استخدام الإضافة "تسجيل الشهادة لنظام التشغيل ChromeOS"

للتسجيل التلقائي لشهادة تم ضبطها مسبقًا، على المستخدم إجراء ما يلي:

1. انقر على إشعار تسجيل الشهادة.
2. (اختياري) ضَع علامة في المربّع بجانب تسجيل شهادة على مستوى الجهاز ليتم طلب شهادة جهاز. وفي حال عدم وضع علامة في المربّع، سيتم طلب شهادة مستخدم.
3. انقر على تسجيل.

لتجديد شهادة، على المستخدم النقر على إشعار تذكير تجديد الشهادة فقط.

طلبات شهادة المستخدم هي الطلبات التي تؤدي إلى إصدار شهادة للمستخدم المحدّد الذي يرسل الطلب، وليس الجهاز بشكلٍ عام. ولا تكون شهادة المستخدم صالحة إلا للمستخدم الذي سجَّل الدخول إلى هذا الجهاز، وليس لأي مستخدمين آخرين للجهاز نفسه.

1. انقر على الحقل "اسم المستخدم" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
2. أدخِل اسم المستخدم.
3. انقر على الحقل "كلمة المرور" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
4. أدخِل كلمة مرور حسابك.
5. لا تضع علامة في المربّع بجانب الخيار "على مستوى الجهاز".

طلبات شهادة الجهاز هي الطلبات التي تؤدي إلى إصدار شهادة للجهاز بشكلٍ عام وليس فقط للمستخدم الذي يرسل الطلب. تكون شهادات الجهاز صالحة لجميع المستخدمين الذين ينتمون إلى المؤسسة نفسها على الجهاز، وهو أمر ضروري عادةً للأجهزة المستخدَمة في جلسة علنية أو في وضع الكشك.

1. انقر على الحقل "اسم المستخدم" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
2. أدخِل اسم المستخدم.
3. انقر على الحقل "كلمة المرور" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
4. أدخِل كلمة مرور حسابك.
5. ضع علامة في المربّع بجانب الخيار "على مستوى الجهاز".

بغض النظر عن نوع الطلب الذي يتم إرساله (شهادة مستخدم أو شهادة جهاز)، تكون خطوات عملية إرسال الطلب واحدة في الحالتين.

1. أنشئ طلب شهادة مستخدم أو جهاز على النحو الموضَّح في الخطوات أعلاه.
2. انتقِل إلى الزر "تسجيل".
3. انقر على تسجيل.

تكون عملية إرسال الطلب ناجحة بشكل مثالي عندما يصلك ردّ من الخادم يفيد بنجاح الطلب متضمنًا الشهادة المطلوبة.

1. أرسِل طلب شهادة على النحو الموضَّح أعلاه.
2. انتظِر حتى تتلقّى الردّ.
3. وعند تلقّي ردّ، سيظهر لك مربّع حوار يحتوي على رسالة نجاح تشير إلى أنّ الشهادة قد تم استلامها واستيرادها.
4. اختَر "حسنًا" في مربّع الحوار أو اضغط على مفتاح Escape أو انقر خارج مربّع الحوار لإغلاقه عند الانتهاء.

بعد إرسال طلب، يتعذّر في بعض الأحيان إتمامه لأسباب مختلفة. ويتم تلقّي ردّ في حالات التعذّر هذه يفيد بحدوث خطأ ويُعلِم المستخدم بماهية المشكلة.

1. أرسِل طلب شهادة على النحو الموضَّح أعلاه.
2. انتظِر حتى تتلقّى الردّ.
3. وعند تلقّي ردّ، سيظهر لك مربّع حوار يحتوي على رسالة تفيد بتعذّر إتمام الطلب، ما يشير إلى حدوث خطأ أثناء العملية.
4. اختَر "حسنًا" في مربّع الحوار أو اضغط على مفتاح Escape أو انقر خارج مربّع الحوار لإغلاقه عند الانتهاء.
5. وإذا كان الخطأ قابلاً للتصحيح (مثل اسم مستخدم غير صالح)، يمكنك إنجاح العملية من خلال إجراء التصحيح اللازم وإعادة إرسال الطلب مرة أخرى. وإذا لم يكن الخطأ قابلاً للتصحيح، (مثلاً، عندما يرفض الخادم الوصول إلى الطلب)، على المستخدم طلب المساعدة.

