Configurer l'authentification unique Kerberos pour les appareils ChromeOS

Ces instructions s'adressent aux administrateurs qui gèrent des appareils ChromeOS au sein d'une entreprise ou d'un établissement scolaire.

En tant qu'administrateur, vous pouvez utiliser des tickets Kerberos sur des appareils ChromeOS afin d'activer l'authentification unique (SSO) pour les ressources internes compatibles avec l'authentification Kerberos, par exemple des sites Web, des partages de fichiers, des certificats, etc.

Conditions requises

  • Les kiosques ne sont pas compatibles actuellement.
  • Environnement Active Directory.

Configurer Kerberos

  1. Connectez-vous à la Console d'administration Google avec un compte administrateur.

    Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Accédez à  Menu puis Appareils > Chrome > Paramètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Vous devez disposer du droit d'administrateur Gestion des appareils mobiles.

    Si vous vous êtes inscrit à Chrome Enterprise Core, accédez à Menu puis Navigateur Chrome > Paramètres.

  3. (Facultatif) En haut de la page, cliquez sur Paramètres des sessions Invité gérées.
  4. (Facultatif) Pour n'appliquer le paramètre qu'à certains utilisateurs et navigateurs enregistrés, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé). Voir la marche à suivre

    Les paramètres de groupe remplacent les unités organisationnelles. En savoir plus

  5. Accédez à Kerberos.

  6. Cliquez sur Tickets Kerberos.

  7. Sélectionnez Activer Kerberos.

  8. (Facultatif) (Utilisateurs et navigateurs uniquement) Demandez automatiquement des tickets Kerberos pour les utilisateurs lorsqu'ils se connectent.

    1. Sélectionnez Ajouter automatiquement un compte Kerberos.

    2. Saisissez le nom principal. Les espaces réservés ${LOGIN_ID} et ${LOGIN_ID} sont acceptés.

    3. Sélectionnez Utiliser la configuration Kerberos par défaut. Vous pouvez également sélectionner Personnaliser la configuration Kerberos et indiquer la configuration Kerberos dont vous avez besoin pour votre environnement. Pour en savoir plus, consultez la section Configurer le mode d'obtention des tickets.
      Remarque : Vous devez examiner votre configuration Kerberos, krb5.conf. La configuration par défaut applique un chiffrement AES fort qui peut ne pas être compatible avec les différentes parties de votre environnement.

  9. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.

    Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter (ou Non défini pour un groupe).

Configurer l'utilisation de Kerberos sur les appareils

  1. Connectez-vous à la Console d'administration Google avec un compte administrateur.

    Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Accédez à  Menu puis Appareils > Chrome > Paramètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Vous devez disposer du droit d'administrateur Gestion des appareils mobiles.

    Si vous vous êtes inscrit à Chrome Enterprise Core, accédez à Menu puis Navigateur Chrome > Paramètres.

  3. (Facultatif) En haut de la page, cliquez sur Paramètres des sessions Invité gérées.
  4. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs inscrits, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  5. Accédez à Réseau.
  6. Configurez les serveurs d'authentification autorisés :
    1. Cliquez sur Serveurs pour l'authentification intégrée.
    2. Saisissez les URL des sites Web protégés par Kerberos. Les utilisateurs peuvent utiliser leur ticket actif pour accéder aux serveurs que vous répertoriez, sans avoir à se connecter.
      Remarque : Vous pouvez ajouter plusieurs noms de serveur, en les séparant par une virgule. Les caractères génériques (*) sont autorisés. N'ajoutez pas de caractères génériques dans le nom de domaine. Par exemple, évitez d'ajouter *example.com à la liste. Voici un exemple de liste *.example.com, example.com.
    3. Cliquez sur Enregistrer.
  7. (Utilisateurs et navigateurs uniquement) Configurez les serveurs autorisés pour la délégation :
    1. Cliquez sur Serveurs de délégation Kerberos.
    2. Saisissez les URL des serveurs auxquels Chrome peut déléguer l'authentification.
      Remarque : Vous pouvez ajouter plusieurs noms de serveur, en les séparant par une virgule. Les caractères génériques (*) sont autorisés.
    3. Cliquez sur Enregistrer.
  8. (Utilisateurs et navigateurs uniquement) : indiquez si la règle du centre de distribution de clés (KDC, Key Distribution Center) doit être respectée pour déléguer des tickets Kerberos :
    1. Cliquez sur Délégation de ticket Kerberos.
    2. Sélectionnez une option :
      • Respecter la règle KDC
      • Ignorer la règle KDC
    3. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.

      Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter (ou Non défini pour un groupe).

