4. LDAP क्लाइंट को सुरक्षित एलडीएपी सेवा से कनेक्ट करना

यह तरीका अपनाएं:

1. क्लाइंट सर्टिफ़िकेट इंस्टॉल करने के लिए, ldp.exe (Windows) में दिए गए पहले से ग्यारहवें चरण तक का तरीका अपनाएं.
2. कार्रवाई > इससे कनेक्ट करें… पर जाएं
3. कनेक्शन की ये सेटिंग डालें:
   
   नाम: अपने कनेक्शन के लिए कोई नाम डालें. जैसे, Google LDAP.
   कनेक्शन पॉइंट: "Select or type a Distinguished Name or Naming Context"
   अपना डोमेन नेम DN फ़ॉर्मैट में डालें. उदाहरण के लिए, example.com के लिए dc=example,dc=com.
   
   कंप्यूटर: "कोई डोमेन या सर्वर चुनें या टाइप करें"
   ldap.google.com
   
   एसएसएल पर आधारित एन्क्रिप्शन का इस्तेमाल करें: सही का निशान लगा हुआ
   
4. ऐडवांस... पर क्लिक करें और यह जानकारी डालें:
   
   क्रेडेंशियल डालें: चुना गया
   उपयोगकर्ता नाम: Admin console से ऐक्सेस क्रेडेंशियल का उपयोगकर्ता नाम
   पासवर्ड: Admin console से ऐक्सेस क्रेडेंशियल का पासवर्ड
   पोर्ट नंबर: 636
   प्रोटोकॉल: LDAP
   सिंपल बाइंड ऑथेंटिकेशन: चुना गया
   
5. ठीक है पर क्लिक करें. इसके बाद, ठीक है पर फिर से क्लिक करें.
6. कनेक्ट हो जाने पर, बेस डीएन में मौजूद ऐक्टिव डायरेक्ट्री का कॉन्टेंट, दाईं ओर मौजूद पैनल में दिखता है.

Apache Directory Studio का इस्तेमाल करने के लिए, stunnel के ज़रिए कनेक्ट करें. साथ ही, Google Admin console में जनरेट किए गए ऐक्सेस क्रेडेंशियल (उपयोगकर्ता नाम और पासवर्ड) का इस्तेमाल करें. मान लें कि क्रेडेंशियल मौजूद हैं और stunnel, लोकल होस्ट पोर्ट 1389 पर सुन रहा है. इसके बाद, यह तरीका अपनाएं:

1. फ़ाइल > नया… पर क्लिक करें
2. LDAP Browser > LDAP Connection को चुनें.
3. आगे बढ़ें पर क्लिक करें.
4. कनेक्शन के पैरामीटर डालें:
   
   कनेक्शन का नाम: कोई नाम चुनें, जैसे कि Google LDAP
   होस्ट का नाम: localhost
   पोर्ट: 1389 (या stunnel listen/accept पोर्ट)
   एन्क्रिप्शन का तरीका: एन्क्रिप्शन नहीं (ध्यान दें: अगर stunnel को रिमोट से चलाया जा रहा है, तो stunnel और क्लाइंट के बीच एन्क्रिप्शन करने का सुझाव दिया जाता है.)
   
5. आगे बढ़ें पर क्लिक करें.
6. पुष्टि करने के पैरामीटर डालें:
   
   पुष्टि करने का तरीका: सामान्य पुष्टि
   बाइंड डीएन या उपयोगकर्ता: Admin console से ऐक्सेस क्रेडेंशियल का उपयोगकर्ता नाम
   बाइंड पासवर्ड: Admin console से ऐक्सेस क्रेडेंशियल का पासवर्ड
   
7. आगे बढ़ें पर क्लिक करें.
8. बेस डीएन डालें.
   यह आपका डोमेन नाम है, जो डीएन फ़ॉर्मैट में है. जैसे, example.com के लिए dc=example,dc=com.
9. पूरा करें पर क्लिक करें.

Atlassian Jira, उपयोगकर्ता की पुष्टि के दौरान उपयोगकर्ता के बारे में ज़्यादा जानकारी पाने के लिए, उपयोगकर्ता की जानकारी खोजता है. यह पक्का करने के लिए कि इस LDAP क्लाइंट के लिए उपयोगकर्ता की पुष्टि करने की सुविधा सही तरीके से काम करे, आपको उन सभी इकाइयों के लिए उपयोगकर्ता की जानकारी पढ़ें और ग्रुप की जानकारी पढ़ें को चालू करना होगा जहां उपयोगकर्ता के क्रेडेंशियल की पुष्टि करें चालू है. (निर्देशों के लिए, ऐक्सेस करने की अनुमतियां कॉन्फ़िगर करना लेख पढ़ें.)

अहम जानकारी: यहां दिए गए निर्देशों का इस्तेमाल करने से, उपयोगकर्ताओं और लॉग फ़ाइलों के लिए keystorePassword का पता चल सकता है. स्थानीय शेल, लॉगफ़ाइल, और Google Admin console को बिना अनुमति के ऐक्सेस करने से रोकने के लिए, ज़रूरी सावधानियां बरतें. नीचे दिए गए निर्देशों के बजाय, stunnel4 तरीके का इस्तेमाल करें. इसके बारे में जानने के लिए, ज़रूरी नहीं: stunnel को प्रॉक्सी के तौर पर इस्तेमाल करना लेख पढ़ें.

ध्यान दें: यहां दिए गए निर्देशों में यह माना गया है कि Jira को /opt/atlassian/jira पर इंस्टॉल किया गया है.

Atlassian Jira क्लाइंट को Secure LDAP सेवा से कनेक्ट करने के लिए:

1. सर्टिफ़िकेट और कुंजी को अपने Jira सर्वर पर कॉपी करें. (यह वह सर्टिफ़िकेट है जो Secure LDAP सेवा में LDAP क्लाइंट जोड़ते समय, Google Admin console में जनरेट होता है.)
   
   उदाहरण के लिए:
   $ scp ldap-client.key user@jira-server:
   
2. सर्टिफ़िकेट और कुंजियों को Java कीस्टोर फ़ॉर्मैट में बदलें. इस प्रोसेस के दौरान, आपको पासवर्ड डालने के लिए कहा जाएगा. आसानी के लिए, एक सुरक्षित पासवर्ड चुनें और सभी प्रॉम्प्ट के लिए उसी पासवर्ड का इस्तेमाल करें.
   
   $ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
   
3. Jira को कॉन्फ़िगर करें, ताकि वह नए बनाए गए कीस्टोर का इस्तेमाल कर सके. विकल्प जोड़ने के लिए, यहां दिए गए निर्देशों का पालन करें:
   
   "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"
   
   Linux पर:
   1. /opt/atlassian/jira/bin/setenv.sh में बदलाव करें.
   2. JVM_SUPPORT_RECOMMENDED_ARGS सेटिंग ढूंढें.
   3. "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password" जोड़ें. साथ ही, "password" को उस पासवर्ड से बदलें जिसे आपने ऊपर चुना है.
4. Jira को रीस्टार्ट करें.
   