بعد إرسال طلب، يمكن في بعض الأحيان أن يضبط الخادم هذا الطلب على الحالة "في انتظار المراجعة" حتى تتم مراجعة الطلب يدويًا والموافقة عليه أو رفضه لاحقًا. ويشتمِل ردّ "الشهادة في انتظار المراجعة" على هذا المسار، ويُعلِم المستخدم بالمعلومات ذات الصلة للتحقّق من حالة الطلب لاحقًا.

1. أرسِل طلب شهادة على النحو الموضَّح أعلاه.
2. انتظِر حتى تتلقّى الردّ.
3. وعند تلقّي ردّ، سيظهر لك مربّع حوار يحتوي على رسالة تفيد بأنّ الطلب في انتظار المراجعة، ما يشير إلى أنّه تم ضبط الطلب على الحالة "في انتظار المراجعة". وسيظهر لك أيضًا كل مِن معرّف الموارد المنتظم (URI) للتسجيل ورقم تعريف الطلب، وهما ضروريان للتحقّق من الطلب لاحقًا.
4. انسخ معرّف الموارد المنتظم (URI) للتسجيل ورقم تعريف الطلب واحتفِظ بهما للرجوع إليهما لاحقًا.
5. اختَر "حسنًا" في مربّع الحوار أو اضغط على مفتاح Escape أو انقر خارج مربّع الحوار لإغلاقه عند الانتهاء.

قد يحتاج المستخدم الذي لديه شهادة في انتظار المراجعة إلى التحقّق من حالة الشهادة في مرحلة ما أثناء إتمام الطلب. ولإنشاء طلبات الحصول على "شهادة في انتظار المراجعة"، على المستخدم الانتقال إلى واجهة المستخدم للطلب المعلَّق.

1. انقر على الزر "خيارات إضافية" أو انتقِل إليه باستخدام مفتاح التبويب Tab لاختياره.
2. من قائمة الخيارات التي تم إنشاؤها، انقر على الخيار "هل ترغب في عرض الحقول الإضافية لتتحقّق من الطلبات المعلَّقة؟" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
3. حدِّد الخيار "هل ترغب في عرض الحقول الإضافية لتتحقّق من الطلبات المعلَّقة؟" لتفعيل عرض حقول الطلبات المعلَّقة.

إذا سبق للمستخدم الانتقال إلى واجهة المستخدم للطلب المعلَّق، قد يحتاج المستخدم إلى الانتقال مرة أخرى إلى واجهة المستخدم للطلب العادي في مرحلة ما أثناء إتمام الطلب.

1. انقر على الزر "خيارات إضافية" أو انتقِل إليه باستخدام مفتاح التبويب Tab لاختياره.
2. ومن قائمة الخيارات التي تم إنشاؤها، انقر على الخيار "هل ترغب في إخفاء الحقول الإضافية لتتحقّق من الطلبات المعلَّقة؟" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
3. حدِّد الخيار "هل ترغب في إخفاء الحقول الإضافية لتتحقّق من الطلبات المعلَّقة؟" لإيقاف عرض حقول الطلبات المعلَّقة.

قد يحتاج المستخدم الذي لديه شهادة في انتظار المراجعة إلى التحقّق من حالة الشهادة في مرحلة ما أثناء إتمام الطلب. وتتيح الإضافة هذا المسار على نحوٍ مشابه إلى حد كبير لإنشاء طلب جديد تمامًا.

