4. Підключіть клієнти LDAP до сервісу Secure LDAP

Виконайте наведені нижче дії.

1. Виконайте кроки 1–11 в інструменті ldp.exe (Windows), щоб установити сертифікати клієнта.
2. Виберіть Action (Дія) > Connect to… (Підключитися до…).
3. Введіть наведені нижче налаштування підключення.
   
   Name (Назва): введіть назву підключення, наприклад Google LDAP.
   Connection Point (Точка підключення): Select or type a Distinguished Name or Naming Context (Виберіть або введіть унікальне ім’я або контекст імені)
   Введіть доменне ім’я у форматі DN (наприклад, dc=example,dc=com для example.com).
   
   Computer (Комп’ютер): Select or type a domain or server (Виберіть чи введіть домен або сервер)
   ldap.google.com
   
   Use SSL-based Encryption (Використовувати шифрування на основі SSL): вибрано
    
4. Натисніть Advanced… (Розширені…) і введіть наведені нижче дані.
   
   Specify credentials (Указати облікові дані): вибрано
   Username (Ім’я користувача): ім’я користувача для доступу з Консолі адміністратора
   Password (Пароль): пароль для доступу з Консолі адміністратора
   Port Number (Номер порту): 636
   Protocol (Протокол): LDAP
   Simple bind authentication (Автентифікація через просту прив’язку): вибрано
    
5. Натисніть OK, а потім знову OK.
6. Якщо підключення успішне, на панелі праворуч показуватимуться дані Active Directory в базовому унікальному імені.

Щоб використовувати Apache Directory Studio, потрібно налаштувати підключення через stunnel і ввести облікові дані для доступу (ім’я користувача й пароль), створені в Консолі адміністратора Google. Якщо ви вказали облікові дані й підключили stunnel через порт localhost 1389, виконайте наведені нижче кроки.

1. Натисніть File (Файл) > New… (Створити).
2. Виберіть LDAP Browser (Вебпереглядач LDAP) > LDAP Connection (Підключення LDAP).
3. Натисніть Next (Далі).
4. Введіть параметри підключення.
   
   Connection name (Назва підключення): укажіть назву, наприклад Google LDAP.
   Hostname (Ім’я хоста): localhost.
   Port (Порт): 1389 (або порт stunnel).
   Encryption method (Метод шифрування): No encryption (Без шифрування). Примітка. Якщо stunnel працює у віддаленому режимі, радимо вибрати шифрування між stunnel і клієнтом.
    
5. Натисніть Next (Далі).
6. Введіть параметри автентифікації.
   
   Authentication Method (Метод автентифікації): Simple Authentication (Проста автентифікація).
   Bind DN or user (Унікальне ім’я зв’язування або користувача): ім’я користувача для доступу в Консолі адміністратора.
   Bind password (Пароль зв’язування): пароль для доступу в Консолі адміністратора.
    
7. Натисніть Next (Далі).
8. Введіть базове унікальне ім’я.
   Це ваше доменне ім’я у форматі DN (наприклад, dc=example,dc=com для example.com).
9. Натисніть Finish (Готово).

Клієнт Atlassian Jira виконує пошук користувача, щоб отримати більше інформації про нього під час автентифікації. Щоб автентифікація користувачів для цього клієнта LDAP працювала належним чином, потрібно ввімкнути налаштування Читати інформацію про користувача й Читати інформацію про групу для всіх організаційних підрозділів, де ввімкнено параметр Підтвердити облікові дані користувача. Щоб дізнатися більше, перегляньте розділ про налаштування дозволів на доступ.

Важливо. Унаслідок виконання наведених нижче вказівок пароль keystorePassword може стати видимим користувачам і з’явитися у файлах журналу. Вживайте належних заходів для захисту від несанкціонованого доступу до локальної оболонки, файлу журналу й Консолі адміністратора Google. Замість цих вказівок можна скористатися методом stunnel4. Докладніше читайте в розділі (Необов’язково) Використання stunnel як проксі-сервера. 

Примітка. У наведених нижче вказівках припускається, що клієнт Jira встановлено в папці /opt/atlassian/jira.

Щоб підключити Atlassian Jira до сервісу Secure LDAP:

1. Скопіюйте сертифікат і ключ на сервери Jira. Це має бути сертифікат, створений у Консолі адміністратора Google під час додавання клієнта LDAP у сервіс Secure LDAP.
   
   Наприклад:
   $  scp ldap-client.key user@jira-server:
    
2. Конвертуйте сертифікат і ключі у формат Java Keystore. Під час цього процесу з’являтимуться запити ввести паролі. Створіть надійний пароль і використовуйте його для всіх запитів.
   
   $  openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$  sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
    
3. Налаштуйте клієнт Jira на використання нового сховища ключів. Дотримуйтеся вказівок у цій статті, щоб додати параметри:
   
   “-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”
   
   Для Linux:
   1. Відредагуйте файл /opt/atlassian/jira/bin/setenv.sh.
   2. Знайдіть параметр JVM_SUPPORT_RECOMMENDED_ARGS.
   3. Додайте "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password", замінивши частину "password" на пароль, вибраний вище.
4. Перезапустіть клієнт Jira.
   
   $  /opt/atlassian/jira/bin/stop-jira.sh
$  /opt/atlassian/jira/bin/start-jira.sh
    
5. Увійдіть у вебінтерфейс Jira як адміністратор.
   1. Відкрийте Settings (Налаштування) > User management (Керування користувачами). Щоб переглянути налаштування, у верхньому правому куті натисніть значок шестірні.
   2. Натисніть User Directories (Каталоги користувачів).
   3. Натисніть Add Directory (Додати каталог).
   4. Виберіть тип LDAP.
   5. Натисніть Next (Далі).
6. Введіть наведені нижче дані.