   $ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
   
5. Jira के वेब इंटरफ़ेस में एडमिन के तौर पर साइन इन करें.
   1. सेटिंग > यूज़र मैनेजमेंट पर जाएं. (सेटिंग के लिए, सबसे ऊपर दाएं कोने में मौजूद गियर आइकॉन पर जाएं.)
   2. उपयोगकर्ता डायरेक्ट्री पर क्लिक करें.
   3. निर्देशिका जोड़ें पर क्लिक करें.
   4. टाइप के तौर पर LDAP चुनें.
   5. आगे बढ़ें पर क्लिक करें.
6. नीचे दी गई चीज़ें डालें:

   नाम	Google Secure LDAP
   डायरेक्ट्री का टाइप	OpenLDAP
   होस्टनेम	ldap.google.com
   पोर्ट	636
   एसएसएल का इस्तेमाल करना	सही का निशान लगाया गया
   प्रयोक्ता नाम	Google Admin console में जाकर, उपयोगकर्ता नाम और पासवर्ड जनरेट करें. निर्देशों के लिए, ऐक्सेस क्रेडेंशियल जनरेट करना लेख पढ़ें.
   पासवर्ड	Google Admin console में जाकर, उपयोगकर्ता नाम और पासवर्ड जनरेट करें. निर्देशों के लिए, ऐक्सेस क्रेडेंशियल जनरेट करना लेख पढ़ें.
   बेस डीएन	डीएन फ़ॉर्मैट में आपका डोमेन नेम. (उदाहरण के लिए, example.com के लिए dc=example,dc=com)
   उपयोगकर्ता का अतिरिक्त डीएन	ज़रूरी नहीं. "ou=Users"
   अतिरिक्त ग्रुप डीएन	ज़रूरी नहीं. "ou=Groups"
   LDAP की अनुमतियां	रीड ओनली
   ऐडवांस सेटिंग	अपरिवर्तित.
   उपयोगकर्ता स्कीमा सेटिंग > उपयोगकर्ता का नाम एट्रिब्यूट	googleUid
   उपयोगकर्ता स्कीमा सेटिंग > उपयोगकर्ता का नाम RDN एट्रिब्यूट	uid
   ग्रुप स्कीमा सेटिंग > ग्रुप ऑब्जेक्ट क्लास	groupOfNames
   ग्रुप स्कीमा सेटिंग > ग्रुप ऑब्जेक्ट फ़िल्टर	(objectClass=groupOfNames)
   सदस्यता स्कीमा की सेटिंग > ग्रुप के सदस्यों का एट्रिब्यूट	सदस्य
   सदस्यता स्कीमा की सेटिंग > उपयोगकर्ता की सदस्यता एट्रिब्यूट का इस्तेमाल करें	सही का निशान लगाया गया

7. किसी ग्रुप को भूमिका असाइन करना.
   
   Atlassian Jira किसी उपयोगकर्ता को तब तक लॉग इन करने की अनुमति नहीं दे सकता, जब तक वह ऐसे ग्रुप का सदस्य न हो जिसे Jira का ऐक्सेस दिया गया हो.
   
   किसी ग्रुप को भूमिका असाइन करने के लिए:
   1. सेटिंग > ऐप्लिकेशन > ऐप्लिकेशन का ऐक्सेस पर जाएं.
   2. ग्रुप चुनें टेक्स्ट बॉक्स में, उस Google ग्रुप का नाम डालें जिसे आपको Jira का ऐक्सेस देना है.

CloudBees Core को Secure LDAP सेवा से कनेक्ट करने के निर्देशों के लिए, CloudBees Core को Google Cloud Identity Secure LDAP के साथ कॉन्फ़िगर करना लेख पढ़ें.

यह तरीका अपनाएं:

1. /etc/freeradius/3.0/ पर FreeRADIUS इंस्टॉल और कॉन्फ़िगर करें.
   
   FreeRADIUS इंस्टॉल होने के बाद, freeradius-ldap प्लगिन इंस्टॉल करके, LDAP कॉन्फ़िगरेशन जोड़ा जा सकता है.
   
   $ sudo apt-get install freeradius freeradius-ldap
   
2. LDAP क्लाइंट की और सर्टिफ़िकेट फ़ाइलों को /etc/freeradius/3.0/certs/ldap-client.key और /etc/freeradius/3.0/certs/ldap-client.crt में कॉपी करें.
   
   $ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
   
3. LDAP मॉड्यूल चालू करें.
   
   $ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
   
4. /etc/freeradius/3.0/mods-available/ldap में बदलाव करें.
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. identity = ऐप्लिकेशन क्रेडेंशियल से मिला उपयोगकर्ता नाम
   3. password = ऐप्लिकेशन के क्रेडेंशियल का पासवर्ड
   4. base_dn = 'dc=domain,dc=com'
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = 'allow'
   9. ब्रेडक्रंब में मौजूद उन सभी फ़ील्ड को कमेंट आउट करें जो 'ldap -> post-auth -> update' सेक्शन को दिखाते हैं
5. /etc/freeradius/3.0/sites-available/default में बदलाव करें.
   इससे FreeRadius क्लाइंट कनेक्शन में बदलाव होता है. अगर डिफ़ॉल्ट क्लाइंट का इस्तेमाल नहीं किया जा रहा है, तो पक्का करें कि आपने कॉन्फ़िगर किए गए क्लाइंट (इनर-टनल या कोई कस्टम क्लाइंट) को अपडेट कर दिया हो.
   
   1. authorize सेक्शन में बदलाव करके, सबसे नीचे पासवर्ड की पुष्टि करने वाले प्रोटोकॉल (पीएपी) स्टेटमेंट के बाद यह ब्लॉक जोड़ें:
      
      if (User-Password) {
update control {
Auth-Type := ldap
}
}
      
   2. authorize सेक्शन में, LDAP को चालू करें. इसके लिए, इससे पहले मौजूद '-' चिह्न को हटाएं.
      
      #
      # The ldap module reads passwords from the LDAP database.
      ldap
      
   3. authenticate सेक्शन में बदलाव करने के लिए, Auth-Type LDAP ब्लॉक में इस तरह बदलाव करें:
      
      # Auth-Type LDAP {
ldap
# }
      
   4. Auth-Type PAP ब्लॉक में इस तरह बदलाव करके, authenticate सेक्शन में बदलाव करें:
      
      Auth-Type PAP {
# pap
ldap
}

GitLab को सुरक्षित एलडीएपी सेवा से कनेक्ट करने के निर्देशों के लिए, GitLab के लिए Google की सुरक्षित एलडीएपी सेवा को कॉन्फ़िगर करना लेख पढ़ें.

Itopia/Ubuntu को Secure LDAP सेवा से कनेक्ट करने के निर्देशों के लिए, उपयोगकर्ता के लॉगिन के लिए, Ubuntu 16.04 पर Google Cloud Identity LDAP को कॉन्फ़िगर करना लेख पढ़ें.

यह तरीका अपनाएं:

1. अपने Ivanti वेब सर्वर पर, इन दोनों फ़ोल्डर में मौजूद OpenLDAPAuthenticationConfiguration.xml या OpenLDAPSSLAuthenticationConfiguration.xml को टेक्स्ट एडिटर में खोलें:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework और C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (यहां servicedesk इंस्टेंस का नाम है)
2. <Server> वैल्यू को ldap.google.com पर अपडेट करें.
3. <Port> वैल्यू को अपडेट करें. StartTLS की सुविधा चालू होने पर, सादे टेक्स्ट के लिए पोर्ट 3268 पर और SSL/TLS पोर्ट के लिए 3269 पर अपडेट करें. डिफ़ॉल्ट रूप से, सादे टेक्स्ट वाले पोर्ट के लिए 389 या SSL/TLS पोर्ट के लिए 636 होता है.
4. DN फ़ॉर्मैट में अपने डोमेन नाम के लिए, <TestDN> वैल्यू सेट करें. (उदाहरण के लिए, example.com के लिए dc=example,dc=com).
5. ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config और ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config, दोनों में यह लाइन जोड़ें:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   या यह लाइन जोड़ें:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
   
6. Ivanti Configuration Center में, ज़रूरी इंस्टेंस खोलें.
7. Service Desk Framework ऐप्लिकेशन के बगल में मौजूद, बदलाव करें पर क्लिक करें.
   आपको Service Desk Framework के लिए, ऐप्लिकेशन में बदलाव करें डायलॉग दिखेगा.
8. कॉन्फ़िगरेशन पैरामीटर ग्रुप में, लॉगिन नीति सूची में जाकर सिर्फ़ साफ़ तौर पर चुनें. इसके बाद, ठीक है पर क्लिक करें.
9. वेब ऐक्सेस ऐप्लिकेशन के बगल में मौजूद, बदलाव करें पर क्लिक करें.
   आपको वेब ऐक्सेस के लिए, ऐप्लिकेशन में बदलाव करें डायलॉग दिखेगा.
10. कॉन्फ़िगरेशन पैरामीटर ग्रुप में, लॉगऑन नीति सूची में जाकर सिर्फ़ एक्सप्लिसिट चुनें. इसके बाद, ठीक है पर क्लिक करें.

