৪. LDAP ক্লায়েন্টদের নিরাপদ LDAP পরিষেবার সাথে সংযুক্ত করুন

এই ধাপগুলো অনুসরণ করুন:

1. ক্লায়েন্ট সার্টিফিকেটগুলো ইনস্টল করতে ldp.exe (উইন্ডোজ) -এ ১–১১ নম্বর ধাপগুলো অনুসরণ করুন।
2. কার্যক্রমে যান > সংযোগ করুন…
3. নিম্নলিখিত সংযোগ সেটিংস প্রবেশ করান:
   
   নাম: আপনার সংযোগের জন্য একটি নাম টাইপ করুন, যেমন Google LDAP ।
   সংযোগ বিন্দু: "একটি বিশিষ্ট নাম বা নামকরণের প্রেক্ষাপট নির্বাচন করুন বা টাইপ করুন"
   আপনার ডোমেইন নামটি DN ফরম্যাটে লিখুন (উদাহরণস্বরূপ, example.com এর জন্য dc=example,dc=com )।
   
   কম্পিউটার: "একটি ডোমেইন বা সার্ভার নির্বাচন করুন বা টাইপ করুন"
   ldap.google.com
   
   SSL-ভিত্তিক এনক্রিপশন ব্যবহার করুন: যাচাই করা হয়েছে
   
4. অ্যাডভান্সড... এ ক্লিক করুন এবং নিম্নলিখিত বিবরণগুলি প্রবেশ করান:
   
   পরিচয়পত্র নির্দিষ্ট করুন: যাচাই করা হয়েছে
   ইউজারনেম: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল ইউজারনেম।
   পাসওয়ার্ড: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড।
   বন্দর নম্বর: ৬৩৬
   প্রোটোকল: এলডিএপি
   সরল বাইন্ড প্রমাণীকরণ: যাচাই করা হয়েছে
   
5. OK-তে ক্লিক করুন, এবং তারপর আবার OK-তে ক্লিক করুন।
6. সংযোগ সফল হলে, বেস ডিএন-এ থাকা অ্যাক্টিভ ডিরেক্টরির বিষয়বস্তু ডান প্যানে প্রদর্শিত হয়।

অ্যাপাচি ডিরেক্টরি স্টুডিও ব্যবহার করতে, স্টানেল (stunnel)-এর মাধ্যমে সংযোগ করুন এবং গুগল অ্যাডমিন কনসোলে তৈরি করা একটি অ্যাক্সেস ক্রেডেনশিয়াল (ইউজারনেম এবং পাসওয়ার্ড) ব্যবহার করুন। ধরে নিচ্ছি ক্রেডেনশিয়ালগুলো ঠিকঠাক আছে এবং স্টানেল লোকালহোস্ট পোর্ট ১৩৮৯-এ লিসেন করছে, তাহলে এই ধাপগুলো অনুসরণ করুন:

1. ফাইল > নতুন… এ ক্লিক করুন
2. LDAP ব্রাউজার > LDAP সংযোগ নির্বাচন করুন।
3. পরবর্তী ধাপে যান।
4. সংযোগের প্যারামিটারগুলো প্রবেশ করান:
   
   সংযোগের নাম: একটি নাম বেছে নিন, যেমন Google LDAP
   হোস্টনেম: লোকালহোস্ট
   পোর্ট: ১৩৮৯ (অথবা স্টানেল লিসেন/অ্যাকসেপ্ট পোর্ট)
   এনক্রিপশন পদ্ধতি: কোনো এনক্রিপশন নেই (দ্রষ্টব্য: যদি স্টানেল দূরবর্তীভাবে চালিত হয়, তবে স্টানেল এবং ক্লায়েন্টের মধ্যে এনক্রিপশন করার পরামর্শ দেওয়া হয়।)
   
5. পরবর্তী ধাপে যান।
6. প্রমাণীকরণ পরামিতিগুলি প্রবেশ করান:
   
   প্রমাণীকরণ পদ্ধতি: সরল প্রমাণীকরণ
   ডিএন বা ব্যবহারকারীকে সংযুক্ত করুন: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল ইউজারনেম।
   পাসওয়ার্ড সংযুক্ত করুন: অ্যাডমিন কনসোল থেকে প্রাপ্ত অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড।
   
7. পরবর্তী ধাপে যান।
8. বেস ডিএন প্রবেশ করান।
   এটি হলো DN ফরম্যাটে আপনার ডোমেইন নেম (উদাহরণস্বরূপ example.com এর জন্য dc=example,dc=com )।
9. শেষ করুন- এ ক্লিক করুন।

ব্যবহারকারী প্রমাণীকরণের সময়, অ্যাটলাসিয়ান জিরা একজন ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে ইউজার লুকআপ করে থাকে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারী প্রমাণীকরণ সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করতে, আপনাকে সেই সমস্ত অর্গানাইজেশনাল ইউনিটের জন্য 'ব্যবহারকারীর তথ্য পড়ুন' এবং 'গ্রুপের তথ্য পড়ুন' চালু করতে হবে যেখানে 'ব্যবহারকারীর পরিচয়পত্র যাচাই করুন' চালু আছে। (নির্দেশাবলীর জন্য, 'অ্যাক্সেস অনুমতি কনফিগার করুন ' দেখুন।)

গুরুত্বপূর্ণ: নিম্নলিখিত নির্দেশাবলী ব্যবহার করলে keystorePassword ব্যবহারকারী এবং লগ ফাইলের কাছে প্রকাশ হয়ে যেতে পারে। লোকাল শেল, লগফাইল এবং গুগল অ্যাডমিন কনসোলে অননুমোদিত প্রবেশ এড়াতে সতর্কতা অবলম্বন করুন। নিম্নলিখিত নির্দেশাবলীর বিকল্প হিসেবে, stunnel4 পদ্ধতিটি ব্যবহার করুন (দেখুন : ঐচ্ছিক: প্রক্সি হিসেবে stunnel ব্যবহার করুন )।

দ্রষ্টব্য: নিম্নলিখিত নির্দেশাবলী ধরে নেওয়া হচ্ছে যে Jira , /opt/atlassian/jira- তে ইনস্টল করা আছে।

একটি অ্যাটলাসিয়ান জিরা ক্লায়েন্টকে সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে সংযুক্ত করতে:

1. সার্টিফিকেট এবং কী-টি আপনার জিরা সার্ভার(গুলি)-তে কপি করুন। (সিকিওর এলড্যাপ সার্ভিসে এলড্যাপ ক্লায়েন্ট যুক্ত করার সময় গুগল অ্যাডমিন কনসোলে যে সার্টিফিকেটটি তৈরি হয়, এটি সেই সার্টিফিকেট।)
   
   উদাহরণস্বরূপ:
   $ scp ldap-client.key user@jira-server:
   
2. সার্টিফিকেট এবং কী-গুলোকে জাভা কীস্টোর ফরম্যাটে রূপান্তর করুন। এই প্রক্রিয়া জুড়ে আপনাকে পাসওয়ার্ড দিতে বলা হবে। সুবিধার জন্য, একটি সুরক্ষিত পাসওয়ার্ড নির্বাচন করুন এবং সমস্ত প্রম্পটের জন্য একই পাসওয়ার্ড ব্যবহার করুন।
   
   $ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
   
3. নতুন তৈরি করা কীস্টোরটি ব্যবহার করার জন্য জিরা কনফিগার করুন। অপশন যোগ করতে এখানের নির্দেশাবলী অনুসরণ করুন:
   
   "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"
   
   লিনাক্সে:
   1. /opt/atlassian/jira/bin/setenv.sh ফাইলটি সম্পাদনা করুন।
   2. JVM_SUPPORT_RECOMMENDED_ARGS সেটিংটি খুঁজুন।
   3. "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password" যোগ করুন, যেখানে "password"-এর জায়গায় আপনার উপরে নির্বাচিত পাসওয়ার্ডটি বসান।
4. জিরা পুনরায় চালু করুন।
   
   $ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
   
5. প্রশাসক হিসেবে জিরা ওয়েব ইন্টারফেসে সাইন ইন করুন।
   1. সেটিংস > ব্যবহারকারী ব্যবস্থাপনা-তে যান। (সেটিংসের জন্য, উপরের ডানদিকের গিয়ার আইকনে যান।)
   2. ব্যবহারকারী ডিরেক্টরিগুলিতে ক্লিক করুন।
   3. ডিরেক্টরি যোগ করুন-এ ক্লিক করুন।
   4. ধরণ হিসেবে LDAP নির্বাচন করুন।
   5. পরবর্তী ধাপে যান।
6. নিম্নলিখিতগুলি প্রবেশ করান:

   নাম	গুগল সিকিউর এলডিএপি
   ডিরেক্টরি টাইপ	ওপেনএলডিএপি
   হোস্টনাম	ldap.google.com
   বন্দর	৬৩৬
   SSL ব্যবহার করুন	যাচাই করা হয়েছে
   ব্যবহারকারীর নাম	গুগল অ্যাডমিন কনসোলে একটি ইউজারনেম এবং পাসওয়ার্ড তৈরি করুন। নির্দেশাবলীর জন্য, ‘অ্যাক্সেস ক্রেডেনশিয়াল তৈরি করুন’ দেখুন।
   পাসওয়ার্ড	গুগল অ্যাডমিন কনসোলে একটি ইউজারনেম এবং পাসওয়ার্ড তৈরি করুন। নির্দেশাবলীর জন্য, ‘অ্যাক্সেস ক্রেডেনশিয়াল তৈরি করুন’ দেখুন।
   বেস ডিএন	আপনার ডোমেইন নামটি DN ফরম্যাটে। (উদাহরণস্বরূপ, example.com এর জন্য dc=example,dc=com )
   অতিরিক্ত ব্যবহারকারী ডিএন	ঐচ্ছিক। "ou=Users"
   অতিরিক্ত গ্রুপ ডিএন	ঐচ্ছিক। "ou=Groups"
   LDAP অনুমতি	শুধুমাত্র পড়ুন
   উন্নত সেটিংস	অপরিবর্তিত
   ব্যবহারকারীর স্কিমা সেটিংস > ব্যবহারকারীর নাম অ্যাট্রিবিউট	গুগলইউআইডি
   ব্যবহারকারীর স্কিমা সেটিংস > ব্যবহারকারীর নাম RDN অ্যাট্রিবিউট	ইউআইডি
   গ্রুপ স্কিমা সেটিংস > গ্রুপ অবজেক্ট ক্লাস	নামগুলির গোষ্ঠী
   গ্রুপ স্কিমা সেটিংস > গ্রুপ অবজেক্ট ফিল্টার	(objectClass=groupOfNames)
   সদস্যপদ স্কিমা সেটিংস > দলীয় সদস্যদের বৈশিষ্ট্য	সদস্য
   সদস্যপদ স্কিমা সেটিংস > ব্যবহারকারী সদস্যতা অ্যাট্রিবিউট ব্যবহার করুন	যাচাই করা হয়েছে

7. একটি দলকে একটি ভূমিকা প্রদান করুন।
   
   অ্যাটলাসিয়ান জিরা কোনো ব্যবহারকারীকে লগ ইন করার অনুমতি দেওয়ার আগে, সেই ব্যবহারকারীকে অবশ্যই এমন একটি গ্রুপের সদস্য হতে হবে যেটিকে জিরাতে অ্যাক্সেস দেওয়া হয়েছে।
   
   একটি দলকে কোনো ভূমিকা প্রদান করা:
   1. সেটিংস > অ্যাপ্লিকেশন > অ্যাপ্লিকেশন অ্যাক্সেস- এ যান।
   2. 'Select group' টেক্সট বক্সে, সেই Google গ্রুপের নাম লিখুন যাকে আপনি Jira-তে অ্যাক্সেস দিতে চান।

CloudBees Core-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, “Configure CloudBees Core with Google's Cloud Identity Secure LDAP” দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. /etc/freeradius/3.0/ -এ FreeRADIUS ইনস্টল এবং কনফিগার করুন।
   
   FreeRADIUS ইনস্টল হয়ে গেলে, আপনি freeradius-ldap প্লাগইনটি ইনস্টল করে LDAP কনফিগারেশন যোগ করতে পারেন।
   
   $ sudo apt-get install freeradius freeradius-ldap
   
2. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলো যথাক্রমে /etc/freeradius/3.0/certs/ldap-client.key এবং /etc/freeradius/3.0/certs/ldap-client.crt- এ কপি করুন।
   
   $ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
   
3. LDAP মডিউলটি সক্রিয় করুন।
   
   $ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
   
4. /etc/freeradius/3.0/mods-available/ldap ফাইলটি সম্পাদনা করুন।
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. পরিচয় = অ্যাপ্লিকেশন ক্রেডেনশিয়াল থেকে ব্যবহারকারীর নাম
   3. পাসওয়ার্ড = অ্যাপ্লিকেশন ক্রেডেনশিয়াল থেকে প্রাপ্ত পাসওয়ার্ড
   4. base_dn = 'dc=domain,dc=com'
   5. tls->start_tls = না
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = 'allow'
   9. 'ldap -> post-auth -> update' সেকশনটির প্রতিনিধিত্বকারী ব্রেডক্রাম্বের সমস্ত ফিল্ড কমেন্ট আউট করুন।
5. /etc/freeradius/3.0/sites-available/default ফাইলটি সম্পাদনা করুন।
   এটি FreeRadius ক্লায়েন্ট সংযোগ পরিবর্তন করে। আপনি যদি ডিফল্ট ক্লায়েন্ট ব্যবহার না করেন, তবে আপনার কনফিগার করা প্রাসঙ্গিক ক্লায়েন্ট (ইনার-টানেল বা যেকোনো কাস্টম ক্লায়েন্ট) আপডেট করে নিন।
   
   1. পাসওয়ার্ড অথেনটিকেশন প্রোটোকল (PAP) স্টেটমেন্টের পরে, অথরাইজ সেকশনের একেবারে নিচে নিম্নলিখিত ব্লকটি যোগ করতে সেকশনটি পরিবর্তন করুন:
      
      if (User-Password) {
update control {
Auth-Type := ldap
}
}
      
   2. অনুমোদন বিভাগে, এর আগে থাকা '-' চিহ্নটি সরিয়ে LDAP সক্রিয় করুন।
      
      #
      # ldap মডিউলটি LDAP ডাটাবেস থেকে পাসওয়ার্ডগুলো পড়ে।
      এলড্যাপ
      
   3. নিম্নলিখিতভাবে Auth-Type LDAP ব্লকটি সম্পাদনা করে authenticate বিভাগটি পরিবর্তন করুন:
      
      # Auth-Type LDAP {
ldap
# }
      
   4. নিম্নলিখিতভাবে Auth-Type PAP ব্লকটি সম্পাদনা করে authenticate বিভাগটি পরিবর্তন করুন:
      
      Auth-Type PAP {
# pap
ldap
}

GitLab-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, `Configure Google Secure LDAP for GitLab` দেখুন।

Itopia/Ubuntu-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, “ব্যবহারকারীর লগইনের জন্য Ubuntu 16.04-এ Google Cloud Identity LDAP কনফিগার করা” দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. আপনার Ivanti ওয়েব সার্ভারে, নিম্নলিখিত উভয় ফোল্ডারের মধ্যে একটি টেক্সট এডিটরে OpenLDAPAuthenticationConfiguration.xml অথবা OpenLDAPSSLAuthenticationConfiguration.xml ফাইলটি খুলুন:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework এবং C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (যেখানে servicedesk হলো ইনস্ট্যান্সের নাম)
2. <Server> এর মান ldap.google.com এ পরিবর্তন করুন।
3. StartTLS সক্রিয় থাকা অবস্থায় ক্লিয়ার টেক্সটের জন্য <Port> ভ্যালুটি 3268- এ এবং SSL/TLS পোর্টের জন্য 3269 -এ আপডেট করুন (ডিফল্ট হলো ক্লিয়ার টেক্সট পোর্টের জন্য 389 অথবা SSL/TLS পোর্টের জন্য 636 )।
4. <TestDN> ভ্যালুটি আপনার ডোমেইন নেম DN ফরম্যাটে সেট করুন। (উদাহরণস্বরূপ, example.com এর জন্য dc=example,dc=com )।
5. ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config এবং ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config উভয় ফাইলে এই লাইনটি যোগ করুন:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   অথবা লাইনটি:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
   
6. আইভ্যান্টি কনফিগারেশন সেন্টারে, প্রয়োজনীয় ইনস্ট্যান্সটি খুলুন।
7. সার্ভিস ডেস্ক ফ্রেমওয়ার্ক অ্যাপ্লিকেশনটির পাশে থাকা এডিট (Edit ) বাটনে ক্লিক করুন।
   সার্ভিস ডেস্ক ফ্রেমওয়ার্কের জন্য অ্যাপ্লিকেশন সম্পাদনা ডায়ালগ বক্সটি প্রদর্শিত হবে।
8. কনফিগারেশন প্যারামিটার গ্রুপে, লগঅন পলিসি তালিকা থেকে শুধুমাত্র 'এক্সপ্লিসিট' নির্বাচন করুন, তারপর 'ওকে' ক্লিক করুন।
9. ওয়েব অ্যাক্সেস অ্যাপ্লিকেশনের পাশে থাকা এডিট (Edit ) বাটনে ক্লিক করুন।
   ওয়েব অ্যাক্সেসের জন্য অ্যাপ্লিকেশন সম্পাদনা ডায়ালগ বক্সটি প্রদর্শিত হবে।
10. কনফিগারেশন প্যারামিটার গ্রুপে, লগঅন পলিসি তালিকায় শুধুমাত্র এক্সপ্লিসিট নির্বাচন করুন এবং তারপর ওকে (OK) ক্লিক করুন।

লগ ইন করার সময় সংশ্লিষ্ট ডোমেইন ব্যবহারকারীর নেটওয়ার্ক পাসওয়ার্ড ব্যবহার করুন।

