৪. LDAP ক্লায়েন্টদের নিরাপদ LDAP পরিষেবার সাথে সংযুক্ত করুন

এই ধাপগুলো অনুসরণ করুন:

1. ক্লায়েন্ট সার্টিফিকেটগুলো ইনস্টল করতে ldp.exe (উইন্ডোজ) -এ ১–১১ নম্বর ধাপগুলো অনুসরণ করুন।
2. কার্যক্রমে যান > সংযোগ করুন…
3. নিম্নলিখিত সংযোগ সেটিংস প্রবেশ করান:
   
   নাম: আপনার সংযোগের জন্য একটি নাম টাইপ করুন, যেমন Google LDAP ।
   সংযোগ বিন্দু: "একটি বিশিষ্ট নাম বা নামকরণের প্রেক্ষাপট নির্বাচন করুন বা টাইপ করুন"
   আপনার ডোমেইন নামটি DN ফরম্যাটে লিখুন (উদাহরণস্বরূপ, example.com এর জন্য dc=example,dc=com )।
   
   কম্পিউটার: "একটি ডোমেইন বা সার্ভার নির্বাচন করুন বা টাইপ করুন"
   ldap.google.com
   
   SSL-ভিত্তিক এনক্রিপশন ব্যবহার করুন: যাচাই করা হয়েছে
   
4. অ্যাডভান্সড... এ ক্লিক করুন এবং নিম্নলিখিত বিবরণগুলি প্রবেশ করান:
   
   পরিচয়পত্র নির্দিষ্ট করুন: যাচাই করা হয়েছে
   ইউজারনেম: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল ইউজারনেম।
   পাসওয়ার্ড: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড।
   বন্দর নম্বর: ৬৩৬
   প্রোটোকল: এলডিএপি
   সরল বাইন্ড প্রমাণীকরণ: যাচাই করা হয়েছে
   
5. OK-তে ক্লিক করুন, এবং তারপর আবার OK-তে ক্লিক করুন।
6. সংযোগ সফল হলে, বেস ডিএন-এ থাকা অ্যাক্টিভ ডিরেক্টরির বিষয়বস্তু ডান প্যানে প্রদর্শিত হয়।

অ্যাপাচি ডিরেক্টরি স্টুডিও ব্যবহার করতে, স্টানেল (stunnel)-এর মাধ্যমে সংযোগ করুন এবং গুগল অ্যাডমিন কনসোলে তৈরি করা একটি অ্যাক্সেস ক্রেডেনশিয়াল (ইউজারনেম এবং পাসওয়ার্ড) ব্যবহার করুন। ধরে নিচ্ছি ক্রেডেনশিয়ালগুলো ঠিকঠাক আছে এবং স্টানেল লোকালহোস্ট পোর্ট ১৩৮৯-এ লিসেন করছে, তাহলে এই ধাপগুলো অনুসরণ করুন:

1. ফাইল > নতুন… এ ক্লিক করুন
2. LDAP ব্রাউজার > LDAP সংযোগ নির্বাচন করুন।
3. পরবর্তী ধাপে যান।
4. সংযোগের প্যারামিটারগুলো প্রবেশ করান:
   
   সংযোগের নাম: একটি নাম বেছে নিন, যেমন Google LDAP
   হোস্টনেম: লোকালহোস্ট
   পোর্ট: ১৩৮৯ (অথবা স্টানেল লিসেন/অ্যাকসেপ্ট পোর্ট)
   এনক্রিপশন পদ্ধতি: কোনো এনক্রিপশন নেই (দ্রষ্টব্য: যদি স্টানেল দূরবর্তীভাবে চালিত হয়, তবে স্টানেল এবং ক্লায়েন্টের মধ্যে এনক্রিপশন করার পরামর্শ দেওয়া হয়।)
   
5. পরবর্তী ধাপে যান।
6. প্রমাণীকরণ পরামিতিগুলি প্রবেশ করান:
   
   প্রমাণীকরণ পদ্ধতি: সরল প্রমাণীকরণ
   ডিএন বা ব্যবহারকারীকে সংযুক্ত করুন: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল ইউজারনেম।
   পাসওয়ার্ড সংযুক্ত করুন: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড।
   
7. পরবর্তী ধাপে যান।
8. বেস ডিএন প্রবেশ করান।
   এটি হলো DN ফরম্যাটে আপনার ডোমেইন নেম (উদাহরণস্বরূপ example.com এর জন্য dc=example,dc=com )।
9. শেষ করুন- এ ক্লিক করুন।

ব্যবহারকারী প্রমাণীকরণের সময়, অ্যাটলাসিয়ান জিরা একজন ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে ইউজার লুকআপ করে থাকে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারী প্রমাণীকরণ সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করতে, আপনাকে সেই সমস্ত অর্গানাইজেশনাল ইউনিটের জন্য 'ব্যবহারকারীর তথ্য পড়ুন' এবং 'গ্রুপের তথ্য পড়ুন' চালু করতে হবে যেখানে 'ব্যবহারকারীর পরিচয়পত্র যাচাই করুন' চালু আছে। (নির্দেশাবলীর জন্য, 'অ্যাক্সেস অনুমতি কনফিগার করুন ' দেখুন।)

গুরুত্বপূর্ণ: নিম্নলিখিত নির্দেশাবলী ব্যবহার করলে keystorePassword ব্যবহারকারী এবং লগ ফাইলের কাছে প্রকাশ হয়ে যেতে পারে। লোকাল শেল, লগফাইল এবং গুগল অ্যাডমিন কনসোলে অননুমোদিত প্রবেশ এড়াতে সতর্কতা অবলম্বন করুন। নিম্নলিখিত নির্দেশাবলীর বিকল্প হিসেবে, stunnel4 পদ্ধতিটি ব্যবহার করুন (দেখুন : ঐচ্ছিক: প্রক্সি হিসেবে stunnel ব্যবহার করুন )।

দ্রষ্টব্য: নিম্নলিখিত নির্দেশাবলী ধরে নেওয়া হচ্ছে যে Jira , /opt/atlassian/jira- তে ইনস্টল করা আছে।

একটি অ্যাটলাসিয়ান জিরা ক্লায়েন্টকে সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে সংযুক্ত করতে:

1. সার্টিফিকেট এবং কী-টি আপনার জিরা সার্ভার(গুলি)-তে কপি করুন। (সিকিওর এলড্যাপ সার্ভিসে এলড্যাপ ক্লায়েন্ট যুক্ত করার সময় গুগল অ্যাডমিন কনসোলে যে সার্টিফিকেটটি তৈরি হয়, এটি সেই সার্টিফিকেট।)
   
   উদাহরণস্বরূপ:
   $ scp ldap-client.key user@jira-server:
   
2. সার্টিফিকেট এবং কী-গুলোকে জাভা কীস্টোর ফরম্যাটে রূপান্তর করুন। এই প্রক্রিয়া জুড়ে আপনাকে পাসওয়ার্ড দিতে বলা হবে। সুবিধার জন্য, একটি সুরক্ষিত পাসওয়ার্ড নির্বাচন করুন এবং সমস্ত প্রম্পটের জন্য একই পাসওয়ার্ড ব্যবহার করুন।
   
   $ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
   
3. নতুন তৈরি করা কীস্টোরটি ব্যবহার করার জন্য জিরা কনফিগার করুন। অপশন যোগ করতে এখানের নির্দেশাবলী অনুসরণ করুন:
   
   "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"
   