लॉग इन करते समय, डोमेन के उस उपयोगकर्ता का नेटवर्क पासवर्ड इस्तेमाल करें जिसके पास ऐक्सेस है.

एलडीएपी सर्वर की पुष्टि करने के लिए अपवाद लॉगिंग

अगर आपको एलडीएपी सर्वर के लिए पुष्टि करने की सुविधा कॉन्फ़िगर करने में समस्याएं आ रही हैं, तो अपवाद लॉगिंग की सुविधा चालू करें. इससे आपको समस्या की पहचान करने में मदद मिलेगी. डिफ़ॉल्ट रूप से, यह सुविधा बंद होती है. हमारा सुझाव है कि जांच पूरी होने के बाद, अपवाद लॉगिंग की सुविधा को फिर से बंद कर दें.

LDAP सर्वर की पुष्टि के लिए, अपवाद लॉगिंग की सुविधा चालू करने के लिए:

1. टेक्स्ट एडिटर में, पुष्टि करने के लिए कॉन्फ़िगरेशन वाली सही एक्सएमएल फ़ाइल खोलें:
   
   DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml या OpenLDAPSSLAuthenticationConfiguration.xml
2. लाइन में बदलाव करें:
   
   <ShowExceptions>false</ShowExceptions>
   को
   <ShowExceptions>true</ShowExceptions>
   में बदलें
3. बदलावों को सेव करें.

यह तरीका अपनाएं:

1. सर्टिफ़िकेट और कुंजी फ़ाइलों को PKCS12 फ़ॉर्मैट वाली एक फ़ाइल में बदलें. कमांड प्रॉम्प्ट पर, यह डालें:
   
   अगर macOS या Linux का इस्तेमाल किया जा रहा है, तो इन कमांड का इस्तेमाल करें:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   आउटपुट फ़ाइल को एन्क्रिप्ट (सुरक्षित) करने के लिए पासवर्ड डालें.
   

   अगर Windows का इस्तेमाल किया जा रहा है, तो इन निर्देशों का इस्तेमाल करें:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   अहम जानकारी: दोनों फ़ाइलें (<CERT_FILE>.crt और <CERT_FILE>.key) एक ही डायरेक्ट्री में होनी चाहिए. यह भी पक्का करें कि key और crt, दोनों का नाम एक जैसा हो (एक्सटेंशन अलग-अलग हो सकता है). इस उदाहरण में, हमने ldap-client.crt और ldap-client.key नाम इस्तेमाल किए हैं.

2. कंट्रोल पैनल पर जाएं.
3. सर्च बॉक्स में, "सर्टिफ़िकेट" खोजें. इसके बाद, उपयोगकर्ता के सर्टिफ़िकेट मैनेज करें पर क्लिक करें.
4. कार्रवाई > सभी टास्क > इंपोर्ट करें… पर जाएं
5. मौजूदा उपयोगकर्ता चुनें और आगे बढ़ें पर क्लिक करें.
6. ब्राउज़ करें… पर क्लिक करें
7. डायलॉग बॉक्स के सबसे नीचे दाएं कोने में मौजूद, फ़ाइल टाइप ड्रॉपडाउन में जाकर, पर्सनल इन्फ़ॉर्मेशन एक्सचेंज (&ast;.pfx;&ast;.p12) चुनें.
8. दूसरे चरण में बनाई गई ldap-client.p12 फ़ाइल चुनें. इसके बाद, खोलें पर क्लिक करें. फिर, आगे बढ़ें पर क्लिक करें.
9. दूसरे चरण में दिया गया पासवर्ड डालें और आगे बढ़ें पर क्लिक करें.
10. Personal सर्टिफ़िकेट स्टोर को चुनें. इसके बाद, आगे बढ़ें पर क्लिक करें. इसके बाद, पूरा करें पर क्लिक करें.
11. Ldp.exe चलाएं.
12. कनेक्शन > कनेक्ट करें... पर जाएं
13. कनेक्शन की यह जानकारी डालें:
    
    सर्वर: ldap.google.com
    पोर्ट: 636
    कनेक्शनलेस: अनचेक किया गया
    एसएसएल: चेक किया गया
    
14. ठीक है पर क्लिक करें.
15. देखें > ट्री पर जाएं.
16. बेस डीएन डालें. यह DN फ़ॉर्मैट में आपका डोमेन नेम है. (उदाहरण के लिए, example.com के लिए dc=example,dc=com).
17. ठीक है पर क्लिक करें.
18. कनेक्ट हो जाने पर, LDP.exe, दाईं ओर मौजूद पैनल में Active Directory का कॉन्टेंट दिखाता है. जैसे, बेस डीएन में मौजूद सभी एट्रिब्यूट.

Netgate/pfSense को Secure LDAP सेवा से कनेक्ट करने के निर्देशों के लिए, Google Cloud Identity को पुष्टि करने के सोर्स के तौर पर कॉन्फ़िगर करना लेख पढ़ें.

कमांड लाइन से अपनी LDAP डायरेक्ट्री को ऐक्सेस करने के लिए, OpenLDAP ldapsearch कमांड का इस्तेमाल किया जा सकता है.

मान लें कि आपके क्लाइंट सर्टिफ़िकेट और कुंजी फ़ाइलें ldap-client.crt और ldap-client.key हैं, आपका डोमेन example.com है, और उपयोगकर्ता नाम jsmith है:

$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

इससे क्लाइंट की कुंजियों की ओर इशारा करने के लिए, काम के एनवायरमेंट वैरिएबल सेट किए जाते हैं. ldapsearch के अन्य विकल्पों को अपनी पसंद के फ़िल्टर, अनुरोध किए गए एट्रिब्यूट वगैरह से बदला जा सकता है. अन्य जानकारी के लिए, कृपया ldapsearch के मैन पेज ("man ldapsearch") देखें.

यह तरीका अपनाएं:

1. सर्टिफ़िकेट और कुंजी फ़ाइलों को PKCS12 फ़ॉर्मैट वाली एक फ़ाइल में बदलें. कमांड प्रॉम्प्ट पर, यह डालें:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   आउटपुट फ़ाइल को एन्क्रिप्ट (सुरक्षित) करने के लिए, अपना पासवर्ड डालें.
   
2. मेन्यू बार के सबसे ऊपर दाएं कोने में मौजूद पर क्लिक करें. इसके बाद, Keychain Access टाइप करें.
3. Keychain Access ऐप्लिकेशन खोलें. इसके बाद, बाईं ओर मौजूद सूची में जाकर सिस्टम पर क्लिक करें.
4. सबसे ऊपर बाईं ओर मौजूद मेन्यू बार में, फ़ाइल विकल्प पर क्लिक करें. इसके बाद, आइटम इंपोर्ट करें को चुनें.
5. जनरेट की गई ldap-client.p12 फ़ाइल की जगह पर जाएं. इसके बाद, ldap-client.p12 को चुनें और खोलें पर क्लिक करें.
   अगर आपसे पासवर्ड डालने के लिए कहा जाए, तो पासवर्ड डालें.
   अब आपको सिस्टम कीचेन सर्टिफ़िकेट की सूची में, LDAP Client नाम का सर्टिफ़िकेट दिखेगा.
6. LDAP क्लाइंट सर्टिफ़िकेट के बगल में मौजूद ऐरो पर क्लिक करें. इसके नीचे एक निजी पासकोड दिखता है.
   1. निजी कुंजी पर दो बार क्लिक करें.
   2. डायलॉग बॉक्स में, ऐक्सेस कंट्रोल टैब चुनें. इसके बाद, सबसे नीचे बाएं कोने में मौजूद + पर क्लिक करें.

   3. खुलने वाली विंडो में, नई विंडो खोलने के लिए Command+Shift+G टाइप करें. इसके बाद, मौजूदा टेक्स्ट को /usr/bin/ldapsearch से बदलें.

   4. Click Go.
      
      इससे ldapsearch हाइलाइट की गई विंडो खुलती है.

   5. जोड़ें पर क्लिक करें.

   6. बदलाव सेव करें पर क्लिक करें. अगर आपसे पासवर्ड डालने के लिए कहा जाता है, तो पासवर्ड डालें.
      
