Powiadomienie

Planujesz powrót pracowników do biura? Zobacz, jak może Ci w tym pomóc Chrome OS.

Konfigurowanie logowania jednokrotnego przez Kerberos na urządzeniach z ChromeOS.

Te informacje są przeznaczone dla administratorów, którzy zarządzają urządzeniami z ChromeOS w firmie lub szkole.

Jako administrator możesz używać zgłoszeń Kerberos na urządzeniach z ChromeOS do włączania logowania jednokrotnego na potrzeby zasobów wewnętrznych obsługujących uwierzytelnianie Kerberos. Zasoby wewnętrzne mogą obejmować witryny, udziały plików, certyfikaty itp.

Wymagania

  • Urządzenia z ChromeOS w wersji 91 lub nowszej.
  • Kioski nie są obecnie obsługiwane.
  • Środowisko Active Directory.

Konfigurowanie Kerberos

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej kliknij Menu  a potem  Urządzenia a potem Chrome a potem Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.

    Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu  a potem  Przeglądarka Chrome a potem Ustawienia.

  3. (Opcjonalnie) U góry kliknij Ustawienia zarządzanej sesji gościa.
  4. (Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić

  5. Otwórz stronę Kerberos.

  6. Kliknij Zgłoszenia Kerberos.

  7. Wybierz Włącz Kerberos.

  8. [Opcjonalnie] (Użytkownicy i przeglądarki) Automatycznie żądaj przydzielenia zgłoszeń Kerberos użytkownikom, gdy się logują.

    1. Wybierz Dodawaj konto Kerberos automatycznie.

    2. Wpisz nazwę podmiotu zabezpieczeń. Obsługiwane są zmienne ${LOGIN_ID} i ${LOGIN_EMAIL}.

    3. Wybierz opcję Użyj domyślnej konfiguracji Kerberos. Możesz też kliknąć Dostosuj konfigurację Kerberos i zdefiniować konfigurację Kerberos potrzebną do obsługi Twojego środowiska. Więcej informacji znajdziesz w sekcji Konfigurowanie sposobu uzyskiwania zgłoszeń.
      Uwaga: zalecamy sprawdzenie konfiguracji Kerberos (krb5.conf). Konfiguracja domyślna wymusza stosowanie silnego szyfrowania AES, które może nie być obsługiwane przez niektóre elementy używanego środowiska.

  9. Kliknij Zapisz.

Konfigurowanie sposobu używania Kerberos na urządzeniach

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej kliknij Menu  a potem  Urządzenia a potem Chrome a potem Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.

    Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu  a potem  Przeglądarka Chrome a potem Ustawienia.

