4. ربط برامج LDAP بخدمة "LDAP الآمن"

اتّبِع الخطوات التالية:

1. اتَّبِع الخطوات من 1 إلى 11 في ldp.exe (نظام التشغيل Windows) لتثبيت شهادات العميل.
2. انتقِل إلى الإجراء > الربط بـ…
3. أدخِل إعدادات الربط التالية:
   
   الاسم: اكتب اسمًا لعملية الربط، مثل Google LDAP.
   نقطة الربط: "اختَر "اسمًا مميَّزًا" أو "سياق تسمية" أو اكتبه"
   أدخِل اسم النطاق بتنسيق الاسم المميَّز (مثل، dc=example,dc=com للنطاق example.com).
   
   الكمبيوتر: "اختَر نطاقًا أو خادمًا أو اكتبه"
   ldap.google.com
   
   استخدام التشفير المُستّنِد إلى طبقة المقابس الآمنة: تم وضع علامة عليه
   
4. انقر على خيارات متقدمة... وأدخِل التفاصيل التالية:
   
   تحديد بيانات الاعتماد: تم وضع علامة في المربّع
   اسم المستخدم: اسم مستخدم بيانات اعتماد الوصول من "وحدة تحكّم المشرف"
   كلمة المرور: كلمة مرور بيانات اعتماد الوصول من "وحدة تحكّم المشرف"
   رقم المنفذ: 636
   البروتوكول: LDAP
   مصادقة الربط البسيط: تم وضع علامة في المربّع
   
5. انقر على حسنًا، ثم انقر على حسنًا مرة أخرى.
6. في حال كانت إمكانية الاتصال ناجحة، يُعرض محتوى Active Directory في الاسم المميَّز الأساسي في الجزء الأيسر.

لاستخدام Apache Directory Studio، عليك الربط من خلال stunnel واستخدام بيانات اعتماد الوصول (اسم المستخدم وكلمة المرور) التي تم إنشاؤها ضمن "وحدة تحكّم المشرف في Google". وبافتراض أنّ بيانات اعتماد الوصول متوفِّرة ويمكن الاستماع إلى Stunnel على منفذ localhost رقم 1389، يُرجى اتّباع الخطوات التالية:

1. انقر على ملف > جديد…
2. اختَر متصفِّح LDAP > ربط LDAP.
3. انقر على التالي.
4. أدخِل مَعلمات الربط:
   
   اسم عملية الربط: اختَر اسمًا، مثل Google LDAP
   اسم المضيف: localhost
   المنفذ: 1389 (أو منفذ الاستماع/القبول في stunnel)
   طريقة التشفير: بدون تشفير (ملاحظة: إذا كان stunnel يعمل عن بُعد، يُنصح بتشفير البيانات بين stunnel والعميل).
   
5. انقر على التالي.
6. أدخِل معلمات المصادقة:
   
   طريقة المصادقة: مصادقة بسيطة
   ربط الاسم المميَّز أو المستخدم: اسم مستخدم بيانات اعتماد الوصول من "وحدة تحكّم المشرف"
   ربط كلمة المرور: كلمة مرور بيانات اعتماد الوصول من "وحدة تحكّم المشرف"
   
7. انقر على التالي.
8. أدخِل الاسم المميَّز الأساسي.
   هذا هو اسم نطاقك بتنسيق الاسم المميز (dc=example,dc=com للنطاق example.com).
9. انقر على إنهاء.

يُجري برنامج Atlassian Jira بحثًا عن مستخدم لمعرفة المزيد من المعلومات عنه أثناء مصادقته. وللتأكُّد من أداء مصادقة المستخدم لبرنامج LDAP هذا بشكلٍ صحيح، عليك تفعيل الاطِّلاع على معلومات المستخدم والاطِّلاع على معلومات المجموعة لجميع الوحدات التنظيمية، حيث يكون التحقُّق من بيانات اعتماد المستخدم مفعّلاً. (للتعرُّف على التعليمات، يُرجى الاطِّلاع على ضبط أذونات الوصول.)

ملاحظة مهمة: قد يؤدي استخدام التعليمات التالية إلى الكشف عن كلمة مرور ملف تخزين المفاتيح للمستخدمين وملفات السجلات. عليك أخذ إجراءات احترازية لمنع الوصول غير المصرح به إلى واجهة المستخدم المحلية وملف السجلّ و"وحدة تحكّم المشرف في Google". كبديل للتعليمات التالية، يمكنك استخدام طريقة stunnel4 (يُرجى الاطِّلاع على اختياري: استخدام stunnel كخادم وكيل).

ملاحظة: تفترض التعليمات التالية أنّه تم تثبيت Jira على /opt/atlassian/jira.

لربط برنامج Atlassian Jira بخدمة LDAP الآمنة، يُرجى تنفيذ ما يلي:

1. انسخ الشهادة والمفتاح إلى خادم(خوادم) Jira. (وهذه هي الشهادة التي يتم إنشاؤها ضمن "وحدة تحكّم المشرف في Google" أثناء إضافة برنامج LDAP إلى خدمة "LDAP الآمن".)
   
   على سبيل المثال:
   $ scp ldap-client.key user@jira-server:
   
2. حوِّل الشهادة والمفاتيح إلى تنسيق ملف تخزين مفاتيح بلغة Java. وسيُطلَب منك إدخال كلمات المرور خلال هذه العملية. لتبسيط الأمور، اختَر كلمة مرور آمنة واستخدِم كلمة المرور نفسها لجميع رسائل المطالبة.
   
   $ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
   
3. اضبط Jira لاستخدام ملف تخزين المفاتيح المُنشأ حديثًا. اتَّبع التوجيهات المذكورة هنا لإضافة الخيارات التالية:
   
   "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"
   
   على نظام التشغيل Linux، يُرجى تنفيذ ما يلي:
   1. عدِّل /opt/atlassian/jira/bin/setenv.sh.
   2. ابحث عن إعداد JVM_SUPPORT_RECOMMENDED_ARGS.
   3. أضِف "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"، مع استبدال "كلمة المرور" بكلمة المرور التي اختَرتها أعلاه.
4. أعِد تشغيل Jira.
   
