4. Conectar clientes LDAP ao serviço LDAP seguro

Siga estas etapas:

1. Siga as etapas de 1 a 11 em ldp.exe (Windows) para instalar os certificados do cliente.
2. Acesse Action > Connect to….
3. Digite as seguintes configurações de conexão:
   
   Name: digite um nome para sua conexão, como LDAP do Google.
   Connection Point: "Select or type a Distinguished Name or Naming Context"
   Digite seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
   
   Computador: "Selecionar ou digitar um domínio ou servidor"
   ldap.google.com
   
   Usar criptografia baseada em SSL:marcada
   
4. Clique em Avançado... e insira os seguintes detalhes:
   
   Especificar credenciais:marcada
   Nome de usuário:o nome de usuário da credencial de acesso no Admin Console
   Senha:a senha da credencial de acesso no Admin Console
   Número da porta:636
   Protocolo:LDAP
   Autenticação de vinculação simples:marcada
   
5. Clique em OK e em OK novamente.
6. Se a conectividade ocorrer, o conteúdo do Active Directory no DN de base será exibido no painel direito.

Para usar o Apache Directory Studio, faça a conexão pelo stunnel e use uma credencial de acesso (nome de usuário e senha) gerada no Google Admin Console. Considerando que isso foi feito e o stunnel escuta na porta localhost 1389:

1. Clique em Arquivo > Novo….
2. Selecione LDAP Browser > LDAP Connection.
3. Clique em Próxima.
4. Insira os parâmetros de conexão:
   
   Nome da conexão:escolha um nome, como LDAP do Google
   Nome do host:localhost
   Porta:1389 (ou a porta de escuta/aceitação do stunnel)
   Método de criptografia:sem criptografia. Observação: se o stunnel estiver sendo executado remotamente, é recomendável usar a criptografia entre o stunnel e o cliente.
   
5. Clique em Próxima.
6. Digite os parâmetros de autenticação:
   
   Authentication Method:autenticação simples
   Bind DN or user:o nome de usuário da credencial de acesso no Admin Console
   Bind password:a senha da credencial de acesso no Admin Console
   
7. Clique em Próxima.
8. Digite o DN de base.
   Seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
9. Clique em Concluir.

O Atlassian Jira pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Para garantir que a autenticação de usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos em todas as unidades organizacionais onde a opção Verificar as credenciais dos usuários está ativada. Veja mais instruções em Configurar as permissões de acesso.

Importante:as instruções a seguir talvez exponham o valor de "keystorePassword" aos usuários e aos arquivos de registros. Tome as devidas precauções para impedir o acesso não autorizado ao shell local, ao arquivo de registros e ao Google Admin Console. Em vez de seguir as instruções, você pode usar o método stunnel4 (consulte Opcional: usar o stunnel como proxy).

Observação:as instruções abaixo consideram que o Jira está instalado em /opt/atlassian/jira.

Para conectar um cliente Atlassian Jira ao serviço LDAP seguro:

1. Copie o certificado e a chave para seus servidores Jira. Esse certificado é gerado no Google Admin Console durante a adição do cliente LDAP ao serviço LDAP seguro.
   
   Por exemplo:
   $ scp ldap-client.key user@jira-server:
   
2. Converta o certificado e as chaves no formato Java KeyStore. Você precisará digitar senhas durante esse processo. Para simplificar, escolha uma senha segura e use-a em todas as etapas.
   
   $ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
   
3. Configure o Jira para usar o arquivo KeyStore que você criou. Siga as instruções aqui para adicionar opções:
   
   "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"
   
   No Linux:
   1. Edite /opt/atlassian/jira/bin/setenv.sh.
   2. Encontre a configuração JVM_SUPPORT_RECOMMENDED_ARGS.
   3. Adicione "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password", substituindo "password" pela senha que você selecionou acima.
4. Reinicie o Jira.
   