    . (Utilisateurs et navigateurs uniquement) Spécifiez la source du nom utilisé pour générer le nom principal du service (SPN) Kerberos.
    1. Cliquez sur Nom principal du service Kerberos.
    2. Sélectionnez une option :
      • Utiliser le nom DNS canonique
      • Utiliser le nom d'origine saisi
    3. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.

      Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter (ou Non défini pour un groupe).

  9. (Utilisateurs et navigateurs uniquement) Indiquez si le SPN Kerberos généré doit inclure un port non standard.
    1. Cliquez sur Port SPN Kerberos.
    2. Sélectionnez une option :
      • Inclure un port non standard
      • Ne pas inclure de port non standard
    3. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.

      Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter (ou Non défini pour un groupe).

  10. (Utilisateurs et navigateursuniquement) Indiquez si le sous-contenu tiers disponible sur une page peut afficher une boîte de dialogue d'authentification HTTP de base.
    1. Cliquez sur Authentification d'origine croisée.
    2. Sélectionnez une option :
      • Autoriser l'authentification d'origine croisée
      • Bloquer l'authentification d'origine croisée
    3. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.

      Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter (ou Non défini pour un groupe).

Actions possibles

Ajouter un ticket

Lorsque les utilisateurs tentent d'accéder à une ressource protégée par Kerberos, ils peuvent ajouter un ticket ou continuer sans.

Pour ajouter un ticket, procédez comme suit :

  1. Dans la boîte de dialogue, cliquez sur Gérer les tickets.
  2. Sur la page Tickets Kerberos, cliquez sur Ajouter un ticket.
  3. Saisissez votre nom d'utilisateur et votre mot de passe Active Directory.
    Remarque : ChromeOS n'est compatible qu'avec la notation utilisateur@domaine (et non domaine/utilisateur).
  4. (Facultatif) Pour actualiser automatiquement le ticket, laissez la case Mémoriser le mot de passe cochée.
  5. (Facultatif) Modifiez le fichier de configuration :
    • Cliquez sur Avancé.
    • Modifiez les informations de configuration Kerberos, telles que la durée de vie des tickets, les types de chiffrement et les mappages de domaine. Pour en savoir plus, consultez Configurer le mode d'obtention des tickets.
    • Cliquez sur Enregistrer.
  6. Cliquez sur Ajouter.
  7. Actualisez la page que vous essayez d'afficher.

Remarque : Kerberos nécessite une configuration DNS spécifique, en particulier les enregistrements SRV des services _kerberos et _kerberos-master. Pour en savoir plus, consultez la section Résoudre des problèmes ci-dessous.

Définir un ticket actif

Les utilisateurs peuvent ajouter plusieurs tickets Kerberos sur leurs appareils ChromeOS. Cependant, il ne peut y avoir qu'un ticket actif et servant pour l'authentification à un moment donné. Les utilisateurs peuvent accéder aux ressources nécessitant des niveaux d'autorisation différents en changeant de ticket. C'est le cas, par exemple, si certaines pages Web internes requièrent un ticket Kerberos avec un niveau d'accès supérieur.

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil ChromeOS géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres .
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket que vous souhaitez activer.
  6. À droite, cliquez sur Plus puisDéfinir comme ticket actif.

Actualiser un ticket et modifier la configuration

La durée de vie des tickets est configurée sur un jour sur l'appareil, mais le serveur Active Directory limite cette validité à 10 heures par défaut. Pour savoir comment modifier ces valeurs, consultez la section Configurer le mode d'obtention des tickets ci-dessous. Les tickets peuvent également être renouvelés automatiquement sans que les utilisateurs aient à saisir à nouveau leur nom d'utilisateur et leur mot de passe pendant la période configurée dans renew_lifetime. Cette durée de validité peut également être configurée sur les appareils ChromeOS et est plafonnée par une limite configurée sur le serveur Active Directory, comme expliqué dans la section Configurer le mode d'obtention des tickets ci-dessous. Par défaut, la valeur renew_lifetime est définie sur 0 sur les appareils ChromeOS, ce qui signifie que les tickets ne seront pas renouvelés automatiquement. Lorsqu'un ticket arrive à expiration et ne peut pas être actualisé automatiquement, un message s'affiche pour informer les utilisateurs qu'ils doivent l'actualiser manuellement. Si les utilisateurs laissent le ticket expirer, l'authentification Kerberos ne fonctionne plus tant qu'ils ne l'ont pas actualisé.