   $ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
   
5. سجِّل الدخول إلى واجهة ويب Jira بصفتك مشرفًا.
   1. انتقِل إلى الإعدادات > إدارة المستخدمين. (للوصول إلى الإعدادات، انتقِل إلى رمز الترس في أعلى يسار الصفحة.)
   2. انقر على أدلة المستخدم.
   3. انقر على إضافة دليل.
   4. اختَر LDAP كالنوع.
   5. انقر على التالي.
6. أدخل ما يلي:

   الاسم	خدمة LDAP الآمنة في Google
   نوع الدليل	OpenLDAP
   اسم المضيف	ldap.google.com
   المنفذ	636
   استخدام بروتوكول SSL	محدد
   اسم المستخدم	يمكنك إنشاء اسم مستخدم وكلمة مرور ضمن "وحدة تحكّم المشرف في Google". لمعرفة التعليمات، يُرجى الاطِّلاع على إنشاء بيانات اعتماد الوصول.
   كلمة المرور	يمكنك إنشاء اسم مستخدم وكلمة مرور ضمن "وحدة تحكّم المشرف في Google". لمعرفة التعليمات، يُرجى الاطِّلاع على إنشاء بيانات اعتماد الوصول.
   الاسم المميز الأساسي	اسم نطاقك بتنسيق الاسم المميز. (على سبيل المثال، dc=example,dc=com للنطاق example.com)
   Additional User DN	اختياريّ. "ou=Users"
   Additional Group DN (الاسم المميَّز الإضافي للمجموعة)	اختياريّ. "ou=Groups"
   أذونات LDAP	القراءة فقط
   الإعدادات المتقدّمة	لم يتم التغيير
   User Schema Settings (إعدادات مخطَّط المستخدم) > User Name Attribute (سمة اسم المستخدم)	googleUid
   User Schema Settings (إعدادات مخطَّط المستخدم) > User Name RDN Attribute (سمة RDN لاسم المستخدم)	uid
   Group Schema Settings (إعدادات مخطَّط المجموعة) > Group Object Class (فئة كائن المجموعة)	groupOfNames
   Group Schema Settings (إعدادات مخطَّط المجموعة) > Group Object Filter (فلتر كائن المجموعة)	(objectClass=groupOfNames)
   إعدادات مخطَّط العضوية > سمة أعضاء المجموعة	عضو
   إعدادات مخطَّط العضوية > استخدام سمة عضوية المستخدم	محدد

7. امنح دورًا إلى مجموعة.
   
   قبل أن يسمح Atlassian Jira للمستخدم بتسجيل الدخول، يجب أن يكون هذا المستخدم عضوًا في مجموعة لديها حق الوصول إلى Jira.
   
   لمنح دور إلى مجموعة، يُرجى تنفيذ ما يلي:
   1. انتقِل إلى الإعدادات > التطبيقات > الوصول إلى التطبيق.
   2. في مربّع النص Select group (اختيار مجموعة)، أدخِل اسم مجموعة Google التي تريد منحها حق الوصول إلى Jira.

للتعرُّف على تعليمات عن ربط CloudBees Core بخدمة "LDAP الآمن"، يُرجى الاطِّلاع على ضبط CloudBees Core لخدمة "LDAP الآمن" ضمن Google Cloud Identity.

اتّبِع الخطوات التالية:

1. ثبِّت FreeRADIUS واحرص على ضبطه على /etc/freeradius/3.0/.
   
   بعد تثبيت FreeRADIUS، يمكنك إضافة إعدادات LDAP من خلال تثبيت المكوِّن الإضافي freeradius-ldap.
   
   $ sudo apt-get install freeradius freeradius-ldap
   
2. انسخ مفتاح برنامج LDAP وملفات الشهادة إلى /etc/freeradius/3.0/certs/ldap-client.key و/etc/freeradius/3.0/certs/ldap-client.crt على التوالي.
   
   $ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
   
3. فعِّل وحدة LDAP.
   
   $ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
   
4. عدِّل /etc/freeradius/3.0/mods-available/ldap.
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. الهوية = اسم المستخدم من بيانات اعتماد التطبيق
   3. كلمة المرور = كلمة المرور من بيانات اعتماد التطبيق
   4. base_dn = 'dc=domain,dc=com'
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = 'allow'
   9. أشر إلى أسطر رموز باعتبارها تعليقًا في جميع الحقول في شريط التنقل والتي تُمثِّل القسم 'ldap -> post-auth -> update'
5. عدِّل /etc/freeradius/3.0/sites-available/default.
   ملاحظة: يُغيِّر ذلك من ربط برنامج FreeRadius. وفي حال كنت لا تستخدم البرنامج التلقائي، يُرجى التأكُّد من تحديث البرنامج ذي الصلة الذي تم ضبطه (inner-tunnel أو أي برنامج مُخصَّص).
   
   1. عدِّل قسم التفويض لإضافة المجموعة التالية في أسفل الصفحة بعد بيان بروتوكول مصادقة كلمات المرور (PAP):
      
      if (User-Password) {
update control {
Auth-Type := ldap
}
}
      
   2. في قسم authorize (التفويض)، فعِّل LDAP من خلال إزالة علامة '-' الموجودة قبله.
      
      #
      # تقرأ وحدة ldap كلمات المرور من قاعدة بيانات LDAP.
      ldap
      
   3. عدِّل قسم authenticate (المصادقة) من خلال تعديل مجموعة Auth-Type LDAP (نوع مصادقة LDAP) على النحو التالي:
      
      # Auth-Type LDAP {
ldap
# }
      
   4. عدِّل قسم authenticate (المصادقة) من خلال تعديل مجموعة Auth-Type PAP (نوع مصادقة PAP) على النحو التالي:
      
      Auth-Type PAP {
# pap
ldap
}

لمعرفة تعليمات ربط GitLab بخدمة "LDAP الآمن"، يُرجى الاطّلاع على ضبط خدمة "LDAP الآمن" في Google لبرنامج GitLab.

للتعرُّف على تعليمات ربط Itopia/Ubuntu بخدمة LDAP الآمن، يُرجى الاطِّلاع على ضبط LDAP لخدمة Cloud Identity على إصدار 16.04 لبرنامج Ubuntu لعمليات تسجيل دخول المستخدم.

اتّبِع الخطوات التالية:

1. على خادم الويب Ivanti، افتح OpenLDAPAuthenticationConfiguration.xml أو OpenLDAPSSLAuthenticationConfiguration.xml في محرّر نصوص في كلا المجلّدين التاليين:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework وC:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (حيث servicedesk هو اسم المثيل)
2. عدِّل قيمة <Server> إلى ldap.google.com.
3. حدِّث قيمة <Port> إلى المنفذ 3268 للنص الواضح مع تفعيل StartTLS وإلى 3269 لمنفذ طبقة النقل الآمنة/طبقة المقابس الآمنة (المنافذ التلقائية هي 389 لمنفذ النص الواضح أو 636 لمنفذ طبقة النقل الآمنة/طبقة المقابس الآمنة).
4. اضبط قيمة <TestDN> على اسم نطاقك بتنسيق الاسم المميَّز. (على سبيل المثال، dc=example,dc=com للنطاق example.com).
5. في كل من ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config و..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config، أضِف السطر التالي:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   أو السطر التالي:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
   
6. في Ivanti Configuration Center (مركز ضبط Ivanti)، افتح المثيل المطلوبة.
7. بجانب تطبيق Service Desk Framework، انقر على Edit (تعديل).
   سيظهر مربّع الحوار Edit Application (تعديل التطبيق) لتطبيق Service Desk Framework.
8. في مجموعة Configuration parameters (معلَمات الضبط)، اختَر Explicit only (صريح فقط) في قائمة Logon policy (سياسة تسجيل الدخول)، ثم انقر على OK (حسنًا).
9. بجانب تطبيق Web Access، انقر على تعديل.
   سيظهر مربّع الحوار تعديل التطبيق لتطبيق Web Access.
10. في مجموعة Configuration parameters (معلَمات الضبط)، اختَر Explicit only (صريح فقط) في قائمة Logon policy (سياسة تسجيل الدخول)، ثم انقر على OK (حسنًا).

