Как настроить систему единого входа на базе Kerberos для устройств с ChromeOS

Статья предназначена для администраторов, управляющих устройствами ChromeOS в организациях или учебных заведениях.

Администратор может использовать на устройствах с ChromeOS билеты Kerberos, чтобы включить систему единого входа для внутренних ресурсов, которые поддерживают аутентификацию на базе Kerberos. К внутренним ресурсам относятся сайты, общие папки, сертификаты и т. д.

Требования

Устройства с ChromeOS 91 и более поздних версий.
Режим киоска в настоящий момент не поддерживается.
Среда Active Directory.

Как настроить Kerberos

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню УстройстваChromeНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.
Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню Браузер ChromeНастройки.
При необходимости в верхней части страницы нажмите Настройки управляемых гостевых сеансов.
Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В обратном случае выберите дочернее подразделение.
Найдите раздел Kerberos.
Нажмите Билеты Kerberos.
Выберите Включить Kerberos.
Вы можете настроить параметры для пользователей и браузеров так, чтобы билеты Kerberos запрашивались для пользователей автоматически, когда они входят в аккаунт.
1. Выберите Добавлять аккаунт Kerberos автоматически.
2. Введите имя субъекта. Поддерживаются теги ${LOGIN_ID} и ${LOGIN_EMAIL}.
3. Выберите Использовать конфигурацию Kerberos по умолчанию. Вы также можете выбрать вариант Настроить конфигурацию Kerberos и указать нужную вам конфигурацию Kerberos. Подробнее о настройке способа получения билетов…
  Примечание. Проверьте конфигурацию Kerberos (krb5.conf). В конфигурации по умолчанию принудительно применяется стойкое шифрование по алгоритму AES, которое может не поддерживаться некоторыми компонентами вашей среды.
Нажмите Сохранить.

Как настроить порядок использования Kerberos на устройствах

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню УстройстваChromeНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.
Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню Браузер ChromeНастройки.
При необходимости в верхней части страницы нажмите Настройки управляемых гостевых сеансов.
Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В обратном случае выберите дочернее подразделение.
Найдите раздел Сеть.
Настройте разрешенные серверы аутентификации:
1. Нажмите Серверы интегрированной аутентификации.
2. Введите URL сайтов, доступ к которым возможен только по протоколу Kerberos. Пользователи смогут получать доступ к перечисленным серверам с помощью активного билета Kerberos. При этом им не нужно будет входить в аккаунт.
  Примечание. Можно ввести несколько названий серверов, разделяя их запятыми. Допускаются подстановочные знаки (*). Не используйте подстановочные знаки в доменном имени. Например, не добавляйте в список запись *example.com. Пример правильного списка: *.example.com, example.com.
3. Нажмите Сохранить.
Настройте для пользователей и браузеров разрешенные серверы для делегирования.
1. Нажмите Серверы для делегирования Kerberos.
2. Введите URL серверов, которым Chrome может делегировать аутентификацию.
  Примечание. Можно ввести несколько названий серверов, разделяя их запятыми. Допускаются подстановочные знаки (*).
3. Нажмите Сохранить.
При настройке Kerberos для пользователей и браузеров укажите, следует ли использовать политику Центра распространения ключей при делегировании билетов службы Kerberos.
1. Нажмите Делегирование билетов Kerberos.
2. Выберите один из вариантов:
  - Учитывать политику KDC.
  - Игнорировать политику KDC.
3. Нажмите Сохранить.
При настройке Kerberos для пользователей и браузеров укажите источник имени, которое используется при создании имени участника службы Kerberos.
1. Нажмите Имя участника службы Kerberos.
2. Выберите один из вариантов:
  - Использовать каноническое имя DNS-сервера.
  - Использовать введенное имя.
3. Нажмите Сохранить.
При настройке Kerberos для пользователей и браузеров укажите, нужно ли включать нестандартный порт в имя участника службы Kerberos.
1. Нажмите Порт участника службы Kerberos.
2. Выберите один из вариантов:
  - Включать нестандартный порт.
  - Не включать нестандартный порт.
3. Нажмите Сохранить.
При настройке Kerberos для пользователей и браузеров укажите, может ли стороннее вложенное содержимое страницы открывать диалоговое окно с формой базовой HTTP-аутентификации.
1. Нажмите Аутентификация между разными источниками.
2. Выберите один из вариантов:
  - Разрешить аутентификацию между разными источниками.
  - Запретить аутентификацию между разными источниками
3. Нажмите Сохранить.

Что могут делать пользователи

Добавлять билеты

Когда пользователи пытаются получить доступ к ресурсу, для которого настроена аутентификация на базе Kerberos, они могут добавить билет или продолжить без него.

