企業または学校の ChromeOS デバイスの管理者を対象としています。
管理者は ChromeOS デバイスで Kerberos チケットを使用して、Kerberos 認証対応の内部リソースに対してシングル サインオン(SSO)を有効にすることができます。内部リソースには、ウェブサイト、ファイル共有、証明書などがあります。
要件
- Chrome Kiosk には現在のところ対応していません。
- Active Directory 環境
Kerberos を設定する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
メニュー アイコン
[デバイス] > [Chrome] > [設定] に移動します。デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。
この操作にはモバイル デバイス管理の管理者権限が必要です。
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ] > [設定] に移動します。
- (省略可)上部で、[管理対象ゲスト セッションの設定] をクリックします。
-
[Kerberos] に移動します。
-
[Kerberos チケット] をクリックします。
-
[Kerberos を有効にする] を選択します。
-
(省略可)(ユーザーとブラウザにのみ適用可能)ユーザーがログインしたときに Kerberos チケットを自動的にリクエストするようにします。
-
[Kerberos アカウントを自動追加する] を選択します。
-
プリンシパル名を入力します。${LOGIN_ID} と ${LOGIN_EMAIL} のプレースホルダがサポートされています。
-
[デフォルトの Kerberos の設定を使用する] を選択します。または、[Kerberos の設定をカスタマイズする] を選択し、ご利用環境をサポートするために必要な Kerberos 設定を指定します。詳しくは、チケットの取得方法を設定するをご覧ください。
注: Kerberos の設定(krb5.conf)をご確認ください。デフォルトの設定では強力な AES 暗号化が実行されますが、使用環境の一部で AES 暗号化がサポートされていないことがあります。
-
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承](グループの場合は [設定解除])をクリックします。
デバイスで Kerberos を使用する方法を設定する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
メニュー アイコン
この操作にはモバイル デバイス管理の管理者権限が必要です。
Chrome Enterprise Core に登録済みの場合は、メニュー アイコン
- (省略可)上部で、[管理対象ゲスト セッションの設定] をクリックします。
- To apply the setting to all users and enrolled browsers, leave the top organizational unit selected. Otherwise, select a child organizational unit.
- [ネットワーク] に移動します。
- 有効な認証サーバーを設定する場合:
- [統合認証サーバー] をクリックします。
- Kerberos で保護されているウェブサイトの URL を入力します。ユーザーは有効なチケットを使用してリスト内のサーバーにアクセスできます。ログインする必要はありません。
注: 複数のサーバー名をカンマで区切って追加できます。ワイルドカード(*)も使用できます。ただし、ドメイン名にはワイルドカードを含めないでください。たとえば、リストには *example.com と追加するのではなく、*.example.com, example.com のように追加します。 -
[保存] をクリックします。
- (ユーザーとブラウザにのみ適用可能)委任可能な有効なサーバーを設定する場合:
- [Kerberos 委任サーバー] をクリックします。
- Chrome が委任可能なサーバーの URL を入力します。
注: 複数のサーバー名をカンマで区切って追加できます。ワイルドカード(*)も使用できます。 -
[保存] をクリックします。
- (ユーザーとブラウザにのみ適用可能)Kerberos チケットの委任に、鍵配布センター(KDC)のポリシーを適用するかどうかを指定します。
- [Kerberos のチケットの委任] をクリックします。
- 次のいずれかを選択します。
- KDC ポリシーを適用
- KDC ポリシーを無視
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承](グループの場合は [設定解除])をクリックします。
- [Kerberos のサービス プリンシパル名] をクリックします。
- 次のいずれかを選択します。
- 正規化された DNS 名を使用
- 入力したオリジン名を使用
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承](グループの場合は [設定解除])をクリックします。
- (ユーザーとブラウザにのみ適用可能)生成した Kerberos SPN に標準以外のポートを含めるかどうかを指定します。
- [Kerberos の SPN ポート] をクリックします。
- 次のいずれかを選択します。
- 標準以外のポートを含める
- 標準以外のポートを含めない
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承](グループの場合は [設定解除])をクリックします。
- (ユーザーとブラウザにのみ適用可能)ページ上のサードパーティのサブコンテンツに対し、HTTP Basic 認証ダイアログ ボックスのポップアップ表示を許可するかどうかを指定します。
- [クロスオリジン認証] をクリックします。
- 次のいずれかを選択します。
- クロスオリジン認証を許可
- クロスオリジン認証をブロック
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承](グループの場合は [設定解除])をクリックします。
ユーザーができること
チケットを追加する