عند تسجيل الدخول، عليك استخدام كلمة مرور شبكة مستخدم النطاق ذات الصلة.

تسجيل الاستثناءات لمصادقة خادم LDAP

إذا كنت تواجه مشاكل بشأن إعداد مصادقة خادم LDAP، يمكنك تفعيل تسجيل الاستثناءات لمساعدتك في تحديد المشكلة. يتم إيقاف ذلك تلقائيًا، ونقترح إيقاف تسجيل الاستثناءات مرة أخرى عند الانتهاء من التحقيقات.

لتفعيل تسجيل الاستثناءات لمصادقة "خادم LDAP"، اتَّبِع الخطوات التالية:

1. افتح ملف XML المناسب لضبط المصادقة في محرِّر النصوص:
   
   DirectoryServiceAuthenticationConfiguration.xml أو OpenLDAPAuthenticationConfiguration.xml أو OpenLDAPSSLAuthenticationConfiguration.xml
2. غيِّر السطر:
   
   <ShowExceptions>false</ShowExceptions>
   إلى
   <ShowExceptions>true</ShowExceptions>
   
3. احفظ التغييرات.

اتّبِع الخطوات التالية:

1. حوِّل ملفات المفتاح والشهادة إلى ملف واحد بتنسيق PKCS12. في موجِّه الأوامر، أدخِل التالي:
   
   إذا كنت تستخدم نظام التشغيل macOS أو Linux، استخدِم الأوامر التالية:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   أدخِل كلمة مرور لتشفير ملف الناتج.
   

   إذا كنت تستخدم نظام التشغيل Windows، استخدِم الأوامر التالية:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   ملاحظة مهمة: يجب أن يكون موقع الملفين (<CERT_FILE>.crt و<CERT_FILE>.key) في الدليل نفسه. وتأكَّد أيضًا من أنّ كل من المفتاح key والشهادة crt لهما اسم متطابق (بامتداد مختلف). في هذا المثال، نستخدم الاسمين ldap-client.crt وldap-client.key.

2. انتقِل إلى "لوحة التحكّم".
3. في مربّع البحث، ابحَث عن "الشهادة"، ثم انقر على إدارة شهادات المستخدم.
4. انتقِل إلى الإجراءات > جميع المهام > استيراد…
5. اختَر مستخدم حالي، وانقر على التالي.
6. انقر على تصفَّح…
7. في القائمة المنسدلة نوع الملف في أسفل يسار مربّع الحوار، اختَر تبادل المعلومات الشخصية (&ast;.pfx;&ast;.p12).
8. اختَر الملف ldap-client.p12 من الخطوة 2، وانقر على فتح، ثم انقر على التالي.
9. أدخِل كلمة المرور من الخطوة 2 وانقر على التالي.
10. اختَر مخزن الشهادات الشخصية، وانقر على التالي، ثم انقر على إنهاء.
11. شغِّل Ldp.exe.
12. انتقِل إلى Connection (الربط) > Connect… (ربط…)
13. أدخِل تفاصيل الربط التالية:
    
    الخادم: ldap.google.com
    المنفذ: 636
    بدون ربط: غير محدد
    طبقة المقابس الآمنة: محدد
    
14. انقر على موافق.
15. انتقِل إلى عرض > شجرة.
16. أدخِل الاسم المميَّز الأساسي. يمثل ذلك اسم نطاقك بتنسيق الاسم المميز. (على سبيل المثال، dc=example,dc=com للنطاق example.com).
17. انقر على موافق.
18. في حال كانت إمكانية الاتصال ناجحة، يعرض LDP.exe محتوى Active Directory في الجزء الأيسر، مثل جميع السمات المُقدَّمة في الاسم المميَّز الأساسي.

لمعرفة تعليمات ربط Netgate/pfSense بخدمة "LDAP الآمن"، يُرجى الاطّلاع على ضبط Cloud Identity كمصدر مصادقة.

للوصول إلى دليل LDAP من سطر الأوامر، يمكنك استخدام الأمر OpenLDAP ldapsearch.

بافتراض أنّ ملفات المفتاح وشهادة العميل هما ldap-client.crt وldap-client.key، ونطاقك هو example.com واسم المستخدم هو jsmith:

$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

يحدِّد ذلك متغيِّرات البيئة ذات الصلة والتي تعمل على التوجيه إلى مفاتيح البرنامج. يمكنك استبدال خيارات ldapsearch الأخرى بالفلاتر التي تريدها والسمات المطلوبة وغيرها. ولمعرفة التفاصيل الأخرى، يُرجى الاطِّلاع على صفحات ldapsearch man ("man ldapsearch")‎.

اتّبِع الخطوات التالية:

1. حوِّل ملفات المفتاح والشهادة إلى ملف واحد بتنسيق PKCS12. في موجِّه الأوامر، أدخِل التالي:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   أدخِل كلمة المرور لتشفير ملف الناتج.
   
2. انقر على في أعلى يسار شريط القوائم، واكتب Keychain Access.
3. افتح تطبيق Keychain Access، ومن القائمة على يمين الصفحة، انقر على System (النظام).
4. انقر على الخيار الملف في شريط القائمة العلوية اليمنى واختَر استيراد عناصر.
5. استعرض للوصول إلى الموقع باستخدام الملف ldap-client.p12 الذي تم إنشاؤه، واختَر ldap-client.p12، ثم انقر على فتح.
   أدخِل كلمة المرور إذا طُلب منك ذلك.
   يجب أن تظهر الآن شهادة باسم برنامج LDAP في قائمة شهادات System Keychain.
6. انقر على السهم بجانب شهادة عميل LDAP. يظهر مفتاح خاص أدناه.
   1. انقر مرّتين على المفتاح الخاص.
   2. من مربع الحوار، اختَر علامة التبويب التحكّم في الوصول وانقر على + في أسفل يمين الصفحة.

   3. من النافذة التي تظهر لك، اكتب Command+Shift+G لفتح نافذة جديدة، ثم استبدل النص الحالي بالأمر /usr/bin/ldapsearch.

   4. انقر على انتقال.
      
      يؤدي ذلك إلى فتح نافذة ldapsearch المحدَّدة.