LDAP সার্ভার প্রমাণীকরণের জন্য ব্যতিক্রম লগিং

LDAP সার্ভার অথেনটিকেশন কনফিগার করতে আপনার সমস্যা হলে, সমস্যাটি শনাক্ত করতে আপনি এক্সেপশন লগিং চালু করতে পারেন। ডিফল্টরূপে, এটি নিষ্ক্রিয় থাকে, এবং আমরা সুপারিশ করি যে আপনার অনুসন্ধান শেষ হলে আপনি এক্সেপশন লগিং আবার নিষ্ক্রিয় করে দিন।

LDAP সার্ভার প্রমাণীকরণের জন্য ব্যতিক্রম লগিং সক্রিয় করতে:

1. একটি টেক্সট এডিটরে উপযুক্ত অথেনটিকেশন কনফিগারেশন XML ফাইলটি খুলুন:
   
   DirectoryServiceAuthenticationConfiguration.xml , OpenLDAPAuthenticationConfiguration.xml , অথবা OpenLDAPSSLAuthenticationConfiguration.xml
2. লাইনটি পরিবর্তন করুন:
   
   <ShowExceptions>false</ShowExceptions>
   থেকে
   <ShowExceptions>true</ShowExceptions>
   
3. পরিবর্তনগুলো সংরক্ষণ করুন।

এই ধাপগুলো অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলোকে একটি PKCS12 ফরম্যাটের ফাইলে রূপান্তর করুন। কমান্ড প্রম্পটে নিম্নলিখিতটি লিখুন:
   
   আপনি যদি macOS বা Linux ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে একটি পাসওয়ার্ড দিন।
   

   আপনি যদি উইন্ডোজে থাকেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   গুরুত্বপূর্ণ: ফাইল দুটি ( <CERT_FILE>.crt এবং <CERT_FILE>.key ) অবশ্যই একই ডিরেক্টরিতে থাকতে হবে। এছাড়াও, নিশ্চিত করুন যে key এবং crt উভয়ের নাম একই (শুধু এক্সটেনশনটি আলাদা)। এই উদাহরণে, আমরা ldap-client.crt এবং ldap-client.key নাম দুটি ব্যবহার করেছি।

2. কন্ট্রোল প্যানেলে যান।
3. সার্চ বক্সে 'সার্টিফিকেট' লিখে সার্চ করুন এবং 'ম্যানেজ ইউজার সার্টিফিকেটস'-এ ক্লিক করুন।
4. অ্যাকশন > সমস্ত টাস্ক > ইম্পোর্ট-এ যান…
5. বর্তমান ব্যবহারকারীকে নির্বাচন করুন এবং পরবর্তী বোতামে ক্লিক করুন।
6. ব্রাউজ করুন… ক্লিক করুন
7. ডায়ালগ বক্সের নিচের ডান কোণায় থাকা ফাইল টাইপ ড্রপডাউন থেকে Personal Information Exchange (*.pfx;*.p12) নির্বাচন করুন।
8. ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন, Open-এ ক্লিক করুন এবং তারপর Next-এ ক্লিক করুন।
9. ধাপ ২ থেকে পাসওয়ার্ডটি প্রবেশ করান এবং পরবর্তী বাটনে ক্লিক করুন।
10. ব্যক্তিগত সার্টিফিকেট স্টোরটি নির্বাচন করুন, Next-এ ক্লিক করুন এবং তারপর Finish-এ ক্লিক করুন।
11. Ldp.exe চালান।
12. কানেকশন > কানেক্ট-এ যান...
13. নিম্নলিখিত সংযোগের বিবরণ লিখুন:
    
    সার্ভার: ldap.google.com
    বন্দর: ৬৩৬
    সংযোগহীন: অপরীক্ষিত
    SSL: যাচাই করা হয়েছে
    
14. OK ক্লিক করুন।
15. ভিউ > ট্রি- তে যান।
16. বেস ডিএন (base DN) লিখুন। এটি হলো ডিএন ফরম্যাটে আপনার ডোমেইন নেম। (উদাহরণস্বরূপ, example.com- এর জন্য dc=example,dc=com )।
17. OK ক্লিক করুন।
18. সংযোগ সফল হলে, LDP.exe ডান প্যানে অ্যাক্টিভ ডিরেক্টরির বিষয়বস্তু—যেমন বেস ডিএন-এ উপস্থিত সমস্ত অ্যাট্রিবিউট—প্রদর্শন করে।

সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে নেটগেট/পিএফসেন্স (Netgate/pfSense) সংযোগ করার নির্দেশাবলীর জন্য, ‘অথেনটিকেশন সোর্স হিসেবে গুগল ক্লাউড আইডেন্টিটি কনফিগার করা’ (Configuring Google Cloud Identity as an Authentication Source) দেখুন।

কমান্ড লাইন থেকে আপনার LDAP ডিরেক্টরি অ্যাক্সেস করতে, আপনি OpenLDAP-এর ldapsearch কমান্ডটি ব্যবহার করতে পারেন।

ধরে নিচ্ছি আপনার ক্লায়েন্ট সার্টিফিকেট এবং কী ফাইলগুলো হলো ldap-client.crt এবং ldap-client.key , আপনার ডোমেইন হলো example.com এবং ইউজারনেম হলো jsmith :

$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

এটি ক্লায়েন্ট কী-গুলোকে নির্দেশ করার জন্য প্রাসঙ্গিক এনভায়রনমেন্ট ভেরিয়েবল সেট করে। আপনি অন্যান্য ldapsearch অপশনগুলো আপনার পছন্দসই ফিল্টার, অনুরোধ করা অ্যাট্রিবিউট ইত্যাদি দিয়ে প্রতিস্থাপন করতে পারেন। অন্যান্য বিস্তারিত তথ্যের জন্য, অনুগ্রহ করে ldapsearch ম্যান পেজ ("man ldapsearch") দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলোকে একটি PKCS12 ফরম্যাটের ফাইলে রূপান্তর করুন। কমান্ড প্রম্পটে নিম্নলিখিতটি লিখুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে আপনার পাসওয়ার্ড দিন।
   
2. ক্লিক করুন মেনু বারের উপরের ডান কোণায়, Keychain Access টাইপ করুন।
3. Keychain Access অ্যাপ্লিকেশনটি খুলুন এবং বাম দিকের তালিকা থেকে System-এ ক্লিক করুন।
4. উপরের বাম দিকের মেনু বারে থাকা ফাইল অপশনটিতে ক্লিক করুন এবং ইমপোর্ট আইটেমস নির্বাচন করুন।
5. তৈরি হওয়া ldap-client.p12 ফাইলটির অবস্থানে ব্রাউজ করুন, ldap-client.p12 নির্বাচন করুন এবং Open-এ ক্লিক করুন।
   অনুরোধ করা হলে আপনার পাসওয়ার্ড দিন।
   সিস্টেম কীচেইন সার্টিফিকেটের তালিকায় এখন LDAP ক্লায়েন্ট নামের একটি সার্টিফিকেট দেখা যাবে।
6. LDAP ক্লায়েন্ট সার্টিফিকেটের পাশের তীরচিহ্নে ক্লিক করুন। এর নিচে একটি প্রাইভেট কী দেখা যাবে।
   1. প্রাইভেট কী-টিতে ডাবল-ক্লিক করুন।
   2. ডায়ালগ বক্স থেকে অ্যাক্সেস কন্ট্রোল ট্যাবটি নির্বাচন করুন এবং নিচের-বাম কোণায় থাকা + চিহ্নে ক্লিক করুন।

   3. যে উইন্ডোটি খুলবে, সেখানে Command+Shift+G টাইপ করে একটি নতুন উইন্ডো খুলুন এবং তারপরে বিদ্যমান লেখাটিকে /usr/bin/ldapsearch দিয়ে প্রতিস্থাপন করুন।

   4. যান-এ ক্লিক করুন।
      
      এতে একটি উইন্ডো খোলে যেখানে ldapsearch হাইলাইট করা থাকে।

   5. যোগ করুন-এ ক্লিক করুন।

   6. পরিবর্তনগুলি সংরক্ষণ করুন-এ ক্লিক করুন এবং অনুরোধ করা হলে আপনার পাসওয়ার্ড দিন।
      
      আপনি এখন OpenLDAP-এর ldapsearch কমান্ড ব্যবহার করে কমান্ড লাইন থেকে আপনার LDAP ডিরেক্টরি অ্যাক্সেস করতে প্রস্তুত।

7. ধরে নিন, আপনি আগে কীচেইনে যে ldap-client.p12 ফাইলটি ইম্পোর্ট করেছেন তার নাম LDAP Client , আপনার ডোমেইন example.com এবং ইউজারনেম jsmith , তাহলে নিম্নলিখিত তথ্যগুলো প্রবেশ করান:
   