   লিনাক্সে:
   1. /opt/atlassian/jira/bin/setenv.sh ফাইলটি সম্পাদনা করুন।
   2. JVM_SUPPORT_RECOMMENDED_ARGS সেটিংটি খুঁজুন।
   3. "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password" যোগ করুন, যেখানে "password"-এর জায়গায় আপনার উপরে নির্বাচিত পাসওয়ার্ডটি বসান।
4. জিরা পুনরায় চালু করুন।
   
   $ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
   
5. প্রশাসক হিসেবে জিরা ওয়েব ইন্টারফেসে সাইন ইন করুন।
   1. সেটিংস > ব্যবহারকারী ব্যবস্থাপনা-তে যান। (সেটিংসের জন্য, উপরের ডানদিকের গিয়ার আইকনে যান।)
   2. ব্যবহারকারী ডিরেক্টরিগুলিতে ক্লিক করুন।
   3. ডিরেক্টরি যোগ করুন-এ ক্লিক করুন।
   4. ধরণ হিসেবে LDAP নির্বাচন করুন।
   5. পরবর্তী ধাপে যান।
6. নিম্নলিখিতগুলি প্রবেশ করান:

   নাম	গুগল সিকিউর এলডিএপি
   ডিরেক্টরি টাইপ	ওপেনএলডিএপি
   হোস্টনাম	ldap.google.com
   বন্দর	৬৩৬
   SSL ব্যবহার করুন	যাচাই করা হয়েছে
   ব্যবহারকারীর নাম	গুগল অ্যাডমিন কনসোলে একটি ইউজারনেম এবং পাসওয়ার্ড তৈরি করুন। নির্দেশাবলীর জন্য, ‘অ্যাক্সেস ক্রেডেনশিয়াল তৈরি করুন’ দেখুন।
   পাসওয়ার্ড	গুগল অ্যাডমিন কনসোলে একটি ইউজারনেম এবং পাসওয়ার্ড তৈরি করুন। নির্দেশাবলীর জন্য, ‘অ্যাক্সেস ক্রেডেনশিয়াল তৈরি করুন’ দেখুন।
   বেস ডিএন	আপনার ডোমেইন নামটি DN ফরম্যাটে। (উদাহরণস্বরূপ, example.com এর জন্য dc=example,dc=com )
   অতিরিক্ত ব্যবহারকারী ডিএন	ঐচ্ছিক। "ou=Users"
   অতিরিক্ত গ্রুপ ডিএন	ঐচ্ছিক। "ou=Groups"
   LDAP অনুমতি	শুধুমাত্র পড়ুন
   উন্নত সেটিংস	অপরিবর্তিত
   ব্যবহারকারীর স্কিমা সেটিংস > ব্যবহারকারীর নাম অ্যাট্রিবিউট	গুগলইউআইডি
   ব্যবহারকারীর স্কিমা সেটিংস > ব্যবহারকারীর নাম RDN অ্যাট্রিবিউট	ইউআইডি
   গ্রুপ স্কিমা সেটিংস > গ্রুপ অবজেক্ট ক্লাস	নামগুলির গোষ্ঠী
   গ্রুপ স্কিমা সেটিংস > গ্রুপ অবজেক্ট ফিল্টার	(objectClass=groupOfNames)
   সদস্যপদ স্কিমা সেটিংস > দলীয় সদস্যদের বৈশিষ্ট্য	সদস্য
   সদস্যপদ স্কিমা সেটিংস > ব্যবহারকারী সদস্যতা অ্যাট্রিবিউট ব্যবহার করুন	যাচাই করা হয়েছে

7. একটি দলকে একটি ভূমিকা প্রদান করুন।
   
   অ্যাটলাসিয়ান জিরা কোনো ব্যবহারকারীকে লগ ইন করার অনুমতি দেওয়ার আগে, সেই ব্যবহারকারীকে অবশ্যই এমন একটি গ্রুপের সদস্য হতে হবে যেটিকে জিরাতে অ্যাক্সেস দেওয়া হয়েছে।
   
   একটি দলকে কোনো ভূমিকা প্রদান করা:
   1. সেটিংস > অ্যাপ্লিকেশন > অ্যাপ্লিকেশন অ্যাক্সেস- এ যান।
   2. 'Select group' টেক্সট বক্সে, সেই Google গ্রুপের নাম লিখুন যাকে আপনি Jira-তে অ্যাক্সেস দিতে চান।

CloudBees Core-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, “Configure CloudBees Core with Google's Cloud Identity Secure LDAP” দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. /etc/freeradius/3.0/ -এ FreeRADIUS ইনস্টল এবং কনফিগার করুন।
   
   FreeRADIUS ইনস্টল হয়ে গেলে, আপনি freeradius-ldap প্লাগইনটি ইনস্টল করে LDAP কনফিগারেশন যোগ করতে পারেন।
   
   $ sudo apt-get install freeradius freeradius-ldap
   
2. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলো যথাক্রমে /etc/freeradius/3.0/certs/ldap-client.key এবং /etc/freeradius/3.0/certs/ldap-client.crt- এ কপি করুন।
   
   $ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
   
3. LDAP মডিউলটি সক্রিয় করুন।
   
   $ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
   
4. /etc/freeradius/3.0/mods-available/ldap ফাইলটি সম্পাদনা করুন।
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. পরিচয় = অ্যাপ্লিকেশন ক্রেডেনশিয়াল থেকে ব্যবহারকারীর নাম
   3. পাসওয়ার্ড = অ্যাপ্লিকেশন ক্রেডেনশিয়াল থেকে প্রাপ্ত পাসওয়ার্ড
   4. base_dn = 'dc=domain,dc=com'
   5. tls->start_tls = না
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = 'allow'
   9. 'ldap -> post-auth -> update' সেকশনটির প্রতিনিধিত্বকারী ব্রেডক্রাম্বের সমস্ত ফিল্ড কমেন্ট আউট করুন।
5. /etc/freeradius/3.0/sites-available/default ফাইলটি সম্পাদনা করুন।
   এটি FreeRadius ক্লায়েন্ট সংযোগ পরিবর্তন করে। আপনি যদি ডিফল্ট ক্লায়েন্ট ব্যবহার না করেন, তবে আপনার কনফিগার করা প্রাসঙ্গিক ক্লায়েন্ট (ইনার-টানেল বা যেকোনো কাস্টম ক্লায়েন্ট) আপডেট করে নিন।
   
   1. পাসওয়ার্ড অথেনটিকেশন প্রোটোকল (PAP) স্টেটমেন্টের পরে, অথরাইজ সেকশনের একেবারে নিচে নিম্নলিখিত ব্লকটি যোগ করতে সেকশনটি পরিবর্তন করুন:
      
      if (User-Password) {
update control {
Auth-Type := ldap
}
}
      
   2. অনুমোদন বিভাগে, এর আগে থাকা '-' চিহ্নটি সরিয়ে LDAP সক্রিয় করুন।
      
      #
      # ldap মডিউলটি LDAP ডাটাবেস থেকে পাসওয়ার্ডগুলো পড়ে।
      এলড্যাপ
      
   3. নিম্নলিখিতভাবে Auth-Type LDAP ব্লকটি সম্পাদনা করে authenticate বিভাগটি পরিবর্তন করুন:
      
      # Auth-Type LDAP {
ldap
# }
      
   4. নিম্নলিখিতভাবে Auth-Type PAP ব্লকটি সম্পাদনা করে authenticate বিভাগটি পরিবর্তন করুন:
      
      Auth-Type PAP {
# pap
ldap
}

GitLab-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, `Configure Google Secure LDAP for GitLab` দেখুন।