   5. انقر على إضافة.

   6. انقر على حفظ التغييرات، وأدخِل كلمة المرور إذا طُلب منك ذلك.
      
      يمكنك الآن الوصول إلى دليل LDAP من سطر الأوامر، باستخدام الأمر OpenLDAP ldapsearch.

7. بافتراض أنّ الملف ldap-client.p12 الذي استوردته في keychain سابقًا يحمل اسم برنامج LDAP، وأنّ نطاقك هو example.com واسم المستخدم هو jsmith، عليك إدخال ما يلي:
   
   $ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

يحدِّد ذلك متغيِّرات البيئة ذات الصلة والتي تعمل على التوجيه إلى شهادة العميل التي تم استيرادها. يمكنك استبدال خيارات ldapsearch الأخرى بالفلاتر التي تريدها والسمات المطلوبة وغيرها. لمعرفة المزيد من التفاصيل، يُرجى الاطّلاع على صفحات ldapsearch man pages (man ldapsearch).

اتّبِع الخطوات التالية:

1. ثبِّت OpenVPN واضبطه إذا لزم الأمر، أو في حال تم إجراء ذلك من قبل، افتح صفحة الإعدادات في OpenVPN.
   
   يتجاوز الضبط العام للشبكة الافتراضية الخاصة (VPN) نطاق مقالة المساعدة هذه. بعد إعداد شبكة افتراضية خاصة (VPN)، يمكنك إضافة مصادقة المستخدم وتفويضه عبر خدمة LDAP. وبشكلٍ خاص، عليك تثبيت المكوِّن الإضافي openvpn-auth-ldap.
   
   $ sudo apt-get install openvpn openvpn-auth-ldap
   
2. انسخ مفتاح برنامج LDAP وملفات الشهادة إلى /etc/openvpn/ldap-client.key و/etc/openvpn/ldap-client.crt.
3. أنشئ ملفًا، /etc/openvpn/auth-ldap.conf، يتضمّن ما يلي (بافتراض أنّ example.com يمثل اسم النطاق):
   
   <LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (or choose your own LDAP filter for users)
RequireGroup false
</Authorization>
   
4. عدِّل ملف ضبط OpenVPN، والذي يُسمى غالبًا /etc/openvpn/server.conf، أو ما شابه ذلك. في أسفل الملف، أضِف ما يلي:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
   
5. أعِد تشغيل خادم OpenVPN.
   
   $ sudo systemctl restart openvpn@server
   
6. اضبط برامج الشبكة الافتراضية الخاصة (VPN) لاستخدام أسماء المستخدمين وكلمات مرورهم. مثلاً، عند ضبط برنامج OpenVPN، يمكنك إضافة auth-user-pass إلى نهاية ملف ضبط برنامج OpenVPN وبدء برنامج OpenVPN:
   
   $ openvpn --config /path/to/client.conf
   
7. اتَّبِع تعليمات استخدام stunnel كخادم وكيل.

للحصول على تعليمات حول ربط OpenVPN Access Server بخدمة "LDAP الآمن"، يُرجى الاطّلاع على ضبط "LDAP الآمن" في Google مع OpenVPN Access Server.

للحصول على تعليمات حول ربط PaperCut بخدمة "LDAP الآمن"، يُرجى الاطّلاع على كيفية مزامنة مستخدمي Google Workspace وGoogle Cloud Identity ومصادقتهم في PaperCut.

للتعرُّف على تعليمات ربط Puppet Enterprise بخدمة LDAP الآمن، يُرجى الاطِّلاع على دليل Google Cloud لخبير المنتجات.

ملاحظة مهمة: قبل البدء، يُرجى التأكُّد من تثبيت "متصفِّح Softerra LDAP" باستخدام الإصدار رقم 4.5 (4.5.19808.0) أو الإصدارات الأحدث. يُرجى الاطّلاع على إصدار 4.5 لمتصفِّح LDAP.

اتّبِع الخطوات التالية:

1. حوِّل ملفات المفتاح والشهادة إلى ملف واحد بتنسيق PKCS12. في موجِّه الأوامر، أدخِل التالي:
   
   إذا كنت تستخدم نظام التشغيل macOS أو Linux، استخدِم الأوامر التالية:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   أدخِل كلمة مرور لتشفير ملف الناتج.
   

   إذا كنت تستخدم نظام التشغيل Windows، استخدِم الأوامر التالية:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   ملاحظة مهمة: يجب أن يكون موقع الملفين (<CERT_FILE>.crt و<CERT_FILE>.key) في الدليل نفسه. وتأكَّد أيضًا من أنّ كل من المفتاح key والشهادة crt لهما اسم متطابق (بامتداد مختلف). في هذا المثال، نستخدم الاسمين ldap-client.crt وldap-client.key.

2. في "متصفِّح Softerra LDAP"، ثبِّت زوجًا من المفاتيح.
   1. انتقِل إلى الأدوات > مدير الشهادة.
   2. انقر على استيراد…
   3. انقر على التالي.
   4. انقر على تصفَّح…
   5. في القائمة المنسدلة نوع الملف في أسفل يسار مربّع الحوار، اختَر تبادل المعلومات الشخصية (&ast;.pfx;&ast;.p12).
   6. اختَر الملف ldap-client.p12 من الخطوة 2 أعلاه.
   7. انقر على فتح، ثم انقر على التالي.
   8. أدخِل كلمة المرور من الخطوة 2 أعلاه وانقر على التالي.
   9. اختَر مخزن الشهادات الشخصية.
   10. انقر على التالي.
   11. انقر على إنهاء.
3. أضِف ملفًا شخصيًا للخادم.
   1. انتقِل إلى ملف > جديد > ملف شخصي جديد…
   2. أدخِل اسمًا للملف الشخصي، مثل Google LDAP.
   3. انقر على التالي.
      
      أدخِل التفاصيل التالية:
      
      المضيف: ldap.google.com
      المنفذ: 636
      الاسم المميَّز الأساسي: اسم النطاق بتنسيق الاسم المميَّز. (مثل. dc=example,dc=com للنطاق example.com)
      استخدام الاتصال الآمن (طبقة المقابس الآمنة): تم وضع علامة في المربع
      
   4. انقر على التالي.
   5. اختَر خارجية (شهادة طبقة المقابس الآمنة).
   6. انقر على التالي.
   7. انقر على إنهاء.

للتعرُّف على تعليمات ربط Sophos Mobile بخدمة "LDAP الآمن"، يُرجى الاطِّلاع على ربط Sophos Mobile بخدمة Cloud Identity من Google / دليل Google Cloud باستخدام خدمة "LDAP الآمن".