1. انتقِل إلى واجهة المستخدم للطلب قيد المراجعة على النحو الموضَّح أعلاه.
2. انقر على الحقل "اسم المستخدم" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
3. أدخِل اسم المستخدم.
4. انقر على الحقل "كلمة المرور" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
5. أدخِل كلمة مرور حسابك.
6. انقر على الحقل "معرف الموارد المنتظم (URI) للتسجيل" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
7. أدخِل معرّف الموارد المنتظم (URI) للتسجيل الذي تم عرضه في ردّ سابق بشأن الشهادة في انتظار المراجعة.
8. انقر على الحقل "رقم تعريف الطلب" أو انتقِل إليه باستخدام مفتاح التبويب Tab.
9. أدخِل مُعرّف الطلب الذي تم عرضه في ردّ سابق بشأن الشهادة في انتظار المراجعة.
10. إذا كان طلب الشهادة الأصلية يتعلَّق بشهادة على مستوى الجهاز، ضع علامة في المربّع بجانب الخيار "على مستوى الجهاز". وبخلاف ذلك، لا تضع علامة في المربّع بجانب الخيار "على مستوى الجهاز".

بعد إنشاء طلب التحقّق من حالة شهادة في انتظار المراجعة، على المستخدم إرسال هذا الطلب للحصول على ردّ. عند طلب التحقّق من حالة شهادة في انتظار المراجعة، يمكن أن يصلك ردّ يفيد بواحدة من حالاتٍ ثلاث، إمّا نجاح الطلب أو تعذّره أو أنّه معلَّق، وذلك يتطابق مع المسارات التي تم تحديدها سابقًا بالأعلى.

1. أنشئ طلب التحقّق من حالة شهادة في انتظار المراجعة على النحو الموضَّح أعلاه.
2. انتقِل إلى زر التحقّق من الحالة.
3. اختَر زر "التحقّق من الحالة".

في بعض الحالات التي تحدث فيها أخطاء، قد يكون من المفيد أحيانًا للمساعد أو المشرف الاطّلاع على السجلّات الكاملة للعمليات التي تمت في الإضافة. ولكي يحصل المستخدم على هذه السجلات، نوفّر طريقة بسيطة لنسخها إلى حافظة المستخدم.

1. انقر على الزر "خيارات إضافية" أو انتقِل إليه باستخدام مفتاح التبويب Tab لاختياره.
2. ومن قائمة الخيارات التي تم إنشاؤها، يمكنك النقر أو الانتقال باستخدام مفتاح التبويب إلى الخيار "نسخ السجلّات إلى الحافظة".
3. اختَر "نسخ السجلّات إلى الحافظة" لنسخ السجلات إلى حافظة المستخدم.
4. وعند هذه المرحلة، يمكن للمستخدم لصق هذه السجلات في أي مكان يختاره من خلال الإجراء العادي لجهاز المستخدم.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكُّم المشرف"، انقر على رمز القائمة  الأجهزةChromeالتطبيقات والإضافاتالمستخدمون والمتصفّحات.

   في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة  متصفّح Chromeالتطبيقات والإضافاتالمستخدمون والمتصفِّحات.
3. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
4. أشِر إلى رمز الإضافة الإضافة من "سوق Chrome الإلكتروني".
5. ابحث عن تسجيل الشهادة لنظام التشغيل ChromeOS واختَره. معرِّف الإضافة هو fhndealchbngfhdoncgcokameljahhog.
6. في صفحة "المستخدمون والمتصفِّحات"، اختَر الإضافة تسجيل الشهادة لنظام التشغيل ChromeOS.
7. في اللوحة على الجانب الأيسر من الصفحة، ضمن إدارة الشهادات، فعِّل السماح بالوصول إلى المفاتيح.
8. ضِمن سياسة التثبيت، اختَر فرض التثبيت من المؤسسة أو فرض التثبيت من المؤسسة + تثبيت في شريط تطبيقات ChromeOS.
9. انقر على حفظ.

