Как настроить систему единого входа на базе Kerberos для устройств с ChromeOS

Статья предназначена для администраторов, управляющих устройствами ChromeOS в организациях или учебных заведениях.

Администратор может использовать на устройствах с ChromeOS билеты Kerberos, чтобы включить систему единого входа для внутренних ресурсов, которые поддерживают аутентификацию на базе Kerberos. К внутренним ресурсам относятся сайты, общие папки, сертификаты и т. д.

Требования

  • Режим киоска в настоящий момент не поддерживается.
  • Среда Active Directory.

Как настроить Kerberos

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.

    Если вы зарегистрировались в Chrome Enterprise Core, нажмите на значок меню а затем Браузер Chromeа затемНастройки.

  3. При необходимости в верхней части страницы нажмите Настройки управляемых гостевых сеансов.
  4. Чтобы применить параметр только к некоторым пользователям и зарегистрированным браузерам, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (более сложный вариант). Инструкции

    Настройки группы переопределяют значения для организационных подразделений. Подробнее…

  5. Перейдите в раздел Kerberos.

  6. Нажмите Билеты Kerberos.

  7. Выберите Включить Kerberos.

  8. Вы можете настроить параметры для пользователей и браузеров так, чтобы билеты Kerberos запрашивались для пользователей автоматически, когда они входят в аккаунт.

    1. Выберите Добавлять аккаунт Kerberos автоматически.

    2. Введите имя субъекта. Поддерживаются теги ${LOGIN_ID} и ${LOGIN_EMAIL}.

    3. Выберите Использовать конфигурацию Kerberos по умолчанию. Вы также можете выбрать вариант Настроить конфигурацию Kerberos и указать нужную вам конфигурацию Kerberos. Подробнее о настройке способа получения билетов
      Примечание. Проверьте конфигурацию Kerberos (krb5.conf). В конфигурации по умолчанию принудительно применяется стойкое шифрование по алгоритму AES, которое может не поддерживаться некоторыми компонентами вашей среды.

  9. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы восстановить унаследованное значение, нажмите Наследовать (или Сбросить настройки для группы).

Как настроить порядок использования Kerberos на устройствах

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.

    Если вы зарегистрировались в Chrome Enterprise Core, нажмите на значок меню а затем Браузер Chromeа затемНастройки.

  3. При необходимости в верхней части страницы нажмите Настройки управляемых гостевых сеансов.
  4. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  5. Найдите раздел Сеть.
  6. Настройте разрешенные серверы аутентификации:
    1. Нажмите Серверы интегрированной аутентификации.
    2. Введите URL сайтов, доступ к которым возможен только по протоколу Kerberos. Пользователи смогут получать доступ к перечисленным серверам с помощью активного билета Kerberos. При этом им не нужно будет входить в аккаунт.
      Примечание. Можно ввести несколько названий серверов, разделяя их запятыми. Допускаются подстановочные знаки (*). Не используйте подстановочные знаки в доменном имени. Например, не добавляйте в список запись *example.com. Пример правильного списка: *.example.com, example.com.
    3. Нажмите Сохранить.
  7. Настройте для пользователей и браузеров разрешенные серверы для делегирования.
    1. Нажмите Серверы для делегирования Kerberos.
    2. Введите URL серверов, которым Chrome может делегировать аутентификацию.
      Примечание. Можно ввести несколько названий серверов, разделяя их запятыми. Допускаются подстановочные знаки (*).
    3. Нажмите Сохранить.
  8. При настройке Kerberos для пользователей и браузеров укажите, нужно ли следовать политике центра распространения ключей (KDC) во время делегирования билетов службы Kerberos:
    1. Нажмите Делегирование билетов Kerberos.
    2. Выберите нужный вариант:
      • Учитывать политику KDC.
      • Игнорировать политику KDC.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы восстановить унаследованное значение, нажмите Наследовать (или Сбросить настройки для группы).