Чтобы добавить билет:

В окне нажмите Управление билетами.
На странице Билеты Kerberos выберите Добавить билет.
Введите свои имя пользователя и пароль Active Directory.
Примечание. ChromeOS поддерживает только запись user@domain. Запись domain/user не поддерживается.
Чтобы билет обновлялся автоматически, установите флажок Запомнить пароль.
Вы можете внести изменения в файл конфигурации.
- Выберите Дополнительные.
- Измените значения параметров, относящихся, например, к сроку действия билета, типам шифрования и сопоставлениям домена с областью. Подробнее о настройке способа получения билетов…
- Нажмите Сохранить.
Нажмите Добавить.
Перезагрузите страницу, которую вы пытаетесь посмотреть.

Примечание. Для работы Kerberos нужно определенным образом настроить записи DNS, в частности записи SRV для сервисов _kerberos и _kerberos-master. Подробная информация приведена в разделе Устранение неполадок ниже.

Выбирать активный билет

Пользователи могут добавлять на свои устройства с ChromeOS несколько билетов Kerberos, но только один из них может быть активным и использоваться для аутентификации. Если для доступа к разным ресурсам требуется разный уровень разрешений, пользователи могут переключаться между билетами. Например, для доступа к внутренней веб-странице может потребоваться билет Kerberos с более высоким уровнем прав доступа, чем у текущего активного билета.

Войдите в аккаунт на управляемом устройстве с ChromeOS.
Нажмите на время в правом нижнем углу экрана.
Нажмите на значок "Настройки" .
В разделе "Пользователи" нажмите Билеты Kerberos.
Найдите билет, который нужно сделать активным.
В правой части экрана нажмите на значок "Ещё" Выбрать в качестве активного билета.

Обновлять билет и вносить изменения в конфигурацию

По умолчанию билеты действительны в течение 10 часов. Их можно продлить на неделю, и в течение этого времени пользователям не нужно будет повторно вводить свои учетные данные. Если срок действия билета истек и его нельзя обновить автоматически, пользователь увидит сообщение о том, что билет нужно обновить вручную. Если срок действия активного билета истек, аутентификация Kerberos не будет работать до тех пор, пока пользователь не обновит билет.

Войдите в аккаунт на управляемом устройстве с ChromeOS.
Нажмите на время в правом нижнем углу экрана.
Нажмите на значок "Настройки" .
В разделе "Пользователи" нажмите Билеты Kerberos.
Найдите билет, который хотите обновить.
Нажмите Обновить.
Если срок действия билета истекает не скоро, в правой части экрана нажмите на значок "Ещё" Обновить сейчас.
Введите свои имя пользователя и пароль Active Directory.
Примечание. ChromeOS поддерживает только запись user@domain. Запись domain/user не поддерживается.
Чтобы билет обновлялся автоматически, установите флажок Запомнить пароль.
Вы можете внести изменения в файл конфигурации.
1. Выберите Дополнительные.
2. Измените значения параметров, относящихся, например, к сроку действия билета, типам шифрования и сопоставлениям домена с областью. Подробнее о настройке способа получения билетов…
3. Нажмите Сохранить.
Нажмите Обновить.

Удалять билеты

Войдите в аккаунт на управляемом устройстве с ChromeOS.
Нажмите на время в правом нижнем углу экрана.
Нажмите на значок "Настройки" .
В разделе "Пользователи" нажмите Билеты Kerberos.
Найдите билет, который хотите удалить.
В правой части экрана нажмите на значок "Ещё" Удалить с устройства.

Настраивать способ получения билетов

Пользователи могут вносить изменения в конфигурацию Kerberos (файл krb5.conf), когда они добавляют билет или обновляют существующий. Код ChromeOS, который взаимодействует с Центром распространения ключей Kerberos, создан на базе библиотеки MIT Kerberos. Подробные сведения о конфигурации приведены в документации MIT Kerberos. ChromeOS поддерживает не все параметры конфигурации.

Список поддерживаемых параметров приведен ниже.

Раздел	Соответствие
`[libdefaults]`	`canonicalize` `clockskew` `default_tgs_enctypes` `default_tkt_enctypes` `dns_canonicalize_hostname` `dns_lookup_kdc` `extra_addresses` `forwardable` `ignore_acceptor_hostname` `kdc_default_options` `kdc_timesync` `noaddresses` `permitted_enctypes` `preferred_preauth_types` `proxiable` `rdns` `renew_lifetime` `ticket_lifetime` `Udp_preference_limit`
`[realms]`	`admin_server` `auth_to_local` `kdc` `kpasswd_server` `master_kdc`
`[domain_realm]`	Любое значение
`[capaths]`	Любое значение

Пример. Запрос другого срока действия билета

[libdefaults]

ticket_lifetime = 16h

В примере приведен запрос билета со сроком действия 16 часов. Срок действия может быть ограничен на стороне сервера. Значение по умолчанию – 10 часов.