      अब आपके पास कमांड लाइन से अपनी LDAP डायरेक्ट्री को ऐक्सेस करने का विकल्प है. इसके लिए, OpenLDAP ldapsearch कमांड का इस्तेमाल करें.

7. मान लें कि आपने कीचेन में पहले से इंपोर्ट की गई ldap-client.p12 फ़ाइल का नाम LDAP Client है, आपका डोमेन example.com है, और उपयोगकर्ता नाम jsmith है. ऐसे में, यह जानकारी डालें:
   
   $ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

इससे, इंपोर्ट किए गए क्लाइंट सर्टिफ़िकेट की ओर इशारा करने के लिए, काम के एनवायरमेंट वैरिएबल सेट किए जाते हैं. ldapsearch के अन्य विकल्पों को अपनी पसंद के फ़िल्टर, अनुरोध किए गए एट्रिब्यूट वगैरह से बदला जा सकता है. ज़्यादा जानकारी के लिए, कृपया ldapsearch के मैन पेज (man ldapsearch) देखें.

यह तरीका अपनाएं:

1. अगर ज़रूरी हो, तो OpenVPN को इंस्टॉल और कॉन्फ़िगर करें. अगर आपने पहले ही ऐसा कर लिया है, तो OpenVPN में सेटिंग पेज खोलें.
   
   इस सहायता लेख में, वीपीएन के सामान्य कॉन्फ़िगरेशन के बारे में नहीं बताया गया है. वीपीएन कॉन्फ़िगर करने के बाद, LDAP के ज़रिए उपयोगकर्ता की पुष्टि करने और उसे अनुमति देने की सुविधा जोड़ी जा सकती है. खास तौर पर, आपको openvpn-auth-ldap प्लगिन इंस्टॉल करना होगा.
   
   $ sudo apt-get install openvpn openvpn-auth-ldap
   
2. LDAP क्लाइंट की और सर्टिफ़िकेट फ़ाइलों को /etc/openvpn/ldap-client.key और /etc/openvpn/ldap-client.crt में कॉपी करें.
3. /etc/openvpn/auth-ldap.conf नाम की एक फ़ाइल बनाएं. इसमें यह जानकारी शामिल करें. मान लें कि example.com डोमेन नेम है:
   
   <LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (or choose your own LDAP filter for users)
RequireGroup false
</Authorization>
   
4. OpenVPN कॉन्फ़िगरेशन फ़ाइल में बदलाव करें. इसे अक्सर /etc/openvpn/server.conf या इसी तरह का कोई नाम दिया जाता है. फ़ाइल में सबसे नीचे, यह जोड़ें:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
   
5. OpenVPN सर्वर को रीस्टार्ट करें.
   
   $ sudo systemctl restart openvpn@server
   
6. वीपीएन क्लाइंट को कॉन्फ़िगर करें, ताकि वे उपयोगकर्ताओं के उपयोगकर्ता नाम और पासवर्ड का इस्तेमाल कर सकें. उदाहरण के लिए, OpenVPN क्लाइंट कॉन्फ़िगरेशन में, OpenVPN क्लाइंट कॉन्फ़िगरेशन फ़ाइल के आखिर में auth-user-pass जोड़ें और OpenVPN क्लाइंट शुरू करें:
   
   $ openvpn --config /path/to/client.conf
   
7. stunnel को प्रॉक्सी के तौर पर इस्तेमाल करने के लिए दिए गए निर्देशों का पालन करें.

OpenVPN Access Server को Secure LDAP सेवा से कनेक्ट करने के निर्देशों के लिए, OpenVPN Access Server के साथ Google Secure LDAP को कॉन्फ़िगर करना लेख पढ़ें.

PaperCut को Secure LDAP सेवा से कनेक्ट करने के निर्देशों के लिए, PaperCut में Google Workspace और Google Cloud Identity के उपयोगकर्ताओं को सिंक और पुष्टि करने का तरीका लेख पढ़ें.

Puppet Enterprise को Secure LDAP सेवा से कनेक्ट करने के निर्देशों के लिए, PE के लिए Google Cloud Directory देखें.

अहम जानकारी: शुरू करने से पहले, पक्का करें कि आपने Softerra LDAP Browser का 4.5 (4.5.19808.0) या उसके बाद का वर्शन इंस्टॉल किया हो. LDAP Browser 4.5 देखें.

यह तरीका अपनाएं:

1. सर्टिफ़िकेट और कुंजी फ़ाइलों को PKCS12 फ़ॉर्मैट वाली एक फ़ाइल में बदलें. कमांड प्रॉम्प्ट पर, यह डालें:
   
   अगर macOS या Linux का इस्तेमाल किया जा रहा है, तो इन कमांड का इस्तेमाल करें:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   आउटपुट फ़ाइल को एन्क्रिप्ट (सुरक्षित) करने के लिए पासवर्ड डालें.
   

   अगर Windows का इस्तेमाल किया जा रहा है, तो इन निर्देशों का इस्तेमाल करें:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   अहम जानकारी: दोनों फ़ाइलें (<CERT_FILE>.crt और <CERT_FILE>.key) एक ही डायरेक्ट्री में होनी चाहिए. यह भी पक्का करें कि key और crt, दोनों का नाम एक जैसा हो (एक्सटेंशन अलग-अलग हो सकता है). इस उदाहरण में, हमने ldap-client.crt और ldap-client.key नाम इस्तेमाल किए हैं.

2. Softerra LDAP Browser में, कुंजी का जोड़ा इंस्टॉल करें.
   1. टूल > सर्टिफ़िकेट मैनेजर पर जाएं.
   2. इंपोर्ट करें… पर क्लिक करें
   3. आगे बढ़ें पर क्लिक करें.
   4. ब्राउज़ करें… पर क्लिक करें
   5. डायलॉग बॉक्स के सबसे नीचे दाएं कोने में मौजूद, फ़ाइल टाइप ड्रॉप-डाउन सूची में, पर्सनल इन्फ़ॉर्मेशन एक्सचेंज (&ast;.pfx;&ast;.p12) चुनें.
   6. ऊपर दिए गए दूसरे चरण से, ldap-client.p12 फ़ाइल चुनें.
   7. खोलें पर क्लिक करें. इसके बाद, आगे बढ़ें पर क्लिक करें.
   8. ऊपर दिए गए दूसरे चरण में बताया गया पासवर्ड डालें. इसके बाद, आगे बढ़ें पर क्लिक करें.
   9. Personal सर्टिफ़िकेट स्टोर चुनें.
   10. आगे बढ़ें पर क्लिक करें.
   11. पूरा करें पर क्लिक करें.
3. कोई सर्वर प्रोफ़ाइल जोड़ें.
   1. फ़ाइल > नया > नई प्रोफ़ाइल… पर जाएं
   2. प्रोफ़ाइल का नाम डालें. जैसे, Google LDAP.
   3. आगे बढ़ें पर क्लिक करें.
      
      यह जानकारी डालें:
      
      होस्ट: ldap.google.com
      पोर्ट: 636
      बेस डीएन: डीएन फ़ॉर्मैट में आपका डोमेन नाम. (जैसे, example.com के लिए dc=example,dc=com)
      सुरक्षित कनेक्शन (एसएसएल) का इस्तेमाल करें: सही का निशान लगा है
      
   4. आगे बढ़ें पर क्लिक करें.
   5. External (SSL Certificate) को चुनें.
   6. आगे बढ़ें पर क्लिक करें.
   7. पूरा करें पर क्लिक करें.

Sophos Mobile को Secure LDAP सेवा से कनेक्ट करने के निर्देशों के लिए, Secure LDAP का इस्तेमाल करके Sophos Mobile को Google Cloud Identity / Google Cloud Directory से कनेक्ट करना लेख पढ़ें.