   $ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
   
5. Faça login na interface da Web do Jira como administrador.
   1. Acesse Configurações > Gerenciamento de usuários. Para acessar as configurações, clique no ícone de engrenagem no canto superior direito.
   2. Clique em User Directories.
   3. Clique em Adicionar diretório.
   4. Escolha LDAP como o tipo.
   5. Clique em Próxima.
6. Digite o seguinte:

   Nome	LDAP seguro do Google
   Tipo de diretório	OpenLDAP
   Nome do host	ldap.google.com
   Porta	636
   Usar SSL	Marcado
   Nome de usuário	Gere um nome de usuário e uma senha no Google Admin Console. Para instruções, consulte Gerar credenciais de acesso.
   Senha	Gere um nome de usuário e uma senha no Google Admin Console. Para instruções, consulte Gerar credenciais de acesso.
   Base DN	Seu nome de domínio no formato DN. Por exemplo, dc=example,dc=com para example.com
   Additional User DN	Opcional. "ou=Users"
   Additional Group DN	Opcional. "ou=Groups"
   Permissões do LDAP	Somente leitura
   Configurações avançadas	Não alterado
   User Schema Settings > User Name Attribute	googleUid
   User Schema Settings > User Name RDN Attribute	uid
   Group Schema Settings > Group Object Class	groupOfNames
   Group Schema Settings > Group Object Filter	(objectClass=groupOfNames)
   Membership Schema Settings > Group Members Attribute	membro
   Membership Schema Settings > Use the User Membership Attribute	Marcado

7. Atribua um papel a um grupo.
   
   O usuário precisa ser membro de um grupo com acesso ao Jira para poder fazer login.
   
   Para conceder uma função a um grupo:
   1. Acesse Configurações > Aplicativos > Acesso ao aplicativo.
   2. Na caixa de texto Selecionar grupo, digite o nome do Grupo do Google com os usuários que poderão acessar o Jira.

Veja instruções sobre como conectar o CloudBees Core ao serviço LDAP seguro em Configurar o CloudBees Core com o LDAP seguro do Cloud Identity do Google (em inglês).

Siga estas etapas:

1. Instale e configure o FreeRADIUS em /etc/freeradius/3.0/.
   
   Depois que o FreeRADIUS for instalado, você poderá instalar o plug-in freeradius-ldap para adicionar a configuração do LDAP.
   
   $ sudo apt-get install freeradius freeradius-ldap
   
2. Copie os arquivos de chave e de certificado do cliente LDAP para /etc/freeradius/3.0/certs/ldap-client.key e /etc/freeradius/3.0/certs/ldap-client.crt, respectivamente.
   
   $ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
   
3. Ative o módulo LDAP.
   
   $ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
   
4. Edite /etc/freeradius/3.0/mods-available/ldap.
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. identity = nome de usuário nas credenciais do app
   3. password = senha nas credenciais do app
   4. base_dn = 'dc=domain,dc=com'
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = 'allow'
   9. Adicione um comentário a todos os campos da localização atual que representam a seção "ldap -> post-auth -> update".
5. Edite /etc/freeradius/3.0/sites-available/default.
   Isso modifica a conexão do cliente FreeRadius. Se você não estiver usando o cliente padrão, atualize o cliente relevante (túnel interno ou qualquer cliente personalizado) que esteja configurado.
   
   1. Modifique a seção authorize para adicionar o seguinte bloco ao final da declaração do protocolo de autenticação de senha:
      
      if (User-Password) {
update control {
Auth-Type := ldap
}
}
      
   2. Na seção authorize, ative o LDAP removendo o sinal "-" que aparece antes dele.
      
      #
      # O módulo ldap lê senhas do banco de dados LDAP.
      ldap
      
   3. Modifique a seção authenticate editando o bloco Auth-Type LDAP da seguinte forma:
      
      # Auth-Type LDAP {
ldap
# }
      
   4. Modifique a seção authenticate editando o bloco Auth-Type PAP da seguinte forma:
      
      Auth-Type PAP {
# pap
ldap
}

Veja instruções sobre como conectar o GitLab ao serviço LDAP seguro em Configurar o LDAP seguro do Google para GitLab (em inglês).

Veja instruções sobre como conectar o Itopia/Ubuntu ao serviço LDAP seguro em Configurar o LDAP do Google Cloud Identity no Ubuntu 16.04 para logins de usuário (em inglês).