Чтобы изменить ограничение, заданное на сервере:

Откройте консоль управления групповыми политиками.
Перейдите в раздел НастройкиПараметры безопасностиПолитики учетных записейПолитика Kerberos.
Измените значение политики Максимальный срок жизни билета пользователя.

Пример. Запрос другого срока действия продления билета

[libdefaults]

renew_lifetime = 14d

В примере приведен запрос билета, срок действия которого можно продлить на 14 дней. Срок действия продления может быть ограничен на стороне сервера. Значение по умолчанию – 7 дней.

Чтобы изменить ограничение, заданное на сервере:

Откройте консоль управления групповыми политиками.
Перейдите в раздел НастройкиПараметры безопасностиПолитики учетных записейПолитика Kerberos.
Измените значение политики Максимальный срок жизни для возобновления билета пользователя.

Устранение неполадок

Как правило, устранить неполадки можно с помощью инструмента командной строки kinit в Linux. Операционная система ChromeOS создана на базе Linux, и реализация билетов Kerberos поддерживает kinit. Поэтому если вы можете получить билет Kerberos с помощью kinit в Linux, то же самое должно работать в ChromeOS (при условии использования одинаковой конфигурации).

Сообщение об ошибке "Центр распространения ключей (KDC) не поддерживает такой тип шифрования"

Google по умолчанию принудительно применяет стойкое шифрование по алгоритму AES. Если вы видите сообщение об ошибке, связанной с типами шифрования, возможно, некоторые компоненты вашей серверной среды не поддерживают шифрование по алгоритму AES. Рекомендуем вам это исправить.

В противном случае можно удалить из конфигурации три строки с параметрами default_tgs_enctypes, default_tkt_enctypes и permitted_enctypes. В результате будут включены все типы шифрования, описанные в документации MIT Kerberos, кроме тех, которые отмечены как ненадежные. Изучите документацию и убедитесь, что риски, связанные с безопасностью, являются для вас приемлемыми. Некоторые типы шифрования больше не считаются надежными.

После того как вы убедитесь, что все типы шифрования работают, рекомендуем вам указать для параметров default_tgs_enctypes, default_tkt_enctypes и permitted_enctypes только надежные типы шифрования, чтобы минимизировать риски, связанные с безопасностью.

Сообщение об ошибке "Не удалось связаться с областью сервера"

Убедитесь, что вы ввели правильное имя пользователя Kerberos.
Имя пользователя Kerberos, polzovatel@example.com, состоит из:
- используемого при входе имени пользователя, также известного как sAMAccountName;
- области Kerberos, которая, как правило, совпадает с доменным именем Windows.
Убедитесь, что сетевое подключение настроено правильно.
Проверьте, может ли устройство с ChromeOS подключиться к серверу по стандартному порту Kerberos – 88.
Убедитесь, что настройки DNS заданы правильно.
Для работы Kerberos необходимы определенные записи SRV, которые позволяют найти доменное имя DNS сервиса Kerberos. Например, если домен, в который выполняется вход (также называемый областью), имеет вид example.com, а доменное имя DNS единственного сервиса Kerberos имеет вид dc.example.com, нужно добавить следующие записи SRV:

Сервис	Протокол	Вес	Порт	Назначение (имя хоста)
_kerberos	_udp.dc._msdcs	100	88	dc.example.com
_kerberos	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos	_udp	100	88	dc.example.com
_kerberos	_tcp	100	88	dc.example.com
_kerberos-master	_udp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_tcp.dc._msdcs	100	88	dc.example.com
_kerberos-master	_udp	100	88	dc.example.com
_kerberos-master	_tcp	100	88	dc.example.com

Если вы не можете изменить настройки DNS, добавьте эти сопоставления в конфигурацию Kerberos.

Пример:

[realms]

EXAMPLE.COM = {

kdc = dc.example.com

master_kdc = dc.example.com

}

Если у вас по-прежнему возникают проблемы с получением билетов Kerberos, соберите системные журналы. Также, если возможно, соберите журналы tcpdump или wireshark. Затем обратитесь в службу поддержки.

Сообщение об ошибке "Серверу неизвестно это имя пользователя"

Проверьте, есть ли пользователь с указанным именем в базе данных Active Directory на сервере.

Сообщение об ошибке "Не удалось загрузить билет Kerberos. Повторите попытку или обратитесь к администратору устройства. Код ошибки: X".

Соберите системные журналы и обратитесь в службу поддержки.

Статьи по теме

Как собрать журналы устройств с ChromeOS

Эта информация оказалась полезной?

Как можно улучшить эту статью?