   $ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

এটি ইম্পোর্ট করা ক্লায়েন্ট সার্টিফিকেটকে নির্দেশ করার জন্য প্রাসঙ্গিক এনভায়রনমেন্ট ভেরিয়েবল সেট করে। আপনি অন্যান্য ldapsearch অপশনগুলো আপনার পছন্দসই ফিল্টার, অনুরোধ করা অ্যাট্রিবিউট ইত্যাদি দিয়ে প্রতিস্থাপন করতে পারেন। আরও বিস্তারিত জানতে, অনুগ্রহ করে ldapsearch ম্যান পেজ ( man ldapsearch ) দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. প্রয়োজন হলে OpenVPN ইনস্টল ও কনফিগার করুন, অথবা যদি আগে থেকেই তা করে থাকেন, তাহলে OpenVPN-এর সেটিংস পৃষ্ঠাটি খুলুন।
   
   সাধারণ ভিপিএন কনফিগারেশন এই সাহায্য নিবন্ধের আওতার বাইরে। একবার ভিপিএন কনফিগার করা হয়ে গেলে, আপনি LDAP-এর মাধ্যমে ব্যবহারকারীর প্রমাণীকরণ এবং অনুমোদন যোগ করতে পারেন। বিশেষ করে, আপনাকে openvpn-auth-ldap প্লাগইনটি ইনস্টল করতে হবে।
   
   $ sudo apt-get install openvpn openvpn-auth-ldap
   
2. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলো /etc/openvpn/ldap-client.key এবং /etc/openvpn/ldap-client.crt- এ কপি করুন।
3. /etc/openvpn/auth-ldap.conf নামে একটি ফাইল তৈরি করুন এবং তাতে নিম্নলিখিত বিষয়বস্তু রাখুন (ধরে নিন যে example.com হলো ডোমেইন নেম):
   
   <LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (or choose your own LDAP filter for users)
RequireGroup false
</Authorization>
   
4. OpenVPN কনফিগারেশন ফাইলটি সম্পাদনা করুন, যেটি সাধারণত /etc/openvpn/server.conf বা এই জাতীয় নামে থাকে। ফাইলটির একদম শেষে নিম্নলিখিত লাইনটি যোগ করুন:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
   
5. OpenVPN সার্ভারটি পুনরায় চালু করুন।
   
   $ sudo systemctl restart openvpn@server
   
6. ব্যবহারকারীদের ইউজারনেম এবং পাসওয়ার্ড ব্যবহার করার জন্য ভিপিএন ক্লায়েন্টগুলো কনফিগার করুন। উদাহরণস্বরূপ, একটি ওপেনভিপিএন ক্লায়েন্ট কনফিগারেশনে, ওপেনভিপিএন ক্লায়েন্ট কনফিগারেশন ফাইলের শেষে auth-user-pass যোগ করুন এবং ওপেনভিপিএন ক্লায়েন্টটি চালু করুন:
   
   $ openvpn --config /path/to/client.conf
   
7. প্রক্সি হিসেবে স্টানেল ব্যবহার করার জন্য নির্দেশাবলী অনুসরণ করুন।

Secure LDAP পরিষেবার সাথে OpenVPN Access Server সংযোগ করার নির্দেশাবলীর জন্য, “Configuring Google Secure LDAP with OpenVPN Access Server” দেখুন।

পেপারকাটকে সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, পেপারকাটে কীভাবে গুগল ওয়ার্কস্পেস (Google Workspace) এবং গুগল ক্লাউড আইডেন্টিটি (Google Cloud Identity) ব্যবহারকারীদের সিঙ্ক ও প্রমাণীকরণ করবেন তা দেখুন।

Puppet Enterprise-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, Google Cloud Directory for PE দেখুন।

গুরুত্বপূর্ণ: শুরু করার আগে, নিশ্চিত হয়ে নিন যে আপনি Softerra LDAP Browser-এর ৪.৫ (৪.৫.১৯৮০৮.০) বা তার পরবর্তী সংস্করণ ইনস্টল করেছেন। LDAP Browser ৪.৫ দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলোকে একটি PKCS12 ফরম্যাটের ফাইলে রূপান্তর করুন। কমান্ড প্রম্পটে নিম্নলিখিতটি লিখুন:
   
   আপনি যদি macOS বা Linux ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে একটি পাসওয়ার্ড দিন।
   

   আপনি যদি উইন্ডোজে থাকেন, তাহলে নিম্নলিখিত কমান্ডগুলো ব্যবহার করুন:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   গুরুত্বপূর্ণ: ফাইল দুটি ( <CERT_FILE>.crt এবং <CERT_FILE>.key ) অবশ্যই একই ডিরেক্টরিতে থাকতে হবে। এছাড়াও, নিশ্চিত করুন যে key এবং crt উভয়ের নাম একই (শুধু এক্সটেনশনটি আলাদা)। এই উদাহরণে, আমরা ldap-client.crt এবং ldap-client.key নাম দুটি ব্যবহার করেছি।

2. Softerra LDAP ব্রাউজারে কী পেয়ারটি ইনস্টল করুন।
   1. টুলস > সার্টিফিকেট ম্যানেজার- এ যান।
   2. ইম্পোর্ট-এ ক্লিক করুন…
   3. পরবর্তী ধাপে যান।
   4. ব্রাউজ করুন… ক্লিক করুন
   5. ডায়ালগ বক্সের নিচের ডান কোণায় থাকা ফাইল টাইপ ড্রপ-ডাউন তালিকা থেকে পার্সোনাল ইনফরমেশন এক্সচেঞ্জ (*.pfx;*.p12) নির্বাচন করুন।
   6. উপরের ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন।
   7. ওপেন-এ ক্লিক করুন এবং তারপর নেক্সট-এ ক্লিক করুন।
   8. উপরের ২ নং ধাপ থেকে পাসওয়ার্ডটি প্রবেশ করান এবং পরবর্তী বাটনে ক্লিক করুন।
   9. ব্যক্তিগত শংসাপত্রের ভান্ডার নির্বাচন করুন।
   10. পরবর্তী ধাপে যান।
   11. শেষ করুন- এ ক্লিক করুন।
3. একটি সার্ভার প্রোফাইল যোগ করুন।
   1. ফাইল > নতুন > নতুন প্রোফাইল… এ যান
   2. প্রোফাইলের জন্য একটি নাম লিখুন, যেমন Google LDAP ।
   3. পরবর্তী ধাপে যান।
      
      নিম্নলিখিতগুলি প্রবেশ করান:
      
      হোস্ট: ldap.google.com
      বন্দর: ৬৩৬
      বেস ডিএন: ডিএন ফরম্যাটে আপনার ডোমেইন নেম। (যেমন, example.com-এর জন্য dc=example,dc=com )
      নিরাপদ সংযোগ (SSL) ব্যবহার করুন: যাচাই করা হয়েছে
      
   4. পরবর্তী ধাপে যান।
   5. বাহ্যিক (এসএসএল সার্টিফিকেট) নির্বাচন করুন।
   6. পরবর্তী ধাপে যান।
   7. শেষ করুন- এ ক্লিক করুন।

Sophos Mobile-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, “Secure LDAP ব্যবহার করে Sophos Mobile-কে Google Cloud Identity / Google Cloud Directory-এর সাথে সংযুক্ত করা” দেখুন।

সিকিওর এলড্যাপ (Secure LDAP) পরিষেবার সাথে স্প্ল্যাঙ্ক (Splunk) সংযোগ করার সময়, অবশ্যই স্প্ল্যাঙ্ক সংস্করণ ৮.১.৪ বা তার পরবর্তী সংস্করণ ব্যবহার করুন। স্প্ল্যাঙ্ক সংস্করণ ৮.১.৩-এর মতো পুরোনো সংস্করণ ব্যবহার করলে, এলড্যাপ সার্ভারে অতিরিক্ত এলড্যাপ কোয়েরি পাঠানো হতে পারে, যার ফলে আপনার এলড্যাপ কোটা দ্রুত শেষ হয়ে যেতে পারে। স্প্ল্যাঙ্ক সংস্করণ ৮.১.৩-এর সমস্যা সম্পর্কে আরও তথ্যের জন্য, স্প্ল্যাঙ্ক জ্ঞাত সমস্যাসমূহ (Splunk known issues) দেখুন।

এই ধাপগুলো অনুসরণ করুন:

1. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলো /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key এবং /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt -এ কপি করুন।
   
   $ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
   
2. ldap.conf ফাইলটি সম্পাদনা করে নিম্নলিখিত কনফিগারেশনগুলো যোগ করুন:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. ব্যবহারকারীর /home/splunkadmin/.ldaprc ফাইলে নিম্নলিখিত কনফিগারেশনগুলো যোগ করুন:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
   
4. Splunk ওয়েব UI ব্যবহার করে LDAP স্ট্র্যাটেজিটি যোগ করুন। নিম্নলিখিত বিবরণগুলি প্রবেশ করান, এবং তারপর সেভ (Save ) ক্লিক করুন:
   

ব্যবহারকারী প্রমাণীকরণের সময়, SSSD একজন ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে ব্যবহারকারী অনুসন্ধান (user lookup) করে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারী প্রমাণীকরণ সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করতে, আপনাকে সেই সমস্ত সাংগঠনিক ইউনিটগুলির জন্য 'ব্যবহারকারীর পরিচয়পত্র যাচাই করুন' ( Verify user credentials ) চালু করতে হবে যেখানে 'ব্যবহারকারীর তথ্য পড়ুন' (Read user information) এবং 'গ্রুপের তথ্য পড়ুন' (Read group information ) চালু করতে হবে। (নির্দেশাবলীর জন্য, 'অ্যাক্সেস অনুমতি কনফিগার করুন' (Configure access permissions ) দেখুন।)