Splunk को Secure LDAP सेवा से कनेक्ट करते समय, पक्का करें कि Splunk 8.1.4 या उसके बाद के वर्शन का इस्तेमाल किया जा रहा हो. Splunk के पुराने वर्शन, जैसे कि Splunk 8.1.3 का इस्तेमाल करने पर, LDAP सर्वर को बहुत ज़्यादा LDAP क्वेरी भेजी जा सकती हैं. इससे आपका LDAP कोटा जल्दी खत्म हो सकता है. Splunk के वर्शन 8.1.3 से जुड़ी समस्याओं के बारे में ज़्यादा जानने के लिए, Splunk की जानी-पहचानी समस्याएं देखें.

यह तरीका अपनाएं:

1. LDAP क्लाइंट की और सर्टिफ़िकेट फ़ाइलों को /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key और /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt में कॉपी करें.
   
   $ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
   
2. नीचे दिए गए कॉन्फ़िगरेशन जोड़ने के लिए, ldap.conf फ़ाइल में बदलाव करें:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. उपयोगकर्ता की /home/splunkadmin/.ldaprc फ़ाइल में, ये कॉन्फ़िगरेशन जोड़ें:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
   
4. Splunk के वेब यूआई का इस्तेमाल करके, LDAP रणनीति जोड़ें. यह जानकारी डालें. इसके बाद, सेव करें पर क्लिक करें:
   

उपयोगकर्ता की पुष्टि के दौरान, SSSD उपयोगकर्ता के बारे में ज़्यादा जानकारी पाने के लिए, उपयोगकर्ता की जानकारी खोजता है. यह पक्का करने के लिए कि इस LDAP क्लाइंट के लिए उपयोगकर्ता की पुष्टि करने की सुविधा सही तरीके से काम करे, आपको उन सभी इकाइयों के लिए उपयोगकर्ता की जानकारी पढ़ें और ग्रुप की जानकारी पढ़ें को चालू करना होगा जहां उपयोगकर्ता के क्रेडेंशियल की पुष्टि करें चालू है. (निर्देशों के लिए, ऐक्सेस करने की अनुमतियां कॉन्फ़िगर करना लेख पढ़ें.)

Red Hat 8 या CentOS 8 पर मौजूद किसी SSSD क्लाइंट को सुरक्षित LDAP सेवा से कनेक्ट करने के लिए:

1. एसएसएसडी क्लाइंट को सुरक्षित एलडीएपी सेवा में जोड़ें:
   1. Google Admin console में, ऐप्लिकेशन > एलडीएपी > क्लाइंट जोड़ें पर जाएं.
      पक्का करें कि आपने अपने कॉर्पोरेट खाते से साइन इन किया हो, न कि अपने निजी Gmail खाते से.
   2. क्लाइंट की जानकारी डालें और जारी रखें पर क्लिक करें.
   3. ऐक्सेस करने की अनुमतियां कॉन्फ़िगर करें:
      उपयोगकर्ता के क्रेडेंशियल की पुष्टि करें—पूरा डोमेन
      उपयोगकर्ता की जानकारी पढ़ें—पूरा डोमेन
      ग्रुप की जानकारी पढ़ें—चालू है
   4. LDAP क्लाइंट जोड़ें पर क्लिक करें.
   5. जनरेट किया गया सर्टिफ़िकेट डाउनलोड करें.
   6. क्लाइंट की जानकारी पर जाएं पर क्लिक करें.
   7. सेवा का स्टेटस बदलकर चालू है पर सेट करें.
2. डिपेंडेंसी इंस्टॉल करें:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   सर्टिफ़िकेट की .zip फ़ाइल को अनज़िप करें और .crt और .key फ़ाइलों को /etc/sssd/ldap में कॉपी करें
   
3. (ज़रूरी नहीं) ldapsearch की मदद से जांच करें:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   प्रॉम्प्ट दिखने पर, उपयोगकर्ता का Google खाता पासवर्ड डालें.
   
   ध्यान दें: उपयोगकर्ता के पास Google Workspace Enterprise या Cloud Identity Premium का लाइसेंस होना चाहिए.

4. यहां दिए गए कॉन्टेंट के साथ /etc/sssd/sssd.conf फ़ाइल बनाएं:
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. अनुमतियां और SELinux लेबल अपडेट करें:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
   
6. SSSD को रीस्टार्ट करें:
   
   systemctl restart sssd
   
7. टेस्ट:
   
   सर्वर से एसएसएच करें:

   ssh -l user@example.com {HOSTNAME}

समस्या का हल

1. SSSD का वर्शन देखें. यह 1.15.2 या इससे ज़्यादा होना चाहिए:
   
   # sssd --version
2.2.3
   

2. RHEL/CentOS या SELinux लागू करने वाले किसी भी डिस्ट्रो पर, SSSD कॉन्फ़िगरेशन फ़ाइलें, सर्टिफ़िकेट फ़ाइल, और कुंजी ऐसी डायरेक्ट्री में होनी चाहिए जिसे sssd_conf_t भूमिका ऐक्सेस कर सके:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   एवीसी के अस्वीकार किए गए मैसेज के लिए, /var/log/audit/audit.log देखें.
   

3. जांच करें कि /etc/nsswitch.conf में passwd, shadow, group, और netgroup इकाइयों के लिए "sss" मौजूद है या नहीं:
   
   passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
   
   यहां, स्थानीय फ़ाइलें LDAP उपयोगकर्ताओं को बदल देंगी.
   
4. कॉन्फ़िगरेशन से जुड़ी गड़बड़ियों के लिए, /var/log/sssd.conf देखें:
   

   उदाहरण:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. स्किप किया जा रहा है.

   कार्रवाई: आपको .conf फ़ाइल के लिए chmod 600 कमांड का इस्तेमाल करना होगा.

   उदाहरण:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. टाइपिंग की गलतियां देखें.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. टाइपिंग की गलतियां देखें.

   कार्रवाई: sssd.conf से, LDAP एक्सटेंशन के उन ग्रुप मैच को हटाएं जिनका इस्तेमाल नहीं किया जा सकता.

5. LDAP /नेटवर्क/प्रमाणीकरण से जुड़ी गड़बड़ियों के लिए, /var/log/sssd_{DOMAIN}.log देखें.
   
   उदाहरण:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   कार्रवाई: आपको sssd.conf में "ldap_tls_reqcert = never" जोड़ना होगा.

   गड़बड़ियों के बारे में ज़्यादा जानकारी पाने के लिए, डोमेन सेक्शन में sssd.conf में "debug_level = 9" जोड़ें. इसके बाद, sssd को फिर से चालू करें.

उपयोगकर्ता की पुष्टि के दौरान, SSSD उपयोगकर्ता के बारे में ज़्यादा जानकारी पाने के लिए, उपयोगकर्ता की जानकारी खोजता है. यह पक्का करने के लिए कि इस LDAP क्लाइंट के लिए उपयोगकर्ता की पुष्टि करने की सुविधा सही तरीके से काम करे, आपको उन सभी इकाइयों के लिए उपयोगकर्ता की जानकारी पढ़ें और ग्रुप की जानकारी पढ़ें को चालू करना होगा जहां उपयोगकर्ता के क्रेडेंशियल की पुष्टि करें चालू है. (निर्देशों के लिए, ऐक्सेस करने की अनुमतियां कॉन्फ़िगर करना लेख पढ़ें.)

SSSD क्लाइंट को सुरक्षित LDAP सेवा से कनेक्ट करने के लिए:

1. SSSD का वर्शन >= 1.15.2 इंस्टॉल करें.
   
   $ sudo apt-get install sssd
   
2. मान लें कि आपके क्लाइंट सर्टिफ़िकेट और कुंजी फ़ाइलों के नाम /var/ldap-client.crt और /var/ldap-client.key हैं और आपका डोमेन example.com है. ऐसे में, /etc/sssd/sssd.conf को इस तरह के कॉन्फ़िगरेशन के साथ बदलें:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
   

3. कॉन्फ़िगरेशन फ़ाइल का मालिकाना हक और अनुमति बदलें:
   
   $ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf

4. SSSD को रीस्टार्ट करें:
   
   $ sudo service sssd restart

अहम जानकारी: अगर Google Compute Engine पर बाहरी आईपी पतों के बिना Linux कंप्यूटर पर SSSD मॉड्यूल का इस्तेमाल किया जा रहा है, तो भी Secure LDAP सेवा से कनेक्ट किया जा सकता है. इसके लिए, Google की सेवाओं का इंटरनल ऐक्सेस चालू होना चाहिए. ज़्यादा जानकारी के लिए, Private Google Access को कॉन्फ़िगर करना लेख पढ़ें.