Itopia/Ubuntu-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, “ব্যবহারকারীর লগইনের জন্য Ubuntu 16.04-এ Google Cloud Identity LDAP কনফিগার করা” দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. আপনার Ivanti ওয়েব সার্ভারে, নিম্নলিখিত উভয় ফোল্ডারের মধ্যে একটি টেক্সট এডিটরে OpenLDAPAuthenticationConfiguration.xml অথবা OpenLDAPSSLAuthenticationConfiguration.xml ফাইলটি খুলুন:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework এবং C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (যেখানে servicedesk হলো ইনস্ট্যান্সের নাম)
2. <Server> এর মান ldap.google.com এ পরিবর্তন করুন।
3. StartTLS সক্রিয় থাকা অবস্থায় ক্লিয়ার টেক্সটের জন্য <Port> ভ্যালুটি 3268- এ এবং SSL/TLS পোর্টের জন্য 3269 -এ আপডেট করুন (ডিফল্ট হলো ক্লিয়ার টেক্সট পোর্টের জন্য 389 অথবা SSL/TLS পোর্টের জন্য 636 )।
4. <TestDN> ভ্যালুটি আপনার ডোমেইন নেম DN ফরম্যাটে সেট করুন। (উদাহরণস্বরূপ, example.com এর জন্য dc=example,dc=com )।
5. ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config এবং ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config উভয় ফাইলে এই লাইনটি যোগ করুন:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   অথবা লাইনটি:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
   
6. আইভ্যান্টি কনফিগারেশন সেন্টারে, প্রয়োজনীয় ইনস্ট্যান্সটি খুলুন।
7. সার্ভিস ডেস্ক ফ্রেমওয়ার্ক অ্যাপ্লিকেশনটির পাশে থাকা এডিট (Edit ) বাটনে ক্লিক করুন।
   সার্ভিস ডেস্ক ফ্রেমওয়ার্কের জন্য অ্যাপ্লিকেশন সম্পাদনা ডায়ালগ বক্সটি প্রদর্শিত হবে।
8. কনফিগারেশন প্যারামিটার গ্রুপে, লগঅন পলিসি তালিকা থেকে শুধুমাত্র 'এক্সপ্লিসিট' নির্বাচন করুন, তারপর 'ওকে' ক্লিক করুন।
9. ওয়েব অ্যাক্সেস অ্যাপ্লিকেশনের পাশে থাকা এডিট (Edit ) বাটনে ক্লিক করুন।
   ওয়েব অ্যাক্সেসের জন্য অ্যাপ্লিকেশন সম্পাদনা ডায়ালগ বক্সটি প্রদর্শিত হবে।
10. কনফিগারেশন প্যারামিটার গ্রুপে, লগঅন পলিসি তালিকায় শুধুমাত্র এক্সপ্লিসিট নির্বাচন করুন এবং তারপর ওকে (OK) ক্লিক করুন।

লগ ইন করার সময় সংশ্লিষ্ট ডোমেইন ব্যবহারকারীর নেটওয়ার্ক পাসওয়ার্ড ব্যবহার করুন।

LDAP সার্ভার প্রমাণীকরণের জন্য ব্যতিক্রম লগিং

LDAP সার্ভার অথেনটিকেশন কনফিগার করতে আপনার সমস্যা হলে, সমস্যাটি শনাক্ত করতে আপনি এক্সেপশন লগিং চালু করতে পারেন। ডিফল্টরূপে, এটি নিষ্ক্রিয় থাকে, এবং আমরা সুপারিশ করি যে আপনার অনুসন্ধান শেষ হলে আপনি এক্সেপশন লগিং আবার নিষ্ক্রিয় করে দিন।

LDAP সার্ভার প্রমাণীকরণের জন্য ব্যতিক্রম লগিং সক্রিয় করতে:

1. একটি টেক্সট এডিটরে উপযুক্ত অথেনটিকেশন কনফিগারেশন XML ফাইলটি খুলুন:
   
   DirectoryServiceAuthenticationConfiguration.xml , OpenLDAPAuthenticationConfiguration.xml , অথবা OpenLDAPSSLAuthenticationConfiguration.xml
2. লাইনটি পরিবর্তন করুন:
   
   <ShowExceptions>false</ShowExceptions>
   থেকে
   <ShowExceptions>true</ShowExceptions>
   
3. পরিবর্তনগুলো সংরক্ষণ করুন।

এই ধাপগুলো অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলোকে একটি PKCS12 ফরম্যাটের ফাইলে রূপান্তর করুন। কমান্ড প্রম্পটে নিম্নলিখিতটি লিখুন:
   
   আপনি যদি macOS বা Linux ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে একটি পাসওয়ার্ড দিন।
   

   আপনি যদি উইন্ডোজে থাকেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   গুরুত্বপূর্ণ: ফাইল দুটি ( <CERT_FILE>.crt এবং <CERT_FILE>.key ) অবশ্যই একই ডিরেক্টরিতে থাকতে হবে। এছাড়াও, নিশ্চিত করুন যে key এবং crt উভয়ের নাম একই (শুধু এক্সটেনশনটি আলাদা)। এই উদাহরণে, আমরা ldap-client.crt এবং ldap-client.key নাম দুটি ব্যবহার করেছি।

2. কন্ট্রোল প্যানেলে যান।
3. সার্চ বক্সে 'সার্টিফিকেট' লিখে সার্চ করুন এবং 'ম্যানেজ ইউজার সার্টিফিকেটস'-এ ক্লিক করুন।
4. অ্যাকশন > সমস্ত টাস্ক > ইম্পোর্ট-এ যান…
5. বর্তমান ব্যবহারকারীকে নির্বাচন করুন এবং পরবর্তী বোতামে ক্লিক করুন।
6. ব্রাউজ করুন… ক্লিক করুন
7. ডায়ালগ বক্সের নিচের ডান কোণায় থাকা ফাইল টাইপ ড্রপডাউন থেকে Personal Information Exchange (*.pfx;*.p12) নির্বাচন করুন।
8. ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন, Open-এ ক্লিক করুন এবং তারপর Next-এ ক্লিক করুন।
9. ধাপ ২ থেকে পাসওয়ার্ডটি প্রবেশ করান এবং পরবর্তী বাটনে ক্লিক করুন।
10. ব্যক্তিগত সার্টিফিকেট স্টোরটি নির্বাচন করুন, Next-এ ক্লিক করুন এবং তারপর Finish-এ ক্লিক করুন।
11. Ldp.exe চালান।
12. কানেকশন > কানেক্ট-এ যান...
13. নিম্নলিখিত সংযোগের বিবরণ লিখুন:
    
    সার্ভার: ldap.google.com
    বন্দর: ৬৩৬
    সংযোগহীন: অপরীক্ষিত
    SSL: যাচাই করা হয়েছে
    
14. OK ক্লিক করুন।
15. ভিউ > ট্রি- তে যান।
16. বেস ডিএন (base DN) লিখুন। এটি হলো ডিএন ফরম্যাটে আপনার ডোমেইন নেম। (উদাহরণস্বরূপ, example.com- এর জন্য dc=example,dc=com )।
17. OK ক্লিক করুন।
18. সংযোগ সফল হলে, LDP.exe ডান প্যানে অ্যাক্টিভ ডিরেক্টরির বিষয়বস্তু—যেমন বেস ডিএন-এ উপস্থিত সমস্ত অ্যাট্রিবিউট—প্রদর্শন করে।

সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে নেটগেট/পিএফসেন্স (Netgate/pfSense) সংযোগ করার নির্দেশাবলীর জন্য, ‘অথেনটিকেশন সোর্স হিসেবে গুগল ক্লাউড আইডেন্টিটি কনফিগার করা’ (Configuring Google Cloud Identity as an Authentication Source) দেখুন।