   Name (Назва)	Google Secure LDAP
   Directory type (Тип каталогу)	OpenLDAP
   Hostname (Ім’я хоста)	ldap.google.com
   Port (Порт)	636
   Use SSL (Використовувати SSL)	Вибрано
   Username (Ім’я користувача)	Створіть ім’я користувача й пароль у Консолі адміністратора Google. Щоб дізнатись, як створити облікові дані для доступу, перегляньте цю статтю.
   Password (Пароль)	Створіть ім’я користувача й пароль у Консолі адміністратора Google. Щоб дізнатись, як створити облікові дані для доступу, перегляньте цю статтю.
   Base DN (Базове унікальне ім’я)	Доменне ім’я у форматі DN (наприклад, dc=example,dc=com для example.com)
   Additional User DN (Додаткове унікальне ім’я користувача)	(Необов’язково) ou=Users
   Additional Group DN (Додаткове унікальне ім’я групи)	(Необов’язково) ou=Groups
   LDAP Permissions (Дозволи LDAP)	Read only (Лише читання)
   Advanced Settings (Розширені налаштування)	Не змінено
   User Schema Settings (Налаштування схеми користувачів) > User Name Attribute (Атрибут імені користувача)	googleUid
   User Schema Settings (Налаштування схеми користувачів) > User Name RDN Attribute (Атрибут RDN імені користувача)	uid
   Group Schema Settings (Налаштування схеми груп) > Group Object Class (Клас групових об’єктів)	groupOfNames
   Group Schema Settings (Налаштування схеми груп) > Group Object Filter (Фільтр групових об’єктів)	(objectClass=groupOfNames)
   Membership Schema Settings (Налаштування схеми участі) > Group Members Attribute (Атрибут учасників групи)	member
   Membership Schema Settings (Налаштування схеми участі) > Use the User Membership Attribute (Використовувати атрибут участі користувача)	Вибрано

    

7. Призначте роль групі.
   
   Щоб увійти в Atlassian Jira, користувач має бути учасником групи, якій надано доступ до Jira.
   
   Щоб призначити роль групі, виконайте наведені нижче дії.
   1. Натисніть Settings (Налаштування) > Applications (Додатки) > Application access (Доступ до додатка). 
   2. У текстовому полі Select group (Виберіть групу) введіть назву групи, для якої потрібно надати доступ до Jira.

Щоб дізнатися більше про підключення CloudBees Core до сервісу Secure LDAP, перегляньте цю статтю.

Виконайте наведені нижче дії.

1. Установіть і налаштуйте FreeRADIUS у /etc/freeradius/3.0/.
   
   Після цього встановіть плагін freeradius-ldap, щоб додати конфігурацію LDAP.
   
   $  sudo apt-get install freeradius freeradius-ldap
    
2. Скопіюйте ключ клієнта LDAP у папку /etc/freeradius/3.0/certs/ldap-client.key, а файли сертифіката – у папку /etc/freeradius/3.0/certs/ldap-client.crt.
   
   $  chown freeradius:freeradius
     /etc/freeradius/3.0/certs/ldap-client.*
$  chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
    
3. Увімкніть модуль LDAP.
   
   $  cd /etc/freeradius/3.0/mods-enabled/
$  ln -s ../mods-available/ldap ldap
    
4. Відредагуйте файл /etc/freeradius/3.0/mods-available/ldap.
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. identity = ім’я користувача з облікових даних для доступу до додатка
   3. password = пароль з облікових даних для доступу до додатка
   4. base_dn = ‘dc=domain,dc=com’
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = ‘allow’
   9. Позначте як коментарі всі поля в ланцюжку навігації розділу 'ldap -> post-auth -> update'.
5. ​Відредагуйте файл /etc/freeradius/3.0/sites-available/default.
   Це призведе до зміни підключення клієнта FreeRadius. Якщо ви не використовуєте клієнт за умовчанням, оновіть налаштований вами клієнт (наприклад, inner-tunnel або інший).
    
   1. Унизу розділу authorize після інструкції протоколу автентифікації пароля (PAP) додайте такий код:
      
      if (User-Password) {
    update control {
        Auth-Type := ldap
    }
}
       
   2. У розділі authorize вилучіть знак "-", щоб увімкнути LDAP.
      
          #
          #  Модуль LDAP зчитує паролі з бази даних LDAP.
          LDAP
       
   3. У розділі authenticate змініть блок Auth-Type LDAP, як наведено нижче.
      
      # Auth-Type LDAP {
    ldap
# }
       
   4. У розділі authenticate змініть блок Auth-Type PAP, як наведено нижче.
      
      Auth-Type PAP {
    #  pap
    ldap
}

Щоб дізнатися більше про підключення GitLab до сервісу Secure LDAP, перегляньте цю статтю.

Щоб дізнатися більше про підключення Itopia/Ubuntu до сервісу Secure LDAP, перегляньте цю статтю.

Виконайте наведені нижче дії.

1. На вебсервері Ivanti відкрийте в текстовому редакторі файл OpenLDAPAuthenticationConfiguration.xml або OpenLDAPSSLAuthenticationConfiguration.xml у таких двох папках:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework і C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (де servicedesk – це назва екземпляра)
2. Змініть значення <Server> на ldap.google.com.
3. Змініть значення <Port> на 3268 для звичайного тексту з увімкненою опцією StartTLS і на 3269 для порту SSL/TLS (значення за умовчанням для звичайного тексту – 389, а для порту SSL/TLS – 636). 
4. Установіть для значення <TestDN> доменне ім’я у форматі DN (наприклад, dc=example,dc=com для example.com).
5. До файлів ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config і ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config додайте один із наведених нижче рядків.
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   або
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
    
6. У сервісі Ivanti Configuration Center відкрийте потрібний екземпляр.
7. Поруч із додатком Service Desk Framework натисніть Edit (Змінити).
   З’явиться вікно Edit Application (Змінити додаток) для додатка Service Desk Framework.
8. У групі Configuration parameters (Параметри конфігурації) виберіть Explicit only (Лише явне) у списку Logon policy (Правила входу) і натисніть OK.
9. Поруч із додатком Web Access натисніть Edit (Змінити).
   З’явиться вікно Edit Application (Змінити додаток) для додатка Web Access.
10. У групі Configuration parameters (Параметри конфігурації) виберіть Explicit only (Лише явне) у списку Logon policy (Правила входу) і натисніть OK.