أنشئ ملفًا يحتوي على الإعدادات التي تريد تطبيقها على الإضافة "تسجيل الشهادة لنظام التشغيل ChromeOS" لدى المستخدمين. ابدأ باستخدام نموذج الملف هذا واختَر تغيير السياسات بما يتناسب مع احتياجات المؤسسة أو المستخدمين. يمكنك تعديل ملف JavaScript Object Notation‏ (JSON) باستخدام محرِّر النصوص.

ملاحظة: تتم ترجمة السياسات التي تحتوي على قيم تلقائية في السلاسل التي تواجه المستخدم وتظهر على الأجهزة بناءً على لغة للمستخدم. يمكنك تغيير السلاسل لتلائم احتياجات مؤسستك، ولكن لن تتم ترجمتها.

يمكنك اختيار السياسات التالية:

اسم السياسة	وظيفتها
allow_machine_cert_enrollment	تسمح للمستخدمين بتثبيت شهادة نظام. عند ضبطها على true، يمكن للمستخدمين اختيار طلب نظام أو شهادة مستخدم. وخلافًا لذلك، لا يمكنهم سوى طلب شهادة مستخدم. وتكون القيمة التلقائية مضبوطة على false.
cep_proxy_url	تحدّد نقطة نهاية https من أجل CEP. للحصول على نقطة النهاية: في "إدارة IIS"، انتقِل إلى موقع CEP الإلكتروني. يحتوي الاسم عادةً على CEP. افتَح إعدادات التطبيق. يتم إدراج نقطة نهاية https من أجل CEP هناك ضمن معرف موارد منتظم (URI). لن تكون هناك قيم صالحة سوى التي تبدأ بالمصطلح https. وفي حال إدخال قيمة تبدأ بالمصطلح https ولكن لا تتطابق مع معرّف الموارد المنتظم (URI) في "إدارة IIS"، سيستمر اعتبار هذه القيمة صالحة مع استخدامها، ولكنها غالبًا ما تؤدي إلى إخفاق. هذه السياسة إلزامية.
company_info	تحدّد معلومات العلامة التجارية لمؤسستك، مثل الاسم والشعار. يمكنك ضبط help_url على توجيه المستخدمين إلى صفحة ويب حيث يمكنهم الحصول على معلومات أو دعم. إذا كانت صفحة الويب التي تحدّدها محظورة على المستخدمين الذين ليست لديهم شهادة، مثل الطلب الأول، يمكنك استخدام help_text لتقديم نصّ مفيد لهم. في حالة ضبط help_url وhelp_text، تظهر صفحة الويب التي حدّدتها أسفل نص المساعدة على أجهزة المستخدمين.
device_cert_request_values	تحدّد القيم التي سيتم استخدامها في طلب توقيع الشهادة (CSR) لشهادة الجهاز. بدلاً من استخدام خصائص مقدِّم الطلب، يمكنك تحديد قيم الموضوع بناءً على سمات المستخدم والجهاز. ولاستخدام طلب مخصَّص لتوقيع الشهادة، يجب أيضًا ضبط نموذج الشهادة على مرجع التصديق لتوقُّع شهادة وإنشائها باستخدام قيم الموضوع المُعرَّفة في الطلب نفسه. وعليك توفير قيمة CommonName على الأقل للموضوع. يمكنك استخدام العناصر النائبة التالية. وتُعد جميع القيم اختيارية. بالنسبة إلى أجهزة ChromeOS التي تعمل بالإصدار 66 والإصدارات الأحدث، يمكنك استخدام: ${DEVICE_DIRECTORY_ID}: معرّف دليل الجهاز ${USER_EMAIL}: عنوان البريد الإلكتروني التابع للمستخدم الذي سجّل الدخول ${USER_DOMAIN}: اسم نطاق المستخدم الذي سجّل الدخول ${DEVICE_SERIAL_NUMBER}: الرقم التسلسلي للجهاز ${DEVICE_ASSET_ID}: رقم تعريف الأصل الذي منحه المشرف للجهاز ${DEVICE_ANNOTATED_LOCATION}: الموقع الجغرافي الذي حدّده المشرف للجهاز إذا لم تكن قيمة العنصر النائب متوفّرة، يتم استبدالها بسلسلة فارغة. يمكنك ربط العناصر النائبة في سلسلة. على سبيل المثال، يتم استبدال ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} بالرقم التسلسلي للجهاز إذا كان رقم تعريف الأصل غير متوفّر.
