Kerberos Single sign-on configureren voor Chrome-apparaten

Voor beheerders die Chrome OS-apparaten beheren voor een bedrijf of school.

Als beheerder kun je Kerberos-tickets op ChromeOS-apparaten gebruiken om Single sign-on (SSO) aan te zetten voor interne bronnen die Kerberos-verificatie ondersteunen. Interne bronnen zijn bijvoorbeeld websites, fileshares en certificaten.

Vereisten

  • Kiosks worden momenteel niet ondersteund.
  • Active Directory-omgeving.

Kerberos instellen

  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga naar  Menu  and then  Apparaten > Chrome > Instellingen. De pagina Instellingen voor gebruikers en browsers wordt standaard geopend.

    Hiervoor is het beheerdersrecht Beheer van mobiele apparaten vereist.

    Als je je hebt aangemeld voor Chrome Enterprise Core, ga je naar Menu  and then  Chrome browser > Instellingen.

  3. (Optioneel) Klik bovenaan op Instellingen voor beheerde gastsessies.
  4. (Optioneel) Als je wilt dat de instelling alleen geldt voor bepaalde gebruikers en ingeschreven browsers, selecteer je aan de zijkant een organisatie-eenheid (vaak gebruikt voor afdelingen) of een configuratiegroep (geavanceerd). Laat me zien hoe dit moet

    Groepsinstellingen overschrijven organisatie-eenheden. Meer informatie

  5. Ga naar Kerberos.

  6. Klik op Kerberos-tickets.

  7. Selecteer Kerberos aanzetten.

  8. (Optioneel, alleen gebruikers en browsers) Vraag automatisch Kerberos-tickets aan voor gebruikers als ze inloggen.

    1. Selecteer Automatisch een Kerberos-account toevoegen.

    2. Voer de naam van het hoofdaccount in. Je kunt de tijdelijke aanduidingen ${LOGIN_ID} en ${LOGIN_ID} gebruiken.

    3. Selecteer Standaard Kerberos-configuratie gebruiken. Of selecteer Kerberos-configuratie aanpassen en geef de Kerberos-configuratie op die nodig is voor jouw omgeving. Zie Instellen hoe tickets worden opgehaald voor meer informatie.
      Opmerking: Controleer de Kerberos-configuratie, krb5.conf. In de standaardconfiguratie wordt sterke AES-encryptie afgedwongen, maar dit wordt mogelijk niet ondersteund door elk deel van je omgeving.

  9. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.

    Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen (of Niet ingesteld voor een groep).

Instellen hoe Kerberos kan worden gebruikt op apparaten

  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga naar  Menu  and then  Apparaten > Chrome > Instellingen. De pagina Instellingen voor gebruikers en browsers wordt standaard geopend.

    Hiervoor is het beheerdersrecht Beheer van mobiele apparaten vereist.

    Als je je hebt aangemeld voor Chrome Enterprise Core, ga je naar Menu  and then  Chrome browser > Instellingen.

  3. (Optioneel) Klik bovenaan op Instellingen voor beheerde gastsessies.
  4. To apply the setting to all users and enrolled browsers, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Ga naar Netwerk.
  6. Configureer toegestane verificatieservers:
    1. Klik op Geïntegreerde verificatieservers.
    2. Voer URL's in van websites die worden beveiligd door Kerberos. Gebruikers kunnen hun actieve ticket gebruiken om toegang te krijgen tot de servers die je opgeeft, zonder dat ze hoeven in te loggen.
      Opmerking: Je kunt meerdere servernamen toevoegen, gescheiden door komma's. Je mag jokertekens (*) gebruiken. Gebruik echter geen jokertekens in de domeinnaam. Voeg bijvoorbeeld niet *example.com toe aan de lijst. Een voorbeeldlijst: *.example.com, example.com.
    3. Klik op Opslaan.
  7. (Alleen gebruikers en browsers) Stel toegestane servers voor machtiging in:
    1. Klik op Servers voor Kerberos-machtiging.
    2. Voer URL's in van de servers die Chrome kan machtigen.
      Opmerking: Je kunt meerdere servernamen toevoegen, gescheiden door komma's. Je mag jokertekens (*) gebruiken.
    3. Klik op Opslaan.
  8. (Gebruikers en browsers) Geef op of het Key Distribution Center-beleid (KDC) moet worden overgenomen om Kerberos-tickets te delegeren:
    1. Klik op Kerberos-ticketmachtiging.
    2. Kies een optie:
      • KDC-beleid volgen
      • KDC-beleid negeren
    3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.

      Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen (of Niet ingesteld voor een groep).