Siga estas etapas:

1. No servidor da web do Ivanti, abra OpenLDAPAuthenticationConfiguration.xml ou OpenLDAPSSLAuthenticationConfiguration.xml em um editor de texto nas duas pastas a seguir:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework e C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (em que servicedesk é o nome da instância)
2. Atualize o valor de <Server> para ldap.google.com.
3. Atualize o valor de <Port> para a porta 3268, no caso de texto não criptografado com StartTLS ativado, e use o valor 3269 na porta SSL/TLS (os padrões são 389 na porta de texto não criptografado e 636 na porta SSL/TLS).
4. Defina o valor <TestDN> para seu nome de domínio no formato DN. Por exemplo, dc=example,dc=com para example.com.
5. Em ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config e ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config, adicione a linha:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   ou a linha:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
   
6. No Ivanti Configuration Center, abra a instância necessária.
7. Ao lado do app Service Desk Framework, clique em Editar.
   A caixa de diálogo Edit Application do Service Desk Framework aparece.
8. No grupo Configuration parameters, selecione Explicit only na lista Logon policy e clique em OK.
9. Ao lado do app Web Access, clique em Edit.
   A caixa de diálogo Edit Application do Web Access aparece.
10. No grupo Configuration parameters, selecione Explicit only na lista Logon policy e clique em OK.

Ao fazer login, use a senha de rede do usuário do domínio associado.

Registro de exceção para a autenticação do servidor LDAP

Se você estiver com problemas ao configurar a autenticação do servidor LDAP, ative o registro de exceção para ajudá-lo a identificar o problema. Por padrão, esse recurso fica desativado. Recomendamos que você desative-o novamente quando tiver concluído suas investigações.

Para ativar o registro de exceções para a autenticação do servidor LDAP:

1. Abra o arquivo XML de configuração de autenticação adequado em um editor de texto:
   
   DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml ou OpenLDAPSSLAuthenticationConfiguration.xml
2. Mude a linha:
   
   <ShowExceptions>false</ShowExceptions>
   para
   <ShowExceptions>true</ShowExceptions>
   
3. Salve as alterações.

Siga estas etapas:

1. Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Abra um prompt de comando e siga as instruções:
   
   Se você estiver no macOS ou no Linux, use os seguintes comandos:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Digite uma senha para criptografar o arquivo de saída.
   

   Se você estiver no Windows, use os seguintes comandos:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Importante:os dois arquivos (<CERT_FILE>.crt e <CERT_FILE>.key) precisam estar no mesmo diretório. Além disso, confirme que key e crt têm um nome idêntico (com uma extensão diferente). Neste exemplo, usamos os nomes ldap-client.crt e ldap-client.key.

2. Acesse o Painel de controle.
3. Na caixa de pesquisa, pesquise "certificado" e clique em Gerenciar certificados do usuário.
4. Acesse Ação > Todas as tarefas > Importar….
5. Selecione Usuário atual e clique em Próxima.
6. Clique em Procurar….
7. Na lista suspensa file type, no canto inferior direito da caixa de diálogo, selecione Personal Information Exchange (&ast;.pfx;&ast;.p12).
8. Selecione o arquivo ldap-client.p12 da etapa 2, clique em Abrir e depois em Próxima.
9. Digite a senha da etapa 2 e clique em Próxima.
10. Selecione o repositório de certificados Pessoal, clique em Próxima e em Concluir.
11. Execute Ldp.exe.
12. Acesse Connection > Connect....
13. Digite os seguintes detalhes de conexão:
    
    Server: ldap.google.com
    Port: 636
    Connectionless: desmarcado
    SSL: marcado
    
14. Clique em OK.
15. Acesse Visualizar > Árvore.
16. Digite o DN de base. Esse é seu nome de domínio no formato DN. Por exemplo, dc=example,dc=com para example.com.
17. Clique em OK.
18. Se a conectividade for bem-sucedida, LDP.exe exibe o conteúdo do Active Directory — como todos os atributos presentes no DN de base — no painel à direita.

Veja instruções sobre como conectar o Netgate/pfSense ao serviço LDAP seguro em Configurar o Google Cloud Identity como uma origem de autenticação (em inglês).

Para acessar seu diretório LDAP na linha de comando, você pode usar o comando OpenLDAP ldapsearch.