Під час входу використовуйте пароль мережі користувача зв’язаного домену.

Реєстрація винятків для автентифікації сервера LDAP

Якщо у вас виникли проблеми з автентифікацією сервера LDAP, можна ввімкнути реєстрацію винятків, яка допоможе визначити проблеми. За умовчанням ця функція вимкнена, тому радимо вам після вирішення проблем знову вимкнути її.

Щоб увімкнути реєстрацію винятків для автентифікації сервера LDAP, виконайте наведені нижче дії.

1. У текстовому редакторі відкрийте відповідний файл XML конфігурації автентифікації:
   
   DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml або OpenLDAPSSLAuthenticationConfiguration.xml
2. Змініть рядок
   
   <ShowExceptions>false</ShowExceptions>
   на 
   <ShowExceptions>true</ShowExceptions>
    
3. Збережіть зміни.

Виконайте наведені нижче дії.

1. Конвертуйте файли сертифіката й ключа в один файл у форматі PKCS12. У командному рядку введіть наведене нижче.
   
   Для macOS або Linux:​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Введіть пароль, щоб зашифрувати вихідний файл.
    

   Для Windows:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Важливо. Обидва файли (<CERT_FILE>.crt й <CERT_FILE>.key) мають зберігатися в одному каталозі. Крім того, файли key й crt повинні мати однакові назви (з різними розширеннями). У цьому прикладі використовуються назви ldap-client.crt й ldap-client.key.

2. Відкрийте панель керування.
3. У полі пошуку введіть "certificate" і натисніть Manage user certificates (Керувати сертифікатами користувача).
4. Виберіть Action (Дія) > All Tasks (Усі завдання) > Import… (Імпорт…).
5. Виберіть Current User (Поточний користувач) і натисніть Next (Далі).
6. Натисніть Browse… (Огляд…).
7. У спадному меню file type у нижньому правому куті діалогового вікна виберіть Personal Information Exchange (*.pfx;*.p12) (Обмін особистою інформацією (*.pfx;*.p12)).
8. Виберіть файл ldap-client.p12 із кроку 2, натисніть Open (Відкрити), а потім – Next (Далі).
9. Введіть пароль із кроку 2 і натисніть Next (Далі).
10. Виберіть особисте сховище сертифікатів, натисніть Next (Далі), а потім – Finish (Готово).
11. Запустіть Ldp.exe.
12. Виберіть Connection (Підключення) > Connect… (Підключити…)
13. Введіть наведені далі дані підключення.
    
    Server (Сервер): ldap.google.com
    Port (Порт): 636
    Connectionless (Без підключення): не вибрано
    SSL: вибрано
     
14. Натисніть OK.
15. Виберіть View (Перегляд) > Tree (Дерево).
16. Введіть базове унікальне ім’я. Це ваше доменне ім’я у форматі DN (наприклад, dc=example,dc=com для example.com).
17. Натисніть OK.
18. Якщо підключення успішне, на панелі праворуч LDP.exe відображатиме вміст Active Directory (наприклад, усі атрибути в базовому унікальному імені).

Щоб дізнатися більше про підключення Netgate/pfSense до сервісу Secure LDAP, перегляньте цю статтю.

Щоб отримати доступ до каталогу LDAP за допомогою командного рядка, скористайтеся командою OpenLDAP ldapsearch.

Наприклад, файли ключа й сертифіката називаються ldap-client.crt й ldap-client.key, домен – example.com, а ім’я користувача – ikovalenko:

$   LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=ikovalenko)'

Завдяки цьому відповідні змінні середовища вказуватимуть на ключі клієнта. Ви можете замінити інші параметри ldapsearch потрібними фільтрами, атрибутами тощо. Докладнішу інформацію можна знайти в посібнику ldapsearch ("man ldapsearch").

Виконайте наведені нижче дії.

1. Конвертуйте файли сертифіката й ключа в один файл у форматі PKCS12. У командному рядку введіть наведене нижче.
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Введіть пароль, щоб зашифрувати вихідний файл.
    
2. Натисніть значок у верхньому правому куті панелі меню й введіть Keychain Access (Доступ до в’язки).
3. Відкрийте додаток Keychain Access і в списку ліворуч натисніть System (Система).
4. У верхньому лівому куті панелі меню натисніть File (Файл) і виберіть Import Items (Імпортувати об’єкти).
5. Перейдіть у папку зі створеним файлом ldap-client.p12, виберіть ldap-client.p12 і натисніть Відкрити.
   Якщо потрібно, введіть пароль.
   Сертифікат із назвою LDAP Client відобразиться в списку сертифікатів в’язки ключів системи. 
6. Натисніть стрілку поруч із сертифікатом клієнта LDAP. Унизу з’явиться секретний ключ. 
   1. Двічі натисніть його.
   2. У діалоговому вікні виберіть вкладку Access Control (Контроль доступу) і натисніть знак + у лівому нижньому куті.

   3. Коли вікно відкриється, натисніть Command+Shift+G, щоб відкрити нове вікно й замінити наявний текст на /usr/bin/ldapsearch.

   4. Натисніть Go (Відкрити).
      
      Відкриється вікно, де ldapsearch буде виділено.

   5. Натисніть Add (Додати).