عند ربط Splunk بخدمة "LDAP الآمن"، تأكَّد من استخدام الإصدار 8.1.4 من Splunk أو إصدار أحدث. عند استخدام الإصدارات القديمة من Splunk مثل الإصدار 8.1.3، قد يتم إرسال طلبات LDAP الزائدة إلى خادم LDAP، مما قد يؤدي إلى استنفاد حصة LDAP بسرعة. لمزيد من المعلومات عن مشاكل الإصدار 8.1.3 من Splunk، يمكنك الاطّلاع على مشاكل Splunk المعروفة.

اتّبِع الخطوات التالية:

1. انسخ مفتاح برنامج LDAP وملفات الشهادة إلى /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key و/home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt.
   
   $ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
   
2. عدِّل الملف ldap.conf لإضافة عمليات الضبط التالية:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. أضِف عمليات الضبط التالية في ملف المستخدم /home/splunkadmin/.ldaprc:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
   
4. أضِف استراتيجية LDAP باستخدام واجهة مستخدم ويب Splunk. أدخِل التفاصيل التالية، ثم انقر على حفظ:
   

يُجري SSSD عملية بحث عن مستخدم لمعرفة المزيد من المعلومات عنه أثناء مصادقته. وللتأكُّد من أداء مصادقة المستخدم لبرنامج LDAP هذا بشكلٍ صحيح، عليك تفعيل الاطِّلاع على معلومات المستخدم والاطِّلاع على معلومات المجموعة لجميع الوحدات التنظيمية، حيث يكون التحقُّق من بيانات اعتماد المستخدم مفعّلاً. (للتعرُّف على التعليمات، يُرجى الاطِّلاع على ضبط أذونات الوصول.)

لربط برنامج SSSD على Red Hait 8 أو CentOS 8 بـ "خدمة LDAP الآمن"، اتَّبِع الخطوات التالية:

1. أضِف برنامج SSSD إلى "خدمة LDAP الآمن":
   1. من "وحدة تحكُّم المشرف في Google"، انتقِل إلى التطبيقات > LDAP > إضافة برنامج.
      تأكَّد من تسجيل الدخول باستخدام حساب شركتك، وليس حسابك الشخصي على Gmail.
   2. أدخِل تفاصيل البرنامج وانقر على متابعة.
   3. اضبُط أذونات الوصول:
      التحقُّق من بيانات اعتماد المستخدم - النطاق بالكامل
      الاطّلاع على معلومات المستخدم - النطاق بالكامل
      الاطّلاع على معلومات المجموعة - تفعيل
   4. انقر على إضافة برنامج LDAP.
   5. نزِّل الشهادة التي تم إنشاؤها.
   6. انقر على المتابعة إلى تفاصيل البرنامج.
   7. غيِّر حالة الخدمة إلى تفعيل.
2. ثبِّت العناصر التابعة:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   احرِص على فك ضغط ملف zip .للشهادة وانسَخ ملف .crt وملف .key إلى /etc/sssd/ldap
   
3. (اختياري) يمكنك إجراء اختبار باستخدام ldapsearch:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   أدخِل كلمة مرور حساب Google الخاص بالمستخدم عندما يُطلب منك ذلك.
   
   ملاحظة: يجب أن يمتلك المستخدم ترخيص Google Workspace Enterprise أو "النسخة المدفوعة من Cloud Identity".

4. أنشئ الملف /etc/sssd/sssd.conf بالمحتوى التالي:
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. عدِّل الأذونات وتصنيفات SELinux:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
   
6. أعِد تشغيل SSSD:
   
   systemctl restart sssd
   
7. اختبِر من خلال:
   
   ssh to server:

   ssh -l user@example.com {HOSTNAME}

تحديد المشاكل وحلّها

1. راجِع إصدار SSSD (يجب أن يكون الإصدار 1.15.2 أو إصدار أحدث):
   
   # sssd --version
2.2.3
   

2. في RHEL/CentOS (أو أي توزيعة مع فرض SELinux)، يجب أن يتمكَّن الدور ssd_conf_t من الوصول إلى ملفات ضبط SSSD وملف الشهادة والمفتاح:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   راجِع /var/log/audit/audit.log بحثًا عن رسائل الرفض AVC.
   

3. تحقَّق من توفُّر "sss" في /etc/nsswitch.conf لإدخالات passwd وshadow وgroup وnetgroup:
   
   passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
   
   ستحل الملفات المحلية محل مستخدمي LDAP.
   
4. راجِع /var/log/sssd.conf بحثًا عن أخطاء ملفات الضبط:
   

   مثال:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. التخطّي

   الإجراء: عليك chmod 600 في ملف .conf.

   مثال:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. تحقَّق من عدم وجود أخطاء إملائية.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. تحقَّق من عدم وجود أخطاء إملائية.

   الإجراء: احرِص على إزالة إضافات LDAP المطابقة لمجموعات غير متوافقة من sssd.conf.

5. راجِع /var/log/sssd_{DOMAIN}.log بحثًا عن أخطاء LDAP/network/auth.
   
   مثال:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   الإجراء: عليك إضافة "ldap_tls_reqcert = never" إلى sssd.conf.

   لاستيضاح الأخطاء بشكل أكبر، يمكنك إضافة "debug_level = 9" في sssd.conf ضمن قسم النطاق وإعادة تشغيل sssd.

يُجري SSSD عملية بحث عن مستخدم لمعرفة المزيد من المعلومات عنه أثناء مصادقته. وللتأكُّد من أداء مصادقة المستخدم لبرنامج LDAP هذا بشكلٍ صحيح، عليك تفعيل الاطِّلاع على معلومات المستخدم والاطِّلاع على معلومات المجموعة لجميع الوحدات التنظيمية، حيث يكون التحقُّق من بيانات اعتماد المستخدم مفعّلاً. (للتعرُّف على التعليمات، يُرجى الاطِّلاع على ضبط أذونات الوصول.)

لربط برنامج SSSD بخدمة LDAP الآمنة، يُرجى تنفيذ ما يلي:

1. ثبِّت إصدار SSSD >= 1.15.2.
   
   $ sudo apt-get install sssd
   
2. بافتراض أنّ ملفَي مفتاح وشهادة البرنامج يحملان الاسم /var/ldap-client.crt و/var/ldap-client.key ونطاقك باسم example.com، عدِّل /etc/sssd/sssd.conf من خلال عملية ضبط مثل ما يلي:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
   

3. غيّر ملكية ملف الضبط وإذنه:
   
   $ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf

4. أعِد تشغيل SSSD:
   
   $ sudo service sssd restart

ملاحظة: في حال كنت تستخدم وحدة SSSD على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Linux بدون عناوين IP الخارجية على Google Compute Engine، سيظل بإمكانك الربط بخدمة LDAP الآمنة طالما أنّه تم تفعيل الوصول الداخلي إلى خدمات Google. للحصول على التفاصيل، يُرجى الاطّلاع على ضبط الوصول الخاص إلى Google.