Considerando que os nomes dos arquivos do certificado e da chave de cliente são ldap-client.crt e ldap-client.key, seu domínio é example.com e o nome de usuário é jsilva:

$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

Isso aponta as variáveis de ambiente relevantes para as chaves do cliente. Você pode substituir as outras opções de ldapsearch pelos filtros que quiser, pelos atributos solicitados etc. Para mais detalhes, consulte as páginas do manual do ldapsearch ("man ldapsearch").

Siga estas etapas:

1. Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Em um prompt de comando, digite o seguinte:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Digite sua senha para criptografar o arquivo de saída.
   
2. Clique em no canto superior direito da barra de menus e digite Acesso ao Keychain.
3. Abra o app Acesso às Chaves e clique em Sistema na lista à esquerda.
4. Clique na opção Arquivo, na barra de menu no canto superior esquerdo, e selecione Importar itens.
5. Acesse o local onde o ldap-client.p12 foi gerado, selecione ldap-client.p12 e clique em Open.
   Se for solicitado, digite sua senha.
   Um certificado com o nome LDAP Client vai aparecer na lista de certificados de System Keychain.
6. Clique na seta ao lado do certificado do cliente LDAP. Uma chave privada aparece abaixo desse certificado.
   1. Clique duas vezes na chave privada.
   2. Na caixa de diálogo, selecione a guia Controle de acesso e clique em + no canto inferior esquerdo.

   3. Na janela que é aberta, clique em Command+Shift+G para abrir uma nova janela e substitua o texto por /usr/bin/ldapsearch.

   4. Clique em Go.
      
      Isso abre uma janela com "ldapsearch" em destaque.

   5. Clique em Adicionar.

   6. Clique em Salvar alterações e digite sua senha se necessário.
      
      Agora você está pronto para acessar o diretório LDAP na linha de comando usando o comando OpenLDAP ldapsearch.

7. Se o arquivo ldap-client.p12 que você importou para o conjunto de chaves se chamar LDAP Client, seu domínio for example.com e o nome de usuário for jsilva, digite:
   
   $ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

As variáveis de ambiente relevantes apontarão para o certificado de cliente importado. Você pode substituir as outras opções de ldapsearch pelos filtros que quiser, pelos atributos solicitados etc. Para mais detalhes, consulte as páginas do manual do ldapsearch (man ldapsearch).

Siga estas etapas:

1. Se necessário, instale e configure o OpenVPN. Se você já tiver feito isso, abra a página de configurações no OpenVPN.
   
   As configurações gerais da VPN (rede privada virtual) não estão incluídas neste artigo. Quando uma VPN é configurada, você pode adicionar autenticação e autorização de usuários via LDAP. Para fazer isso, é preciso instalar o plug-in openvpn-auth-ldap.
   
   $ sudo apt-get install openvpn openvpn-auth-ldap
   
2. Copie os arquivos de chave e de certificado do cliente LDAP para /etc/openvpn/ldap-client.key e /etc/openvpn/ldap-client.crt.
3. Crie o arquivo /etc/openvpn/auth-ldap.conf com o seguinte conteúdo (considerando que example.com é o nome de domínio):
   
   <LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (or choose your own LDAP filter for users)
RequireGroup false
</Authorization>
   
4. Edite o arquivo de configuração do OpenVPN, que costuma ter o nome /etc/openvpn/server.conf ou algo parecido. Na parte de baixo do arquivo, adicione o seguinte:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
   
5. Reinicie o servidor OpenVPN.
   
   $ sudo systemctl restart openvpn@server
   
6. Configure os clientes VPN para usar os nomes de usuário e as senhas dos usuários. Por exemplo, em uma configuração do cliente OpenVPN, adicione auth-user-pass ao final do arquivo de configuração e inicie o cliente:
   
   $ openvpn --config /path/to/client.conf
   
7. Siga as instruções para usar o stunnel como um proxy.

Veja instruções sobre como conectar o servidor de acesso OpenVPN ao serviço LDAP seguro em Configurar o LDAP seguro do Google com o servidor de acesso OpenVPN (em inglês).

Veja instruções sobre como conectar o PaperCut ao serviço LDAP seguro em Como sincronizar e autenticar usuários do Google Workspace e do Google Cloud Identity no PaperCut (em inglês).

Veja instruções sobre como conectar o Puppet Enterprise ao serviço LDAP seguro em Google Cloud Directory para o Puppet Enterprise (em inglês).