ユーザーが Kerberos で保護されているリソースにアクセスする場合、チケットを追加するか、チケットなしで続行するかを選択できます。
チケットは以下の手順に沿って追加します。
- ボックス内の [チケットを管理] をクリックします。
- [Kerberos チケット] ページで [チケットを追加] をクリックします。
- Active Directory のユーザー名とパスワードを入力します。
注: ChromeOS では user@domain 表記のみをサポートしています。domain/user 表記はサポートしていません。 - (省略可)チケットを自動で更新するには、[パスワードを保存する] チェックボックスをオンにします。
- (省略可)設定ファイルを編集します。
- [詳細設定] をクリックします。
- Kerberos の設定情報(チケットの有効期間、暗号化タイプ、ドメインレルムのマッピングなど)を変更します。詳しくは、チケットの取得方法を設定するをご覧ください。
- [保存] をクリックします。
- [追加] をクリックします。
- 表示しようとしているページを再読み込みします。
注: Kerberos を使用するには、特定の DNS 設定(特に _kerberos サービスと _kerberos-master サービスの SRV レコード)が必要です。詳しくは、以下のトラブルシューティングをご覧ください。
有効なチケットを設定する
ユーザーは ChromeOS デバイスに複数の Kerberos チケットを追加できます。ただし、認証に使える有効なチケットは一度に 1 つのみです。ユーザーはチケットを切り替えることで、異なる認証レベルが必要なリソースにアクセスできます(たとえば、特定の内部ウェブページで権限レベルが高い Kerberos チケットを必要とする場合)。
- 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
- 右下の時刻を選択します。
- 設定アイコン
をクリックします。
- [ユーザー] で [Kerberos チケット] をクリックします。
- 有効にするチケットを見つけます。
- 右側のその他アイコン
[有効なチケットとして設定] をクリックします。
[有効なチケットとして設定] をクリックします。チケットを更新して設定を変更する
デバイスに設定されるチケットの有効期限は 1 日間ですが、Active Directory サーバーではデフォルトで有効期限が 10 時間に制限されます。これらの値を変更する方法について詳しくは、上述のチケットの取得方法を設定するをご覧ください。チケットは、ユーザーがユーザー名とパスワードを再入力しなくても renew_lifetime で設定された期間内であれば自動で更新することができます。ChromeOS デバイスでも有効期限を設定できますが、上述のチケットの取得方法を設定するで説明されているように、Active Directory サーバーで設定される制限が存在します。ChromeOS デバイスでは、renew_lifetime がデフォルトでゼロ(0)に設定されており、これはチケットが自動更新されないことを意味します。チケットが有効期限切れで自動更新できない場合、手動でチケットを更新する必要があるというメッセージが表示されます。チケットの有効期限が切れたままの場合、ユーザーがチケットを更新するまで Kerberos 認証は機能しません。
- 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
- 右下の時刻を選択します。
- 設定アイコン
- Kerberos セクションで [Kerberos チケット] をクリックします。
- 更新するチケットを見つけます。
- 右側のその他アイコン
- Active Directory のユーザー名とパスワードを入力します。
注: Chrome OS では user@domain 表記のみをサポートしています。domain/user 表記はサポートしていません。 - (省略可)チケットを自動的に更新するには、[パスワードを保存する] チェックボックスをオンにします。
- (省略可)設定ファイルを編集します。
- [詳細設定] をクリックします。
- Kerberos の設定情報(チケットの有効期間、暗号化タイプ、ドメインレルムのマッピングなど)を変更します。詳しくは、チケットの取得方法を設定するをご覧ください。
- [保存] をクリックします。
- [更新] をクリックします。
詳細情報
- ログイン中にチケットを自動で追加するポリシーがユーザーに設定されている場合、以下が適用されます。
- ログイン用のパスワードは Active Directory 用のパスワードとして使用されます。
- PIN または指紋など、パスワード以外を使用してログインした場合、チケットは自動で作成されません。このようなケースでは、設定ページで Active Directory 用のパスワードを指定して手動でチケットを更新する必要があります。
- デバイスのロックまたはロック解除によってチケットが自動更新されることはありません。
- ユーザーがポリシーによって自動で追加されたチケットを更新する場合、パスワードを保持することはできません。これらのチケットの自動更新には、常にログイン用のパスワードを使用します。
- ChromeOS デバイスでは、パスワードが保存されているチケットの自動更新が試みられます。対象となるのは、ポリシーによって作成されたチケットのログイン用パスワード、または手動で作成されたチケットの保存済みのパスワードです。
- スケジュール設定された更新は失敗する可能性があるため、チケットは毎回自動更新されるとは限りません。たとえば、デバイスがスリープモードになっていたり、ネットワークに問題があったりすることで、更新できない場合があります。このようなケースでは、ユーザーが設定ページでチケットを手動で更新する必要があります。または、ポリシーによって設定されている場合は、ログアウトしてから再度ログインすることで自動で新しいチケットを取得することもできます。
チケットを削除する
- 管理対象の ChromeOS デバイスにログインします(まだログインしていない場合)。
- 右下の時刻を選択します。
- 設定アイコン
- [ユーザー] で [Kerberos チケット] をクリックします。
- 削除するチケットを見つけます。
- 右側のその他アイコン
チケットの取得方法を設定する