اتَّبِع الخطوات التالية لربط برنامج نظام التشغيل macOS لمصادقة حساب المستخدم باستخدام "خدمة LDAP الآمن".

متطلبات النظام

• يجب أن يكون إصدار نظام التشغيل macOS هو Catalina 10.15.4 أو إصدار أحدث.
• يجب تقديم رقم تعريف المستخدم للمشرف المتميِّز في Google لإكمال الخطوة 1 في مرحلة التحضير.
• يجب الحصول على أذونات المشرف المحلي لتنفيذ عملية الضبط هذه.

المحتوى:

• مرحلة التحضير
• مرحلة النشر
• القيود والإرشادات
• تحديد المشاكل وحلّها

مرحلة التحضير

تركِّز التعليمات الواردة في هذا القسم على كيفية إعداد مصادقة نظام التشغيل macOS واختبارها يدويًا باستخدام "خدمة LDAP الآمن".

الخطوة 1: إعداد نظام التشغيل macOS كبرنامج LDAP ضمن "وحدة تحكّم المشرف في Google"

لمعرفة التعليمات، يُرجى الاطّلاع على إضافة برامج LDAP أو مشاهدة هذا العرض التوضيحي عن "خدمة LDAP الآمن". واحرِص أيضًا على تنزيل شهادة عميل طبقة النقل الآمنة التي يتم إنشاؤها تلقائيًا أثناء هذه العملية.

الخطوة 2: استيراد الشهادة إلى سلسلة مفاتيح النظام

1. انسَخ الشهادة (الملف المضغوط الذي تم تنزيله في الخطوة 1) والمفتاح إلى جهاز macOS.
   ملاحظة: يمكنك فك ضغط الملف للعثور على ملف الشهادة وملف المفتاح.
2. احرِص على استيراد مفتاحا التشفير إلى سلسلة مفاتيح النظام:

   1. حوِّل المفتاح والشهادة إلى ملف PKCS 12 (p12)‎. شغِّل الأمر التالي في الوحدة الطرفية:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      ملاحظة: اكتُب اسم ملف p12.
      
      سيطلب منك النظام إدخال كلمة مرور. أدخِل كلمة مرور لتشفير ملف p12.

   2. افتح تطبيق Keychain Access.

   3. انقر على سلسلة مفاتيح النظام.

   4. انقر على ملف > استيراد العناصر.

   5. اختَر الملف ldap-client.p12 الذي تم إنشاؤه أعلاه.

   6. عند الطلب، أدخِل كلمة مرور المشرف للسماح بتعديل سلسلة مفاتيح النظام.

   7. أدخِل كلمة المرور التي أنشأتها أعلاه لفك تشفير ملف .p12.

      ملاحظة: من المتوقع ظهور شهادة جديدة ومفتاح خاص متعلق بها في قائمة المفاتيح. قد يُطَلق عليه LDAP Client. يرجى تسجيل اسم الشهادة للخطوة التالية أدناه.
      
   8. اتَّبِع الخطوة 6 في قسم ldapsearch (نظام التشغيل macOS) ضمن هذه المقالة لإعداد "التحكّم في الوصول" للمفتاح الخاص لإضافة التطبيقات المُحدَّدة أدناه. وفي حال عدم ظهور المفتاح الخاص ضمن فئة جميع العناصر، جرِّب تغيير الفئة إلى شهاداتي وتحديد موقع إدخال المفتاح الخاص الصحيح من خلال توسيع الشهادة المقابلة.
      
      لا يكون تطبيق ldapsearch ملائمًا للاستخدام إلا في حال الحاجة إلى تحديد المشاكل وحلّها، وليس لأغراض أخرى، كما هو موضَّح في التعليمات. تُزال هذه النسخة عادةً قبل منح المستخدمين إمكانية الوصول إلى نظام التشغيل macOS.
      
      يجب إضافة التطبيقات الثلاثة التالية إلى قائمة Access Control (التحكُّم في الوصول):
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. أضِف سطرًا إلى ملف /etc/openldap/ldap.conf، مع التأكّد من أنّ "برنامج LDAP" هو بالضبط اسم الشهادة نفسه كما هو موضّح في تطبيق "الوصول إلى سلسلة المفاتيح" على نظام التشغيل macOS بعد استيراد ملف ‎ .p12 (يأتي الاسم من الاسم الشائع لموضوع X.509 الخاص بالشهادة التي تم إنشاؤها):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

الخطوة 3: توجيه الجهاز إلى دليل Google للمصادقة

افتح تطبيق Directory Utility لإنشاء عقدة دليل LDAP جديدة:

1. انقر على القفل لإجراء تغييرات وأدخِل كلمة المرور.
2. اختَر LDAPv3، ثم انقر على رمز القلم الرصاص لتعديل الإعدادات.
3. انقر على جديد….
4. بالنسبة إلى اسم الخادم، أدخِل ldap.google.com، ثم اختَر التشفير باستخدام طبقة المقابس الآمنة (Encrypt using SSL) وانقر على يدوي (Manual).
5. اختَر اسم الخادم الجديد وانقر على Edit… (تعديل…)
6. أدخِل اسمًا وصفيًا مثل Google Secure LDAP لاسم عملية الضبط.
7. اختَر التشفير باستخدام طبقة المقابس الآمنة (SSL) وتأكَّد من ضبط المنفذ على 636.
8. انتقِل إلى علامة التبويب البحث وعمليات الربط.
   1. اختَر RFC2307 من القائمة المنسدلة Access this LDAPv3 server using (الوصول إلى خادم LDAPv3 هذا باستخدام).
   2. عند الطلب، أدخِل المعلومات المتعلقة بالنطاق في لاحقة قاعدة البحث. على سبيل المثال، أدخِل dc=zomato,dc=com لاسم نطاق zomato.com.
   3. انقر على موافق.
   4. اضبُط السمات ضمن نوع السجلّ Users (المستخدمون):
      1. في القسم أنواع السجلّات والسمات، اختَر المستخدمون وانقر على الزر "+".
      2. في النافذة المنبثقة، اختَر أنواع السمات، ثم اختَر GeneratedUID، ثم انقر على حسنًا لإغلاق النافذة المنبثقة.
         
         من المفترَض أن يظهر GeneratedUID ضمن Users (المستخدمون) بعد التوسيع.
         