   6. Натисніть Save Changes (Зберегти зміни) і за потреби введіть пароль.
      
      Тепер ви готові отримати доступ до каталогу LDAP із командного рядка за допомогою команди OpenLDAP ldapsearch.

7. Наприклад, файл ldap-client.p12, імпортований у в’язку ключів, називається LDAP client, ваш домен – example.com, а ім’я користувача – ikovalenko. Введіть наведене нижче.
   
   $   LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=ikovalenko)'

Завдяки цьому відповідні змінні середовища вказуватимуть на імпортований сертифікат клієнта. Ви можете замінити інші параметри ldapsearch потрібними фільтрами, атрибутами тощо. Докладну інформацію можна знайти в посібнику ldapsearch (man ldapsearch).

Виконайте наведені нижче дії.

1. За потреби встановіть і налаштуйте рішення OpenVPN. Якщо це вже зроблено, відкрийте в ньому сторінку налаштувань.
   
   Загальне налаштування VPN не наведено в цій довідковій статті. Коли VPN установлено, можна налаштувати автентифікацію і авторизацію користувачів через LDAP. Зокрема, потрібно встановити плагін openvpn-auth-ldap.
   
   $  sudo apt-get install openvpn openvpn-auth-ldap
    
2. Скопіюйте ключ клієнта LDAP у папку /etc/openvpn/ldap-client.key, а сертифікат – у папку /etc/openvpn/ldap-client.crt.
3. Створіть файл /etc/openvpn/auth-ldap.conf із наведеним нижче вмістом (у прикладі доменне ім’я – це example.com).
   
   <LDAP>
  URL ldaps://ldap.google.com:636 #
  Timeout 15
  TLSEnable false
  TLSCACertDir /etc/ssl/certs
  TLSCertFile /etc/openvpn/ldap-client.crt
  TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
  BaseDN "dc=example,dc=com"
  SearchFilter "(uid=%u)" # (або виберіть свій фільтр LDAP для користувачів)
  RequireGroup false
</Authorization>
    
4. Змініть файл конфігурації OpenVPN із назвою /etc/openvpn/server.conf або подібною. Унизу файлу додайте:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
    
5. Перезапустіть сервер OpenVPN.
   
   $  sudo systemctl restart openvpn@server
    
6. Налаштуйте клієнти VPN так, щоб використовувалися імена користувачів і паролі. Наприклад, додайте auth-user-pass у кінець файлу конфігурації клієнта OpenVPN й запустіть клієнт OpenVPN:
   
   $  openvpn --config /path/to/client.conf
    
7. Виконайте вказівки для використання stunnel як проксі-сервера, описані в цій статті.

Щоб дізнатися більше про підключення OpenVPN Access Server до сервісу Secure LDAP, перегляньте цю статтю.

Щоб дізнатися більше про підключення PaperCut до сервісу Secure LDAP, перегляньте цю статтю.

Щоб дізнатися більше про підключення Puppet Enterprise до сервісу Secure LDAP, перегляньте цю статтю.

Важливо. Перш ніж почати, переконайтеся, що у вас установлено Softerra LDAP Browser версії 4.5 (4.5.19808.0) або новішої. Перегляньте LDAP Browser 4.5.

Виконайте наведені нижче дії.

1. Конвертуйте файли сертифіката й ключа в один файл у форматі PKCS12. У командному рядку введіть наведене нижче.
   
   Для macOS або Linux:​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Введіть пароль, щоб зашифрувати вихідний файл.
    

   Для Windows:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Важливо. Обидва файли (<CERT_FILE>.crt й <CERT_FILE>.key) мають зберігатися в одному каталозі. Крім того, файли key й crt повинні мати однакові назви (з різними розширеннями). У цьому прикладі використовуються назви ldap-client.crt й ldap-client.key.

2. У Softerra LDAP Browser встановіть пару ключів.
   1. Натисніть Tools (Інструменти) > Certificate Manager (Менеджер сертифікатів).
   2. Натисніть Import… (Імпортувати).
   3. Натисніть Next (Далі).
   4. Натисніть Browse… (Огляд…).
   5. У спадному списку File type (Тип файлу) у нижньому правому куті діалогового вікна виберіть Personal Information Exchange (Обмін особистою інформацією) (*.pfx;*.p12).
   6. Виберіть файл ldap-client.p12 із кроку 2 вище.
   7. Натисніть Open (Відкрити), а потім – Next (Далі).
   8. Введіть пароль із кроку 2 вище й натисніть Next (Далі).
   9. Виберіть особисте сховище сертифікатів.
   10. Натисніть Next (Далі).
   11. Натисніть Finish (Готово).
3. Додайте профіль сервера.
   1. Натисніть File (Файл) > New (Створити) > New Profile… (Новий профіль).
   2. Введіть назву профіля, як-от Google LDAP.
   3. Натисніть Next (Далі).
      
      Введіть наведені далі дані.
      
      Host (Хост): ldap.google.com
      Port (Порт): 636
      Base DN (Базове унікальне ім’я): ваше доменне ім’я у форматі DN (наприклад, dc=example,dc=com для example.com)
      Use secure connection (SSL) (Використовувати захищене підключення (SSL)): вибрано
       
   4. Натисніть Next (Далі).
   5. Виберіть External (SSL Certificate) (Зовнішній сертифікат SSL).
   6. Натисніть Next (Далі).
   7. Натисніть Finish (Готово).

Щоб дізнатися більше про підключення Sophos Mobile до сервісу Secure LDAP, перегляньте цю статтю.

Якщо ви хочете підключити Splunk до сервісу Secure LDAP, обов’язково використовуйте Splunk версії 8.1.4 або новішої. Через роботу зі старішими версіями Splunk (наприклад, Splunk версії 8.1.3) на сервер LDAP може надсилатися надмірна кількість запитів, що призводить до перевищення квоти. Щоб дізнатися більше про проблеми в Splunk версії 8.1.3, перегляньте статтю Відомі проблеми зі Splunk.