Importante:antes de começar, confirme que você instalou a versão 4.5 (4.5.19808.0) ou mais recente do Softerra LDAP Browser. Saiba mais em Navegador LDAP 4.5.

Siga estas etapas:

1. Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Abra um prompt de comando e siga as instruções:
   
   Se você estiver no macOS ou no Linux, use os seguintes comandos:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Digite uma senha para criptografar o arquivo de saída.
   

   Se você estiver no Windows, use os seguintes comandos:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Importante:os dois arquivos (<CERT_FILE>.crt e <CERT_FILE>.key) precisam estar no mesmo diretório. Além disso, confirme que key e crt têm um nome idêntico (com uma extensão diferente). Neste exemplo, usamos os nomes ldap-client.crt e ldap-client.key.

2. No Softerra LDAP Browser, instale o par de chaves.
   1. Acesse Ferramentas > Certificate Manager.
   2. Clique em Importar….
   3. Clique em Próxima.
   4. Clique em Procurar….
   5. Na lista suspensa File type, no canto inferior direito da caixa de diálogo, selecione Personal Information Exchange (&ast;.pfx;&ast;.p12).
   6. Selecione o arquivo ldap-client.p12 da etapa 2 acima.
   7. Clique em Abrir e em Próxima.
   8. Digite a senha da etapa 2 acima e clique em Próxima.
   9. Selecione o armazenamento de certificado Pessoal.
   10. Clique em Próxima.
   11. Clique em Concluir.
3. Adicione um perfil de servidor.
   1. Acesse Arquivo > Novo > Novo perfil….
   2. Digite um nome para o perfil, como LDAP do Google.
   3. Clique em Próxima.
      
      Digite o seguinte:
      
      Host: ldap.google.com
      Port: 636
      Base DN: seu nome de domínio no formato DN. Por exemplo, dc=example,dc=com para example.com)
      Use secure connection (SSL): marcado
      
   4. Clique em Próxima.
   5. Selecione External (SSL Certificate).
   6. Clique em Próxima.
   7. Clique em Concluir.

Veja instruções sobre como conectar o Sophos Mobile ao serviço LDAP seguro em Conectar o Sophos Mobile ao Google Cloud Identity / Google Cloud Directory usando o LDAP seguro (em inglês).

Ao conectar o Splunk ao serviço LDAP seguro, use o Splunk 8.1.4 ou mais recente. Ao usar versões mais antigas do Splunk, como o Splunk 8.1.3, um número excessivo de consultas LDAP pode ser enviado para o servidor LDAP e exceder sua cota do LDAP rapidamente. Para mais informações sobre os problemas no Splunk 8.1.3, consulte Problemas conhecidos do Splunk.

Siga estas etapas:

1. Copie os arquivos de chave e de certificado do cliente LDAP para /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key e /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt.
   
   $ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
   
2. Edite o arquivo ldap.conf para adicionar as seguintes configurações:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. Adicione as seguintes configurações no arquivo /home/splunkadmin/.ldaprc do usuário:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
   
4. Adicione a estratégia LDAP usando a IU da Web do Splunk. Digite os detalhes a seguir e clique em Salvar:
   

O SSSD pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Para garantir que a autenticação de usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos em todas as unidades organizacionais onde a opção Verificar as credenciais dos usuários está ativada. Veja mais instruções em Configurar as permissões de acesso.

Para conectar um cliente SSSD no Red Hat 8 ou CentOS 8 ao serviço LDAP seguro:

1. Adicione o cliente SSSD ao serviço LDAP seguro:
   1. No Google Admin Console, acesse Apps > LDAP > ADICIONAR CLIENTE.
      Faça login com sua conta corporativa e não sua conta pessoal do Gmail.
   2. Digite os detalhes do cliente e clique em CONTINUAR.
   3. Configure as permissões de acesso:
      Verificar as credenciais do usuário: domínio inteiro
      Ler as informações dos usuários: domínio inteiro
      Ler as informações dos grupos: Ativado
   4. Clique em ADICIONAR CLIENTE LDAP.
   5. Faça o download do certificado gerado.
   6. Clique em CONTINUAR PARA DETALHES DO CLIENTE.
   7. Mude o status do serviço para ATIVADO.
2. Instale as dependências:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   Descompacte o arquivo .zip do certificado e copie os arquivos .crt e .key para /etc/sssd/ldap
   
3. (Opcional) Teste com o ldapsearch:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   Digite a senha do Google do usuário quando solicitado.
   
