Supported editions for this feature: Frontline Standard і Frontline Plus; Business Plus; Enterprise Standard і Enterprise Plus; Education Fundamentals, Education Standard і Education Plus; Enterprise Essentials Plus. Порівняти свою версію з іншими
Що станеться, якщо заблокувати обліковий запис користувача Cloud Identity або Google Workspace?
У сервісі Secure LDAP автентифікація, авторизація і пошук у каталозі виконуються через Cloud Directory. Користувачі, чиї облікові записи було заблоковано, не можуть входити в додатки, пов’язані з Cloud Identity/Google Workspace, зокрема додатки LDAP. Хоча заблоковані користувачі не зможуть підтверджувати свої паролі за допомогою LDAP, сервіс клієнта все одно може знайти їх за допомогою пошуку LDAP.
Що станеться, якщо налаштувати стороннього постачальника ідентифікаційної інформації / постачальника Системи єдиного входу в Google Workspace або Cloud Identity?
Це не вплине на застосування Secure LDAP для автентифікації, авторизації і пошуку в каталогах, оскільки дані сторонніх постачальників ідентифікаційної інформації передаються лише за протоколом HTTP (наприклад, під час автентифікації з використанням SAML).
Примітка. Якщо ви хочете, щоб користувачі могли виконувати вхід у додатки, пов’язані із Secure LDAP, переконайтеся, що вони знають своє ім’я користувача й пароль Google. Саме ці дані (а не облікові дані для стороннього постачальника ідентифікаційної інформації) потрібні для автентифікації. Користувачі не можуть отримати доступ до додатків Secure LDAP, увійшовши через стороннього постачальника ідентифікаційної інформації за допомогою Системи єдиного входу.
Чому для автентифікації клієнтів LDAP потрібен не лише сертифікат, а й облікові дані?
Автентифікація клієнтів LDAP виконується лише за допомогою сертифіката. Облікові дані для доступу можуть знадобитися, лише якщо клієнт їх запитує. Самі по собі облікові дані не надають доступу до сервера LDAP або даних користувача, але їх слід зберігати в таємниці, щоб запобігти несанкціонованому входу в певні клієнти LDAP.
Якщо для клієнта LDAP потрібні облікові дані для доступу, то автентифікація клієнтів LDAP виконується за допомогою сертифікатів і цих даних.
Що робити, якщо додаток LDAP не підтримує сертифікати TLS?
Так. Ви можете використовувати stunnel як проксі-сервер між вашим додатком і Secure LDAP. Щоб дізнатися докладні відомості й вказівки, прочитайте статтю про використання stunnel як проксі-сервера.
Мені потрібно налаштувати інший екземпляр клієнта LDAP, але я не пам’ятаю пароль. Чи можна створити інший набір облікових даних?
Адміністратор може створити інший набір облікових даних для доступу, який складатиметься з окремої пари імені користувача й пароля. Зверніть увагу, що одночасно будуть дійсні лише дві пари облікових даних. Якщо облікові дані зламано або вони більше не використовуються, ви можете їх видалити.
Якщо я підозрюю проблему безпеки з клієнтом LDAP, як його можна негайно вимкнути?
Якщо ви підозрюєте проблему безпеки з клієнтом LDAP (наприклад, якщо сертифікати або облікові дані зламано), ви можете негайно вимкнути клієнт, видаливши всі пов’язані з ним цифрові сертифікати. Це найкращий спосіб негайно вимкнути клієнт, оскільки після зміни статусу сервісу на Вимкнено деактивація клієнта може зайняти до 24 годин.
Вказівки можна знайти в розділі Як видалити сертифікати.
Якщо ви пізніше захочете ввімкнути клієнт, вам потрібно буде створити нові сертифікати й завантажити їх у свій клієнт LDAP.
У моїх комп’ютерів Linux у Google Compute Engine немає зовнішніх IP-адрес. Чи можна підключитися до сервісу Secure LDAP?
Так. Якщо ви використовуєте модуль SSSD на комп’ютерах Linux без зовнішніх IP-адрес у Google Compute Engine, ви все одно можете під’єднатися до сервісу Secure LDAP, поки у вас увімкнено внутрішній доступ до сервісів Google. Докладніше про налаштування приватного доступу. Щоб дізнатися більше, перегляньте статтю Налаштування приватного доступу Google.