Red Hat 8 বা CentOS 8-এ একটি SSSD ক্লায়েন্টকে Secure LDAP পরিষেবার সাথে সংযুক্ত করতে:

1. SSSD ক্লায়েন্টকে Secure LDAP পরিষেবাতে যুক্ত করুন:
   1. গুগল অ্যাডমিন কনসোল থেকে, Apps > LDAP > ADD CLIENT -এ যান।
      আপনার কর্পোরেট অ্যাকাউন্ট দিয়ে সাইন ইন করতে ভুলবেন না, ব্যক্তিগত জিমেইল অ্যাকাউন্ট দিয়ে নয়।
   2. ক্লায়েন্টের বিবরণ প্রবেশ করান এবং CONTINUE বাটনে ক্লিক করুন।
   3. অ্যাক্সেস অনুমতিগুলি কনফিগার করুন:
      ব্যবহারকারীর পরিচয়পত্র যাচাই করুন—সম্পূর্ণ ডোমেইন
      ব্যবহারকারীর তথ্য পড়ুন—সম্পূর্ণ ডোমেইন
      গ্রুপের তথ্য পড়ুন— চালু
   4. ADD LDAP CLIENT-এ ক্লিক করুন।
   5. তৈরি করা সার্টিফিকেটটি ডাউনলোড করুন।
   6. ক্লায়েন্টের বিবরণ দেখতে CONTINUE TO CLIENT DETAILS-এ ক্লিক করুন।
   7. সার্ভিসের স্ট্যাটাস পরিবর্তন করে ON করুন।
2. নির্ভরতা ইনস্টল করুন:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   সার্টিফিকেট .zip ফাইলটি আনজিপ করুন এবং .crt ও .key ফাইলগুলো /etc/sssd/ldap-এ কপি করুন।
   
3. (ঐচ্ছিক) ldapsearch দিয়ে পরীক্ষা করুন:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   অনুরোধ করা হলে ব্যবহারকারীর গুগল পাসওয়ার্ড লিখুন।
   
   দ্রষ্টব্য: ব্যবহারকারীকে অবশ্যই একটি Google Workspace Enterprise অথবা Cloud Identity Premium লাইসেন্স বরাদ্দ করা থাকতে হবে।

4. নিম্নলিখিত বিষয়বস্তু সহ /etc/sssd/sssd.conf ফাইলটি তৈরি করুন:
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. অনুমতি এবং SELinux লেবেলগুলি আপডেট করুন:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
   
6. SSSD পুনরায় চালু করুন:
   
   systemctl restart sssd
   
7. পরীক্ষা:
   
   সার্ভারে ssh করুন:

   ssh -l user@example.com {HOSTNAME}

সমস্যা সমাধান

1. SSSD ভার্সন যাচাই করুন (অবশ্যই 1.15.2 বা তার চেয়ে বড় হতে হবে):
   
   # sssd --version
2.2.3
   

2. RHEL/CentOS (বা SELinux প্রয়োগ ব্যবস্থা আছে এমন যেকোনো ডিস্ট্রোতে), SSSD কনফিগারেশন ফাইল এবং সার্টিফিকেট ফাইল ও কী অবশ্যই এমন একটি ডিরেক্টরিতে থাকতে হবে যা sssd_conf_t রোলের মাধ্যমে অ্যাক্সেসযোগ্য:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   AVC ডিনাই মেসেজগুলোর জন্য /var/log/audit/audit.log চেক করুন।
   

3. যাচাই করুন যে /etc/nsswitch.conf ফাইলে passwd, shadow, group, এবং netgroup এন্টিটিগুলোর জন্য "sss" আছে কিনা:
   
   passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
   
   এখানে, স্থানীয় ফাইলগুলো LDAP ব্যবহারকারীদেরকে অগ্রাহ্য করবে।
   
4. কনফিগারেশন ত্রুটির জন্য /var/log/sssd.conf ফাইলটি পরীক্ষা করুন:
   

   উদাহরণ:
   [sssd] [sss_ini_add_snippets] (0x0020): কনফিগারেশন মার্জ ত্রুটি: ফাইল /etc/sssd/sssd.conf অ্যাক্সেস পরীক্ষায় উত্তীর্ণ হতে পারেনি। এড়িয়ে যাওয়া হচ্ছে।

   করণীয়: আপনাকে .conf ফাইলটিতে chmod 600 পরিবর্তন করতে হবে।

   উদাহরণ:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: 'ldap_groups_use_matching_rule_in_chain' অ্যাট্রিবিউটটি 'domain/{DOMAIN}' সেকশনে অনুমোদিত নয়। টাইপের ভুল আছে কিনা পরীক্ষা করুন।

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: 'ldap_initgroups_use_matching_rule_in_chain' অ্যাট্রিবিউটটি 'domain/{DOMAIN}' সেকশনে অনুমোদিত নয়। টাইপের ভুল আছে কিনা পরীক্ষা করুন।

   করণীয়: sssd.conf থেকে অসমর্থিত গ্রুপ ম্যাচ LDAP এক্সটেনশনগুলো সরিয়ে ফেলুন।

5. LDAP/নেটওয়ার্ক/অথরাইজেশন ত্রুটির জন্য /var/log/sssd_{DOMAIN}.log ফাইলটি দেখুন।
   
   উদাহরণ:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls ব্যর্থ হয়েছে: [সংযোগ ত্রুটি] [error:1416F086:SSL routines:tls_process_server_certificate:সার্টিফিকেট যাচাই ব্যর্থ হয়েছে (স্ব-স্বাক্ষরিত সার্টিফিকেট)]

   করণীয়: আপনাকে sssd.conf ফাইলে "ldap_tls_reqcert = never" যোগ করতে হবে।

   ত্রুটির বিশদ বিবরণ বাড়াতে, sssd.conf ফাইলের domain সেকশনে "debug_level = 9" যোগ করুন এবং sssd রিস্টার্ট করুন।

ব্যবহারকারী প্রমাণীকরণের সময়, SSSD একজন ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে ব্যবহারকারী অনুসন্ধান (user lookup) করে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারী প্রমাণীকরণ সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করতে, আপনাকে সেই সমস্ত সাংগঠনিক ইউনিটগুলির জন্য 'ব্যবহারকারীর পরিচয়পত্র যাচাই করুন' ( Verify user credentials ) চালু করতে হবে যেখানে 'ব্যবহারকারীর তথ্য পড়ুন' (Read user information) এবং 'গ্রুপের তথ্য পড়ুন' (Read group information ) চালু করতে হবে। (নির্দেশাবলীর জন্য, 'অ্যাক্সেস অনুমতি কনফিগার করুন' (Configure access permissions ) দেখুন।)

একটি SSSD ক্লায়েন্টকে Secure LDAP পরিষেবার সাথে সংযুক্ত করতে:

1. SSSD সংস্করণ >= 1.15.2 ইনস্টল করুন।
   
   $ sudo apt-get install sssd
   
2. ধরে নিন আপনার ক্লায়েন্ট সার্টিফিকেট এবং কী ফাইলগুলির নাম হলো /var/ldap-client.crt এবং /var/ldap-client.key এবং আপনার ডোমেইন হলো example.com , তাহলে /etc/sssd/sssd.conf ফাইলটি নিচের মতো কনফিগারেশন দিয়ে সম্পাদনা করুন:

   
   [sssd]
   পরিষেবা = এনএসএস, প্যাম
   ডোমেইন = example.com

   [ডোমেইন/ example.com ]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
   

3. কনফিগারেশন ফাইলের মালিকানা এবং অনুমতি পরিবর্তন করুন:
   
   $ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf

4. SSSD পুনরায় চালু করুন:
   
   $ sudo service sssd restart

পরামর্শ: আপনি যদি গুগল কম্পিউট ইঞ্জিনে এক্সটার্নাল আইপি অ্যাড্রেস ছাড়া লিনাক্স কম্পিউটারে SSSD মডিউল ব্যবহার করেন, তাহলেও আপনি সিকিউর এলড্যাপ (Secure LDAP) পরিষেবার সাথে সংযোগ করতে পারবেন, যদি আপনার গুগল পরিষেবাগুলিতে অভ্যন্তরীণ অ্যাক্সেস সক্রিয় থাকে। বিস্তারিত জানতে, প্রাইভেট গুগল অ্যাক্সেস কনফিগার করা (Configuring Private Google Access ) দেখুন।

Secure LDAP পরিষেবা ব্যবহার করে ব্যবহারকারী অ্যাকাউন্টের প্রমাণীকরণের জন্য macOS ক্লায়েন্ট সংযোগ করতে নিচের ধাপগুলো অনুসরণ করুন।