      3. انقر على GeneratedUID، ثم انقر على الرمز "+" في المربع على اليسار.
      4. أدخِل apple-generateduid في مربع النص، وانقر على Enter (إدخال).
      5. ضمن عقدة Users (المستخدمون)، انقر على السمة NFSHomeDirectory.
      6. في الشاشة على اليسار، عدِّل قيمة هذه السمة إلى #/Users/$uid$
      7. انقر على حسنًا وأدخِل كلمة المرور لحفظ التغييرات.
9. من نافذة Directory Utility، اضبط إعدادات LDAP الجديدة:
   1. انتقِل إلى علامة التبويب سياسة البحث.
   2. انقر على رمز القفل لإجراء تغييرات، وأدخِل كلمة مرور المستخدم الحالي عند الطلب.
   3. غيِّر خيار القائمة المنسدلة من مسار البحث إلى مسار مخصّص.
   4. افتح علامة التبويب المصادقة وانقر على الرمز "+".
   5. اختَر /LDAPv3/ldap.google.com من قائمة Directory Domains (نطاقات الدليل)، ثم انقر على إضافة.
   6. انقر على الزر تطبيق وأدخِل كلمة مرور المشرف عند الطلب.
10. شغِّل الأوامر الأربعة التالية لإيقاف آليات المصادقة DIGEST-MD5 وCRAM-MD5 وNTLM وGSSAPI SASL. سيستخدم نظام التشغيل macOS الربط البسيط للمصادقة باستخدام خدمة "LDAP الآمن" من Google:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
    
11. أعِد التشغيل لإعادة تحميل ضبط OpenDirectory.

الخطوة 4: إنشاء حساب أجهزة جوَّالة (يسمح بتسجيل الدخول بلا اتصال بالإنترنت)

يمكن لأي مستخدم في Google Workspace أو Cloud Identity تسجيل الدخول باستخدام حساب شبكة (حساب Google) مستخدمًا اسم المستخدم وكلمة المرور. تحتاج عملية تسجيل الدخول هذه إلى الاتصال بالشبكة. وإذا كان المستخدم يحتاج إلى تسجيل الدخول إلى الشبكة سواء كان متصلاً بالإنترنت أو لا، يمكن إنشاء حساب أجهزة جوَّالة. يتيح لك حساب الأجهزة الجوَّالة استخدام اسم المستخدم وكلمة المرور لحساب الشبكة (حساب Google) لتسجيل الدخول، سواء كنت متصلاً بالشبكة أو لا. لمزيد من التفاصيل، يُرجى الاطّلاع على إنشاء حسابات الأجهزة الجوَّالة وضبطها على جهاز Mac.

اتَّبِع الخطوات التالية لإنشاء حساب أجهزة جوِّالة لمستخدمي "خدمة LDAP الآمن":

1. نفِّذ الأمر التالي للربط بخادم "خدمة LDAP الآمن" وإعداد مسار رئيسي وحسابات الأجهزة الجوّالة:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
   
   ملاحظة: استبدِل $uid بجزء اسم المستخدم من عنوان البريد الإلكتروني المرتبط بحساب المستخدم على Google. على سبيل المثال، jsmith هو جزء اسم المستخدم في عنوان البريد الإلكتروني jsmith@solarmora.com.

2. عندما يُطلب منك SecureToken admin user name (اسم مستخدم مشرف SecureToken)، أدخِل اسم المستخدم للمشرف وأدخِل كلمة المرور في رسالة الطلب التالية. سيؤدي ذلك إلى إضافة $uid إلى FileVault. وهي خطوة ضرورية إذا كان قرص macOS مشفّرًا.

الخطوة 5: (اختياري) ضبط الإعدادات المُفضَّلة لشاشة تسجيل الدخول

1. انتقِل إلى System preferences (الإعدادات المفضَّلة للنظام) > Users & Groups (المستخدمون والمجموعات) > Login Options (خيارات تسجيل الدخول) في أسفل يمين الصفحة.
2. افتح القفل من خلال تقديم بيانات اعتماد المشرف.
3. غيِّر طريقة عرض نافذة تسجيل الدخول إلى الاسم وكلمة المرور.

الخطوة 6: إعادة التشغيل جهازك وتسجيل الدخول إليه

1. تأكَّد من اتصال الجهاز بالإنترنت. وفي حال عدم الاتصال بالإنترنت، لن تتم عملية تسجيل الدخول لمستخدم "خدمة LDAP الآمن".
   ملاحظة: الاتصال بالإنترنت ضروري لتسجيل الدخول لأول مرة فقط. يمكن أن تحدث أي عمليات تسجيل دخول تالية بدون اتصال بالإنترنت.
2. سجِّل الدخول إلى الجهاز باستخدام حساب المستخدم الذي تم ضبطه لاستخدام "خدمة LDAP الآمن" للمصادقة.

مرحلة النشر

تركِّز التعليمات الواردة في هذا القسم على برمجة ضبط الجهاز للمستخدمين. نفِّذ الخطوتين 1 و2 أدناه على الجهاز الذي يعمل بنظام التشغيل macOS نفسه الذي أكملت عليه عملية الضبط اليدوية أثناء مرحلة التحضير.

الخطوة 1: إنشاء ملف شخصي على جهاز Mac من خلال شهادة باستخدام Apple Configurator 2

1. ثبِِّت Apple Configurator 2 على الجهاز الذي تم ضبط مصادقة نظام التشغيل macOS يدويًا عليه باستخدام "خدمة LDAP الآمن".
2. افتح Apple Configurator 2 وأنشئ ملفًا شخصيًا جديدًا وانقر على Configure (ضبط) واحرِص على استيراد ملف ‎ .p12 الذي تم إنشاؤه ضمن قسم Certificate (الشهادة) في السابق.

   ملاحظة: تأكَّد من أنّ ملف ‎ .p12 هذا لديه كلمة مرور. أدخِل كلمة المرور هذه في قسم Password (كلمة المرور) ضمن Certificate (الشهادة).

3. احفَظ هذا الملف الشخصي.
4. (بالنسبة إلى الأجهزة التي تستخدم المعالج M1 أو M2، يمكنك تخطّي هذه الخطوة والمتابعة إلى الخطوة 5. ) افتَح هذا الملف الشخصي في أي مُحرِّر نصوص وأضِف الأسطر التالية في علامة <dict> الأولى:
   
   <key>PayloadScope</key>
<string>System</string>
   
   تضاف هذه الأسطر، لأن تطبيق Apple Configurator لا يتوافق مع الملفات الشخصية لنظام التشغيل macOS حتى الآن.
   
5. في علامة <dict> الثانية، بالتوازي مع بيانات الشهادة، أضِف الأسطر التالية:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   سيؤدي ذلك إلى ضمان إمكانية وصول جميع التطبيقات إلى هذه الشهادة.

الخطوة 2: تحويل ملف إعداد الدليل (plist) إلى xml

في هذه الخطوة، يتم استخراج جميع عمليات الضبط اليدوية التي أكملتها خلال الخطوة 3 من مرحلة التحضير إلى ملف XML. يمكنك استخدام هذا الملف وملف تعريف Mac الذي تم إنشاؤه في الخطوة 1 أعلاه لضبط الأجهزة الأخرى التي تعمل بنظام التشغيل macOS تلقائيًا.