Secure LDAP सेवा का इस्तेमाल करके, उपयोगकर्ता खाते की पुष्टि करने के लिए, macOS क्लाइंट को कनेक्ट करने के लिए यहां दिया गया तरीका अपनाएं.

सिस्टम की ज़रूरतें

• macOS का वर्शन Catalina 10.15.4 या इसके बाद का होना चाहिए.
• तैयारी के चरण में पहला चरण पूरा करने के लिए, Google के सुपर एडमिन का User-ID ज़रूरी है.
• इस कॉन्फ़िगरेशन को पूरा करने के लिए, आपके पास स्थानीय एडमिन की अनुमतियां होनी चाहिए.

कॉन्टेंट:

• तैयारी का चरण
• डिप्लॉयमेंट फ़ेज़
• सीमाएं और दिशा-निर्देश
• समस्या का हल

तैयारी का चरण

इस सेक्शन में दिए गए निर्देशों में, सुरक्षित एलडीएपी सेवा का इस्तेमाल करके macOS पर पुष्टि करने की सुविधा को मैन्युअल तरीके से सेट अप करने और उसकी जांच करने का तरीका बताया गया है.

पहला चरण: Google Admin console में, macOS को LDAP क्लाइंट के तौर पर शामिल करना

निर्देशों के लिए, LDAP क्लाइंट जोड़ना लेख पढ़ें या सुरक्षित एलडीएपी का यह डेमो देखें. इस प्रोसेस के दौरान, आपको अपने-आप जनरेट होने वाला टीएलएस क्लाइंट सर्टिफ़िकेट भी डाउनलोड करना होगा.

दूसरा चरण: सिस्टम कीचेन में सर्टिफ़िकेट इंपोर्ट करना

1. सर्टिफ़िकेट (पहले चरण में डाउनलोड की गई ZIP फ़ाइल) और पासकोड को macOS वाले डिवाइस पर कॉपी करें.
   अहम जानकारी: सर्ट और कुंजी वाली फ़ाइलें ढूंढने के लिए, फ़ाइल को अनज़िप करें.
2. की-वैल्यू पेयर को सिस्टम कीचेन में इंपोर्ट करें:

   1. पासकोड और सर्टिफ़िकेट को PKCS 12 (p12) फ़ाइल में बदलें. टर्मिनल में यह कमांड चलाएं:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      अहम जानकारी: .p12 फ़ाइल का नाम लिख लें.
      
      सिस्टम आपसे पासवर्ड डालने के लिए कहेगा. p12 फ़ाइल को एन्क्रिप्ट (सुरक्षित) करने के लिए पासवर्ड डालें.

   2. Keychain Access ऐप्लिकेशन खोलें.

   3. सिस्टम कीचेन पर क्लिक करें.

   4. फ़ाइल > आइटम इंपोर्ट करें पर क्लिक करें.

   5. ऊपर बनाई गई ldap-client.p12 फ़ाइल चुनें.

   6. अगर आपसे कहा जाए, तो सिस्टम कीचेन में बदलाव करने की अनुमति देने के लिए एडमिन पासवर्ड डालें.

   7. .p12 फ़ाइल को डिक्रिप्ट करने के लिए, ऊपर बनाया गया पासवर्ड डालें.

      ध्यान दें: आपको कुंजियों की सूची में एक नया सर्टिफ़िकेट और उससे जुड़ी निजी कुंजी दिखेगी. इसे LDAP क्लाइंट कहा जा सकता है. नीचे दिए गए अगले चरण के लिए, सर्टिफ़िकेट का नाम लिख लें.
      
   8. नीचे दिए गए ऐप्लिकेशन जोड़ने के लिए, निजी कुंजी के लिए ऐक्सेस कंट्रोल सेट अप करने के लिए, इस लेख में ldapsearch (macOS) सेक्शन में दिए गए छठे चरण का पालन करें. अगर निजी कुंजी, सभी आइटम कैटगरी में नहीं दिख रही है, तो मेरे सर्टिफ़िकेट कैटगरी पर स्विच करें. इसके बाद, संबंधित सर्टिफ़िकेट को बड़ा करके, निजी कुंजी की सही एंट्री ढूंढें.
      
      निर्देशों में बताया गया ldapsearch ऐप्लिकेशन, सिर्फ़ समस्या हल करने के लिए काम का है. इसका इस्तेमाल अन्य कामों के लिए नहीं किया जा सकता. आम तौर पर, उपयोगकर्ताओं को macOS का ऐक्सेस देने से पहले इसे हटा दिया जाता है.
      
      ऐक्सेस कंट्रोल वाली सूची में ये तीन ऐप्लिकेशन जोड़े जाने चाहिए:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. /etc/openldap/ldap.conf फ़ाइल में एक लाइन जोड़ें. साथ ही, यह पक्का करें कि "LDAP Client" का नाम, .p12 फ़ाइल इंपोर्ट करने के बाद macOS Keychain Access ऐप्लिकेशन में दिखाए गए सर्टिफ़िकेट के नाम से मेल खाता हो. यह नाम, जनरेट किए गए सर्टिफ़िकेट के X.509 Subject Common Name से मिलता है:
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

तीसरा चरण: पुष्टि करने के लिए, डिवाइस को Google डायरेक्ट्री पर ले जाना

नया LDAP डायरेक्ट्री नोड बनाने के लिए, Directory Utility ऐप्लिकेशन खोलें:

1. बदलाव करने के लिए, लॉक पर क्लिक करें और अपना पासवर्ड डालें.
2. LDAPv3 चुनें. इसके बाद, सेटिंग में बदलाव करने के लिए पेंसिल आइकॉन पर क्लिक करें.
3. नया… पर क्लिक करें
4. सर्वर के नाम के लिए, ldap.google.com डालें. इसके बाद, Encrypt using SSL को चुनें और Manual पर क्लिक करें.
5. सर्वर का नया नाम चुनें और बदलाव करें… पर क्लिक करें
6. कॉन्फ़िगरेशन के नाम के लिए, जानकारी देने वाला नाम डालें. जैसे, Google Secure LDAP.
7. एसएसएल का इस्तेमाल करके एन्क्रिप्ट (सुरक्षित) करें को चुनें. साथ ही, पक्का करें कि पोर्ट 636 पर सेट हो.
8. खोज और मैपिंग टैब पर जाएं.
   1. इस LDAPv3 सर्वर को इस्तेमाल करके ऐक्सेस करें ड्रॉपडाउन सूची से RFC2307 चुनें.
   2. जब कहा जाए, तब डोमेन से जुड़ी जानकारी को सर्च बेस सफ़िक्स में डालें. उदाहरण के लिए, zomato.com के डोमेन नाम के लिए, dc=zomato,dc=com डालें.
   3. ठीक है पर क्लिक करें.
   4. उपयोगकर्ता रिकॉर्ड टाइप में एट्रिब्यूट कॉन्फ़िगर करें:
      1. रिकॉर्ड टाइप और एट्रिब्यूट सेक्शन में, उपयोगकर्ता चुनें और "+" बटन पर क्लिक करें.
      2. पॉप-अप विंडो में, एट्रिब्यूट टाइप चुनें. इसके बाद, GeneratedUID चुनें. इसके बाद, पॉप-अप विंडो बंद करने के लिए, OK पर क्लिक करें.
         
         एक्सपैंड होने के बाद, GeneratedUID को उपयोगकर्ताओं के सेक्शन में दिखाया जाना चाहिए.
         