সিস্টেমের প্রয়োজনীয়তা

• macOS অবশ্যই Catalina ভার্সন 10.15.4 বা তার পরবর্তী সংস্করণ হতে হবে।
• প্রস্তুতি পর্বের ধাপ ১ সম্পন্ন করার জন্য একটি গুগল সুপার অ্যাডমিন ইউজার আইডি প্রয়োজন।
• এই কনফিগারেশনটি সম্পন্ন করার জন্য আপনার স্থানীয় অ্যাডমিন অনুমতি প্রয়োজন।

বিষয়বস্তু:

• প্রস্তুতি পর্ব
• মোতায়েন পর্যায়
• সীমাবদ্ধতা এবং নির্দেশিকা
• সমস্যা সমাধান

প্রস্তুতি পর্ব

এই বিভাগের নির্দেশাবলীতে Secure LDAP পরিষেবা ব্যবহার করে কীভাবে ম্যানুয়ালি macOS অথেনটিকেশন সেট আপ এবং পরীক্ষা করতে হয়, তার উপর আলোকপাত করা হয়েছে।

ধাপ ১: গুগল অ্যাডমিন কনসোলে macOS-কে একটি LDAP ক্লায়েন্ট হিসেবে যুক্ত করুন।

নির্দেশাবলীর জন্য, ‘Add LDAP clients’ দেখুন, অথবা এই Secure LDAP ডেমোটি দেখুন। এই প্রক্রিয়া চলাকালীন আপনি একটি স্বয়ংক্রিয়ভাবে তৈরি TLS ক্লায়েন্ট সার্টিফিকেটও ডাউনলোড করবেন।

ধাপ ২: সার্টিফিকেটটি সিস্টেম কীচেইনে ইম্পোর্ট করুন।

1. সার্টিফিকেট (ধাপ ১-এ ডাউনলোড করা জিপ ফাইলটি) এবং কী-টি ম্যাকওএস মেশিনে কপি করুন।
   পরামর্শ: সার্টিফিকেট এবং কী ফাইলগুলো খুঁজে পেতে ফাইলটি আনজিপ করুন।
2. সিস্টেম কীচেইনে কী পেয়ারটি ইম্পোর্ট করুন:

   1. কী এবং সার্টিফিকেটটিকে একটি PKCS 12 (p12) ফাইলে রূপান্তর করুন। টার্মিনালে নিম্নলিখিত কমান্ডটি চালান:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      পরামর্শ: .p12 ফাইলটির নাম লিখে রাখুন।
      
      সিস্টেমটি আপনাকে একটি পাসওয়ার্ড দিতে বলবে। p12 ফাইলটি এনক্রিপ্ট করার জন্য একটি পাসওয়ার্ড দিন।

   2. Keychain Access অ্যাপ্লিকেশনটি খুলুন।

   3. সিস্টেম কীচেইনে ক্লিক করুন।

   4. ফাইল > আইটেম আমদানি-তে ক্লিক করুন।

   5. উপরে তৈরি করা ldap-client.p12 ফাইলটি নির্বাচন করুন।

   6. অনুরোধ করা হলে, সিস্টেম কীচেইন পরিবর্তনের অনুমতি দিতে অ্যাডমিন পাসওয়ার্ডটি প্রবেশ করান।

   7. .p12 ফাইলটি ডিক্রিপ্ট করতে উপরে তৈরি করা পাসওয়ার্ডটি প্রবেশ করান।

      দ্রষ্টব্য: কী-গুলোর তালিকায় একটি নতুন সার্টিফিকেট এবং এর সাথে যুক্ত প্রাইভেট কী দেখতে পাবেন। এটির নাম LDAP Client হতে পারে। নিচের পরবর্তী ধাপের জন্য সার্টিফিকেটটির নামটি লিখে রাখুন।
      
   8. নিচে উল্লেখিত অ্যাপগুলো যোগ করার জন্য প্রাইভেট কী-এর অ্যাক্সেস কন্ট্রোল সেট আপ করতে এই আর্টিকেলের ldapsearch (macOS) সেকশনের ধাপ ৬ অনুসরণ করুন। যদি প্রাইভেট কী-টি 'All Items' ক্যাটাগরির অধীনে না দেখা যায়, তবে 'My Certificates' ক্যাটাগরিতে যাওয়ার চেষ্টা করুন এবং সংশ্লিষ্ট সার্টিফিকেটটি এক্সপ্যান্ড করে সঠিক প্রাইভেট কী এন্ট্রিটি খুঁজে বের করুন।
      
      নির্দেশাবলীতে যেমন উল্লেখ করা হয়েছে, ldapsearch অ্যাপটি শুধুমাত্র সমস্যা সমাধানের প্রয়োজনে প্রাসঙ্গিক, অন্য কোনো উদ্দেশ্যে নয়। সাধারণত ব্যবহারকারীদের macOS-এ অ্যাক্সেস দেওয়ার আগে এটি সরিয়ে ফেলা হয়।
      
      নিম্নলিখিত তিনটি অ্যাপ অবশ্যই অ্যাক্সেস কন্ট্রোল তালিকায় যুক্ত করতে হবে:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. /etc/openldap/ldap.conf ফাইলে একটি লাইন যোগ করুন এবং নিশ্চিত করুন যে "LDAP Client" নামটি .p12 ফাইলটি ইম্পোর্ট করার পর macOS Keychain Access অ্যাপ্লিকেশনে দেখানো সার্টিফিকেটের নামের সাথে হুবহু মিলে যায় (নামটি জেনারেট করা সার্টিফিকেটের X.509 Subject Common Name থেকে আসে):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

ধাপ ৩: প্রমাণীকরণের জন্য ডিভাইসটিকে গুগল ডিরেক্টরিতে নির্দেশ করুন।

একটি নতুন LDAP ডিরেক্টরি নোড তৈরি করতে ডিরেক্টরি ইউটিলিটি অ্যাপ্লিকেশনটি খুলুন:

1. পরিবর্তন করতে তালাটিতে ক্লিক করুন এবং আপনার পাসওয়ার্ড দিন।
2. LDAPv3 নির্বাচন করুন এবং সেটিংস সম্পাদনা করতে পেন্সিল আইকনে ক্লিক করুন।
3. নতুন ক্লিক করুন…
4. সার্ভার নামের জন্য ldap.google.com লিখুন, ‘Encrypt using SSL’ নির্বাচন করুন এবং ‘Manual’-এ ক্লিক করুন।
5. নতুন সার্ভারের নাম নির্বাচন করুন এবং সম্পাদনা… এ ক্লিক করুন।
6. কনফিগারেশন নামের জন্য Google Secure LDAP- এর মতো একটি বর্ণনামূলক নাম লিখুন।
7. SSL ব্যবহার করে এনক্রিপ্ট নির্বাচন করুন এবং নিশ্চিত করুন যে পোর্টটি 636- এ সেট করা আছে।
8. সার্চ ও ম্যাপিং ট্যাবে যান।
   1. "এই LDAPv3 সার্ভারটি অ্যাক্সেস করতে" ড্রপডাউন তালিকা থেকে RFC2307 নির্বাচন করুন।
   2. নির্দেশিত হলে, সার্চ বেস সাফিক্স (Search Base Suffix) -এ ডোমেইন-সম্পর্কিত তথ্য প্রবেশ করান। উদাহরণস্বরূপ, zomato.com ডোমেইন নামের জন্য dc=zomato,dc=com লিখুন।
   3. OK ক্লিক করুন।
   4. ব্যবহারকারী রেকর্ড টাইপের অধীনে অ্যাট্রিবিউটগুলি কনফিগার করুন:
      1. রেকর্ড টাইপ এবং অ্যাট্রিবিউট বিভাগে, ব্যবহারকারী নির্বাচন করুন এবং " + " বোতামে ক্লিক করুন।
      2. পপ-আপ উইন্ডোতে, অ্যাট্রিবিউট টাইপস (Attribute Types) বেছে নিন, জেনারেটেডইউআইডি (GeneratedUID) নির্বাচন করুন এবং তারপর পপ-আপ উইন্ডোটি বন্ধ করতে ওকে (OK) ক্লিক করুন।
         