    При настройке Kerberos для пользователей и браузеров укажите источник имени, которое используется во время создания имени участника службы Kerberos.
    1. Нажмите Имя участника службы Kerberos.
    2. Выберите нужный вариант:
      • Использовать каноническое имя DNS-сервера.
      • Использовать введенное имя.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы восстановить унаследованное значение, нажмите Наследовать (или Сбросить настройки для группы).

  9. При настройке Kerberos для пользователей и браузеров укажите, нужно ли включать нестандартный порт в имя участника службы Kerberos.
    1. Нажмите Порт участника службы Kerberos.
    2. Выберите нужный вариант:
      • Включать нестандартный порт.
      • Не включать нестандартный порт.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы восстановить унаследованное значение, нажмите Наследовать (или Сбросить настройки для группы).

  10. При настройке Kerberos для пользователей и браузеров укажите, может ли стороннее вложенное содержимое страницы открывать диалоговое окно с формой базовой HTTP-аутентификации.
    1. Нажмите Аутентификация между разными источниками.
    2. Выберите нужный вариант:
      • Разрешить аутентификацию между разными источниками.
      • Запретить аутентификацию между разными источниками.
    3. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

      Чтобы восстановить унаследованное значение, нажмите Наследовать (или Сбросить настройки для группы).

Что могут делать пользователи

Добавлять билеты

Когда пользователи пытаются получить доступ к ресурсу, для которого настроена аутентификация на базе Kerberos, они могут добавить билет или продолжить без него.

Чтобы добавить билет:

  1. В окне нажмите Управление билетами.
  2. На странице Билеты Kerberos выберите Добавить билет.
  3. Введите свои имя пользователя и пароль Active Directory.
    Примечание. ChromeOS поддерживает только запись user@domain. Запись domain/user не поддерживается.
  4. Чтобы билет обновлялся автоматически, установите флажок Запомнить пароль.
  5. При необходимости измените файл конфигурации:
    • Выберите Дополнительные.
    • Измените значения параметров Kerberos, например срок действия билета, тип шифрования и сопоставление домена с областью. Подробнее о настройке способа получения билетов
    • Нажмите Сохранить.
  6. Нажмите Добавить.
  7. Перезагрузите страницу, которую вы пытаетесь посмотреть.

Примечание. Для работы Kerberos нужно определенным образом настроить записи DNS, в частности записи SRV для сервисов _kerberos и _kerberos-master. Подробная информация приведена в разделе Устранение неполадок ниже.

Выбирать активный билет

Пользователи могут добавлять на свои устройства с ChromeOS несколько билетов Kerberos, но только один из них может быть активным и использоваться для аутентификации. Если для доступа к разным ресурсам требуется разный уровень разрешений, пользователи могут переключаться между билетами. Например, для доступа к внутренней веб-странице может потребоваться билет Kerberos с более высоким уровнем прав доступа, чем у текущего активного билета.

  1. Войдите в аккаунт на управляемом устройстве с ChromeOS.
  2. Нажмите на время в правом нижнем углу экрана.
  3. Нажмите на значок "Настройки" .
  4. В разделе "Пользователи" нажмите Билеты Kerberos.
  5. Найдите билет, который нужно сделать активным.
  6. В правой части экрана нажмите на значок "Ещё" >Выбрать в качестве активного билета.

Обновлять билет и изменять конфигурацию

Срок действия билетов на устройстве составляет 1 день, однако сервер Active Directory по умолчанию ограничивает его 10 часами. Информацию о том, как изменить это значение, можно найти в разделе о настройке способа получения билетов. Билеты можно обновлять автоматически, не указывая повторно имя пользователя и пароль, в течение времени, заданного с помощью параметра renew_lifetime. Срок действия билетов также можно настроить на устройствах с ChromeOS. Он будет ограничен значением, заданным на сервере Active Directory, как указано в разделе о настройке способа получения билетов. На устройствах с ChromeOS значение параметра renew_lifetime по умолчанию равно 0. Это значит, что билеты не обновляются автоматически. Если срок действия билета истек и его нельзя обновить автоматически, пользователь увидит сообщение о том, что билет нужно обновить вручную. Если срок действия активного билета истек, аутентификация Kerberos не будет работать до тех пор, пока пользователь не обновит билет.