  3. (Opcjonalnie) U góry kliknij Ustawienia zarządzanej sesji gościa.
  4. (Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić
  5. Otwórz Sieć.
  6. Skonfiguruj dozwolone serwery uwierzytelniania:
    1. Kliknij Serwery zintegrowanego uwierzytelniania.
    2. Wpisz adresy URL witryn chronionych protokołem Kerberos. Użytkownicy mogą korzystać z aktywnych zgłoszeń w celu uzyskiwania dostępu do wymienionych przez Ciebie serwerów bez konieczności logowania się.
      Uwaga: możesz dodać kilka nazw serwerów rozdzielonych przecinkami. Możesz też używać symboli wieloznacznych (*). ale nie w nazwie domeny. Na przykład nie dodawaj do listy pozycji *example.com. Oto przykładowa lista: *.example.com, example.com.
    3. Kliknij Zapisz.
  7. (Tylko użytkownicy i przeglądarki) Skonfiguruj dozwolone serwery przekazywania dostępu:
    1. Kliknij Serwery przekazywania uwierzytelniania Kerberos.
    2. Wpisz adresy URL serwerów, do których Chrome może przekazywać dostęp.
      Uwaga: możesz dodać kilka nazw serwerów rozdzielonych przecinkami. Możesz też używać symboli wieloznacznych (*).
    3. Kliknij Zapisz.
  8. (Tylko użytkownicy i przeglądarki) Określ, czy mają być uwzględniane zasady centrum dystrybucji kluczy (KDC) w zakresie przekazywania zgłoszeń Kerberos:
    1. Kliknij Przekazywanie zgłoszeń Kerberos.
    2. Wybierz odpowiednią opcję:
      • Uwzględniaj zasady KDC,
      • Ignoruj zasady KDC.
    3. Kliknij Zapisz.
  9. (Tylko użytkownicy i przeglądarki) Określ źródło nazwy użytej do wygenerowania głównej nazwy usługi (SPN) Kerberos.
    1. Kliknij Główna nazwa usługi Kerberos.
    2. Wybierz odpowiednią opcję:
      • Użyj kanonicznej nazwy DNS,
      • Użyj pierwotnie wpisanej nazwy.
    3. Kliknij Zapisz.
  10. (Tylko użytkownicy i przeglądarki) Określ, czy wygenerowana nazwa SPN protokołu Kerberos powinna uwzględniać port niestandardowy.
    1. Kliknij Port SPN Kerberos.
    2. Wybierz odpowiednią opcję:
      • Uwzględnij port niestandardowy,
      • Nie uwzględniaj portu niestandardowego.
    3. Kliknij Zapisz.
  11. (Tylko użytkownicy i przeglądarki) Określ, czy elementy podrzędne na stronie pochodzące od innych firm mogą powodować wyskakiwanie okna dialogowego podstawowego uwierzytelniania HTTP.
    1. Kliknij Uwierzytelnianie między domenami.
    2. Wybierz odpowiednią opcję:
      • Zezwalaj na uwierzytelnianie między domenami,
      • Blokuj uwierzytelnianie między domenami.
    3. Kliknij Zapisz.

Czynności, które mogą wykonywać użytkownicy

Dodawanie zgłoszenia

Gdy użytkownicy próbują uzyskać dostęp do zasobu chronionego protokołem Kerberos, mogą dodać zgłoszenie lub kontynuować bez niego.

Aby dodać zgłoszenie:

  1. W polu kliknij Zarządzaj zgłoszeniami.
  2. Na stronie Zgłoszenia Kerberos kliknij Dodaj zgłoszenie.
  3. Wpisz nazwę użytkownika i hasło do konta Active Directory.
    Uwaga: ChromeOS obsługuje tylko zapis użytkownik@domena (nie obsługuje zapisu domena/użytkownik).
  4. (Opcjonalnie) Aby automatycznie odświeżać zgłoszenie, pozostaw pole Zapamiętaj hasło zaznaczone.
  5. (Opcjonalnie) Zmodyfikuj plik konfiguracji:
    • Kliknij Zaawansowane.
    • Zmień informacje o konfiguracji Kerberos, takie jak okres istnienia zgłoszenia, typy szyfrowania czy mapowania w obrębie domeny. Więcej informacji znajdziesz w sekcji Konfigurowanie sposobu uzyskiwania zgłoszeń.
    • Kliknij Zapisz.
  6. Kliknij Dodaj.
  7. Odśwież stronę, którą próbujesz wyświetlić.

Uwaga: witryna Kerberos wymaga określonej konfiguracji DNS, w szczególności rekordów SRV na potrzeby usług _kerberos i _kerberos-master. Szczegółowe informacje znajdziesz poniżej w sekcji Rozwiązywanie problemów.

Ustawianie aktywnego zgłoszenia

Użytkownicy mogą dodawać wiele zgłoszeń Kerberos na swoich urządzeniach z ChromeOS. Jednak w danym momencie tylko jedno zgłoszenie może być aktywne i używane do uwierzytelniania. Przełączając się między zgłoszeniami, użytkownicy mogą uzyskiwać dostęp do zasobów wymagających różnych poziomów autoryzacji. Jest to przydatne na przykład wtedy, gdy niektóre witryny wewnętrzne wymagają zgłoszenia Kerberos z wyższym poziomem uprawnień.

  1. Zaloguj się na zarządzane urządzenie z ChromeOS.
  2. W prawym dolnym rogu kliknij godzinę.
  3. Kliknij Ustawienia .
  4. W sekcji Osoby kliknij Zgłoszenia Kerberos.
  5. Znajdź zgłoszenie, które chcesz ustawić jako aktywne.
  6. Po prawej stronie kliknij Więcej a potem Ustaw jako zgłoszenie aktywne.