Виконайте наведені нижче дії.

1. Скопіюйте ключ клієнта LDAP у папку /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key, а сертифікат – у папку /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt.
   
   $  cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$  sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$  sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
    
2. Додайте у файл ldap.conf такі параметри конфігурації:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3.  Додайте у файл /home/splunkadmin/.ldaprc користувача такі параметри конфігурації:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
    
4. Додайте стратегію LDAP через вебінтерфейс Splunk. Введіть наведені нижче дані й натисніть Save (Зберегти).
    

Name (Назва)	Google Secure LDAP
Host (Хост)	ldap.google.com
Port (Порт)	636
SSL enabled (Увімкнено SSL)	Вибрано
Connection order (Порядок підключення)	1
Bind DN (Унікальне ім’я зв’язування)	Укажіть облікові дані для доступу, створені в Консолі адміністратора Google.
Bind DN password (Пароль унікального імені зв’язування)	Укажіть облікові дані для доступу, створені в Консолі адміністратора Google.
Base DN (Базове унікальне ім’я)	Доменне ім’я у форматі DN (наприклад, dc=example,dc=com для example.com)
User base filter (Фільтр бази користувачів)	Введіть фільтр бази користувачів для класу об’єктів, за яким потрібно відфільтрувати користувачів.
User name attribute (Атрибут імені користувача)	uid
Real name attribute (Атрибут справжнього імені)	displayname
Email attribute (Атрибут електронної пошти)	mail
Group mapping attribute (Атрибут зіставлення груп)	dn
Group base DN (Базове унікальне ім’я групи)	Доменне ім’я у форматі DN (наприклад, ou=Groups,dc=example,dc=com дляexample.com)
Static group search filter (Фільтр пошуку статичної групи)	Введіть фільтр пошуку статичної групи для класу об’єктів, за яким потрібно відфільтрувати статичні групи.
Group name attribute (атрибут назви групи)	cn
Static member attribute (Атрибут статичного учасника)	member

 

Клієнт SSSD виконує пошук користувача, щоб отримати більше інформації про нього під час автентифікації. Щоб автентифікація користувачів для цього клієнта LDAP працювала належним чином, потрібно ввімкнути налаштування Читати інформацію про користувача й Читати інформацію про групу для всіх організаційних підрозділів, де ввімкнено параметр Підтвердити облікові дані користувача. Щоб дізнатися більше, перегляньте розділ про налаштування дозволів на доступ.

Щоб підключити клієнт SSSD у Red Hat 8 або CentOS 8 до сервісу Secure LDAP, виконайте наведені нижче дії.

1. Додайте клієнт SSSD до сервісу Secure LDAP:
   1. У Консолі адміністратора Google перейдіть до розділу Додатки > LDAP > ДОДАТИ КЛІЄНТ.
      Щоб зробити це, увійдіть у свій корпоративний обліковий запис (не в особистий обліковий запис Gmail).
   2. Введіть дані клієнта й натисніть ПРОДОВЖИТИ.
   3. Налаштуйте Дозволи на доступ:
      Підтвердити облікові дані користувача – Увесь домен
      Читати інформацію про користувача – Увесь домен
      Читати інформацію про групу – Увімкнено
   4. Натисніть ДОДАТИ КЛІЄНТ LDAP.
   5. Завантажте згенерований сертифікат
   6. Натисніть ПЕРЕЙТИ НА СТОРІНКУ З ІНФОРМАЦІЄЮ ПРО КЛІЄНТ.
   7. Змініть статус сервісу на УВІМКНЕНО.
2. Установіть залежності:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   Розпакуйте файл .zip із сертифікатом і скопіюйте файли .crt й .key в папку /etc/sssd/ldap
    
3. (Необов’язково) Перевірте підключення за допомогою ldapsearch:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D [email protected] \
-W \
'([email protected])' \
mail dn
   
   Введіть пароль Google користувача, коли з’явиться запит.
   
   Примітка. Користувач повинен мати призначену ліцензію Google Workspace Enterprise або Cloud Identity Premium.

4. Створіть файл /etc/sssd/sssd.conf із таким вмістом:
    

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. Оновіть дозволи й мітки SELinux:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
    
6. Перезапустіть SSSD:
   
   systemctl restart sssd
    
7. Перевірте:
   
   з’єднання SSH із сервером:

   ssh -l [email protected] {HOSTNAME}

Вирішення проблем

1. Перевірте версію SSSD (має бути версія 1.15.2 або новіша):
   
   # sssd --version
2.2.3
    

2. Для RHEL/CentOS (або іншого дистрибутива з примусовим застосуванням SELinux) файли конфігурації SSSD, сертифіката й ключа мають зберігатися в каталозі, доступному для ролі sssd_conf_t:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   Перевірте файл /var/log/audit/audit.log на наявність повідомлень про відхилення AVC.
    

3. Переконайтеся, що у файлі /etc/nsswitch.conf для об’єктів passwd, shadow, group і netgroup указано значення "sss":
   
   passwd:  files sss
shadow:  files sss
group:   files sss
netgroup:  files sss
   
   Тут локальні файли перевизначають користувачів LDAP.
    
4. Перевірте файл /var/log/sssd.conf на наявність помилок конфігурації.
    

   Приклад
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Skipping.

   Потрібна дія: змініть права доступу до файлу .conf за допомогою команди chmod 600.

   Приклад
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   Потрібна дія: вилучіть із файлу sssd.conf. непідтримувані розширення LDAP для групових збігів.

5. Перевірте файл /var/log/sssd_{DOMAIN}.log на наявність помилок LDAP/network/auth.
   