         এক্সপ্যান্ড করার পর GeneratedUID-টি Users-এর অধীনে প্রদর্শিত হওয়া উচিত।
         
      3. GeneratedUID-টিতে ক্লিক করুন এবং ডানদিকের বক্সে থাকা " + " আইকনটিতে ক্লিক করুন।
      4. টেক্সট বক্সে apple-generateduid টাইপ করুন এবং এন্টার চাপুন।
      5. Users নোডের অধীনে, NFSHomeDirectory অ্যাট্রিবিউটটিতে ক্লিক করুন।
      6. ডানদিকের স্ক্রিনে, এই অ্যাট্রিবিউটের মান #/Users/$uid$ এ আপডেট করুন।
      7. পরিবর্তনগুলো সংরক্ষণ করতে OK-তে ক্লিক করুন এবং আপনার পাসওয়ার্ড দিন।
9. ডিরেক্টরি ইউটিলিটি উইন্ডো থেকে নতুন LDAP কনফিগারেশনটি সেট করুন:
   1. সার্চ পলিসি ট্যাবে যান।
   2. পরিবর্তন করার জন্য লক আইকনে ক্লিক করুন এবং অনুরোধ করা হলে বর্তমান ব্যবহারকারীর পাসওয়ার্ড দিন।
   3. ড্রপডাউন অপশনটি 'সার্চ পাথ' থেকে 'কাস্টম পাথ'- এ পরিবর্তন করুন।
   4. অথেনটিকেশন ট্যাবটি খুলুন এবং " + " আইকনটিতে ক্লিক করুন।
   5. ডিরেক্টরি ডোমেইন তালিকা থেকে /LDAPv3/ldap.google.com বেছে নিন এবং তারপরে অ্যাড-এ ক্লিক করুন।
   6. 'Apply' বাটনে ক্লিক করুন এবং অনুরোধ করা হলে আপনার অ্যাডমিন পাসওয়ার্ড দিন।
10. DIGEST-MD5, CRAM-MD5, NTLM, এবং GSSAPI SASL প্রমাণীকরণ প্রক্রিয়াগুলো নিষ্ক্রিয় করতে নিম্নলিখিত চারটি কমান্ড চালান। macOS, Google Secure LDAP পরিষেবা ব্যবহার করে প্রমাণীকরণের জন্য Simple Bind ব্যবহার করবে:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
    
11. OpenDirectory কনফিগারেশন পুনরায় লোড করতে রিবুট করুন।

ধাপ ৪: একটি মোবাইল অ্যাকাউন্ট তৈরি করুন (অফলাইনে লগইন করার সুবিধা)

যেকোনো Google Workspace বা Cloud Identity ব্যবহারকারী তাদের ইউজারনেম এবং পাসওয়ার্ড ব্যবহার করে একটি নেটওয়ার্ক অ্যাকাউন্ট (Google অ্যাকাউন্ট) দিয়ে লগ ইন করতে পারেন। এই লগইন প্রক্রিয়ার জন্য নেটওয়ার্ক সংযোগ প্রয়োজন। যদি কোনো ব্যবহারকারীকে নেটওয়ার্ক সংযোগ সহ বা সংযোগ ছাড়াই লগ ইন করার প্রয়োজন হয়, তবে একটি মোবাইল অ্যাকাউন্ট তৈরি করা যেতে পারে। একটি মোবাইল অ্যাকাউন্ট আপনাকে আপনার নেটওয়ার্ক অ্যাকাউন্টের (Google অ্যাকাউন্ট) ইউজারনেম এবং পাসওয়ার্ড ব্যবহার করে সাইন ইন করার সুযোগ দেয়, আপনি নেটওয়ার্কের সাথে সংযুক্ত থাকুন বা না থাকুন। আরও বিস্তারিত জানতে, Mac-এ মোবাইল অ্যাকাউন্ট তৈরি এবং কনফিগার করুন দেখুন।

Secure LDAP ব্যবহারকারীদের জন্য একটি মোবাইল অ্যাকাউন্ট তৈরি করতে:

1. সিকিউর এলড্যাপ সার্ভারের সাথে সংযোগ স্থাপন করতে এবং হোম পাথ ও মোবাইল অ্যাকাউন্ট সেট আপ করতে নিম্নলিখিত কমান্ডটি চালান:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
   
   পরামর্শ: $uid-এর জায়গায় ব্যবহারকারীর গুগল অ্যাকাউন্টের সাথে যুক্ত ইমেল ঠিকানার ইউজারনেম অংশটি বসান। উদাহরণস্বরূপ, jsmith@solarmora.com- এর জন্য ইউজারনেম অংশটি হলো jsmith ।

2. যখন SecureToken অ্যাডমিন ইউজার নেম চাওয়া হবে, তখন আপনার অ্যাডমিন ইউজারনেম দিন এবং পরবর্তী প্রম্পটে আপনার পাসওয়ার্ড দিন। এটি FileVault-এ $uid যোগ করবে। macOS ডিস্ক এনক্রিপ্ট করা থাকলে এটি প্রয়োজন।

ধাপ ৫: (ঐচ্ছিক) লগইন স্ক্রিনের পছন্দ নির্ধারণ করুন।

1. সিস্টেম প্রেফারেন্সেস > ইউজার্স অ্যান্ড গ্রুপস > লগইন অপশনস -এ যান, যা একদম নিচের বাম দিকে রয়েছে।
2. অ্যাডমিন ক্রেডেনশিয়াল প্রদান করে লকটি আনলক করুন।
3. প্রদর্শিত লগইন উইন্ডোটি নাম এবং পাসওয়ার্ড হিসেবে পরিবর্তন করুন।

ধাপ ৬: আপনার ডিভাইসটি রিবুট করুন এবং লগ ইন করুন।

1. ডিভাইসটি ইন্টারনেটের সাথে সংযুক্ত আছে কিনা তা নিশ্চিত করুন। যদি আপনার ইন্টারনেট সংযোগ না থাকে, তাহলে Secure LDAP ব্যবহারকারীর লগইন কাজ করবে না।
   দ্রষ্টব্য: শুধুমাত্র প্রথমবার লগইন করার জন্য ইন্টারনেট সংযোগ প্রয়োজন। পরবর্তী যেকোনো লগইন ইন্টারনেট সংযোগ ছাড়াই করা যাবে।
2. যে ইউজার অ্যাকাউন্টটি প্রমাণীকরণের জন্য সিকিওর এলড্যাপ (Secure LDAP) ব্যবহার করতে কনফিগার করা আছে, সেটি দিয়ে ডিভাইসে সাইন ইন করুন।

মোতায়েন পর্যায়

এই বিভাগের নির্দেশাবলী আপনার ব্যবহারকারীদের জন্য ডিভাইস কনফিগারেশন স্বয়ংক্রিয় করার উপর আলোকপাত করে। প্রস্তুতি পর্বে যে macOS ডিভাইসে আপনি ম্যানুয়াল কনফিগারেশন সম্পন্ন করেছিলেন, সেই একই ডিভাইসে নিচের ধাপ ১ এবং ২ সম্পাদন করুন।

ধাপ ১: Apple Configurator 2 ব্যবহার করে সার্টিফিকেট সহ একটি ম্যাক প্রোফাইল তৈরি করুন

1. যে মেশিনে আপনি Secure LDAP ব্যবহার করে ম্যানুয়ালি macOS অথেনটিকেশন কনফিগার করেছেন, সেখানে Apple Configurator 2 ইনস্টল করুন।
2. Apple Configurator 2 খুলুন, একটি নতুন প্রোফাইল তৈরি করুন এবং সার্টিফিকেট বিভাগে, কনফিগার-এ ক্লিক করে পূর্বে তৈরি করা .p12 ফাইলটি ইম্পোর্ট করুন।

   দ্রষ্টব্য: নিশ্চিত করুন যে এই .p12 ফাইলটিতে একটি পাসওয়ার্ড আছে। সার্টিফিকেটের পাসওয়ার্ড অংশে এই পাসওয়ার্ডটি লিখুন।

3. এই প্রোফাইলটি সংরক্ষণ করুন।
4. (M1 বা M2 প্রসেসর ব্যবহৃত ডিভাইসগুলির জন্য, এই ধাপটি বাদ দিন এবং সরাসরি ধাপ ৫-এ যান।) যেকোনো টেক্সট এডিটরে এই প্রোফাইলটি খুলুন এবং প্রথম <dict> ট্যাগে নিম্নলিখিত লাইনগুলি যোগ করুন:
   
   <key>PayloadScope</key>
<string>System</string>
   
   এটি যোগ করা হয়েছে, কারণ অ্যাপল কনফিগুরেটর এখনও ম্যাকওএস-এর জন্য প্রোফাইল সমর্থন করে না।
   
5. দ্বিতীয় <dict> ট্যাগে, সার্টিফিকেট ডেটার সমান্তরালে, নিম্নলিখিত লাইনগুলো যোগ করুন:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   এর মাধ্যমে নিশ্চিত করা হবে যে, সকল অ্যাপ্লিকেশন এই সার্টিফিকেটটি অ্যাক্সেস করতে পারবে।

ধাপ ২: ডিরেক্টরি কনফিগারেশন ফাইল (plist) কে xml এ রূপান্তর করুন

এই ধাপে, আপনি প্রস্তুতি পর্বের ৩ নং ধাপে সম্পন্ন করা সমস্ত ম্যানুয়াল কনফিগারেশন একটি XML ফাইলে এক্সট্র্যাক্ট করছেন। আপনি এই ফাইলটি এবং উপরে ১ নং ধাপে তৈরি করা ম্যাক প্রোফাইলটি ব্যবহার করে অন্যান্য macOS ডিভাইস স্বয়ংক্রিয়ভাবে কনফিগার করতে পারবেন।

1. /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist ফাইলটি আপনার ডেস্কটপে বা অন্য কোথাও কপি করুন।
2. এটিকে XML-এ রূপান্তর করুন যাতে আপনি যেকোনো টেক্সট এডিটরে এটি পরীক্ষা করতে পারেন। টার্মিনালে নিম্নলিখিত কমান্ডটি চালান:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   আপনি <path>/ldap.google.com.plist হিসেবে ফাইলটি অ্যাক্সেস করতে পারবেন।
   