Odświeżanie zgłoszenia i modyfikowanie konfiguracji

Zgłoszenia są domyślnie ważne przez 10 godzin i można je odnawiać przez tydzień bez konieczności ponownego wpisywania nazwy użytkownika i hasła. Gdy zgłoszenie wygaśnie i nie będzie się automatycznie odświeżać, użytkownik zobaczy komunikat, że musi odświeżyć zgłoszenie samodzielnie. Jeśli użytkownik pozwoli, aby aktywne zgłoszenie wygasło, uwierzytelnianie Kerberos przestanie działać, dopóki zgłoszenie nie zostanie odświeżone.

  1. Zaloguj się na zarządzane urządzenie z ChromeOS.
  2. W prawym dolnym rogu kliknij godzinę.
  3. Kliknij Ustawienia .
  4. W sekcji Osoby kliknij Zgłoszenia Kerberos.
  5. Znajdź zgłoszenie, które chcesz odświeżyć.
  6. Kliknij Odśwież.
    Jeśli zgłoszenie nie zbliża się do wygaśnięcia, po prawej stronie kliknij Więcej a potem Odśwież teraz.
  7. Wpisz nazwę użytkownika i hasło do konta Active Directory.
    Uwaga: ChromeOS obsługuje tylko zapis użytkownik@domena (nie obsługuje zapisu domena/użytkownik).
  8. (Opcjonalnie) Aby automatycznie odświeżać zgłoszenie, zaznacz pole Zapamiętaj hasło.
  9. (Opcjonalnie) Zmodyfikuj plik konfiguracji:
    1. Kliknij Zaawansowane.
    2. Zmień informacje o konfiguracji Kerberos, takie jak okres istnienia zgłoszenia, typy szyfrowania czy mapowania w obrębie domeny. Więcej informacji znajdziesz w sekcji Konfigurowanie sposobu uzyskiwania zgłoszeń.
    3. Kliknij Zapisz.
  10. Kliknij Odśwież.

Usuwanie zgłoszenia

  1. Zaloguj się na zarządzane urządzenie z ChromeOS.
  2. W prawym dolnym rogu kliknij godzinę.
  3. Kliknij Ustawienia .
  4. W sekcji Osoby kliknij Zgłoszenia Kerberos.
  5. Znajdź zgłoszenie, które chcesz usunąć.
  6. Po prawej kliknij Więcej a potem Usuń z tego urządzenia.

Konfigurowanie sposobu uzyskiwania zgłoszeń

Użytkownicy mogą zmodyfikować konfigurację Kerberos (krb5.conf) przez dodanie nowego zgłoszenia lub odświeżenie istniejącego. Kod ChromeOS, który wchodzi w interakcję z Centrum dystrybucji kluczy Kerberos (KDC), jest oparty na bibliotece MIT Kerberos. Szczegółowe informacje o konfiguracji znajdziesz w dokumentacji MIT Kerberos. Jednak nie wszystkie opcje są obsługiwane.
Oto lista opcji działających w ChromeOS:
Sekcja Relacja
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

Udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Dowolna wartość
[capaths]

Dowolna wartość

Przykład: żądanie zmiany okresu istnienia zgłoszenia

[libdefaults]

        ticket_lifetime = 16h

W tym przykładzie żądamy zgłoszenia ważnego przez 16 godzin. Okres istnienia może być ograniczony po stronie serwera (wartość domyślna to 10 godzin).

Aby zmienić limit po stronie serwera:

  1. Otwórz konsolę zarządzania zasadami grupy.
  2. Otwórz Ustawienia a potem Ustawienia zabezpieczeń a potem Zasady konta a potem Zasady protokołu Kerberos.
  3. Zmodyfikuj zasadę Maksymalny okres istnienia zgłoszenia użytkownika.

Przykład: żądanie zmiany okresu istnienia odnowienia zgłoszenia

[libdefaults]

        renew_lifetime = 14d

W tym przykładzie żądamy zgłoszenia, które można odnawiać przez 14 dni. Okres istnienia odnowienia może być ograniczony po stronie serwera (wartość domyślna to 7 dni).