   Приклад

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   Потрібна дія: додайте "ldap_tls_reqcert = never" у файл sssd.conf.

   Щоб підвищити рівень деталізації помилок, додайте "debug_level = 9" у файл sssd.conf у розділі домену й перезапустіть SSSD.

Клієнт SSSD виконує пошук користувача, щоб отримати більше інформації про нього під час автентифікації. Щоб автентифікація користувачів для цього клієнта LDAP працювала належним чином, потрібно ввімкнути налаштування Читати інформацію про користувача й Читати інформацію про групу для всіх організаційних підрозділів, де ввімкнено параметр Підтвердити облікові дані користувача. Щоб дізнатися більше, перегляньте розділ про налаштування дозволів на доступ.

Щоб підключити клієнт SSSD до сервісу Secure LDAP, виконайте наведені нижче дії.

1. Установіть SSSD версії 1.15.2. або новішої.
   
   $  sudo apt-get install sssd
    
2. Наприклад, файли ключа й сертифіката називаються /var/ldap-client.crt й /var/ldap-client.key, а домен – example.com. Відредагуйте файл /etc/sssd/sssd.conf таким чином:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
    

3. Змініть власника файлу конфігурації і дозвіл на доступ до нього:
   
   $  sudo chown root:root /etc/sssd/sssd.conf
$  sudo chmod 600 /etc/sssd/sssd.conf

4. Перезапустіть SSSD:
   
   $  sudo service sssd restart

Підказка. Якщо ви використовуєте модуль SSSD на комп’ютерах Linux без зовнішніх IP-адрес у Google Compute Engine, ви все одно можете під’єднатися до сервісу Secure LDAP, поки у вас увімкнено внутрішній доступ до сервісів Google. Щоб дізнатися більше, перегляньте статтю Налаштування приватного доступу Google. 

Щоб підключити клієнт macOS для автентифікації облікових записів користувачів за допомогою сервісу Secure LDAP, виконайте наведені нижче дії.

Вимоги до системи

• Має бути macOS Catalina версії 10.15.4 або новішої.
• Щоб виконати крок 1 на етапі підготовки, потрібен ідентифікатор суперадміністратора Google.
• Для налаштування ви повинні мати дозвіл локального адміністратора.

Зміст

• Етап підготовки
• Етап розгортання
• Обмеження й вказівки
• Вирішення проблем

Етап підготовки

Цей розділ містить вказівки з налаштування вручну й перевірки автентифікації macOS за допомогою сервісу Secure LDAP.

Крок 1. Зареєструйте macOS як клієнт LDAP у Консолі адміністратора Google

Вказівки можна переглянути в статті Як додавати клієнти LDAP або в цьому демонстраційному відео про Secure LDAP. Під час цього потрібно також завантажити автоматично створений сертифікат клієнта TLS. 

Крок 2. Імпортуйте сертифікат у в’язку ключів системи

1. Скопіюйте сертифікат (завантажений файл .zip на кроці 1) і ключ на комп’ютер із macOS.
   Порада. Розпакуйте файл .zip із сертифікатом і ключем.
2. Імпортуйте пару ключів у в’язку ключів системи. 

   1. Конвертуйте ключ і сертифікат у файл PKCS 12 (p12). У терміналі виконайте таку команду:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      Порада. Запишіть назву файлу .p12.
      
      Система попросить вас ввести пароль. Укажіть пароль, щоб зашифрувати файл p12.

   2. Відкрийте додаток Keychain Access.

   3. Виберіть в’язку ключів System (Система).

   4. Натисніть File (Файл) > Import Items (Імпортувати об’єкти).

   5. Виберіть створений раніше файл ldap-client.p12.

   6. Якщо потрібно, введіть пароль адміністратора, щоб дозволити зміну в’язки ключів системи.

   7. Укажіть створений раніше пароль, щоб дешифрувати файл .p12.

      Примітка. Новий сертифікат і пов’язаний секретний ключ з’являться в списку ключів. Сертифікат може називатися Клієнт LDAP. Запишіть назву сертифіката для наступного кроку.
       
   8. Виконайте крок 6, описаний у розділі ldapsearch (macOS) цієї статті, щоб налаштувати контроль доступу для секретного ключа й включити додатки, наведені нижче. Якщо секретного ключа немає в категорії All Items (Усі об’єкти), перейдіть до категорії My Certificates (Мої сертифікати) і розгорніть відповідний сертифікат, щоб знайти потрібний секретний ключ.
      
      Додаток ldapsearch, як зазначено у вказівках, потрібен лише для вирішення проблем. Зазвичай його вилучають перед наданням користувачам доступу до macOS.
      
      У список контролю доступу потрібно включити такі три додатки:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. ​Додайте рядок у файл /etc/openldap/ldap.conf, переконавшись, що "Клієнт LDAP" збігається з назвою сертифіката в додатку macOS Keychain Access після імпорту файлу .p12 (назва походить від загальної назви теми згенерованого сертифіката X.509):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

Крок 3. Виберіть на пристрої каталог Google для автентифікації

Відкрийте додаток Directory Utility (Утиліта каталогів), щоб створити новий вузол каталогу LDAP:

1. Натисніть значок замка й введіть свій пароль.
2. Виберіть LDAPv3 й натисніть значок олівця, щоб змінити налаштування.
3. Натисніть New… (Створити).
4. Введіть назву сервера ldap.google.com, виберіть Encrypt using SSL (Зашифрувати за допомогою SSL) і натисніть Manual (Вручну).
5. Виберіть нову назву сервера й натисніть Edit… (Змінити).
6. Укажіть описову назву конфігурації, наприклад Google Secure LDAP.
7. Виберіть Encrypt using SSL (Зашифрувати за допомогою SSL) і переконайтеся, що номер порту – 636.
8. Перейдіть на вкладку Search & Mappings (Пошук і зіставлення).
   1. У розкривному списку Access this LDAPv3 server using (Отримати доступ до цього сервера LDAPv3) виберіть RFC2307.
   2. Коли з’явиться запит, введіть інформацію про домен у поле Search Base Suffix (Суфікс бази пошуку). Наприклад, для доменного імені zomato.com введіть dc=zomato,dc=com.
   3. Натисніть OK.
   4. Налаштуйте атрибути для типу запису Users (Користувачі):
      1. У розділі Record Types and Attributes (Типи записів і атрибути) виберіть Users (Користувачі) і натисніть кнопку +.
      2. У спливаючому вікні виберіть Attribute Types (Типи атрибутів) і GeneratedUID, а потім натисніть OK, щоб закрити вікно.
         