  1. Войдите в аккаунт на управляемом устройстве с ChromeOS.
  2. Нажмите на время в правом нижнем углу экрана.
  3. Нажмите на значок "Настройки" .
  4. В разделе Kerberos нажмите Билеты Kerberos.
  5. Найдите билет, который вы хотите обновить.
  6. Справа нажмите на значок "Ещё" >Обновить сейчас.
  7. Введите свои имя пользователя и пароль Active Directory.
    Примечание. ChromeOS поддерживает только запись user@domain. Запись domain/user не поддерживается.
  8. Чтобы билет обновлялся автоматически, установите флажок Запомнить пароль.
  9. Вы можете внести изменения в файл конфигурации.
    1. Выберите Дополнительные.
    2. Измените значения параметров Kerberos, например срок действия билета, тип шифрования и сопоставление домена с областью. Подробнее о настройке способа получения билетов
    3. Нажмите Сохранить.
  10. Нажмите Обновить.

Дополнительная информация

  • Политика автоматического добавления билетов при входе пользователя работает следующим образом:
    • Пароль для входа используется в качестве пароля Active Directory.
    • Если пользователь входит без пароля, например с помощью PIN-кода или отпечатка пальца, билет не создается автоматически. Пользователю потребуется обновить билет вручную, указав пароль Active Directory на странице настроек.
    • При блокировке и разблокировке устройства билет не обновляется.
    • При обновлении билетов, созданных автоматически с помощью политики, пароли не сохраняются. В этом случае пользователю нужно будет ввести пароль для входа.
  • Устройства с ChromeOS пытаются обновлять билеты с сохраненным паролем автоматически. Это могут быть пароли для входа, используемые для билетов, созданных политикой, или сохраненные пароли для созданных вручную билетов.
  • Иногда обновить билеты автоматически не удается из-за сбоя при запланированном обновлении, например, если устройство находится в спящем режиме или возникли проблемы с сетью. В таком случае пользователям нужно обновить билет на странице настроек или выйти и снова войти для получения нового билета, если этого требует политика.

Удалять билеты

  1. Войдите в аккаунт на управляемом устройстве с ChromeOS.
  2. Нажмите на время в правом нижнем углу экрана.
  3. Нажмите на значок "Настройки" .
  4. В разделе "Пользователи" нажмите Билеты Kerberos.
  5. Найдите билет, который хотите удалить.
  6. В правой части экрана нажмите на значок "Ещё" >Удалить с устройства.

Настраивать способ получения билетов

Пользователи могут изменять конфигурацию Kerberos (файл krb5.conf), когда они добавляют билет или обновляют существующий. Код ChromeOS, который взаимодействует с Центром распространения ключей Kerberos, создан на базе библиотеки MIT Kerberos. Подробные сведения о конфигурации приведены в документации MIT Kerberos. ChromeOS поддерживает не все параметры конфигурации.
Список поддерживаемых параметров приведен ниже.
Раздел Соответствие
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

udp_preference_limit

[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc

[domain_realm]

Любое значение

[capaths]

Любое значение

Пример. Запрос другого срока действия билета

[libdefaults]

        ticket_lifetime = 16h

В примере приведен запрос билета со сроком действия 16 часов. Срок действия может быть ограничен на стороне сервера. Значение по умолчанию – 10 часов.

Чтобы изменить ограничение, заданное на сервере:

  1. Откройте консоль управления групповыми политиками.
  2. Перейдите в раздел Настройки>Параметры безопасности>Политики учетных записей>Политика Kerberos.
  3. Измените значение политики Максимальный срок жизни билета пользователя.

Пример. Запрос другого срока действия продления билета

[libdefaults]

        renew_lifetime = 14d

В примере приведен запрос билета, срок действия которого можно продлить на 14 дней. Срок действия продления может быть ограничен на стороне сервера. Значение по умолчанию – 7 дней.