Aby zmienić limit po stronie serwera:

  1. Otwórz konsolę zarządzania zasadami grupy.
  2. Otwórz Ustawienia a potem Ustawienia zabezpieczeń a potem Zasady konta a potem Zasady protokołu Kerberos.
  3. Zmodyfikuj zasadę Maksymalny okres istnienia odnowienia zgłoszenia użytkownika.

Rozwiązywanie problemów

Ogólnie problemy możesz rozwiązywać przy użyciu narzędzia wiersza poleceń kinit w systemie Linux. ChromeOS jest oparty na systemie Linux, a implementacja zgłoszeń Kerberos wykorzystuje kinit. Jeśli więc możesz uzyskać zgłoszenie Kerberos przy użyciu narzędzia kinit w systemie Linux, powinno też Ci się to udać w ChromeOS przy użyciu tej samej konfiguracji.

Komunikat o błędzie: KDC nie obsługuje tego typu szyfrowania

Google domyślnie wymusza stosowanie silnego szyfrowania AES. Jeśli widzisz błąd dotyczący typów szyfrowania, być może niektóre elementy Twojego środowiska serwerowego nie obsługują szyfrowania AES. Zalecamy rozwiązanie tego problemu.

W przeciwnym razie usuń z konfiguracji te 3 wiersze: default_tgs_enctypes, default_tkt_enctypes i permitted_enctypes. Spowoduje to włączenie wszystkich typów szyfrowania w dokumentacji MIT Kerberos z wyjątkiem tych, które są oznaczone jako słabe. Sprawdź, czy związane z tym zmiany w zabezpieczeniach są zgodne z Twoimi wymaganiami. Niektóre typy szyfrowania nie są już uważane za silne.

Gdy potwierdzisz, że wszystkie typy szyfrowania działają, zalecamy ograniczenie typów szyfrowania dla default_tgs_enctypes, default_tkt_enctypes i permitted_enctypes do odpowiedniego podzbioru typów, aby zminimalizować ryzyko związane z zabezpieczeniami.

Komunikat o błędzie: Nie udało się połączyć z serwerem obszaru

  1. Sprawdź, czy podana nazwa użytkownika Kerberos jest poprawna.
    Nazwa użytkownika Kerberos (użytkownik@example.com) składa się z:
    • nazwy logowania użytkownika (znanej też jako sAMAccountName);
    • obszaru Kerberos, który zwykle jest zgodny z nazwą domeny w systemie Windows.
  2. Sprawdź, czy połączenie sieciowe jest prawidłowo skonfigurowane.
    Sprawdź, czy z serwerem można nawiązać połączenie na urządzeniu z ChromeOS przy użyciu standardowego portu Kerberos (88).
  3. Sprawdź, czy ustawienia DNS są prawidłowe.
    Kerberos wymaga określonych rekordów SRV DNS do znalezienia nazwy domeny usługi Kerberos. Jeśli na przykład domena logowania (obszar) to example.com, a nazwa domeny DNS jedynej usługi Kerberos to dc.example.com, należy dodać te rekordy SRV DNS:
Usługa Protokół Priorytet Waga Port Miejsce docelowe (nazwa hosta)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Jeśli nie możesz zmodyfikować ustawień DNS, dodaj te mapowania w konfiguracji Kerberos.

Przykład:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Jeśli nadal masz problemy z uzyskaniem zgłoszeń Kerberos, zbierz dzienniki systemowe. Jeśli to możliwe, zbierz też dzienniki tcpdump lub wireshark. Następnie skontaktuj się z zespołem pomocy.

Komunikat o błędzie: Serwer nie zna tej nazwy użytkownika

Sprawdź, czy użytkownik o podanej nazwie logowania istnieje w serwerowej bazie danych Active Directory.

Komunikat o błędzie: Nie udało się pobrać zgłoszenia Kerberos. Spróbuj jeszcze raz lub skontaktuj się z administratorem urządzeń w Twojej organizacji. Kod błędu: X.

Zbierz dzienniki systemowe i skontaktuj się z zespołem pomocy.

Powiązane artykuły

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
13107020204007759175
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
410864
false
false