কমান্ড লাইন থেকে আপনার LDAP ডিরেক্টরি অ্যাক্সেস করতে, আপনি OpenLDAP-এর ldapsearch কমান্ডটি ব্যবহার করতে পারেন।

ধরে নিচ্ছি আপনার ক্লায়েন্ট সার্টিফিকেট এবং কী ফাইলগুলো হলো ldap-client.crt এবং ldap-client.key , আপনার ডোমেইন হলো example.com এবং ইউজারনেম হলো jsmith :

$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

এটি ক্লায়েন্ট কী-গুলোকে নির্দেশ করার জন্য প্রাসঙ্গিক এনভায়রনমেন্ট ভেরিয়েবল সেট করে। আপনি অন্যান্য ldapsearch অপশনগুলো আপনার পছন্দসই ফিল্টার, অনুরোধ করা অ্যাট্রিবিউট ইত্যাদি দিয়ে প্রতিস্থাপন করতে পারেন। অন্যান্য বিস্তারিত তথ্যের জন্য, অনুগ্রহ করে ldapsearch ম্যান পেজ ("man ldapsearch") দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলোকে একটি PKCS12 ফরম্যাটের ফাইলে রূপান্তর করুন। কমান্ড প্রম্পটে নিম্নলিখিতটি লিখুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে আপনার পাসওয়ার্ড দিন।
   
2. ক্লিক করুন মেনু বারের উপরের ডান কোণায়, Keychain Access টাইপ করুন।
3. Keychain Access অ্যাপ্লিকেশনটি খুলুন এবং বাম দিকের তালিকা থেকে System-এ ক্লিক করুন।
4. উপরের বাম দিকের মেনু বারে থাকা ফাইল অপশনটিতে ক্লিক করুন এবং ইমপোর্ট আইটেমস নির্বাচন করুন।
5. তৈরি হওয়া ldap-client.p12 ফাইলটির অবস্থানে ব্রাউজ করুন, ldap-client.p12 নির্বাচন করুন এবং Open-এ ক্লিক করুন।
   অনুরোধ করা হলে আপনার পাসওয়ার্ড দিন।
   সিস্টেম কীচেইন সার্টিফিকেটের তালিকায় এখন LDAP ক্লায়েন্ট নামের একটি সার্টিফিকেট দেখা যাবে।
6. LDAP ক্লায়েন্ট সার্টিফিকেটের পাশের তীরচিহ্নে ক্লিক করুন। এর নিচে একটি প্রাইভেট কী দেখা যাবে।
   1. প্রাইভেট কী-টিতে ডাবল-ক্লিক করুন।
   2. ডায়ালগ বক্স থেকে অ্যাক্সেস কন্ট্রোল ট্যাবটি নির্বাচন করুন এবং নিচের-বাম কোণায় থাকা + চিহ্নে ক্লিক করুন।

   3. যে উইন্ডোটি খুলবে, সেখানে Command+Shift+G টাইপ করে একটি নতুন উইন্ডো খুলুন এবং তারপরে বিদ্যমান লেখাটিকে /usr/bin/ldapsearch দিয়ে প্রতিস্থাপন করুন।

   4. যান-এ ক্লিক করুন।
      
      এতে একটি উইন্ডো খোলে যেখানে ldapsearch হাইলাইট করা থাকে।

   5. যোগ করুন-এ ক্লিক করুন।

   6. পরিবর্তনগুলি সংরক্ষণ করুন-এ ক্লিক করুন এবং অনুরোধ করা হলে আপনার পাসওয়ার্ড দিন।
      
      আপনি এখন OpenLDAP-এর ldapsearch কমান্ড ব্যবহার করে কমান্ড লাইন থেকে আপনার LDAP ডিরেক্টরি অ্যাক্সেস করতে প্রস্তুত।

7. ধরে নিন, আপনি আগে কীচেইনে যে ldap-client.p12 ফাইলটি ইম্পোর্ট করেছেন তার নাম LDAP Client , আপনার ডোমেইন example.com এবং ইউজারনেম jsmith , তাহলে নিম্নলিখিত তথ্যগুলো প্রবেশ করান:
   
   $ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

এটি ইম্পোর্ট করা ক্লায়েন্ট সার্টিফিকেটকে নির্দেশ করার জন্য প্রাসঙ্গিক এনভায়রনমেন্ট ভেরিয়েবল সেট করে। আপনি অন্যান্য ldapsearch অপশনগুলো আপনার পছন্দসই ফিল্টার, অনুরোধ করা অ্যাট্রিবিউট ইত্যাদি দিয়ে প্রতিস্থাপন করতে পারেন। আরও বিস্তারিত জানতে, অনুগ্রহ করে ldapsearch ম্যান পেজ ( man ldapsearch ) দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. প্রয়োজন হলে OpenVPN ইনস্টল ও কনফিগার করুন, অথবা যদি আগে থেকেই তা করে থাকেন, তাহলে OpenVPN-এর সেটিংস পৃষ্ঠাটি খুলুন।
   
   সাধারণ ভিপিএন কনফিগারেশন এই সাহায্য নিবন্ধের আওতার বাইরে। একবার ভিপিএন কনফিগার করা হয়ে গেলে, আপনি LDAP-এর মাধ্যমে ব্যবহারকারীর প্রমাণীকরণ এবং অনুমোদন যোগ করতে পারেন। বিশেষ করে, আপনাকে openvpn-auth-ldap প্লাগইনটি ইনস্টল করতে হবে।
   
   $ sudo apt-get install openvpn openvpn-auth-ldap
   
2. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলো /etc/openvpn/ldap-client.key এবং /etc/openvpn/ldap-client.crt- এ কপি করুন।
3. /etc/openvpn/auth-ldap.conf নামে একটি ফাইল তৈরি করুন এবং তাতে নিম্নলিখিত বিষয়বস্তু রাখুন (ধরে নিন যে example.com হলো ডোমেইন নেম):
   
   <LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (or choose your own LDAP filter for users)
RequireGroup false
</Authorization>
   
4. OpenVPN কনফিগারেশন ফাইলটি সম্পাদনা করুন, যেটি সাধারণত /etc/openvpn/server.conf বা এই জাতীয় নামে থাকে। ফাইলটির একদম শেষে নিম্নলিখিত লাইনটি যোগ করুন:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
   
5. OpenVPN সার্ভারটি পুনরায় চালু করুন।
   
   $ sudo systemctl restart openvpn@server
   
6. ব্যবহারকারীদের ইউজারনেম এবং পাসওয়ার্ড ব্যবহার করার জন্য ভিপিএন ক্লায়েন্টগুলো কনফিগার করুন। উদাহরণস্বরূপ, একটি ওপেনভিপিএন ক্লায়েন্ট কনফিগারেশনে, ওপেনভিপিএন ক্লায়েন্ট কনফিগারেশন ফাইলের শেষে auth-user-pass যোগ করুন এবং ওপেনভিপিএন ক্লায়েন্টটি চালু করুন:
   
   $ openvpn --config /path/to/client.conf
   
7. প্রক্সি হিসেবে স্টানেল ব্যবহার করার জন্য নির্দেশাবলী অনুসরণ করুন।

Secure LDAP পরিষেবার সাথে OpenVPN Access Server সংযোগ করার নির্দেশাবলীর জন্য, “Configuring Google Secure LDAP with OpenVPN Access Server” দেখুন।

পেপারকাটকে সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, পেপারকাটে কীভাবে গুগল ওয়ার্কস্পেস (Google Workspace) এবং গুগল ক্লাউড আইডেন্টিটি (Google Cloud Identity) ব্যবহারকারীদের সিঙ্ক ও প্রমাণীকরণ করবেন তা দেখুন।

Puppet Enterprise-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, Google Cloud Directory for PE দেখুন।