device_enrollment_templates	هي قائمة بأسماء نماذج الشهادات المُطابقة مرتّبة حسب الأولوية لعمليات تدفُّق تسجيل المستخدمين. تبحث الإضافة في القائمة للعثور على نموذج شهادة مطابق. يتم استخدام نموذج الشهادة المُطابق الذي يظهر أولاً. إذا كان هناك خطأ، لن تعاود الإضافة المحاولة باستخدام نماذج شهادات أخرى. هذه السياسة إلزامية، ويجب أن تكون بها قيمة واحدة على الأقل في القائمة. من CA Microsoft Management Console‏ (MMC)، يمكنك استخدام اسم النموذج وليس الاسم المعروض للنموذج. وتكون القيمة التلقائية ChromeOSWirelessUser.
enable_auto_enrollment	تتحكّم في ما إذا كانت الإضافة تبدأ التسجيل تلقائيًا. وعند الضبط على false، تنتظر الإضافة من المستخدم محاولة الاتصال بشبكة EAP-TLS. وتكون القيمة التلقائية مضبوطة على false.
log_level	تحدّد مستوى التفاصيل في سجلات الإضافة التي يتم إرسالها إلى "وحدة تحكّم JavaScript" في Chrome. NONE (تلقائية): لا يُسجَّل أي شيء بوحدة التحكّم. ERROR—تُسجّل الأخطاء المميزة فقط بوحدة التحكم. WARNING: تُسجَّل الأخطاء والتحذيرات المميزة بوحدة التحكم. INFO: تُسجَّل الأخطاء والتحذيرات المميزة بالإضافة إلى معلومات الإجراءات ذات الصلة بوحدة التحكم. DEBUG: يُسجَّل كل ما يمكن تسجيله بوحدة التحكّم. وبالنسبة إلى الإصدارات الأولية، يُنصح بتنفيذ هذا الإجراء لتحديد المشاكل المحتمَلة وحلّها. في مزيد من الخيارات، يمكنك نسخ جميع السجلات تلقائيًا إلى الحافظة. هناك طريقتان يمكن للمستخدمين من خلالهما فتح وحدة تحكّم مطوّري الويب في Chrome للوصول إلى سجلات Chrome على أجهزتهم: الضغط على Ctrl+Shift+i. النقر على مزيد من الأدواتأدوات مطوّري البرامج. هذه السياسة إلزامية.
placeholder_values	تحدّد اسم المستخدم وكلمة المرور ومعرّف الموارد المنتظم (URI) ومعرّف الطلب والعناصر النائبة للعناوين. وهذه المعلومات تساعد في توجيه المستخدمين عند تسجيل الدخول. يتم عرض حقول اسم المستخدم وكلمة المرور ومعرّف الموارد المنتظم (URI) ورقم تعريف الطلب عبر حقول الإدخال لتوضيح وظيفة كل حقل من هذه الحقول. ويُستخدم حقل "العنوان" لعنوان الصفحة. هناك قيم خاصة لحقول "اسم المستخدم" و"كلمة المرور" و"العنوان" التي تسمح للعملاء باستخدام الأسماء التلقائية الدولية. managed_username_placeholder: اسم المستخدم managed_password_placeholder: كلمة المرور managed_login_header: تسجيل الشهادة إذا كانت مؤسستك تستخدم مصطلحات أخرى، مثل عبارة المرور بدلاً من كلمة المرور، يمكنك تغيير القِيم. ومع ذلك، لا تتم ترجمة القيمة الجديدة.
renew_hours_before_expiry	تحدّد المدة الزمنية التي تُحتَسب بالساعات التي تنتهي بعدها صلاحية الشهادة لإعلام المستخدمين بانتهاء الصلاحية.   القيمة التلقائية هي 120.