         Якщо розгорнути розділ Users (Користувачі), у ньому має відображатися GeneratedUID.
          
      3. Виберіть "GeneratedUID" й у вікні праворуч натисніть значок +.
      4. Введіть apple-generateduid у текстовому полі й натисніть клавішу Enter.
      5. У вузлі Users (Користувачі) виберіть атрибут NFSHomeDirectory.
      6. На екрані праворуч налаштуйте для цього атрибута значення #/Users/$uid$.
      7. Натисніть OK і введіть пароль, щоб зберегти зміни.
9. У вікні Directory Utility (Утиліта каталогів) створіть нову конфігурацію LDAP:
   1. Перейдіть на вкладку Search Policy (Правила пошуку).
   2. Натисніть значок замка, щоб внести зміни, і укажіть пароль поточного користувача.
   3. Змініть опцію Search Path (Шлях пошуку) на Custom path (Власний шлях).
   4. Перейдіть на вкладку Authentication (Автентифікація) і натисніть значок +. 
   5. Виберіть /LDAPv3/ldap.google.com зі списку Directory Domains (Домени каталогу) і натисніть Add (Додати).
   6. Натисніть Apply (Застосувати) і введіть пароль адміністратора, коли з’явиться відповідний запит.
10. Виконайте наведені нижче чотири команди, щоб вимкнути механізми автентифікації DIGEST-MD5, CRAM-MD5, NTLM і GSSAPI SASL. У macOS використовуватиметься просте зв’язування для автентифікації за допомогою сервісу Google Secure LDAP:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist 

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
     
11. Перезапустіть пристрій, щоб оновити конфігурацію OpenDirectory.

Крок 4. Створіть обліковий запис для мобільного пристрою (дозволяє входити в систему офлайн)

Будь-який користувач Google Workspace або Cloud Identity може ввійти за допомогою мережевого облікового запису (обліковий запис Google), використовуючи своє ім’я користувача й пароль. Для цього потрібне з’єднання з мережею. Якщо потрібно ввійти незалежно від з’єднання з мережею, можна створити обліковий запис для мобільного пристрою. Завдяки цьому можна використовувати ім’я користувача й пароль мережевого облікового запису (обліковий запис Google) для входу незалежно від з’єднання з мережею. Щоб дізнатися більше, перегляньте статтю про створення й налаштування мобільних облікових записів на пристроях Mac.

Щоб створити мобільний обліковий запис для користувачів Secure LDAP:

1. Виконайте наведену нижче команду, щоб підключитися до сервера Secure LDAP і налаштувати головний шлях та мобільні облікові записи:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v 
   
   Підказка. Замість $uid укажіть ім’я користувача з електронної адреси, пов’язаної з обліковим записом Google. Наприклад, ikovalenko – це ім’я користувача з електронної адреси [email protected].

2. Коли з’явиться відповідний запит, укажіть ім’я користувача з облікового запису адміністратора SecureToken і введіть пароль. Значення $uid буде додано у FileVault. Це потрібно зробити, якщо диск macOS зашифровано. 

Крок 5. (Необов’язково) Налаштуйте екран входу

1. Унизу зліва натисніть System preferences (Системні параметри) > Users & Groups (Користувачі й групи) > Login Options (Параметри входу).
2. Укажіть облікові дані адміністратора.
3. Змініть параметр Display login window as (Показувати вікно входу як) на Name and password (Ім’я і пароль).

Крок 6. Перезапустіть свій пристрій і ввійдіть на ньому в обліковий запис

1. Перевірте, чи пристрій під’єднано до Інтернету. Якщо у вас немає інтернет-з’єднання, вхід для користувача Secure LDAP буде недоступний.
   Примітка. Інтернет-з’єднання потрібне лише для першого входу. Для наступних входів доступ до Інтернету не знадобиться. 
2. На пристрої ввійдіть в обліковий запис користувача, налаштований на автентифікацію Secure LDAP. 

Етап розгортання

Цей розділ містить вказівки з автоматизації конфігурації пристрою для ваших користувачів. Виконайте кроки 1 і 2, наведені нижче, на тому ж пристрої з macOS, на якому ви виконали налаштування вручну на етапі підготовки. 

Крок 1. Створіть профіль Mac із сертифікатом за допомогою Apple Configurator 2

1. Установіть додаток Apple Configurator 2 на комп’ютері, на якому вручну налаштовано автентифікацію macOS за допомогою Secure LDAP.
2. Відкрийте Apple Configurator 2 й створіть новий профіль. У розділі Certificate (Сертифікат) натисніть Configure (Налаштувати) й імпортуйте згенерований раніше файл .p12.

   Примітка. Переконайтеся, що у файлу .p12 є пароль. Введіть пароль у розділі Password (Пароль).

3. Збережіть профіль. 
4. (Для пристроїв із процесорами M1 або M2 пропустіть цей крок і перейдіть до кроку 5.) Відкрийте цей профіль у будь-якому текстовому редакторі й додайте наведені нижче рядки в перший тег <dict>.
   