    (Alleen gebruikers en browsers) Geef de bron op van de naam die wordt gebruikt om de Kerberos Service Principal Name (SPN) te genereren.
    1. Klik op Kerberos Service Principal Name.
    2. Kies een optie:
      • Canonieke DNS-naam gebruiken
      • Oorspronkelijk ingevoerde naam gebruiken
    3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.

      Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen (of Niet ingesteld voor een groep).

  9. (Alleen gebruikers en browsers) Geef op of de gegenereerde Kerberos SPN een niet-standaard poort moet bevatten.
    1. Klik op Kerberos SPN-poort.
    2. Kies een optie:
      • Niet-standaard poort opnemen
      • Niet-standaard poort niet opnemen
    3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.

      Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen (of Niet ingesteld voor een groep).

  10. (Alleen gebruikers en browsers) Geef op of subcontent van derden op een pagina een dialoogvenster voor algemene HTTP-verificatie als pop-up mag weergeven.
    1. Klik op Cross-originverificatie.
    2. Kies een optie:
      • Cross-originverificatie toestaan
      • Cross-originverificatie blokkeren
    3. Klik op Opslaan. U kunt ook op Overschrijven klikken voor een organisatie-eenheid.

      Als u de overgenomen waarde later wilt herstellen, klikt u op Overnemen (of Niet ingesteld voor een groep).

Wat gebruikers kunnen doen

Een ticket toevoegen

Als gebruikers toegang proberen te krijgen tot een door Kerberos beveiligde resource, krijgen ze de optie om een ticket toe te voegen of door te gaan zonder een ticket.

Zo voeg je een ticket toe:

  1. Klik in het vak op Tickets beheren.
  2. Klik op de pagina Kerberos-tickets op Een ticket toevoegen.
  3. Voer je gebruikersnaam en wachtwoord voor Active Directory in.
    Opmerking: ChromeOS ondersteunt alleen de indeling gebruiker@domein, niet de indeling domein/gebruiker.
  4. (Optioneel) Als je het ticket automatisch wilt vernieuwen, laat je het vakje voor Wachtwoord onthouden aangevinkt.
  5. (Optioneel) Bewerk het configuratiebestand:
    • Klik op Geavanceerd.
    • Wijzig Kerberos-configuratiegegevens, zoals de levensduur van het ticket, versleutelingstypen en domeintoewijzingen. Ga naar Instellen hoe tickets worden opgehaald voor meer informatie.
    • Klik op Opslaan.
  6. Klik op Toevoegen.
  7. Laad de pagina die je probeert te openen opnieuw.

Opmerking: Voor Kerberos is een bepaalde DNS-installatie vereist, met name SRV-records voor de services _kerberos en _kerberos-master. Zie Problemen oplossen hieronder voor meer informatie.

Actief ticket instellen

Gebruikers kunnen meerdere Kerberos-tickets toevoegen aan hun ChromeOS-apparaten. Er kan echter op elk moment slechts 1 ticket actief zijn en worden gebruikt voor verificatie. Gebruikers kunnen toegang krijgen tot resources waarvoor verschillende autorisatieniveaus zijn vereist door een ander ticket te gebruiken. Bijvoorbeeld als bepaalde interne webpagina's een Kerberos-ticket met een hoger rechtenniveau nodig hebben.

  1. Log in op een beheerd ChromeOS-apparaat als je dit nog niet hebt gedaan.
  2. Selecteer rechtsonder de tijd.
  3. Klik op Instellingen .
  4. Klik in het gedeelte Mensen op Kerberos-tickets.
  5. Zoek het ticket dat je actief wilt maken.
  6. Klik rechts op Meer en danInstellen als actief ticket.

Een ticket vernieuwen en de configuratie aanpassen

Op het apparaat is ingesteld dat tickets een geldigheidsduur van 1 dag hebben, maar de Active Directory-server beperkt die geldigheid standaard tot 10 uur. Meer informatie over hoe je deze waarden wijzigt, vind je in het gedeelte Instellen hoe tickets worden opgehaald hierboven. Tickets kunnen ook automatisch worden verlengd zonder dat gebruikers hun gebruikersnaam en wachtwoord opnieuw hoeven in te voeren gedurende de periode die is ingesteld in renew_lifetime. Deze periode kan ook worden ingesteld op ChromeOS-apparaten en is beperkt tot een limiet die is ingesteld op de Active Directory-server, zoals beschreven in het gedeelte Instellen hoe tickets worden opgehaald hierboven. Op ChromeOS-apparaten is renew_lifetime standaard gelijk aan nul (0). Dit betekent dat tickets niet automatisch worden verlengd. Als een ticket verloopt en niet automatisch kan worden vernieuwd, zien gebruikers een bericht waarin staat dat ze het ticket handmatig moeten vernieuwen. Als gebruikers het actieve ticket laten verlopen, werkt Kerberos-verificatie pas weer als het ticket wordt vernieuwd.