renew_reminder_interval	تضبط عدد المرات المفصول بينها بالساعات، وذك قبل انتهاء صلاحية الشهادة على مدار فترة إعلام المستخدمين به. وبعد الإشعار الأولي، إذا لم يجدِّد المستخدم الشهادة ولم يختَر تجاهل التذكيرات، حينئذٍ ستظهر إشعارات أخرى بعد مرور عدد الساعات المضبوط. على سبيل المثال، إذا اخترت ضبط renew_hours_before_expiry على 120 وrenew_reminder_interval على 24 وكان المستخدم يختار دائمًا تلقي المزيد من التذكيرات، سيتلقى المستخدم 5 إشعارات للتجديد، واحدة كل يوم، حتى تنتهي صلاحية الشهادة. القيمة التلقائية هي 24.
request_timeout_seconds	الفترة الزمنية، التي تحتَسب بالثواني وتنتهي بعدها مكالمة سياسة تسجيل الشهادة (CEP) أو خدمة تسجيل الشهادة (CES). القيمة التلقائية هي 20.
signature_algo	تتحكم في خوارزمية التوقيع التي تستخدمها الإضافة لتوقيع طلبات الشهادات. الخيارات هي: SHA1 (لا ينصَح به): هذه خوارزمية ضعيفة وقد تمثّل تهديدًا لأمان المستخدمين SHA256 SHA512 (تلقائي)
user_cert_request_values	تحدّد القيم المستخدمة في طلب توقيع الشهادة (CSR) لشهادة المستخدم. بدلاً من استخدام خصائص مقدِّم الطلب، يمكنك تحديد قيم الموضوع بناءً على سمات المستخدم والجهاز. ولاستخدام CSR مخصّص، يجب أيضًا ضبط نموذج الشهادة على مرجع تصديق الشهادة لتوقُّع شهادة وإنشائها باستخدام قيم الموضوع المُعرّفة في الطلب نفسه. وتحتاج إلى توفير قيمة CommonName على الأقل للموضوع. يمكنك استخدام العناصر النائبة التالية. وتُعد جميع القيم اختيارية. ${DEVICE_DIRECTORY_ID}: معرّف دليل الجهاز ${USER_EMAIL}: عنوان البريد الإلكتروني التابع للمستخدم الذي سجّل الدخول ${USER_DOMAIN}: اسم نطاق المستخدم الذي سجّل الدخول ${DEVICE_SERIAL_NUMBER}: الرقم التسلسلي للجهاز ${DEVICE_ASSET_ID}: رقم تعريف الأصل الذي منحه المشرف للجهاز ${DEVICE_ANNOTATED_LOCATION}: الموقع الجغرافي الذي حدّده المشرف للجهاز ${USER_ID}: الجزء الأول (قبل "@") من عنوان البريد الإلكتروني الخاص بالمستخدم الذي سجّل الدخول إذا لم تكن قيمة العنصر النائب متوفّرة، يتم استبدالها بسلسلة فارغة. يمكنك ربط العناصر النائبة في سلسلة. على سبيل المثال، يتم استبدال ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} بالرقم التسلسلي للجهاز إذا كان رقم تعريف الأصل غير متوفّر.
user_enrollment_templates	هي قائمة بأسماء نماذج الشهادات المُطابقة مرتّبة حسب الأولوية لعمليات تدفُّق تسجيل المستخدمين. تبحث الإضافة في القائمة للعثور على نموذج شهادة مطابق. يتم استخدام نموذج الشهادة المُطابق الذي يظهر أولاً. إذا كان هناك خطأ، لن تعاود الإضافة المحاولة باستخدام نماذج شهادات أخرى. هذه السياسة إلزامية. ويجب أن تكون بها قيمة واحدة على الأقل في القائمة. من CA MMC، استخدِم اسم النموذج وليس الاسم المعروض للنموذج. وتكون القيمة التلقائية ChromeOSWirelessUser.