      3. GeneratedUID पर क्लिक करें. इसके बाद, दाईं ओर मौजूद बॉक्स में "+" आइकॉन पर क्लिक करें.
      4. टेक्स्ट बॉक्स में apple-generateduid डालें और Enter पर क्लिक करें.
      5. Users नोड में जाकर, NFSHomeDirectory एट्रिब्यूट पर क्लिक करें.
      6. दाईं ओर मौजूद स्क्रीन में, इस एट्रिब्यूट की वैल्यू को #/Users/$uid$ पर अपडेट करें
      7. बदलावों को सेव करने के लिए, ठीक है पर क्लिक करें और अपना पासवर्ड डालें.
9. Directory Utility विंडो में जाकर, नया LDAP कॉन्फ़िगरेशन सेट अप करें:
   1. खोज से जुड़ी नीति टैब पर जाएं.
   2. बदलाव करने के लिए, लॉक आइकॉन पर क्लिक करें. इसके बाद, निर्देश मिलने पर मौजूदा उपयोगकर्ता का पासवर्ड डालें.
   3. ड्रॉपडाउन मेन्यू में मौजूद विकल्प को सर्च पाथ से बदलकर कस्टम पाथ करें.
   4. पुष्टि टैब खोलें और "+" आइकॉन पर क्लिक करें.
   5. डायरेक्ट्री डोमेन की सूची से /LDAPv3/ldap.google.com चुनें. इसके बाद, जोड़ें पर क्लिक करें.
   6. लागू करें बटन पर क्लिक करें. अगर आपसे कहा जाए, तो एडमिन का पासवर्ड डालें.
10. DIGEST-MD5, CRAM-MD5, NTLM, और GSSAPI SASL ऑथेंटिकेशन मैकेनिज़्म को बंद करने के लिए, ये चार कमांड चलाएं. macOS, Google की सुरक्षित LDAP सेवा का इस्तेमाल करके पुष्टि करने के लिए, सिंपल बाइंड का इस्तेमाल करेगा:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
    
11. OpenDirectory कॉन्फ़िगरेशन को फिर से लोड करने के लिए, रीबूट करें.

चौथा चरण: मोबाइल खाता बनाना (इससे ऑफ़लाइन लॉगिन किया जा सकता है)

Google Workspace या Cloud Identity का कोई भी उपयोगकर्ता, अपने उपयोगकर्ता नाम और पासवर्ड का इस्तेमाल करके, नेटवर्क खाते (Google खाता) से लॉग इन कर सकता है. लॉग इन करने की इस प्रोसेस के लिए, इंटरनेट कनेक्शन होना ज़रूरी है. अगर किसी व्यक्ति को नेटवर्क से कनेक्ट किए बिना या कनेक्ट करके लॉग इन करना है, तो मोबाइल खाता बनाया जा सकता है. मोबाइल खाते की मदद से, नेटवर्क खाते (Google खाता) के उपयोगकर्ता नाम और पासवर्ड का इस्तेमाल करके साइन इन किया जा सकता है. इसके लिए, नेटवर्क से कनेक्ट होना ज़रूरी नहीं है. ज़्यादा जानकारी के लिए, Mac पर मोबाइल खाते बनाना और उन्हें कॉन्फ़िगर करना लेख पढ़ें.

Secure LDAP का इस्तेमाल करने वाले लोगों के लिए मोबाइल खाता बनाने का तरीका:

1. Secure LDAP सर्वर से कनेक्ट करने के लिए, यह कमांड चलाएं. साथ ही, होम पाथ और मोबाइल खाता सेट अप करें:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
   
   अहम जानकारी: $uid को उपयोगकर्ता के Google खाते से जुड़े ईमेल पते के उपयोगकर्ता नाम वाले हिस्से से बदलें. उदाहरण के लिए, jsmith@solarmora.com में jsmith, उपयोगकर्ता नाम वाला हिस्सा है.

2. जब आपसे SecureToken एडमिन उपयोगकर्ता नाम मांगा जाए, तब अपना एडमिन उपयोगकर्ता नाम डालें. इसके बाद, अगले प्रॉम्प्ट में अपना पासवर्ड डालें. इससे FileVault में $uid जुड़ जाएगा. अगर macOS डिस्क एन्क्रिप्ट (सुरक्षित) की गई है, तो इसकी ज़रूरत होती है.

पांचवां चरण: (ज़रूरी नहीं) लॉगिन स्क्रीन की सेटिंग सेट करना

1. सबसे नीचे बाईं ओर मौजूद, सिस्टम की प्राथमिकताएं > उपयोगकर्ता और ग्रुप > लॉगिन के विकल्प पर जाएं.
2. एडमिन क्रेडेंशियल डालकर, लॉक को अनलॉक करें.
3. लॉगिन विंडो को इस तरह दिखाएं को बदलकर नाम और पासवर्ड करें.

छठा चरण: डिवाइस को रीबूट करें और उसमें लॉग इन करें

1. पक्का करें कि डिवाइस इंटरनेट से कनेक्ट हो. अगर आपके पास इंटरनेट कनेक्शन नहीं है, तो Secure LDAP उपयोगकर्ता के लिए लॉगिन काम नहीं करेगा.
   ध्यान दें: पहली बार लॉगिन करने के लिए ही इंटरनेट कनेक्शन की ज़रूरत होती है. इसके बाद, बिना इंटरनेट के भी लॉगिन किया जा सकता है.
2. डिवाइस में उस उपयोगकर्ता खाते से साइन इन करें जिसे पुष्टि करने के लिए, Secure LDAP का इस्तेमाल करने के लिए कॉन्फ़िगर किया गया है.

डिप्लॉयमेंट फ़ेज़

इस सेक्शन में दिए गए निर्देशों में, उपयोगकर्ताओं के लिए डिवाइस कॉन्फ़िगरेशन को अपने-आप होने वाली प्रोसेस के तौर पर सेट अप करने पर फ़ोकस किया गया है. नीचे दिए गए पहले और दूसरे चरण को उसी macOS डिवाइस पर पूरा करें जिस पर आपने तैयारी के दौरान मैन्युअल कॉन्फ़िगरेशन किया था.

पहला चरण: Apple Configurator 2 का इस्तेमाल करके, सर्टिफ़िकेट के साथ Mac प्रोफ़ाइल बनाना

1. उस मशीन पर Apple Configurator 2 इंस्टॉल करें जहां आपने Secure LDAP की मदद से, macOS की पुष्टि करने की सुविधा को मैन्युअल तरीके से कॉन्फ़िगर किया है.
2. Apple Configurator 2 खोलें. इसके बाद, नई प्रोफ़ाइल बनाएं. अब Certificate सेक्शन में जाकर, Configure पर क्लिक करें. इसके बाद, पहले जनरेट की गई .p12 फ़ाइल इंपोर्ट करें.

   ध्यान दें: पक्का करें कि इस .p12 फ़ाइल का पासवर्ड सेट हो. इस पासवर्ड को सर्टिफ़िकेट के पासवर्ड सेक्शन में डालें.

3. इस प्रोफ़ाइल को सेव करें.
4. (M1 या M2 प्रोसेसर का इस्तेमाल करने वाले डिवाइसों के लिए, यह चरण छोड़ें और पाँचवें चरण पर जाएँ. ) इस प्रोफ़ाइल को किसी भी टेक्स्ट एडिटर में खोलें और पहले <dict> टैग में ये लाइनें जोड़ें:
   
   <key>PayloadScope</key>
<string>System</string>
   
   इसे इसलिए जोड़ा गया है, क्योंकि Apple Configurator अब तक macOS के लिए प्रोफ़ाइलें बनाने की सुविधा नहीं देता है.
   
5. दूसरे <dict> टैग में, सर्टिफ़िकेट डेटा के साथ-साथ ये लाइनें जोड़ें:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   इससे यह पक्का हो जाएगा कि इस सर्टिफ़िकेट को सभी ऐप्लिकेशन ऐक्सेस कर सकते हैं.

दूसरा चरण: डायरेक्ट्री कॉन्फ़िगरेशन फ़ाइल (plist) को xml में बदलना

इस चरण में, आपको उन सभी मैन्युअल कॉन्फ़िगरेशन को एक्सएमएल फ़ाइल में एक्सट्रैक्ट करना होता है जिन्हें आपने तैयारी के तीसरे चरण में पूरा किया था. इस फ़ाइल और ऊपर दिए गए पहले चरण में बनाई गई Mac प्रोफ़ाइल का इस्तेमाल करके, अन्य macOS डिवाइसों को अपने-आप कॉन्फ़िगर किया जा सकता है.