| セクション | 関連するオプション、値 |
|---|---|
[libdefaults] |
|
[realms] |
|
[domain_realm] |
任意の値 |
[capaths] |
任意の値 |
例: 有効期間が異なるチケットをリクエストする
[libdefaults]
ticket_lifetime = 16h
この例では、有効期間が 16 時間のチケットをリクエストしています。有効期間はサーバー側で制限されていることがあります。デフォルトは 10 時間です。
サーバー側の制限を変更するには:
- グループ ポリシー管理コンソールを開きます。
- [設定]
- [ユーザー チケットの最長有効期間] ポリシーを変更します。
例: 更新可能な期間が異なるチケットをリクエストする
[libdefaults]
renew_lifetime = 14d
この例では、更新可能な期間が 14 日間のチケットをリクエストしています。更新可能な期間はサーバー側で制限されていることがあります。デフォルトは 7 日間です。
サーバー側の制限を変更するには:
- グループ ポリシー管理コンソールを開きます。
- [設定]
- [ユーザー チケットを更新できる最長有効期間] ポリシーを変更します。
トラブルシューティング
Linux では通常、kinit コマンドライン ツールを使用して問題をトラブルシューティングします。Chrome OS は Linux ベースであり、Kerberos チケットの実装には kinit を使用しています。そのため、Linux で kinit を使用して Kerberos チケットを取得できる場合は、ChromeOS でも同じ設定でチケットを取得できます。
エラー メッセージ: KDC でサポートされていない暗号化タイプです
Google は、デフォルトで強力な AES 暗号化を実行します。暗号化タイプに関するエラーが発生した場合は、サーバー環境の一部で AES 暗号化を処理できていない可能性があるため、これを修正することをおすすめします。
あるいは、開発環境用の設定から default_tgs_enctypes、default_tkt_enctypes、permitted_enctypes の 3 行を削除することを検討してください。削除することで、MIT Kerberos ドキュメントにあるすべての暗号化タイプが有効になります(脆弱と判断されたものを除く)。セキュリティの設定がご利用環境のニーズに合っていることをご確認ください。暗号化タイプには、安全とはみなされなくなったものも存在します。
すべての暗号化タイプが有効であることを確認したら、セキュリティ リスクを最小限に抑えるために default_tgs_enctypes、default_tkt_enctypes、permitted_enctypes の暗号化タイプを適切なタイプのみに制限することをおすすめします。
エラー メッセージ: レルムのサーバーに接続できませんでした
- Kerberos のユーザー名が正しく入力されていることを確認します。
Kerberos のユーザー名([email protected])は、次の要素で構成されます。- ユーザーのログイン名(sAMAccountName)
- Kerberos レルム(通常は Windows ドメイン名と同じ)
- ネットワーク接続が正しく設定されていることを確認します。
Kerberos で標準として使用される 88 番のポートを使って ChromeOS デバイスからサーバーにアクセスできることを確認してください。 - DNS が正しく設定されていることを確認します。
Kerberos は、特定の DNS SRV レコードをリクエストして Kerberos サービスの DNS ドメイン名を見つけます。たとえば、ログイン ドメイン(レルム)が example.com で、唯一の Kerberos サービスの DNS ドメイン名が dc.example.com である場合は、次の DNS SRV レコードを追加する必要があります。
| サービス | プロトコル | 優先度 | 重み | ポート | ターゲット(ホスト名) |
|---|---|---|---|---|---|
| _kerberos | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos | _udp | 0 | 100 | 88 | dc.example.com |
| _kerberos | _tcp | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _udp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _tcp.dc._msdcs | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _udp | 0 | 100 | 88 | dc.example.com |
| _kerberos-master | _tcp | 0 | 100 | 88 | dc.example.com |
DNS 設定を変更できない場合は、このようなマッピングを Kerberos の設定に追加できます。
例:
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
master_kdc = dc.example.com
}
それでも Kerberos チケットを取得できない場合は、システムログを収集します。可能であれば、tcpdump のログや Wireshark のログも収集して、サポートにお問い合わせください。
エラー メッセージ: サーバーに認識されないユーザー名です
エラー メッセージ: Kerberos チケットを取得できませんでした。もう一度お試しいただくか、組織のデバイス管理者にお問い合わせください(エラーコード: X)
エラー メッセージ: Kerberos の認証に失敗しました。
ログイン後、自動的に Kerberos のチケットを追加するには、ユーザーは PIN ではなくパスワードを使用してログインする必要があります。パスワードは、チケットを追加する際に Active Directory サーバーでの認証に使用したものと同じである必要があります。チケットを追加するをご参照ください。
引き続き PIN を使用したログインを希望する場合は、ユーザーが手動でチケットを作成する必要があります。