   <key>PayloadScope</key>
<string>System</string>
   
   Це потрібно зробити, оскільки Apple Configurator ще не підтримує профілі macOS.
    
5. У другому тегу <dict> поруч із даними сертифіката додайте такі рядки:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   Завдяки цьому доступ до цього сертифіката отримають всі додатки.

Крок 2. Конвертуйте файл конфігурації каталогу у формат XML 

У цьому розділі описано, як вилучити конфігурації, налаштовані вручну на кроці 3, у файл XML. Крім того, ви можете використати цей файл і профіль Mac, створені на кроці 1, щоб автоматично налаштувати інші пристрої з macOS. 

1. Скопіюйте файл /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist на робочий стіл або в інше місце.
2. Конвертуйте цей файл у формат XML, щоб переглянути його в будь-якому текстовому редакторі. У терміналі виконайте таку команду:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   Ви можете отримати доступ до файлу за такою адресою: <path>/ldap.google.com.plist.
    
3. Змініть дозвіл на доступ до файлу вище, щоб відкрити файл XML. Переконайтеся, що він не порожній.

Крок 3. Створіть скрипт Python для автоматизації налаштування на пристроях кінцевих користувачів

Скопіюйте скрипт Python, наведений нижче, і збережіть його у форматі файлу Python (файл .py).

Примітка. Цей приклад скрипта сумісний із Python версії 3.10.x. Цей скрипт надається без гарантій. Google не надає підтримку для таких скриптів. 

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Читання файлу plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Запис файлу plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b'\x00'*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Редагування шляху пошуку за умовчанням і додавання нового вузла для входу в систему
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

Крок 4. Виконайте автоматичне налаштування пристроїв кінцевих користувачів

Перейдіть до інших пристроїв із macOS, які потрібно налаштувати, і виконайте наведені нижче вказівки.

1. Скопіюйте на пристрій файл профілю Mac, згенерований на кроці 1, файл конфігурації XML, створений на кроці 2, і скрипт Python із кроку 3.
2. Щоб установити потрібну залежність для скрипта, виконайте цю команду:
   python3 -m pip install pyobjc-framework-opendirectory
3. Потім виконайте таку команду:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. Щоб імпортувати сертифікати у в’язку ключів системи macOS, двічі натисніть файл профілю Mac, згенерований на кроці 1, і вкажіть облікові дані локального адміністратора macOS, коли з’явиться відповідний запит. Потім потрібно ввести пароль файлу .p12, установлений на етапі підготовки. 
5. Перезапустіть комп’ютер macOS.
6. Створіть мобільні облікові записи відповідно до вказівок у кроці 4 етапу підготовки й за потреби налаштуйте додаткові параметри, описані в кроці 5.

Обмеження й вказівки

• Якщо користувачі входять в облікові записи на пристроях із macOS за допомогою облікових даних Google, ім’я користувача їх облікового запису Workspace має відрізнятися від ідентифікатора користувача профілю macOS. Інакше вхід буде заблоковано.
• Після входу на пристрій із macOS за допомогою облікових даних Google керування паролем користувача (скидання або відновлення) здійснюється на вебсайті Google (наприклад, на сторінці myaccount.google.com або в Консолі адміністратора Google). Якщо ви вирішили керувати паролем за допомогою стороннього рішення, ваш останній пароль має бути синхронізовано з Google.
• Якщо адміністратор створить нового користувача або скине пароль наявного користувача з увімкненим параметром Запитати зміну пароля під час наступного входу в систему, користувач не зможе ввійти на пристрої з Mac за допомогою тимчасового пароля, налаштованого адміністратором. 
  Вирішення. Користувач має ввійти в обліковий запис Google на іншому пристрої (наприклад, на мобільному пристрої або іншому комп’ютері), налаштувати постійний пароль і ввійти в обліковий запис на пристрої з macOS за допомогою нового пароля. 
• Комп’ютер Mac повинен мати інтернет-з’єднання, щоб відкрити сторінку ldap.google.com під час першого входу після налаштування, указаного вище.  Якщо ви налаштували мобільний обліковий запис, для наступного входу доступ до Інтернету не знадобиться.
• Інтеграція Google Secure LDAP із macOS тестується на macOS Catalina, Big Sur і Monterey.

Вирішення проблем

Якщо у вас виникли проблеми з підключенням до сервісу Secure LDAP, виконайте наведені нижче вказівки.

Крок 1. Перевірте підключення

Перевірте підключення за допомогою odutil.
Виконайте команду odutil show nodenames у терміналі.
Переконайтеся, що статус /LDAPv3/ldap.google.com онлайн. Якщо ні, спробуйте варіант "telnet".

Перевірте підключення за допомогою nc.
Виконайте команду nc -zv ldap.google.com 636 у терміналі.
Якщо підключитися до Google не вдасться, спробуйте скористатися IPv4.

Перевірте підключення за допомогою IPv4.
Щоб використовувати IPv4, виконайте наведені нижче дії.

1. Натисніть System preferences (Системні параметри) > Network (Мережа) > Wi-Fi > Advanced (Додатково).
2. У меню Advanced (Додатково) перейдіть на вкладку TCP/IP.
3. У спадному меню замість Configure IPv6 виберіть Link-local only (Лише локальне з’єднання).
4. Натисніть OK, а потім – Apply (Застосувати), щоб зберегти зміни.
5. Перевірте автентифікацію сервісу за допомогою ldapsearch, виконавши підключення й пошук.

Крок 2: Перевірте, чи відображаються об’єкти каталогу

1. Відкрийте Directory Utility (Утиліта каталогів) і перейдіть на вкладку Directory Editor (Редактор каталогів). 
2. У спадному списку виберіть вузол /LDAPv3/ldap.google.com.
3. Перевірте, чи відображаються користувачі й групи з домену Google.