গুরুত্বপূর্ণ: শুরু করার আগে, নিশ্চিত হয়ে নিন যে আপনি Softerra LDAP Browser-এর ৪.৫ (৪.৫.১৯৮০৮.০) বা তার পরবর্তী সংস্করণ ইনস্টল করেছেন। LDAP Browser ৪.৫ দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলোকে একটি PKCS12 ফরম্যাটের ফাইলে রূপান্তর করুন। কমান্ড প্রম্পটে নিম্নলিখিতটি লিখুন:
   
   আপনি যদি macOS বা Linux ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে একটি পাসওয়ার্ড দিন।
   

   আপনি যদি উইন্ডোজে থাকেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   গুরুত্বপূর্ণ: ফাইল দুটি ( <CERT_FILE>.crt এবং <CERT_FILE>.key ) অবশ্যই একই ডিরেক্টরিতে থাকতে হবে। এছাড়াও, নিশ্চিত করুন যে key এবং crt উভয়ের নাম একই (শুধু এক্সটেনশনটি আলাদা)। এই উদাহরণে, আমরা ldap-client.crt এবং ldap-client.key নাম দুটি ব্যবহার করেছি।

2. Softerra LDAP ব্রাউজারে কী পেয়ারটি ইনস্টল করুন।
   1. টুলস > সার্টিফিকেট ম্যানেজার- এ যান।
   2. ইম্পোর্ট-এ ক্লিক করুন…
   3. পরবর্তী ধাপে যান।
   4. ব্রাউজ করুন… ক্লিক করুন
   5. ডায়ালগ বক্সের নিচের ডান কোণায় থাকা ফাইল টাইপ ড্রপ-ডাউন তালিকা থেকে পার্সোনাল ইনফরমেশন এক্সচেঞ্জ (*.pfx;*.p12) নির্বাচন করুন।
   6. উপরের ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন।
   7. ওপেন-এ ক্লিক করুন এবং তারপর নেক্সট-এ ক্লিক করুন।
   8. উপরের ২ নং ধাপ থেকে পাসওয়ার্ডটি প্রবেশ করান এবং পরবর্তী বাটনে ক্লিক করুন।
   9. ব্যক্তিগত শংসাপত্রের ভান্ডার নির্বাচন করুন।
   10. পরবর্তী ধাপে যান।
   11. শেষ করুন- এ ক্লিক করুন।
3. একটি সার্ভার প্রোফাইল যোগ করুন।
   1. ফাইল > নতুন > নতুন প্রোফাইল… এ যান
   2. প্রোফাইলের জন্য একটি নাম লিখুন, যেমন Google LDAP ।
   3. পরবর্তী ধাপে যান।
      
      নিম্নলিখিতগুলি প্রবেশ করান:
      
      হোস্ট: ldap.google.com
      বন্দর: ৬৩৬
      বেস ডিএন: ডিএন ফরম্যাটে আপনার ডোমেইন নেম। (যেমন, example.com-এর জন্য dc=example,dc=com )
      নিরাপদ সংযোগ (SSL) ব্যবহার করুন: যাচাই করা হয়েছে
      
   4. পরবর্তী ধাপে যান।
   5. বাহ্যিক (এসএসএল সার্টিফিকেট) নির্বাচন করুন।
   6. পরবর্তী ধাপে যান।
   7. শেষ করুন- এ ক্লিক করুন।

Sophos Mobile-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, “Secure LDAP ব্যবহার করে Sophos Mobile-কে Google Cloud Identity / Google Cloud Directory-এর সাথে সংযুক্ত করা” দেখুন।

সিকিওর এলড্যাপ (Secure LDAP) পরিষেবার সাথে স্প্ল্যাঙ্ক (Splunk) সংযোগ করার সময়, অবশ্যই স্প্ল্যাঙ্ক সংস্করণ ৮.১.৪ বা তার পরবর্তী সংস্করণ ব্যবহার করুন। স্প্ল্যাঙ্ক সংস্করণ ৮.১.৩-এর মতো পুরোনো সংস্করণ ব্যবহার করলে, এলড্যাপ সার্ভারে অতিরিক্ত এলড্যাপ কোয়েরি পাঠানো হতে পারে, যার ফলে আপনার এলড্যাপ কোটা দ্রুত শেষ হয়ে যেতে পারে। স্প্ল্যাঙ্ক সংস্করণ ৮.১.৩-এর সমস্যা সম্পর্কে আরও তথ্যের জন্য, স্প্ল্যাঙ্ক জ্ঞাত সমস্যাসমূহ (Splunk known issues) দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলো /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key এবং /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt -এ কপি করুন।
   
   $ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
   
2. ldap.conf ফাইলটি সম্পাদনা করে নিম্নলিখিত কনফিগারেশনগুলো যোগ করুন:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. ব্যবহারকারীর /home/splunkadmin/.ldaprc ফাইলে নিম্নলিখিত কনফিগারেশনগুলো যোগ করুন:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
   
4. Splunk ওয়েব UI ব্যবহার করে LDAP স্ট্র্যাটেজিটি যোগ করুন। নিম্নলিখিত বিবরণগুলি প্রবেশ করান, এবং তারপর সেভ (Save ) ক্লিক করুন:
   

ব্যবহারকারী প্রমাণীকরণের সময়, SSSD একজন ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে ব্যবহারকারী অনুসন্ধান (user lookup) করে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারী প্রমাণীকরণ সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করতে, আপনাকে সেই সমস্ত সাংগঠনিক ইউনিটগুলির জন্য 'ব্যবহারকারীর পরিচয়পত্র যাচাই করুন' ( Verify user credentials ) চালু করতে হবে যেখানে 'ব্যবহারকারীর তথ্য পড়ুন' (Read user information) এবং 'গ্রুপের তথ্য পড়ুন' (Read group information ) চালু করতে হবে। (নির্দেশাবলীর জন্য, 'অ্যাক্সেস অনুমতি কনফিগার করুন' (Configure access permissions ) দেখুন।)

Red Hat 8 বা CentOS 8-এ একটি SSSD ক্লায়েন্টকে Secure LDAP পরিষেবার সাথে সংযুক্ত করতে:

1. SSSD ক্লায়েন্টকে Secure LDAP পরিষেবাতে যুক্ত করুন:
   1. গুগল অ্যাডমিন কনসোল থেকে, Apps > LDAP > ADD CLIENT -এ যান।
      আপনার কর্পোরেট অ্যাকাউন্ট দিয়ে সাইন ইন করতে ভুলবেন না, ব্যক্তিগত জিমেইল অ্যাকাউন্ট দিয়ে নয়।
   2. ক্লায়েন্টের বিবরণ প্রবেশ করান এবং CONTINUE বাটনে ক্লিক করুন।
   3. অ্যাক্সেস অনুমতিগুলি কনফিগার করুন:
      ব্যবহারকারীর পরিচয়পত্র যাচাই করুন—সম্পূর্ণ ডোমেইন
      ব্যবহারকারীর তথ্য পড়ুন—সম্পূর্ণ ডোমেইন
      গ্রুপের তথ্য পড়ুন— চালু
   4. ADD LDAP CLIENT-এ ক্লিক করুন।
   5. তৈরি করা সার্টিফিকেটটি ডাউনলোড করুন।
   6. ক্লায়েন্টের বিবরণ দেখতে CONTINUE TO CLIENT DETAILS-এ ক্লিক করুন।
   7. সার্ভিসের স্ট্যাটাস পরিবর্তন করে ON করুন।
2. নির্ভরতা ইনস্টল করুন:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   সার্টিফিকেট .zip ফাইলটি আনজিপ করুন এবং .crt ও .key ফাইলগুলো /etc/sssd/ldap-এ কপি করুন।
   