ضبط توفير الشهادات باستخدام بيانات الاعتماد التي يُدخلها المستخدم أو بدونها

يتم تلقائيًا إعداد إضافة تسجيل الشهادة للسماح للمستخدمين بتوفير شهادة يدويًا من خلال توفير بيانات الاعتماد عند محاولة الحصول على شهادة.

يمكنك التأكّد من قدرة المستخدمين على توفير شهادة أو تجديدها تلقائيًا بدون الحاجة إلى إدخال بيانات الاعتماد يدويًا باستخدام إضافة نظام التشغيل ChromeOS. ويمكن أن تطلب الإضافة كلاً من شهادات المستخدمين والأجهزة باستخدام مصادقة Kerberos في حال توفُّر طلب مصادقة Kerberos للمستخدم على الجهاز. ويمكن أن تطلب أيضًا شهادات الأجهزة باستخدام حساب الخدمة فقط.

مصادقة Kerberos

قبل البدء

• يجب أن يتوفّر لدى مستخدم نظام التشغيل Chrome طلب مصادقة Kerberos على الجهاز.
  • يجب إعداد مدير بيانات اعتماد Kerberos من خلال السياسة للسماح باسترجاع طلب Kerberos للمستخدم الذي تم تسجيل دخوله. ويفضَّل أن يتم هذا الإعداد تلقائيًا عند تسجيل الدخول. يُرجى الاطّلاع على إعداد الدخول الموحَّد من خلال Kerberos للأجهزة التي تعمل بنظام التشغيل Chrome.
• يجب أن يتوفّر لحساب المستخدم على Active Directory المرتبط بطلب مصادقة Kerberos الإذن بطلب الشهادات باستخدام نموذج الشهادة الذي تم ضبطه.
• يجب إدراج نقطة نهاية التسجيل في خوادم المصادقة المتكاملة في سياسة نظام التشغيل Chrome. وللتعرّف على تفاصيل، يُرجى الاطّلاع على السياسة في قائمة سياسات Chrome.
  • اضبط إعداد خوادم المصادقة المتكاملة بشكلٍ صحيح في "وحدة تحكُّم المشرف". لمعرفة التفاصيل، يُرجى الاطّلاع على خوادم المصادقة المتكاملة.

ضبط الإضافة

اضبط قيمة سياسة الإضافة `client_authentication` على `kerberos`.

مصادقة حساب الخدمة المُستضاف

يمكنك ضبط الإضافة لكي تطلب شهادة جهاز باستخدام حساب خدمة، وتتم استضافة بيانات الاعتماد لحساب الخدمة على خادم ويب على الشبكة المحلية.

تحذير: إذا حصل مهاجم على إمكانية الوصول إلى خادم الويب الذي يستضيف بيانات الاعتماد وسياسة الإضافة على الجهاز، يُحتمل أن يتمكّن من الحصول على بيانات اعتماد حساب الخدمة.

نقترح بأن يتم حصر إمكانية الوصول إلى خادم الويب الذي يستضيف بيانات اعتماد حساب الخدمة، على الشبكة التي لا يتم استخدامها إلا في عمليات الإدارة الأولية للأجهزة التي تعمل بنظام التشغيل ChromeOS.

قبل البدء

• يجب أن يتوفّر لديك خادم ويب على الشبكة المحلية يمكنه معالجة طلبات HTTPS.
• يجب أن يثق نظام التشغيل ChromeOS في شهادة خادم الويب هذا. إذا كان خادم الويب يستخدم شهادة صادرة عن مرجع تصديق موقَّع ذاتيًا، يمكنك ضبط هذه الشهادة لكي تكون موثوقة داخل "وحدة تحكُّم المشرف".