  1. Log in op een beheerd ChromeOS-apparaat als je dit nog niet hebt gedaan.
  2. Selecteer rechtsonder de tijd.
  3. Klik op Instellingen .
  4. Klik in het gedeelte Kerberos op Kerberos-tickets.
  5. Zoek het ticket dat je wilt vernieuwen.
  6. Klik rechts op Meer en danNu vernieuwen.
  7. Voer je gebruikersnaam en wachtwoord voor Active Directory in.
    Opmerking: ChromeOS ondersteunt alleen de indeling gebruiker@domein, niet de indeling domein/gebruiker.
  8. (Optioneel) Als je het ticket automatisch wilt vernieuwen, vink je het vakje aan voor Wachtwoord onthouden.
  9. (Optioneel) Bewerk het configuratiebestand:
    1. Klik op Geavanceerd.
    2. Wijzig Kerberos-configuratiegegevens, zoals de levensduur van het ticket, versleutelingstypen en domeintoewijzingen. Ga naar het gedeelte Instellen hoe tickets worden opgehaald hierboven voor meer informatie.
    3. Klik op Opslaan.
  10. Klik op Vernieuwen.

Aanvullende informatie

  • Als het beleid om automatisch tickets toe te voegen tijdens het inloggen is ingesteld voor de gebruiker, is het volgende van toepassing:
    • Het inlogwachtwoord wordt gebruikt als het Active Directory-wachtwoord.
    • Het ticket kan niet automatisch worden gemaakt als gebruikers inloggen zonder wachtwoord, bijvoorbeeld met een pincode of vingerafdruk. In die gevallen moet de gebruiker het ticket handmatig vernieuwen door het Active Directory-wachtwoord in te voeren op de instellingenpagina.
    • Als het apparaat wordt vergrendeld/ontgrendeld, wordt het ticket niet automatisch vernieuwd.
    • Gebruikers kunnen een wachtwoord niet behouden terwijl ze een ticket vernieuwen dat automatisch is toegevoegd door een beleidsregel. Bij automatische vernieuwing van deze tickets wordt altijd het inlogwachtwoord gebruikt.
  • ChromeOS-apparaten proberen tickets waarvoor een wachtwoord is opgeslagen automatisch te vernieuwen. Dit kan het inlogwachtwoord zijn voor door beleid gemaakte tickets of het onthouden wachtwoord voor handmatig gemaakte tickets.
  • Er is geen garantie dat tickets elke keer automatisch worden vernieuwd, omdat alle geplande vernieuwingspogingen kunnen mislukken. Dit kan bijvoorbeeld gebeuren als het apparaat in de slaapmodus wordt gezet of als er netwerkproblemen zijn. In dat geval moeten gebruikers het ticket handmatig vernieuwen op de instellingenpagina. Of ze moeten uitloggen en weer inloggen als dit is ingesteld door het beleid, om automatisch een nieuw ticket te krijgen.

Een ticket verwijderen

  1. Log in op een beheerd ChromeOS-apparaat als je dit nog niet hebt gedaan.
  2. Selecteer rechtsonder de tijd.
  3. Klik op Instellingen .
  4. Klik in het gedeelte Mensen op Kerberos-tickets.
  5. Zoek het ticket dat je wilt verwijderen.
  6. Klik rechts op Meer en danVerwijderen van dit apparaat.

Instellen hoe tickets worden opgehaald

Gebruikers kunnen de Kerberos-configuratie, krb5.conf, aanpassen als ze een nieuw ticket toevoegen of een bestaand ticket vernieuwen. De ChromeOS-code die communiceert met het Kerberos Key Distribution Center (KDC) is gebaseerd op de Kerberos-bibliotheek van MIT. Bekijk de Kerberos-documentatie van MIT voor configuratiegegevens. Niet alle opties worden ondersteund.
Hier zie je een lijst met de opties die worden ondersteund in ChromeOS:
Sectie Relatie
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Elke waarde
[capaths]

Elke waarde

Voorbeeld: een andere levensduur voor een ticket aanvragen

[libdefaults]

        ticket_lifetime = 16h

In dit voorbeeld wordt een ticket aangevraagd dat 16 uur geldig is. De levensduur kan beperkt zijn aan de serverzijde, waar de standaard 10 uur is.

Ga als volgt te werk om de limiet aan de serverzijde te wijzigen:

  1. Open de console Groepsbeleidbeheer.
  2. Ga naar Instellingenen danBeveiligingsinstellingenen danAccountbeleiden danKerberos-beleid.
  3. Pas het beleid Maximale levensduur van gebruikersticket aan.