1. انسَخ /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist إلى جهاز كمبيوتر سطح المكتب أو أي جهاز آخر.
2. حوِِّل هذا الملف إلى XML حتى تتمكن من فحصه في أي مُحرِّر نصوص. شغِّل الأمر التالي في "الوحدة الطرفية":
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   يمكنك الوصول إلى الملف على <path>/ldap.google.com.plist.
   
3. غيِِّر إذن الملف أعلاه حتى تتمكَّن من فتح ملف XML. تأكَّد من أنّه ليس فارغًا.

الخطوة 3: إنشاء نص برمجي python لبرمجة عملية الضبط على أجهزة المستخدمين

انسَخ النص البرمجي python أدناه واحفَظه كملف python (ملف ‎.py).

ملاحظة: تم تصميم نموذج النص البرمجي هذا ليكون متوافقًا مع الإصدار 3.10.x من Python. ويتم توفير نموذج النص البرمجي كما هو. لن يوفِّر فريق دعم Google نماذج نصوص برمجية.

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b' '*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

الخطوة 4: ضبط أجهزة المستخدمين تلقائيًا

انتقِل إلى الأجهزة الأخرى التي تعمل بنظام التشغيل macOS والتي تريد ضبطها واتَّبِع الخطوات التالية:

1. انسَخ الملف الذي تم إنشاؤه للملف الشخصي في جهاز Mac ضمن الخطوة 1 وملف الإعداد XML الذي تم إنشاؤه في الخطوة 2 والنص البرمجي python من الخطوة 3 إلى الجهاز.
2. لتثبيت الاعتمادية اللازمة للنص البرمجي، شغِّل الأمر التالي:
   python3 -m pip install pyobjc-framework-opendirectory
3. نفِّذ الأمر التالي:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. لاستيراد الشهادات إلى سلسلة مفاتيح نظام التشغيل macOS، انقر مرّتين على ملف تعريف Mac الذي تم إنشاؤه في الخطوة 1، وعند الطلب، قدِّم بيانات اعتماد المشرف المحلي لنظام التشغيل macOS. سيُطلَب منك بعد ذلك إدخال كلمة مرور ‎ .p12 التي أعددتها أثناء مرحلة التحضير.
5. أعِد تشغيل الجهاز الذي يعمل بنظام التشغيل macOS.
6. أنشِئ حسابات الأجهزة الجوَّالة كما هو موضح في الخطوة 4 من مرحلة التحضير، ويمكنك اختيار ضبط إعدادات مُفضَّلة إضافية كما هو موضح في الخطوة 5 من مرحلة التحضير.

القيود والإرشادات

• بالنسبة إلى المستخدمين الذين يسجّلون الدخول إلى نظام التشغيل macOS باستخدام بيانات اعتماد Google، يجب أن يكون اسم المستخدم لحسابهم على Workspace مختلفًا عن رقم تعريف ملف المستخدم الشخصي على macOS، وإلا سيتم حظر تسجيل الدخول.
• عندما يبدأ المستخدم تسجيل الدخول إلى نظام التشغيل macOS باستخدام بيانات الاعتماد في Google، يجب أن تتم إدارة كلمة مرور المستخدم (إعادة الضبط أو الاسترداد) على موقع Google الإلكتروني (مثل، myaccount.google.com أو ضمن "وحدة تحكّم المشرف في Google"). إذا اخترت إدارة كلمات المرور باستخدام حل تابع لجهة خارجية، تأكَّد من مزامنة أحدث كلمة مرور مع Google.
• في حال أنشأ المشرف مستخدمًا جديدًا أو أعاد ضبط كلمة مرور مستخدم حالي مع تفعيل إعداد طلب تغيير كلمة المرور عند تسجيل الدخول للمرة التالية، لن يتمكَّن المستخدم من تسجيل الدخول إلى جهاز Mac باستخدام كلمة المرور المؤقتة التي أعدَّها المشرف.
  الحل: يحتاج المستخدم إلى تسجيل الدخول إلى Google باستخدام جهاز آخر (مثل، جهاز جوَّال أو جهاز كمبيوتر سطح مكتب آخر)، وإعداد كلمة مرور دائمة، ثم تسجيل الدخول إلى نظام التشغيل macOS باستخدام كلمة المرور الجديدة.
• ويجب أن يكون جهاز Mac متصلاً بالإنترنت حتى يمكن الوصول إلى ldap.google.com أثناء عملية تسجيل الدخول الأولى بعد تنفيذ عملية الضبط أعلاه. لن تحتاج أي عمليات تسجيل دخول لاحقة إلى الاتصال بالإنترنت طالما اخترت إعداد حساب أجهزة جوَّالة.
• يتم اختبار دمج "خدمة LDAP الآمن" من Google مع نظام التشغيل macOS على الإصدارات Catalina وBig Sur وMonterey.

تحديد المشاكل وحلّها

في حال واجهتك مشاكل في الاتصال بخدمة LDAP الآمن، يُرجى اتّباع التعليمات التالية.

الخطوة 1: التحقّق من الربط

التحقُّق من الربط باستخدام odutil
شغِّل الأمر odutil show nodenames في الوحدة الطرفية.
تأكَّد من أنّ حالة /LDAPv3/ldap.google.com هي متصل. في حال عدم الاتصال بالإنترنت، جرِّب خيار telnet.

التحقُّق من الربط باستخدام nc
نفِّذ الأمر التالي في الوحدة الطرفية: nc -zv ldap.google.com 636
في حال لم تتمكَّن من الربط بخدمة Google باستخدام هذه الطريقة، جرِّب الربط باستخدام IPv4.

التحقُّق من الربط باستخدام IPv4.
يمكنك تغيير إعدادات جهازك لاستخدام IPv4 باتِّباع الخطوات التالية:

1. انتقِل إلى System Preferences (الإعدادات المُفضَّلة للنظام) > Network (الشبكة) > Wi-Fi > ‏Advanced (الإعدادات المتقدِّمة).
2. ضمن القائمة Advanced (الإعدادات المتقدِّمة)، انتقِل إلى علامة التبويب TCP/IP.
3. غيِِّر القائمة المنسدلة من ضبط IPv6 إلى الربط المحلي فقط.
4. انقر على حسنًا، ثم انقر على تطبيق لحفظ التغييرات.
5. تحقّق من مصادقة الخدمة من خلال إجراء عملية البحث الصالحة وإمكانية الاتصال ldapsearch.

الخطوة 2: التحقُّق من إمكانية الاطِّلاع على كائنات الدليل

1. افتح Directory Utility، ثم افتح علامة التبويب Directory Editor (مُحرِّر الدليل).
2. اختَر العقدة /LDAPv3/ldap.google.com في القائمة المنسدلة.
3. تحقَّق مما إذا كان بإمكانك الاطِّلاع على المستخدمين والمجموعات من نطاق على Google.