikers kunnen toegang krijgen tot resources waarvoor verschillende autorisatieniveaus zijn vereist door een ander ticket te gebruiken. Bijvoorbeeld als bepaalde interne webpagina's een Kerberos-ticket met een hoger rechtenniveau nodig hebben.
- Log in op een beheerd ChromeOS-apparaat als je dit nog niet hebt gedaan.
- Selecteer rechtsonder de tijd.
- Klik op Instellingen
.
- Klik in het gedeelte Mensen op Kerberos-tickets.
- Zoek het ticket dat je actief wilt maken.
- Klik rechts op Meer
Instellen als actief ticket.
Instellen als actief ticket.Een ticket vernieuwen en de configuratie aanpassen
Standaard zijn tickets 10 uur geldig. Ze kunnen een week worden vernieuwd zonder dat gebruikers hun gebruikersnaam en wachtwoord opnieuw hoeven in te voeren. Als een ticket verloopt en niet automatisch kan worden vernieuwd, zien gebruikers een bericht waarin staat dat ze het ticket handmatig moeten vernieuwen. Als gebruikers het actieve ticket laten verlopen, werkt Kerberos-verificatie pas weer als het ticket wordt vernieuwd.
- Log in op een beheerd ChromeOS-apparaat als je dit nog niet hebt gedaan.
- Selecteer rechtsonder de tijd.
- Klik op Instellingen
- Klik in het gedeelte Mensen op Kerberos-tickets.
- Zoek het ticket dat je wilt vernieuwen.
- Klik op Vernieuwen.
Als het ticket nog een tijdje geldig is, klik je rechts op Meer - Voer je gebruikersnaam en wachtwoord voor Active Directory in.
Opmerking: ChromeOS ondersteunt alleen de indeling gebruiker@domein, niet de indeling domein/gebruiker. - (Optioneel) Als je het ticket automatisch wilt vernieuwen, vink je het vakje aan voor Wachtwoord onthouden.
- (Optioneel) Bewerk het configuratiebestand:
- Klik op Geavanceerd.
- Wijzig Kerberos-configuratiegegevens, zoals de levensduur van het ticket, versleutelingstypen en domeintoewijzingen. Ga naar Instellen hoe tickets worden opgehaald voor meer informatie.
- Klik op Opslaan.
- Klik op Vernieuwen.
Een ticket verwijderen
- Log in op een beheerd ChromeOS-apparaat als je dit nog niet hebt gedaan.
- Selecteer rechtsonder de tijd.
- Klik op Instellingen
- Klik in het gedeelte Mensen op Kerberos-tickets.
- Zoek het ticket dat je wilt verwijderen.
- Klik rechts op Meer
Instellen hoe tickets worden opgehaald
| Sectie | Relatie |
|---|---|
[libdefaults] |
|
[realms] |
|
[domain_realm] |
Elke waarde |
[capaths] |
Elke waarde |
Voorbeeld: een andere levensduur voor een ticket aanvragen
[libdefaults]
ticket_lifetime = 16h
In dit voorbeeld wordt een ticket aangevraagd dat 16 uur geldig is. De levensduur kan beperkt zijn aan de serverzijde, waar de standaard 10 uur is.
Ga als volgt te werk om de limiet aan de serverzijde te wijzigen:
- Open de console Groepsbeleidbeheer.
- Ga naar Instellingen
- Pas het beleid Maximale levensduur van gebruikersticket aan.
Voorbeeld: een andere levensduur voor het verlengen van een ticket aanvragen
[libdefaults]
renew_lifetime = 14d
In dit voorbeeld wordt een ticket aangevraagd dat 14 dagen kan worden verlengd. De levensduur voor verlenging kan beperkt zijn aan de serverzijde, waar de standaard 7 dagen is.
Ga als volgt te werk om de limiet aan de serverzijde te wijzigen:
- Open de console Groepsbeleidbeheer.
- Ga naar Instellingen
- Pas het beleid Maximale levensduur voor vernieuwing van gebruikersticket aan.
Problemen oplossen
Over het algemeen kun je problemen oplossen met de kinit-opdrachtregeltool in Linux. ChromeOS is Linux-gebaseerd en kinit wordt gebruikt voor de implementatie van Kerberos-tickets. Als je dus een Kerberos-ticket kunt ophalen met kinit in Linux, kun je met dezelfde configuratie ook een ticket krijgen in ChromeOS.
Foutmelding: KDC ondersteunt versleutelingstype niet
Google dwingt standaard sterke AES-encryptie af. Als je een fout ziet over versleutelingstypen, is het mogelijk dat AES-encryptie niet werkt in bepaalde delen van je serveromgeving. We raden je aan dit op te lossen.
Je kunt ook overwegen de 3 regels voor default_tgs_enctypes, default_tkt_enctypes en permitted_enctypes te verwijderen uit de ontwikkelingsconfiguratie. Alle versleutelingstypen in de Kerberos-documentatie van MIT worden dan ingeschakeld, behalve de typen die als 'weak' (zwak) zijn gemarkeerd. Controleer of de gevolgen voor de beveiliging acceptabel voor je zijn. Sommige versleutelingstypen worden niet meer als 'strong' (sterk) beschouwd.
Nadat je hebt gecontroleerd of de reeks met alle versleutelingstypen werkt, raden we je aan de versleutelingstypen voor default_tgs_enctypes, default_tkt_enctypes en permitted_enctypes te beperken tot een acceptabele subreeks van typen om het beveiligingsrisico zo laag mogelijk te houden.
Foutmelding: Verbinding maken met server voor domein mislukt
- Controleer of je de juiste Kerberos-gebruikersnaam hebt ingevoerd.
De Kerberos-gebruikersnaam, gebruiker@example.com, bestaat uit het volgende:- Inlognaam van de gebruiker, ook wel sAMAccountName genoemd
- Kerberos-realm, dat meestal overeenkomt met de Windows-domeinnaam
- Controleer of de netwerkverbinding correct is ingesteld.
Zorg dat de server kan worden bereikt vanaf het ChromeOS-apparaat via de standaard Kerberos-poort 88. - Controleer of DNS correct is ingesteld.
Met Kerberos worden bepaalde DNS SRV-records opgevraagd om de DNS-domeinnaam van de Kerberos-service te vinden. Als het inlogdomein, of realm, bijvoorbeeld example.com is en de DNS-domeinnaam van de enige Kerberos-service dc.example.com is, moeten de volgende DNS SRV-records zijn toegevoegd:
| Service | Protocol | Prioriteit | Weging | Poort | Doel (hostnaam) |
|---|---|---|---|---|---|
| _kerberos | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos | _udp | 0 | 100 | 88 | dc.example.com |
| _kerberos | _tcp | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _udp | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _tcp | 0 | 100 | 88 | dc.example.com |
Als je de DNS-instellingen niet kunt wijzigen, kun je deze toewijzingen toevoegen aan de Kerberos-configuratie.
Voorbeeld:
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
master_kdc = dc.example.com
}
Als je nog steeds problemen ervaart met het ophalen van Kerberos-tickets, verzamel je de systeemlogboeken. Verzamel indien mogelijk ook tcpdump- of wireshark-logboeken. Neem daarna contact op met support.