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil ChromeOS géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres .
  4. Dans la section "Kerberos", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket à actualiser.
  6. Sur la droite, cliquez sur Plus puis Actualiser maintenant.
  7. Saisissez votre nom d'utilisateur et votre mot de passe Active Directory.
    Remarque : ChromeOS n'est compatible qu'avec la notation utilisateur@domaine (et non domaine/utilisateur).
  8. (Facultatif) Pour actualiser automatiquement le ticket, cochez la case Mémoriser le mot de passe.
  9. (Facultatif) Modifiez le fichier de configuration :
    1. Cliquez sur Avancé.
    2. Modifiez les informations de configuration Kerberos, telles que la durée de vie des tickets, les types de chiffrement et les mappages de domaine. Pour en savoir plus, consultez la section Configurer le mode d'obtention des tickets ci-dessous.
    3. Cliquez sur Enregistrer.
  10. Cliquez sur Actualiser.

Informations supplémentaires

  • Si la règle d'ajout automatique de tickets lors de la connexion est configurée pour l'utilisateur, les éléments suivants s'appliquent :
    • Le mot de passe de connexion sera utilisé comme mot de passe Active Directory.
    • Le ticket ne peut pas être créé automatiquement si les utilisateurs se connectent sans mot de passe, par exemple à l'aide d'un code PIN ou d'une empreinte digitale. Dans ce cas, l'utilisateur doit actualiser manuellement le ticket en fournissant le mot de passe Active Directory sur la page des paramètres.
    • Le verrouillage/déverrouillage de l'appareil ne déclenche pas l'actualisation automatique du ticket.
    • Les utilisateurs ne peuvent pas conserver un mot de passe lors de l'actualisation d'un ticket ajouté automatiquement par une règle. L'actualisation automatique de ces tickets utilisera toujours le mot de passe de connexion.
  • Les appareils ChromeOS tentent d'actualiser automatiquement les tickets pour lesquels un mot de passe est stocké. Il peut s'agir du mot de passe de connexion pour les tickets créés par une règle ou du mot de passe mémorisé pour les tickets créés manuellement.
  • Il n'est pas garanti que les tickets soient actualisés automatiquement à chaque fois, car toutes les tentatives d'actualisation planifiées peuvent échouer (par exemple, si l'appareil est mis en mode veille ou en cas de problèmes réseau). Dans ce cas, les utilisateurs doivent actualiser manuellement le ticket sur la page des paramètres. Si la règle le permet, vous pouvez également vous déconnecter et vous reconnecter pour obtenir automatiquement un nouveau ticket.

Supprimer un ticket

  1. Si vous ne l'avez pas encore fait, connectez-vous à un appareil ChromeOS géré.
  2. En bas à droite, sélectionnez l'heure.
  3. Cliquez sur Paramètres .
  4. Dans la section "Personnes", cliquez sur Tickets Kerberos.
  5. Recherchez le ticket à supprimer.
  6. Sur la droite, cliquez sur Plus puisSupprimer de cet appareil.

Configurer le mode d'obtention des tickets

Les utilisateurs peuvent modifier la configuration Kerberos, krb5.conf, lorsqu'ils ajoutent un nouveau ticket ou qu'ils actualisent un ticket existant. Le code ChromeOS qui interagit avec le centre de distribution de clés (KDC) Kerberos est basé sur la bibliothèque MIT Kerberos. Pour en savoir plus sur la configuration, consultez la documentation MIT Kerberos. Toutefois, toutes les options ne sont pas compatibles.
Voici une liste des options compatibles avec ChromeOS :
Section Relation
[libdefaults]

canonicalize

clockskew

default_tgs_enctypes

default_tkt_enctypes

dns_canonicalize_hostname

dns_lookup_kdc

extra_addresses

forwardable

ignore_acceptor_hostname

kdc_default_options

kdc_timesync

noaddresses

permitted_enctypes

preferred_preauth_types

proxiable

rdns

renew_lifetime

ticket_lifetime

udp_preference_limit
[realms]

admin_server

auth_to_local

kdc

kpasswd_server

master_kdc
[domain_realm]

Toute valeur
[capaths]

Toute valeur

Exemple : Demander une durée de vie de ticket différente

[libdefaults]

        ticket_lifetime = 16h

L'exemple demande un ticket valide pendant 16 heures. La durée de vie peut être limitée côté serveur, où la valeur par défaut est de 10 heures.

Pour modifier la limite côté serveur, procédez comme suit :

  1. Ouvrez la console de gestion des stratégies de groupe.
  2. Accédez à ParamètrespuisParamètres de sécuritépuisRègles du comptepuisRègle Kerberos.
  3. Modifiez la règle Durée de vie maximale des tickets de l'utilisateur.

Exemple : Demander une durée de renouvellement d'un ticket différente

[libdefaults]

        renew_lifetime = 14d

L'exemple demande un ticket qui peut être renouvelé pour une durée de 14 jours. La durée de renouvellement peut être limitée côté serveur, où la valeur par défaut est de sept jours.