3. উপরের ফাইলটির অনুমতি পরিবর্তন করুন যাতে আপনি XML ফাইলটি খুলতে পারেন। নিশ্চিত করুন যে ফাইলটি খালি নয়।

ধাপ ৩: আপনার ব্যবহারকারীদের ডিভাইসে কনফিগারেশন স্বয়ংক্রিয় করতে একটি পাইথন স্ক্রিপ্ট তৈরি করুন।

নিচের পাইথন স্ক্রিপ্টটি কপি করে একটি পাইথন ফাইল (.py ফাইল) হিসেবে সেভ করুন।

দ্রষ্টব্য: এই নমুনা স্ক্রিপ্টটি পাইথন সংস্করণ 3.10.x-এর সাথে সামঞ্জস্যপূর্ণ করে ডিজাইন করা হয়েছে। এই স্ক্রিপ্টটি যেমন আছে তেমন ভিত্তিতেই প্রদান করা হচ্ছে। গুগল সাপোর্ট নমুনা স্ক্রিপ্টের জন্য কোনো সহায়তা প্রদান করবে না।

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b' '*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

ধাপ ৪: শেষ ব্যবহারকারীর ডিভাইসগুলি স্বয়ংক্রিয়ভাবে কনফিগার করুন

অন্যান্য ম্যাকওএস ডিভাইসগুলিতে যান যেগুলি আপনি কনফিগার করতে চান এবং এই ধাপগুলি অনুসরণ করুন:

1. ধাপ ১-এ তৈরি করা ম্যাক প্রোফাইল ফাইল, ধাপ ২-এ তৈরি করা এক্সএমএল কনফিগারেশন ফাইল এবং ধাপ ৩-এর পাইথন স্ক্রিপ্টটি ডিভাইসে কপি করুন।
2. স্ক্রিপ্টটির জন্য প্রয়োজনীয় ডিপেন্ডেন্সি ইনস্টল করতে, নিম্নলিখিত কমান্ডটি চালান:
   python3 -m pip install pyobjc-framework-opendirectory
3. নিম্নলিখিত কমান্ডটি চালান:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. macOS সিস্টেম কীচেইনে সার্টিফিকেট ইম্পোর্ট করতে, ধাপ ১-এ তৈরি করা ম্যাক প্রোফাইল ফাইলটিতে ডাবল-ক্লিক করুন এবং অনুরোধ করা হলে আপনার macOS লোকাল অ্যাডমিন ক্রেডেনশিয়াল প্রদান করুন। এরপর আপনাকে প্রস্তুতি পর্বে সেট করা .p12 পাসওয়ার্ডটি প্রবেশ করতে বলা হবে।
5. ম্যাকওএস মেশিনটি পুনরায় চালু করুন।
6. প্রস্তুতি পর্বের ৪ নং ধাপে দেওয়া নির্দেশনা অনুযায়ী মোবাইল অ্যাকাউন্ট তৈরি করুন এবং ঐচ্ছিকভাবে প্রস্তুতি পর্বের ৫ নং ধাপে বর্ণিত অতিরিক্ত পছন্দসমূহ সেট করুন।

সীমাবদ্ধতা এবং নির্দেশিকা

• যেসব ব্যবহারকারী তাদের গুগল ক্রেডেনশিয়াল ব্যবহার করে ম্যাকওএস-এ সাইন ইন করেন, তাদের ওয়ার্কস্পেস অ্যাকাউন্টের ইউজারনেম অবশ্যই তাদের ম্যাকওএস ইউজার প্রোফাইল ইউজার আইডি থেকে ভিন্ন হতে হবে, অন্যথায় সাইন-ইন ব্লক করা হবে।
• একবার কোনো ব্যবহারকারী গুগল ক্রেডেনশিয়াল ব্যবহার করে ম্যাকওএস-এ সাইন ইন করা শুরু করলে, ব্যবহারকারীর পাসওয়ার্ড ব্যবস্থাপনা (রিসেট বা পুনরুদ্ধার) অবশ্যই গুগল ওয়েবসাইটে (যেমন, myaccount.google.com- এ বা গুগল অ্যাডমিন কনসোলে) করতে হবে। আপনি যদি কোনো থার্ড-পার্টি সলিউশন ব্যবহার করে পাসওয়ার্ড ব্যবস্থাপনা করতে চান, তাহলে নিশ্চিত করুন যে সর্বশেষ পাসওয়ার্ডটি গুগলের সাথে সিঙ্ক্রোনাইজ করা আছে।
• যদি অ্যাডমিন ‘পরবর্তী সাইন-ইন-এ পাসওয়ার্ড পরিবর্তনের জন্য জিজ্ঞাসা করুন’ সেটিংটি চালু রেখে কোনো নতুন ব্যবহারকারী তৈরি করেন বা বিদ্যমান ব্যবহারকারীর পাসওয়ার্ড রিসেট করেন, তাহলে ব্যবহারকারী অ্যাডমিনের সেট করা অস্থায়ী পাসওয়ার্ড ব্যবহার করে Mac-এ সাইন ইন করতে পারবেন না।
  সমাধান: ব্যবহারকারীকে অন্য কোনো ডিভাইস (যেমন, তার মোবাইল ডিভাইস বা অন্য কোনো ডেস্কটপ ডিভাইস) ব্যবহার করে গুগলে সাইন ইন করতে হবে, একটি স্থায়ী পাসওয়ার্ড সেট করতে হবে এবং তারপর সেই নতুন পাসওয়ার্ড ব্যবহার করে ম্যাকওএস-এ সাইন ইন করতে হবে।
• উপরের কনফিগারেশনের পর প্রথমবার সাইন-ইন করার সময় যাতে ldap.google.com-এ প্রবেশ করা যায়, সেজন্য ম্যাকটিকে অবশ্যই একটি সচল ইন্টারনেট সংযোগের সাথে সংযুক্ত থাকতে হবে। আপনি যদি একটি মোবাইল অ্যাকাউন্ট সেট আপ করার বিকল্পটি বেছে নিয়ে থাকেন, তাহলে পরবর্তী কোনো সাইন-ইনের জন্য ইন্টারনেট সংযোগের প্রয়োজন হবে না।
• macOS-এর সাথে Google Secure LDAP ইন্টিগ্রেশন macOS Catalina, Big Sur, এবং Monterey-তে পরীক্ষা করা হয়েছে।

সমস্যা সমাধান

সিকিউর এলড্যাপ (Secure LDAP) পরিষেবাতে সংযোগ করতে সমস্যা হলে, নিচের নির্দেশাবলী অনুসরণ করুন।

ধাপ ১: সংযোগটি যাচাই করুন।

odutil ব্যবহার করে সংযোগটি যাচাই করুন।
টার্মিনালে odutil show nodenames কমান্ডটি চালান।
/LDAPv3/ldap.google.com এর স্ট্যাটাস অনলাইন আছে কিনা তা যাচাই করুন। যদি এটি অনলাইন না থাকে, তাহলে টেলনেট অপশনটি ব্যবহার করে দেখুন।

nc ব্যবহার করে সংযোগটি যাচাই করুন।
টার্মিনালে নিম্নলিখিত কমান্ডটি চালান: nc -zv ldap.google.com 636
এই পদ্ধতিতে গুগলে সংযোগ করতে না পারলে, IPv4 ব্যবহার করে সংযোগ করার চেষ্টা করুন।

IPv4 দিয়ে সংযোগটি যাচাই করুন।
নিম্নলিখিত ধাপগুলো অনুসরণ করে আপনি আপনার ডিভাইসটিকে IPv4 ব্যবহারে পরিবর্তন করতে পারেন:

1. সিস্টেম প্রেফারেন্সেস > নেটওয়ার্ক > ওয়াই-ফাই > অ্যাডভান্সড- এ যান।
2. অ্যাডভান্সড মেনুর অধীনে, TCP/IP ট্যাবে যান।
3. ড্রপ-ডাউন নির্বাচনটি ‘Configure IPv6’ থেকে ‘Link-local only’- তে পরিবর্তন করুন।
4. OK-তে ক্লিক করুন, এবং তারপর পরিবর্তনগুলি সংরক্ষণ করতে Apply-তে ক্লিক করুন।
5. ldapsearch সংযোগ এবং বৈধ অনুসন্ধানের মাধ্যমে পরিষেবার প্রমাণীকরণ যাচাই করুন।

ধাপ ২: ডিরেক্টরি অবজেক্টগুলো দেখতে পাচ্ছেন কিনা তা যাচাই করুন।

1. ডিরেক্টরি ইউটিলিটি খুলুন এবং তারপরে ডিরেক্টরি এডিটর ট্যাবটি খুলুন।
2. ড্রপ-ডাউন তালিকা থেকে /LDAPv3/ldap.google.com নোডটি নির্বাচন করুন।
3. আপনার গুগল ডোমেইন থেকে ব্যবহারকারী এবং গ্রুপ দেখতে পাচ্ছেন কিনা তা যাচাই করুন।