3. (ঐচ্ছিক) ldapsearch দিয়ে পরীক্ষা করুন:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   অনুরোধ করা হলে ব্যবহারকারীর গুগল পাসওয়ার্ড লিখুন।
   
   দ্রষ্টব্য: ব্যবহারকারীকে অবশ্যই একটি Google Workspace Enterprise অথবা Cloud Identity Premium লাইসেন্স বরাদ্দ করা থাকতে হবে।

4. নিম্নলিখিত বিষয়বস্তু সহ /etc/sssd/sssd.conf ফাইলটি তৈরি করুন:
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. অনুমতি এবং SELinux লেবেলগুলি আপডেট করুন:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
   
6. SSSD পুনরায় চালু করুন:
   
   systemctl restart sssd
   
7. পরীক্ষা:
   
   সার্ভারে ssh করুন:

   ssh -l user@example.com {HOSTNAME}

সমস্যা সমাধান

1. SSSD ভার্সন যাচাই করুন (অবশ্যই 1.15.2 বা তার চেয়ে বড় হতে হবে):
   
   # sssd --version
2.2.3
   

2. RHEL/CentOS (বা SELinux প্রয়োগ ব্যবস্থা আছে এমন যেকোনো ডিস্ট্রোতে), SSSD কনফিগারেশন ফাইল এবং সার্টিফিকেট ফাইল ও কী অবশ্যই এমন একটি ডিরেক্টরিতে থাকতে হবে যা sssd_conf_t রোলের মাধ্যমে অ্যাক্সেসযোগ্য:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   AVC ডিনাই মেসেজগুলোর জন্য /var/log/audit/audit.log চেক করুন।
   

3. যাচাই করুন যে /etc/nsswitch.conf ফাইলে passwd, shadow, group, এবং netgroup এন্টিটিগুলোর জন্য "sss" আছে কিনা:
   
   passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
   
   এখানে, স্থানীয় ফাইলগুলো LDAP ব্যবহারকারীদেরকে অগ্রাহ্য করবে।
   
4. কনফিগারেশন ত্রুটির জন্য /var/log/sssd.conf ফাইলটি পরীক্ষা করুন:
   

   উদাহরণ:
   [sssd] [sss_ini_add_snippets] (0x0020): কনফিগারেশন মার্জ ত্রুটি: ফাইল /etc/sssd/sssd.conf অ্যাক্সেস পরীক্ষায় উত্তীর্ণ হতে পারেনি। এড়িয়ে যাওয়া হচ্ছে।

   করণীয়: আপনাকে .conf ফাইলটিতে chmod 600 পরিবর্তন করতে হবে।

   উদাহরণ:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: 'ldap_groups_use_matching_rule_in_chain' অ্যাট্রিবিউটটি 'domain/{DOMAIN}' সেকশনে অনুমোদিত নয়। টাইপের ভুল আছে কিনা পরীক্ষা করুন।

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: 'ldap_initgroups_use_matching_rule_in_chain' অ্যাট্রিবিউটটি 'domain/{DOMAIN}' সেকশনে অনুমোদিত নয়। টাইপের ভুল আছে কিনা পরীক্ষা করুন।

   করণীয়: sssd.conf থেকে অসমর্থিত গ্রুপ ম্যাচ LDAP এক্সটেনশনগুলো সরিয়ে ফেলুন।

5. LDAP/নেটওয়ার্ক/অথরাইজেশন ত্রুটির জন্য /var/log/sssd_{DOMAIN}.log ফাইলটি দেখুন।
   
   উদাহরণ:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls ব্যর্থ হয়েছে: [সংযোগ ত্রুটি] [error:1416F086:SSL routines:tls_process_server_certificate:সার্টিফিকেট যাচাই ব্যর্থ হয়েছে (স্ব-স্বাক্ষরিত সার্টিফিকেট)]

   করণীয়: আপনাকে sssd.conf ফাইলে "ldap_tls_reqcert = never" যোগ করতে হবে।

   ত্রুটির বিশদ বিবরণ বাড়াতে, sssd.conf ফাইলের domain সেকশনে "debug_level = 9" যোগ করুন এবং sssd রিস্টার্ট করুন।

ব্যবহারকারী প্রমাণীকরণের সময়, SSSD একজন ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে ব্যবহারকারী অনুসন্ধান (user lookup) করে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারী প্রমাণীকরণ সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করতে, আপনাকে সেই সমস্ত সাংগঠনিক ইউনিটগুলির জন্য 'ব্যবহারকারীর পরিচয়পত্র যাচাই করুন' ( Verify user credentials ) চালু করতে হবে যেখানে 'ব্যবহারকারীর তথ্য পড়ুন' (Read user information) এবং 'গ্রুপের তথ্য পড়ুন' (Read group information ) চালু করতে হবে। (নির্দেশাবলীর জন্য, 'অ্যাক্সেস অনুমতি কনফিগার করুন' (Configure access permissions ) দেখুন।)

একটি SSSD ক্লায়েন্টকে Secure LDAP পরিষেবার সাথে সংযুক্ত করতে:

1. SSSD সংস্করণ >= 1.15.2 ইনস্টল করুন।
   
   $ sudo apt-get install sssd
   
2. ধরে নিন আপনার ক্লায়েন্ট সার্টিফিকেট এবং কী ফাইলগুলির নাম হলো /var/ldap-client.crt এবং /var/ldap-client.key এবং আপনার ডোমেইন হলো example.com , তাহলে /etc/sssd/sssd.conf ফাইলটি নিচের মতো কনফিগারেশন দিয়ে সম্পাদনা করুন:

   
   [sssd]
   পরিষেবা = এনএসএস, প্যাম
   ডোমেইন = example.com

   [ডোমেইন/ example.com ]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
   

3. কনফিগারেশন ফাইলের মালিকানা এবং অনুমতি পরিবর্তন করুন:
   
   $ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf

4. SSSD পুনরায় চালু করুন:
   
   $ sudo service sssd restart

পরামর্শ: আপনি যদি গুগল কম্পিউট ইঞ্জিনে এক্সটার্নাল আইপি অ্যাড্রেস ছাড়া লিনাক্স কম্পিউটারে SSSD মডিউল ব্যবহার করেন, তাহলেও আপনি সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে সংযোগ করতে পারবেন, যদি আপনার গুগল পরিষেবাগুলিতে অভ্যন্তরীণ অ্যাক্সেস সক্রিয় থাকে। বিস্তারিত জানতে, প্রাইভেট গুগল অ্যাক্সেস কনফিগার করা (Configuring Private Google Access ) দেখুন।

Secure LDAP পরিষেবা ব্যবহার করে ব্যবহারকারী অ্যাকাউন্টের প্রমাণীকরণের জন্য macOS ক্লায়েন্ট সংযোগ করতে নিচের ধাপগুলো অনুসরণ করুন।

সিস্টেমের প্রয়োজনীয়তা

• macOS অবশ্যই Catalina ভার্সন 10.15.4 বা তার পরবর্তী সংস্করণ হতে হবে।
• প্রস্তুতি পর্বের ধাপ ১ সম্পন্ন করার জন্য একটি গুগল সুপার অ্যাডমিন ইউজার আইডি প্রয়োজন।
• এই কনফিগারেশনটি সম্পন্ন করার জন্য আপনার স্থানীয় অ্যাডমিন অনুমতি প্রয়োজন।

বিষয়বস্তু:

• প্রস্তুতি পর্ব
• মোতায়েন পর্যায়
• সীমাবদ্ধতা এবং নির্দেশিকা
• সমস্যা সমাধান

প্রস্তুতি পর্ব

এই বিভাগের নির্দেশাবলীতে Secure LDAP পরিষেবা ব্যবহার করে কীভাবে ম্যানুয়ালি macOS অথেনটিকেশন সেট আপ এবং পরীক্ষা করতে হয়, তার উপর আলোকপাত করা হয়েছে।

ধাপ ১: গুগল অ্যাডমিন কনসোলে macOS-কে একটি LDAP ক্লায়েন্ট হিসেবে যুক্ত করুন।

নির্দেশাবলীর জন্য, ‘Add LDAP clients’ দেখুন, অথবা এই Secure LDAP ডেমোটি দেখুন। এই প্রক্রিয়া চলাকালীন আপনি একটি স্বয়ংক্রিয়ভাবে তৈরি TLS ক্লায়েন্ট সার্টিফিকেটও ডাউনলোড করবেন।

ধাপ ২: সার্টিফিকেটটি সিস্টেম কীচেইনে ইম্পোর্ট করুন।

1. সার্টিফিকেট (ধাপ ১-এ ডাউনলোড করা জিপ ফাইলটি) এবং কী-টি ম্যাকওএস মেশিনে কপি করুন।
   পরামর্শ: সার্টিফিকেট এবং কী ফাইলগুলো খুঁজে পেতে ফাইলটি আনজিপ করুন।
2. সিস্টেম কীচেইনে কী পেয়ারটি ইম্পোর্ট করুন:

   1. কী এবং সার্টিফিকেটটিকে একটি PKCS 12 (p12) ফাইলে রূপান্তর করুন। টার্মিনালে নিম্নলিখিত কমান্ডটি চালান:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      পরামর্শ: .p12 ফাইলটির নাম লিখে রাখুন।
      
      সিস্টেমটি আপনাকে একটি পাসওয়ার্ড দিতে বলবে। p12 ফাইলটি এনক্রিপ্ট করার জন্য একটি পাসওয়ার্ড দিন।

   2. Keychain Access অ্যাপ্লিকেশনটি খুলুন।

   3. সিস্টেম কীচেইনে ক্লিক করুন।

   4. ফাইল > আইটেম আমদানি-তে ক্লিক করুন।

   5. উপরে তৈরি করা ldap-client.p12 ফাইলটি নির্বাচন করুন।

   6. অনুরোধ করা হলে, সিস্টেম কীচেইন পরিবর্তনের অনুমতি দিতে অ্যাডমিন পাসওয়ার্ডটি প্রবেশ করান।

   7. .p12 ফাইলটি ডিক্রিপ্ট করতে উপরে তৈরি করা পাসওয়ার্ডটি প্রবেশ করান।

      দ্রষ্টব্য: কী-গুলোর তালিকায় একটি নতুন সার্টিফিকেট এবং এর সাথে যুক্ত প্রাইভেট কী দেখতে পাবেন। এটির নাম LDAP Client হতে পারে। নিচের পরবর্তী ধাপের জন্য সার্টিফিকেটটির নামটি লিখে রাখুন।
      
   8. নিচে উল্লেখিত অ্যাপগুলো যোগ করার জন্য প্রাইভেট কী-এর অ্যাক্সেস কন্ট্রোল সেট আপ করতে এই আর্টিকেলের ldapsearch (macOS) সেকশনের ধাপ ৬ অনুসরণ করুন। যদি প্রাইভেট কী-টি 'All Items' ক্যাটাগরির অধীনে না দেখা যায়, তবে 'My Certificates' ক্যাটাগরিতে যাওয়ার চেষ্টা করুন এবং সংশ্লিষ্ট সার্টিফিকেটটি এক্সপ্যান্ড করে সঠিক প্রাইভেট কী এন্ট্রিটি খুঁজে বের করুন।
      
      নির্দেশাবলীতে যেমন উল্লেখ করা হয়েছে, ldapsearch অ্যাপটি শুধুমাত্র সমস্যা সমাধানের প্রয়োজনে প্রাসঙ্গিক, অন্য কোনো উদ্দেশ্যে নয়। সাধারণত ব্যবহারকারীদের macOS-এ অ্যাক্সেস দেওয়ার আগে এটি সরিয়ে ফেলা হয়।
      
      নিম্নলিখিত তিনটি অ্যাপ অবশ্যই অ্যাক্সেস কন্ট্রোল তালিকায় যুক্ত করতে হবে:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. /etc/openldap/ldap.conf ফাইলে একটি লাইন যোগ করুন এবং নিশ্চিত করুন যে "LDAP Client" নামটি .p12 ফাইলটি ইম্পোর্ট করার পর macOS Keychain Access অ্যাপ্লিকেশনে দেখানো সার্টিফিকেটের নামের সাথে হুবহু মিলে যায় (নামটি জেনারেট করা সার্টিফিকেটের X.509 Subject Common Name থেকে আসে):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

ধাপ ৩: প্রমাণীকরণের জন্য ডিভাইসটিকে গুগল ডিরেক্টরিতে নির্দেশ করুন।

একটি নতুন LDAP ডিরেক্টরি নোড তৈরি করতে ডিরেক্টরি ইউটিলিটি অ্যাপ্লিকেশনটি খুলুন:

1. পরিবর্তন করতে তালাটিতে ক্লিক করুন এবং আপনার পাসওয়ার্ড দিন।
2. LDAPv3 নির্বাচন করুন এবং সেটিংস সম্পাদনা করতে পেন্সিল আইকনে ক্লিক করুন।
3. নতুন ক্লিক করুন…
4. সার্ভার নামের জন্য ldap.google.com লিখুন, ‘Encrypt using SSL’ নির্বাচন করুন এবং ‘Manual’-এ ক্লিক করুন।
5. নতুন সার্ভারের নাম নির্বাচন করুন এবং সম্পাদনা… এ ক্লিক করুন।
6. কনফিগারেশন নামের জন্য Google Secure LDAP- এর মতো একটি বর্ণনামূলক নাম লিখুন।
7. SSL ব্যবহার করে এনক্রিপ্ট নির্বাচন করুন এবং নিশ্চিত করুন যে পোর্টটি 636- এ সেট করা আছে।
8. সার্চ ও ম্যাপিং ট্যাবে যান।
   1. "এই LDAPv3 সার্ভারটি অ্যাক্সেস করতে" ড্রপডাউন তালিকা থেকে RFC2307 নির্বাচন করুন।
   2. নির্দেশিত হলে, সার্চ বেস সাফিক্স (Search Base Suffix) -এ ডোমেইন-সম্পর্কিত তথ্য প্রবেশ করান। উদাহরণস্বরূপ, zomato.com ডোমেইন নামের জন্য dc=zomato,dc=com লিখুন।
   3. OK ক্লিক করুন।
   4. ব্যবহারকারী রেকর্ড টাইপের অধীনে অ্যাট্রিবিউটগুলি কনফিগার করুন:
      1. রেকর্ড টাইপ এবং অ্যাট্রিবিউট বিভাগে, ব্যবহারকারী নির্বাচন করুন এবং " + " বোতামে ক্লিক করুন।
      2. পপ-আপ উইন্ডোতে, অ্যাট্রিবিউট টাইপস (Attribute Types) বেছে নিন, জেনারেটেডইউআইডি (GeneratedUID) নির্বাচন করুন এবং তারপর পপ-আপ উইন্ডোটি বন্ধ করতে ওকে (OK) ক্লিক করুন।
         