Pour modifier la limite côté serveur, procédez comme suit :

  1. Ouvrez la console de gestion des stratégies de groupe.
  2. Accédez à ParamètrespuisParamètres de sécuritépuisRègles du comptepuisRègle Kerberos.
  3. Modifiez la règle Durée de renouvellement maximale des tickets d'un utilisateur.

Résoudre des problèmes

En général, vous pouvez utiliser l'outil de ligne de commande kinit sous Linux pour résoudre les problèmes. ChromeOS est basé sur Linux, et la mise en œuvre des tickets Kerberos utilise kinit. Par conséquent, si vous pouvez obtenir un ticket Kerberos en utilisant kinit sous Linux, vous devriez également pouvoir obtenir un ticket dans ChromeOS avec la même configuration.

Message d'erreur : KDC n'est pas compatible avec le type de chiffrement.

Google applique par défaut le chiffrement AES fort. Si un message d'erreur concernant les types de chiffrement s'affiche, il est possible que certaines parties de votre environnement de serveur ne puissent pas traiter le chiffrement AES. Nous vous recommandons de corriger ce problème.

Sinon, supprimez les trois lignes default_tgs_enctypes, default_tkt_enctypes et permitted_enctypes de la configuration pour le développement. Tous les types de chiffrement présentés dans la documentation MIT Kerberos seront alors activés, à l'exception de ceux indiqués comme faibles. Vérifiez que les implications sur la sécurité correspondent à vos besoins. Certains types de chiffrement ne sont plus considérés comme forts.

Une fois que vous avez vérifié que tous les types de chiffrement fonctionnent, nous vous recommandons de limiter les types de chiffrement pour default_tgs_enctypes, default_tkt_enctypes et permitted_enctypes à un sous-ensemble de types pour réduire les risques de sécurité.

Message d'erreur : Échec de la connexion au serveur pour le domaine.

  1. Vérifiez que le nom d'utilisateur Kerberos que vous avez saisi est correct.
    Le nom d'utilisateur Kerberos [email protected] se compose ainsi :
    • Nom de connexion utilisateur (sAMAccountName)
    • Domaine Kerberos (généralement, le nom de domaine Windows)
  2. Vérifiez que la connexion réseau est correctement configurée.
    Assurez-vous que le serveur est accessible depuis l'appareil ChromeOS à l'aide du port Kerberos 88 standard.
  3. Vérifiez que le DNS est correctement configuré.
    Kerberos demande certains enregistrements SRV DNS pour trouver le nom de domaine DNS du service Kerberos. Par exemple, si le domaine de connexion est example.com et que le nom de domaine DNS du seul service Kerberos est dc.example.com, vous devez ajouter les enregistrements SRV DNS suivants :
Service Protocole Priorité Poids Port Cible (nom d'hôte)
_Kerberos _udp.dc._msdcs 0 100 88 dc.example.com
_Kerberos _tcp.dc._msdcs 0 100 88 dc.example.com
_Kerberos _udp 0 100 88 dc.example.com
_Kerberos _tcp 0 100 88 dc.example.com
_kerberos-master _udp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _tcp.dc._msdcs 0 100 88 dc.example.com
_kerberos-master _udp 0 100 88 dc.example.com
_kerberos-master _tcp 0 100 88 dc.example.com

Si vous ne pouvez pas modifier les paramètres DNS, vous pouvez ajouter ces mappages à la configuration Kerberos.

Exemple :

[realms]

        EXAMPLE.COM = {

            kdc = dc.example.com

        master_kdc = dc.example.com

}

Si vous ne parvenez toujours pas à obtenir des tickets Kerberos, rassemblez les journaux système. Collectez également les journaux tcpdump ou wireshark, si possible. Ensuite, contactez l'assistance.

Message d'erreur : Nom d'utilisateur introuvable sur le serveur.

Vérifiez que l'utilisateur possédant le nom de connexion donné existe dans la base de données Active Directory du serveur.

Message d'erreur : Impossible d'obtenir un ticket Kerberos. Veuillez réessayer ou contacter l'administrateur des appareils de votre organisation. (Code d'erreur X).

Rassemblez les journaux système et contactez l'assistance.

Message d'erreur : Échec de l'authentification Kerberos.

Pour ajouter automatiquement des tickets Kerberos après la connexion, les utilisateurs doivent se connecter à l'aide de leur mot de passe, et non de leur code. Ce mot de passe doit être identique à celui utilisé pour l'authentification auprès du serveur Active Directory lors de l'ajout d'un ticket. Consultez Ajouter un ticket.

S'ils souhaitent continuer à se connecter à l'aide de leur code, ils doivent créer des tickets manuellement.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
4700184430199346416
true
Rechercher dans le centre d'aide
true
true
true
true
true
410864
false
false
false
false
OSZAR »