Чтобы изменить ограничение, заданное на сервере:

  1. Откройте консоль управления групповыми политиками.
  2. Перейдите в раздел Настройки>Параметры безопасности>Политики учетных записей>Политика Kerberos.
  3. Измените значение политики Максимальный срок жизни для возобновления билета пользователя.

Устранение неполадок

Как правило, устранить неполадки можно с помощью инструмента командной строки kinit в Linux. Операционная система ChromeOS создана на базе Linux, и реализация билетов Kerberos поддерживает kinit. Поэтому если вы можете получить билет Kerberos с помощью kinit в Linux, то же самое должно работать в ChromeOS (при условии использования одинаковой конфигурации).

Сообщение об ошибке "Центр распространения ключей (KDC) не поддерживает такой тип шифрования"

Google по умолчанию принудительно применяет стойкое шифрование по алгоритму AES. Если вы видите сообщение об ошибке, связанной с типами шифрования, возможно, некоторые компоненты вашей серверной среды не поддерживают шифрование по алгоритму AES. Рекомендуем вам это исправить.

В противном случае можно удалить из конфигурации три строки с параметрами default_tgs_enctypes, default_tkt_enctypes и permitted_enctypes. В результате будут включены все типы шифрования, описанные в документации MIT Kerberos, кроме тех, которые отмечены как ненадежные. Изучите документацию и убедитесь, что риски, связанные с безопасностью, являются для вас приемлемыми. Некоторые типы шифрования больше не считаются надежными.

После того как вы убедитесь, что все типы шифрования работают, рекомендуем вам указать для параметров default_tgs_enctypes, default_tkt_enctypes и permitted_enctypes только надежные типы шифрования, чтобы минимизировать риски, связанные с безопасностью.

Сообщение об ошибке "Не удалось связаться с областью сервера"

  1. Убедитесь, что вы ввели правильное имя пользователя Kerberos.
    Имя пользователя Kerberos, [email protected], состоит из:
    • используемого при входе имени пользователя, также известного как sAMAccountName;
    • области Kerberos, которая, как правило, совпадает с доменным именем Windows.
  2. Убедитесь, что сетевое подключение настроено правильно.
    Проверьте, может ли устройство с ChromeOS подключиться к серверу по стандартному порту Kerberos – 88.
  3. Убедитесь, что настройки DNS заданы правильно.
    Для работы Kerberos необходимы определенные записи SRV, которые позволяют найти доменное имя DNS сервиса Kerberos. Например, если домен, в который выполняется вход (также называемый областью), имеет вид example.com, а доменное имя DNS единственного сервиса Kerberos имеет вид dc.example.com, нужно добавить следующие записи SRV:
Сервис Протокол Приоритет Вес Порт Назначение (имя хоста)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Если вы не можете изменить настройки DNS, добавьте эти сопоставления в конфигурацию Kerberos.

Пример:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Если у вас по-прежнему возникают проблемы с получением билетов Kerberos, соберите системные журналы. Также, если возможно, соберите журналы tcpdump или wireshark. Затем обратитесь в службу поддержки.

Сообщение об ошибке "Серверу неизвестно это имя пользователя"

Проверьте, есть ли пользователь с указанным именем в базе данных Active Directory на сервере.

Сообщение об ошибке "Не удалось загрузить билет Kerberos. Повторите попытку или обратитесь к администратору устройства. Код ошибки: X".

Соберите системные журналы и обратитесь в службу поддержки.

Сообщение об ошибке "Ошибка аутентификации по протоколу Kerberos"

Чтобы билеты Kerberos добавлялись автоматически, пользователи должны войти в систему, используя пароль, а не PIN-код. При этом пароль должен совпадать с паролем, используемым для аутентификации на сервере Active Directory при добавлении билета. Дополнительная информация приведена в разделе Добавлять билеты выше.

Если пользователь войдет в систему с помощью PIN-кода, ему потребуется создавать билеты вручную.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
3830833163354857226
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false