الخطوة 1: إنشاء كلمة المرور المقنَّعة

1. افتح الإضافة.
2. اختَر المزيدأداة قناع كلمة المرور.
3. أدخِل كلمة المرور لحساب الخدمة.
4. اختَر قناع.
5. انسخ القناع وكلمة المرور المقنَّعة إلى ملف نصي.

الخطوة 2: تخزين بيانات الاعتماد على خادم الويب الداخلي

1. يمكنك ضبط خادم الويب لعرض ملف JSON يحتوي على ما يلي:

{

  ‘username’: ‘<service account username>’,

  ‘maskedPassword’: ‘<copy and pasted masked password>’

}

2. انسخ عنوان URL الذي يستخدمه خادم الويب لاستضافة بيانات الاعتماد في ملف نصي.

الخطوة 3: ضبط سياسة الإضافة

1. اضبط متغيّر سياسة الإضافة "service_account_host" على عنوان URL الذي نسخته أعلاه.
2. اضبط متغير سياسة الإضافة 'service_account_host_password_mask' على القناع الذي نسخته أعلاه.

تجديد الشهادة تلقائيًا

يمكنك إعداد الإضافة لتجديد الشهادات الحالية باستخدام مفتاح تشفير وبدون مصادقة إضافية.

قبل البدء

نقطة نهاية خدمة تسجيل الشهادات (CES) لخدمات شهادات Active Directory‏ (ADCS)، والتي تتيح إمكانية استخدام مفتاح تشفير لتجديد نموذج الشهادة الذي تم ضبطه، يجب أن تكون متوفرة. وللتعرُّف على التفاصيل، راجِع ضبط خدمة تسجيل الشهادة على الويب من خلال منفذ مخصَّص لتجديد الشهادة باستخدام مفتاح تشفير.

ضبط الإضافة

• اضبط قيمة سياسة الإضافة `use_key_based_renewal` على صحيح.
• اضبط قيمة سياسة الإضافة "ess_renewal_url" على عنوان URL لنقطة نهاية خدمة تسجيل الشهادات (CES) والتي تتيح إمكانية التجديد باستخدام مفتاح تشفير.

لضبط الإعدادات لمجموعة معيّنة من المستخدمين أو متصفِّحات Chrome المسجّلة، أدرِج حسابات المستخدمين أو المتصفِّحات في مجموعة أو وحدة تنظيمية. يمكن إضافة حسابات المستخدمين فقط إلى المجموعات. للتعرُّف على التفاصيل، يُرجى الاطِّلاع على المجموعات وإضافة وحدة تنظيمية.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكُّم المشرف"، انتقِل إلى رمز القائمة  الأجهزةالشبكات.
3. انقر على Wi-Fi.
4. أضِف شبكة EAP-TLS جديدة.
   للحصول على تفاصيل حول طريقة إضافة إعدادات شبكة Wi-Fi، يمكنك الاطّلاع على إدارة الشبكات.
5. وجِّه الشبكة إلى إضافة التسجيل. وفي الحقل عنوان URL لتسجيل البرنامج، أدخِل chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

ملاحظة: يمكن الوصول إلى عنوان URL لإضافة التسجيل في متصفّح Chrome حتى إذا لم يتم ضبط أي شبكات للتسجيل في عنوان URL هذا. ويتيح لك ذلك اختبار عنوان URL يدويًا قبل ضبط أي شبكات أو تسجيل الشهادات للاستخدامات بخلاف شبكات EAP-TLS، مثل الشبكات الافتراضية الخاصة المستنِدة إلى الشهادات. اطلب من المستخدمين الانتقال إلى عنوان URL في متصفِّحهم وتخطي خطوة ضبط الشبكة.

1. على جهاز مُدار يعمل بنظام التشغيل Chrome، انتقِل إلى chrome://policy.
2. انقر على إعادة تحميل السياسات.
3. انتقِل إلى تسجيل الشهادة لنظام التشغيل Chrome.
4. بالنسبة إلى كل سياسة، احرِص على تطابق حقول القيم مع ما اخترت ضبطه في ملف JSON.