Voorbeeld: een andere levensduur voor het verlengen van een ticket aanvragen

[libdefaults]

        renew_lifetime = 14d

In dit voorbeeld wordt een ticket aangevraagd dat 14 dagen kan worden verlengd. De levensduur voor verlenging kan beperkt zijn aan de serverzijde, waar de standaard 7 dagen is.

Ga als volgt te werk om de limiet aan de serverzijde te wijzigen:

  1. Open de console Groepsbeleidbeheer.
  2. Ga naar Instellingenen danBeveiligingsinstellingenen danAccountbeleiden danKerberos-beleid.
  3. Pas het beleid Maximale levensduur voor vernieuwing van gebruikersticket aan.

Problemen oplossen

Over het algemeen kun je problemen oplossen met de kinit-opdrachtregeltool in Linux. ChromeOS is Linux-gebaseerd en kinit wordt gebruikt voor de implementatie van Kerberos-tickets. Als je dus een Kerberos-ticket kunt ophalen met kinit in Linux, kun je met dezelfde configuratie ook een ticket krijgen in ChromeOS.

Foutmelding: KDC ondersteunt versleutelingstype niet

Google dwingt standaard sterke AES-encryptie af. Als je een fout ziet over versleutelingstypen, is het mogelijk dat AES-encryptie niet werkt in bepaalde delen van je serveromgeving. We raden je aan dit op te lossen.

Je kunt ook overwegen de 3 regels voor default_tgs_enctypes, default_tkt_enctypes en permitted_enctypes te verwijderen uit de ontwikkelingsconfiguratie. Alle versleutelingstypen in de Kerberos-documentatie van MIT worden dan ingeschakeld, behalve de typen die als 'weak' (zwak) zijn gemarkeerd. Controleer of de gevolgen voor de beveiliging acceptabel voor je zijn. Sommige versleutelingstypen worden niet meer als 'strong' (sterk) beschouwd.

Nadat je hebt gecontroleerd of de reeks met alle versleutelingstypen werkt, raden we je aan de versleutelingstypen voor default_tgs_enctypes, default_tkt_enctypes en permitted_enctypes te beperken tot een acceptabele subreeks van typen om het beveiligingsrisico zo laag mogelijk te houden.

Foutmelding: Verbinding maken met server voor domein mislukt

  1. Controleer of je de juiste Kerberos-gebruikersnaam hebt ingevoerd.
    De Kerberos-gebruikersnaam, [email protected], bestaat uit het volgende:
    • Inlognaam van de gebruiker, ook wel sAMAccountName genoemd
    • Kerberos-realm, dat meestal overeenkomt met de Windows-domeinnaam
  2. Controleer of de netwerkverbinding correct is ingesteld.
    Zorg dat de server kan worden bereikt vanaf het ChromeOS-apparaat via de standaard Kerberos-poort 88.
  3. Controleer of DNS correct is ingesteld.
    Met Kerberos worden bepaalde DNS SRV-records opgevraagd om de DNS-domeinnaam van de Kerberos-service te vinden. Als het inlogdomein, of realm, bijvoorbeeld example.com is en de DNS-domeinnaam van de enige Kerberos-service dc.example.com is, moeten de volgende DNS SRV-records zijn toegevoegd:
Service Protocol Prioriteit Gewicht Poort Doel (hostnaam)
_kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos _udp 0 100 88 dc.example.com
_kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Als je de DNS-instellingen niet kunt wijzigen, kun je deze toewijzingen toevoegen aan de Kerberos-configuratie.

Voorbeeld:

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Als je nog steeds problemen ervaart met het ophalen van Kerberos-tickets, verzamel je de systeemlogboeken. Verzamel indien mogelijk ook tcpdump- of wireshark-logboeken. Neem daarna contact op met support.

Foutmelding: Gebruikersnaam niet bekend bij server

Controleer of de gebruiker met de opgegeven inlognaam in de Active Directory-database van de server staat.

Foutmelding: Kan Kerberos-ticket niet ophalen. Probeer het opnieuw of neem contact op met de apparaatbeheerder van je organisatie. (Foutcode X).

Verzamel de systeemlogboeken en neem contact op met support.

Foutmelding: Kerberos-verificatie mislukt.

Gebruikers moeten inloggen met hun wachtwoord en niet met hun pincode om automatisch Kerberos-tickets toe te voegen na het inloggen. Dit wachtwoord moet hetzelfde zijn als het wachtwoord dat wordt gebruikt voor de verificatie bij de Active Directory-server wanneer een ticket wordt toegevoegd. Ga naar Een ticket toevoegen.

Als gebruikers willen blijven inloggen met hun pincode, moeten ze handmatig tickets maken.

Gerelateerde onderwerpen

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
6337614148166160664
true
Zoeken in het Helpcentrum
true
true
true
true
true
410864
false
false
false
false