1. /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist को अपने डेस्कटॉप या किसी दूसरी जगह पर कॉपी करें.
2. इसे एक्सएमएल में बदलें, ताकि इसे किसी भी टेक्स्ट एडिटर में देखा जा सके. टर्मिनल में यह कमांड चलाएं:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   आपके पास <path>/ldap.google.com.plist के तौर पर फ़ाइल को ऐक्सेस करने का विकल्प है.
   
3. ऊपर दी गई फ़ाइल की अनुमति बदलें, ताकि आपके पास एक्सएमएल फ़ाइल खोलने का विकल्प हो. पक्का करें कि यह खाली न हो.

तीसरा चरण: असली उपयोगकर्ताओं के डिवाइसों पर कॉन्फ़िगरेशन को अपने-आप पूरा करने के लिए, Python स्क्रिप्ट बनाना

नीचे दी गई Python स्क्रिप्ट को कॉपी करें और इसे Python फ़ाइल (.py फ़ाइल) के तौर पर सेव करें.

ध्यान दें: यह सैंपल स्क्रिप्ट, Python के 3.10.x वर्शन के साथ काम करने के लिए डिज़ाइन की गई है. यह स्क्रिप्ट, बिना किसी बदलाव के उपलब्ध कराई गई है. Google सहायता टीम, सैंपल स्क्रिप्ट के लिए सहायता नहीं देगी.

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b' '*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

चौथा चरण: असली उपयोगकर्ता के डिवाइसों को अपने-आप कॉन्फ़िगर करना

उन macOS डिवाइसों पर जाएं जिन्हें आपको कॉन्फ़िगर करना है और यह तरीका अपनाएं:

1. पहले चरण में जनरेट की गई Mac प्रोफ़ाइल फ़ाइल, दूसरे चरण में जनरेट की गई एक्सएमएल कॉन्फ़िगरेशन फ़ाइल, और तीसरे चरण में जनरेट की गई Python स्क्रिप्ट को डिवाइस पर कॉपी करें.
2. स्क्रिप्ट के लिए ज़रूरी सॉफ़्टवेयर इंस्टॉल करने के लिए, यह कमांड चलाएं:
   python3 -m pip install pyobjc-framework-opendirectory
3. यह कमांड चलाएं:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. macOS सिस्टम कीचेन में सर्टिफ़िकेट इंपोर्ट करने के लिए, पहले चरण में जनरेट की गई Mac प्रोफ़ाइल फ़ाइल पर दो बार क्लिक करें. इसके बाद, macOS के लोकल एडमिन के क्रेडेंशियल डालें. इसके बाद, आपको .p12 फ़ाइल का वह पासवर्ड डालने के लिए कहा जाएगा जिसे आपने तैयारी के दौरान सेट किया था.
5. macOS मशीन को रीस्टार्ट करें.
6. तैयारी के चरण के चौथे चरण में दिए गए निर्देशों के मुताबिक, मोबाइल खाते बनाएं. इसके अलावा, तैयारी के चरण के पांचवें चरण में बताई गई अन्य सेटिंग भी सेट की जा सकती हैं.

सीमाएं और दिशा-निर्देश

• Google क्रेडेंशियल का इस्तेमाल करके macOS में साइन इन करने वाले उपयोगकर्ताओं के लिए, यह ज़रूरी है कि उनके Workspace खाते का उपयोगकर्ता नाम, macOS की उपयोगकर्ता प्रोफ़ाइल के उपयोगकर्ता आईडी से अलग हो. ऐसा न होने पर, उन्हें साइन इन करने से रोक दिया जाएगा.
• जब कोई उपयोगकर्ता Google क्रेडेंशियल का इस्तेमाल करके macOS में साइन इन करता है, तो उपयोगकर्ता के पासवर्ड को मैनेज करने (रीसेट या रिकवर करने) की प्रोसेस, Google की वेबसाइट पर होनी चाहिए. उदाहरण के लिए, myaccount.google.com पर या Google Admin console में. अगर आपको पासवर्ड मैनेज करने के लिए, तीसरे पक्ष के किसी समाधान का इस्तेमाल करना है, तो पक्का करें कि नया पासवर्ड Google के साथ सिंक हो गया हो.
• अगर एडमिन ने अगली बार साइन इन करने पर पासवर्ड बदलने के लिए कहें सेटिंग चालू करके, नया उपयोगकर्ता बनाया है या किसी मौजूदा उपयोगकर्ता का पासवर्ड रीसेट किया है, तो उपयोगकर्ता एडमिन की ओर से सेट किए गए अस्थायी पासवर्ड का इस्तेमाल करके, Mac में साइन इन नहीं कर पाएगा.
  समस्या हल करने का तरीका: उपयोगकर्ता को किसी दूसरे डिवाइस (उदाहरण के लिए, मोबाइल डिवाइस या कोई अन्य डेस्कटॉप डिवाइस) का इस्तेमाल करके Google में साइन इन करना होगा. इसके बाद, उसे एक स्थायी पासवर्ड सेट करना होगा. इसके बाद, नए पासवर्ड का इस्तेमाल करके macOS में साइन इन करना होगा.
• Mac को ऐक्टिव इंटरनेट कनेक्शन से कनेक्ट किया जाना चाहिए, ताकि ऊपर दिए गए कॉन्फ़िगरेशन के बाद पहली बार साइन इन करते समय, ldap.google.com को ऐक्सेस किया जा सके. अगर आपने मोबाइल खाता सेट अप करने का विकल्प चुना है, तो इसके बाद साइन इन करने के लिए आपको इंटरनेट ऐक्सेस की ज़रूरत नहीं होगी.
• macOS के साथ Google Secure LDAP इंटिग्रेशन की जांच macOS Catalina, Big Sur, और Monterey पर की गई है.

समस्या हल करना

अगर आपको Secure LDAP सेवा से कनेक्ट करने में समस्याएं आ रही हैं, तो यहां दिया गया तरीका अपनाएं.

पहला चरण: कनेक्शन की पुष्टि करें.

odutil का इस्तेमाल करके कनेक्शन की पुष्टि करें.
टर्मिनल में, odutil show nodenames कमांड चलाएं.
पुष्टि करें कि /LDAPv3/ldap.google.com का स्टेटस ऑनलाइन है. अगर यह ऑनलाइन नहीं है, तो टेलनेट विकल्प आज़माएं.

nc का इस्तेमाल करके कनेक्शन की पुष्टि करें.
टर्मिनल में यह कमांड चलाएं: nc -zv ldap.google.com 636
अगर इस तरीके से Google से कनेक्ट नहीं हो पा रहा है, तो IPv4 का इस्तेमाल करके कनेक्ट करने की कोशिश करें.

IPv4 से कनेक्शन की पुष्टि करें.
अपने डिवाइस पर आईपीवी4 का इस्तेमाल करने के लिए, यह तरीका अपनाएं:

1. सिस्टम की सेटिंग > नेटवर्क > वाई-फ़ाई > ऐडवांस पर जाएं.
2. ऐडवांस मेन्यू में जाकर, टीसीपी/आईपी टैब पर जाएं.
3. ड्रॉप-डाउन मेन्यू में, IPv6 कॉन्फ़िगर करें को बदलकर सिर्फ़ लिंक-लोकल चुनें.
4. बदलावों को सेव करने के लिए, ठीक है पर क्लिक करें. इसके बाद, लागू करें पर क्लिक करें.
5. ldapsearch कनेक्टिविटी और मान्य खोज के ज़रिए, सेवा की पुष्टि की जांच करें.

दूसरा चरण: देखें कि आपको डायरेक्ट्री ऑब्जेक्ट दिख रहे हैं या नहीं.

1. Directory Utility खोलें. इसके बाद, Directory Editor टैब खोलें.
2. ड्रॉप-डाउन सूची में, /LDAPv3/ldap.google.com नोड चुनें.
3. पुष्टि करें कि आपको अपने Google डोमेन के उपयोगकर्ता और ग्रुप दिख रहे हैं या नहीं.