Chromebook SSO mit Active Directory konfigurieren
Konfigurieren Sie zuerst XG Firewall.
- Ihr Active-Directory-Server ist bereits für die Verwendung mit G Suite konfiguriert und die Synchronisierung hat stattgefunden.
- Sie wissen, wie man einen Active-Directory-Server in XG Firewall konfiguriert.
- Sie wissen, wie man Zertifikate erstellt oder importiert.
- Sie wissen, wie man Firewallregeln erstellt.
- Chromebooks können sich mit dem von XG Firewall kontrollierten Netzwerk verbinden, z.B. dem LAN oder WLAN.
-
Active-Directory-Server erstellen.
Die Chromebook-Benutzer im AD müssen E-Mail-Adressen haben, welche die bei G Suite registrierte Domäne verwenden. Wenn Ihre registrierte Domäne z.B. example.com ist, müssen AD-Chromebook-Benutzer eine E-Mail-Adresse der Form user@example.com haben.
-
Ändern Sie den Appliance-Zugriff, um Chromebook SSO zuzulassen.
Gehen Sie zu Verwaltung > Appliance-Zugriff und wählen Sie Chromebook SSO für die Zone, aus der sich die Chromebook-Benutzer verbinden dürfen, z.B. LAN und WLAN.
-
Erstellen oder importieren Sie ein gültiges Zertifikat.
Anmerkung Der CN muss mit der Zone oder dem Netzwerk übereinstimmen, wo sich die Chromebook-Benutzer befinden, z.B. gateway.example.com.Das Zertifikat wird für die SSL-verschlüsselte Kommunikation mit den Chromebooks verwendet.
Das Zertifikat darf nicht durch ein Kennwort geschützt sein.
-
Gehen Sie zu Authentifizierung > Dienste > Chromebook SSO, schalten Sie die Chromebook-SSO-Funktion ein und legen Sie die folgenden Einstellungen fest:
Option Bezeichnung Domäne Die bei G Suite registrierte Domäne, also das Domänen-Suffix der in G Suite verwendeten E-Mail-Adressen, zum Beispiel example.com. Dies kann sich von Ihrer Active-Directory-Domäne unterscheiden. Port 65123 Zertifikat Das oben erstellte oder importierte Zertifikat. Protokollierungsstufe Wählen Sie den Umfang der Protokollierung. -
Klicken Sie auf G Suite App-Konfiguration herunterladen.
Dadurch wird eine JSON-Datei heruntergeladen, die Sie später in G Suite hochladen müssen.
-
Öffnen Sie die Datei mit einem Texteditor, geben Sie einen Wert für Serveradresse ein (LAN- oder DNS-IP-Adresse der XG Firewall), und speichern Sie.
Die Serveradresse muss mit der CN des Zertifikats übereinstimmen, z.B. 10.1.1.1.
-
Erstellen Sie Firewallregeln.
-
Erstellen Sie eine Benutzer-/Netzwerkregel, um Google API und Chrome Web Store die Kommunikation mit allen Geräten zu gestatten. Dies ist nötig, um die App auf die Chromebooks zu senden:
- Quellzonen, z.B.: LAN, WLAN
- Zielzonen, z.B.: WAN
- Zielnetzwerke: Wählen Sie die vordefinierten FQDN-Hostgruppen Google API Hosts und Google Chrome Web Store aus.
-
Erstellen Sie eine Benutzer-/Netzwerkregel, die bekannte Benutzer abgleicht und unbekannten Benutzern das Captive-Portal anzeigt, um Chromebooks Internetzugriff zu gewähren.
- Quellzonen, z.B.: LAN, WLAN
- Zielzonen, z.B.: WAN
- Identität: Wählen Sie die folgenden Optionen aus: Übereinstimmung mit bekannten Benutzern, Unbekannten Benutzern das Captive-Portal anzeigen
Sortieren Sie beide Regeln, sodass Regel A vor Regel B angewendet wird.
Wenn Sie in Regel B nicht Unbekannten Benutzern das Captive-Portal anzeigen auswählen, empfehlen wir, dass Sie eine weitere Netzwerkregel C erstellen, um mögliche Wartezeiten zu vermeiden, wenn der Chrome Web Store kontaktiert wird.
-
Erstellen Sie ein Benutzer-/Netzwerkregel mit den folgenden Einstellungen:
- Regeltyp: Ablehnen
- Quellzonen, z.B.: LAN, WLAN
- Zielzonen: WAN
Platzieren Sie die Regel unten auf der Liste, sodass die Regel zuletzt angewendet wird.
-
Erstellen Sie eine Benutzer-/Netzwerkregel, um Google API und Chrome Web Store die Kommunikation mit allen Geräten zu gestatten. Dies ist nötig, um die App auf die Chromebooks zu senden: