Эта функция доступна в версиях Frontline Standard и Frontline Plus, Business Plus, Enterprise Standard и Enterprise Plus, Education Fundamentals, Education Standard и Education Plus, Enterprise Essentials Plus. Сравнение версий
Что произойдет, если заблокировать аккаунт пользователя Cloud Identity или Google Workspace?
Пользователи, чьи аккаунты были заблокированы, не смогут войти в приложения, относящиеся к Cloud Identity или Google Workspace (включая LDAP-приложения), так как аутентификация, авторизация и поиск по каталогам в сервисе Secure LDAP выполняются через облачный каталог. Хотя заблокированные пользователи не смогут подтверждать пароли с помощью LDAP, сервис клиента сможет найти их через поиск LDAP.
Что произойдет, если настроить стороннего поставщика идентификационной информации или поставщика системы единого входа в Google Workspace или Cloud Identity?
Это не повлияет на применение Secure LDAP для аутентификации, авторизации и поиска по каталогам, так как данные сторонних поставщиков идентификационной информации передаются только по протоколу HTTP (например, при аутентификации с использованием SAML).
Примечание. Если вы хотите, чтобы сотрудники могли выполнять вход в приложения, связанные с Secure LDAP, убедитесь, что они знают свое имя пользователя и пароль Google. Именно эти данные (а не учетные данные для стороннего поставщика идентификационной информации) нужны для аутентификации.
Почему для аутентификации LDAP-клиента нужен не только сертификат, но и учетные данные?
Аутентификация LDAP-клиентов выполняется с помощью сертификатов. Имя пользователя и пароль могут потребоваться, если их запрашивает клиент. Используя только учетные данные, получить доступ к серверу LDAP или данным пользователей нельзя. Однако во избежание несанкционированного входа в клиенты следует хранить имена пользователей и пароли в безопасности.
Если для LDAP-клиента требуются учетные данные, то аутентификация выполняется с помощью сертификатов и этих данных.
Что делать, если мое LDAP-приложение не поддерживает сертификаты TLS?
Вы можете использовать Stunnel в качестве прокси-сервера между своим приложением и сервисом Secure LDAP. Подробнее…
Мне нужно настроить LDAP-клиент ещё раз, но я не помню пароль. Можно ли создать другие учетные данные?
Да, как администратор, вы можете создать другие учетные данные, то есть уникальное имя пользователя и пароль. Обратите внимание, что одновременно будут действительны только две пары учетных данных. Те из них, которые не используются или стали известны посторонним, можно удалить.
Мне кажется, что LDAP-клиент могут взломать, поэтому я хочу немедленно отключить его. Как это сделать?
Если вы обнаружите, что кто-то посторонний получил доступ к сертификатам или учетным данным, незамедлительно отключите LDAP-клиент, удалив все связанные с ним сертификаты. Это самый быстрый способ остановить его работу. Если изменить статус сервиса на вариант ВЫКЛ, деактивация клиента может занять до 24 часов.
Подробнее о том, как удалить сертификаты…
Чтобы снова включить LDAP-клиент, вам понадобится создать другие сертификаты и загрузить их в него.
У моих компьютеров Linux в Google Compute Engine нет внешних IP-адресов. Могу ли я подключиться к сервису Secure LDAP?
Да. Если вы используете модуль SSSD на компьютерах Linux без внешних IP-адресов в Google Compute Engine, вы можете подключиться к сервису Secure LDAP, пока включен внутренний доступ к сервисам Google. Изучите подробную информацию о том, как настроить доступ к сервисам Google с частным IP-адресом (на английском языке).