         এক্সপ্যান্ড করার পর GeneratedUID-টি Users-এর অধীনে প্রদর্শিত হওয়া উচিত।
         
      3. GeneratedUID-টিতে ক্লিক করুন এবং ডানদিকের বক্সে থাকা " + " আইকনটিতে ক্লিক করুন।
      4. টেক্সট বক্সে apple-generateduid টাইপ করুন এবং এন্টার চাপুন।
      5. Users নোডের অধীনে, NFSHomeDirectory অ্যাট্রিবিউটটিতে ক্লিক করুন।
      6. ডানদিকের স্ক্রিনে, এই অ্যাট্রিবিউটের মান #/Users/$uid$ এ আপডেট করুন।
      7. পরিবর্তনগুলো সংরক্ষণ করতে OK-তে ক্লিক করুন এবং আপনার পাসওয়ার্ড দিন।
9. ডিরেক্টরি ইউটিলিটি উইন্ডো থেকে নতুন LDAP কনফিগারেশনটি সেট করুন:
   1. সার্চ পলিসি ট্যাবে যান।
   2. পরিবর্তন করার জন্য লক আইকনে ক্লিক করুন এবং অনুরোধ করা হলে বর্তমান ব্যবহারকারীর পাসওয়ার্ড দিন।
   3. ড্রপডাউন অপশনটি 'সার্চ পাথ' থেকে 'কাস্টম পাথ'- এ পরিবর্তন করুন।
   4. অথেনটিকেশন ট্যাবটি খুলুন এবং " + " আইকনটিতে ক্লিক করুন।
   5. Choose /LDAPv3/ldap.google.com from the Directory Domains list, and then click Add .
   6. Click the Apply button, and enter your admin password if prompted.
10. Run the following four commands to disable the DIGEST-MD5, CRAM-MD5, NTLM, and GSSAPI SASL authentication mechanisms. The macOS will use Simple Bind to authenticate using the Google Secure LDAP service:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
    
11. Reboot to reload the OpenDirectory configuration.

Step 4: Create a mobile account (allows offline login)

Any Google Workspace or Cloud Identity user can log in using a network account (Google account) using their username and password. This login process needs network connectivity. If a user needs to log in with or without connection to the network, a mobile account can be created. A mobile account lets you use your network account (Google account) username and password to sign in, whether or not you're connected to the network. For more details, see Create and configure mobile accounts on Mac .

To create a mobile account for Secure LDAP users:

1. Run the following command to connect to the Secure LDAP server and set up a home path and mobile account(s):
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
   
   Tip: Replace $uid with the username part of the email address associated with the user's Google account. For example, jsmith is the username part for jsmith@solarmora.com .

2. When prompted for the SecureToken admin user name , enter your admin username, and enter your password in the next prompt. This will add $uid into the FileVault. This is needed if the macOS disk is encrypted.

Step 5: (Optional) Set the login screen preference

1. Go to System preferences > Users & Groups > Login Options at the bottom left.
2. Unlock the lock by providing admin credentials.
3. Change the Display login window as to Name and password.

Step 6: Reboot and log in to your device

1. Make sure the device is connected to the Internet. If you don't have an internet connection, the login for the Secure LDAP user will not work.
   Note: Internet connection is needed only for the first login. Any subsequent logins can occur without Internet access.
2. Sign in to the device with the user account that's configured to use Secure LDAP for authentication.

Deployment phase

The instructions in this section focus on automating the device configuration for your users. Perform steps 1 and 2 below on the same macOS device where you completed your manual configuration during the preparation phase.

Step 1: Create a Mac Profile with certificate using Apple Configurator 2

1. Install Apple Configurator 2 on the machine where you manually configured macOS authentication with Secure LDAP.
2. Open Apple Configurator 2, create a new profile and in the Certificate section, click Configure, and import the previously generated .p12 file.

   Note: Make sure this .p12 has a password. Enter this password in the Password section of the Certificate.

3. Save this Profile.
4. (For devices using M1 or M2 processors, skip this step and continue to Step 5. ) Open this profile in any text editor and add the following lines in first <dict> tag:
   
   <key>PayloadScope</key>
<string>System</string>
   
   This is added, as Apple Configurator does not support profiles for macOS yet.
   
5. In the second <dict> tag, parallel to certificate data, add the following lines:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   This will make sure that this certificate can be accessed by all applications.

Step 2: Convert Directory config file (plist) to xml

In this step, you are extracting all the manual configurations that you completed during step 3 of the preparation phase into a XML file. You can use this file and the Mac profile created in step 1 above to automatically configure other macOS devices.

1. Copy /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist to your desktop or elsewhere.
2. Convert it to XML so that you can inspect it in any text editor. Run the following command in Terminal:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   You can access the file as <path>/ldap.google.com.plist .
   
3. Change the permission of the above file so that you can open the XML file. Make sure it is not empty.

Step 3: Create a python script to automate the configuration on your end-user devices

Copy the python script below and save it as a python file (.py file).

Note: This sample script is designed to be compatible with Python version 3.10.x. This script is provided on an as-is basis. Google support will not provide support for sample scripts.

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b' '*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

Step 4: Auto configure end-user devices

Go to other macOS devices that you would like to configure and follow these steps:

1. Copy the Mac Profile file generated in step 1, XML config file generated in step 2, and the python script from step 3 to the device.
2. To install the necessary dependency for the script, run the following command:
   python3 -m pip install pyobjc-framework-opendirectory
3. Run the following command:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. To import certificates into the macOS system keychain, double-click on the Mac profile file generated in step 1, and when prompted provide your macOS local admin credentials. You will then be prompted to enter the .p12 password that you set during the preparation phase.
5. Restart the macOS machine.
6. Create mobile accounts as instructed in step 4 of the preparation phase, and optionally set additional preferences outlined in step 5 of the preparation phase.

Limitations and guidelines

• For users signing in to macOS using their Google credentials, their Workspace account username must be different from their macOS user profile user ID, or sign-in is blocked.
• Once a user starts signing in to macOS using Google credentials, user password management (reset or recovery) must happen on the Google website (for example, at myaccount.google.com or in the Google Admin console). If you choose to do password management using a third-party solution, then make sure the latest password is synchronized with Google.
• If the admin creates a new user or resets an existing user's password with the Ask for a password change at the next sign-in setting turned on, the user cannot sign in to Mac using the temporary password set by the admin.
  Workaround: The user needs to sign in to Google using another device (for example, their mobile device or other desktop device), set a permanent password, and then sign in to macOS using the new password.
• The Mac must be connected to a working internet connection so that ldap.google.com is reachable during the first sign-in after the above configuration. Any subsequent sign-ins won't need Internet access as long as you opted to set up a mobile account.
• Google Secure LDAP integration with macOS is tested on macOS Catalina, Big Sur, and Monterey.

সমস্যা সমাধান

If you have problems connecting to the Secure LDAP service, follow the instructions below.

Step 1: Verify the connection.

Verify the connection using odutil.
Run the odutil show nodenames command in the terminal.
Verify that the /LDAPv3/ldap.google.com status is online . If it's not online, try the telnet option.

Verify the connection using nc.
Execute the following command in the terminal: nc -zv ldap.google.com 636
If you aren't able to connect to Google using this approach, try connecting using IPv4.

Verify the connection with IPv4.
You can change your device to use IPv4 using the following steps:

1. Go to System Preferences > Network > Wi-Fi > Advanced .
2. Under the Advanced menu, go to the TCP/IP tab.
3. Change the drop-down selection from Configure IPv6 to Link-local only .
4. Click OK , and then click Apply to save the changes.
5. Check service authentication via ldapsearch connectivity and valid search.

Step 2: Check whether you are able to see directory objects.

1. Open Directory Utility , and then open the Directory Editor tab.
2. Select the /LDAPv3/ldap.google.com node in the drop-down list.
3. Verify whether you are able to see users and groups from your Google domain.