   Observação: uma licença do Google Workspace Enterprise ou do Cloud Identity Premium precisa ter sido atribuída ao usuário.

4. Crie o arquivo /etc/sssd/sssd.conf com o seguinte conteúdo:
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. Atualize as permissões e os marcadores SELinux:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
   
6. Reinicie o SSSD:
   
   systemctl restart sssd
   
7. Teste:
   
   ssh para servidor:

   ssh -l user@example.com {HOSTNAME}

Solução de problemas

1. Verifique a versão do SSSD (precisa ser 1.15.2 ou mais recente):
   
   # sssd --version
2.2.3
   

2. No RHEL/CentOS (ou qualquer distribuição com aplicação do SELinux), os arquivos de configuração do SSSD e o arquivo e a chave do certificado precisam estar em um diretório acessível para a função sssd_conf_t:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   Verifique se há mensagens de negação AVC em /var/log/audit/audit.log.
   

3. Confirme que /etc/nsswitch.conf tem o valor "sss" para as entidades "passwd", "shadow", "group" e "netgroup":
   
   passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
   
   Aqui, os arquivos locais substituem os usuários do LDAP.
   
4. Verifique se há erros de configuração em /var/log/sssd.conf:
   

   Exemplo:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Pulando.

   Ação: execute o comando chmod 600 no arquivo .conf.

   Exemplo:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Verifique se há erros de digitação.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Verifique se há erros de digitação.

   Ação: remova as extensões LDAP da correspondência de grupo incompatível de sssd.conf.

5. Verifique se há erros LDAP /network/auth em/var/log/sssd_{DOMAIN}.log.
   
   Exemplo:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   Ação: adicione "ldap_tls_reqcert = never" a sssd.conf.

   Para aumentar o nível de detalhes dos erros, adicione "debug_level = 9" a sssd.conf na seção "domain" e reinicie o SSSD.

O SSSD pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Para garantir que a autenticação de usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos em todas as unidades organizacionais onde a opção Verificar as credenciais dos usuários está ativada. Veja mais instruções em Configurar as permissões de acesso.

Para conectar um cliente SSSD ao serviço LDAP seguro:

1. Instale o SSSD versão >= 1.15.2.
   
   $ sudo apt-get install sssd
   
2. Considerando que os nomes dos arquivos do certificado e da chave de cliente são /var/ldap-client.crt e /var/ldap-client.key, e seu domínio é example.com, edite /etc/sssd/sssd.conf com a seguinte configuração:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
   

3. Mude a propriedade e a permissão do arquivo de configuração:
   
   $ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf

4. Reinicie o SSSD:
   
   $ sudo service sssd restart

Dica:se você estiver usando o módulo SSSD em computadores Linux sem endereços IP externos no Google Compute Engine, ainda poderá se conectar ao serviço LDAP seguro, desde que tenha acesso interno aos serviços do Google ativado. Para mais detalhes, consulte Como configurar o Acesso privado do Google.

Siga as etapas abaixo para conectar o cliente macOS para autenticação da conta de usuário com o serviço LDAP seguro.

Requisitos do sistema

• A versão do macOS precisa ser 10.15.4 (Catalina) ou mais recente.
• Um ID do usuário de superadministrador do Google é necessário para concluir a etapa 1 na fase de preparação.
• Você precisa ter permissões de administrador local para concluir a configuração.

Conteúdo:

• Fase de preparação
• Fase de implantação
• Limitações e diretrizes
• Solução de problemas

Fase de preparação

As instruções nesta seção mostram como configurar e testar manualmente a autenticação do macOS usando o serviço LDAP seguro.

Etapa 1: integrar o macOS como cliente LDAP no Google Admin Console

Veja as instruções em Adicionar clientes LDAP ou assista a esta demonstração do LDAP seguro. Você também fará o download de um certificado de cliente TLS gerado automaticamente durante o processo.

Etapa 2: importar o certificado para o conjunto de chaves do sistema

1. Copie o certificado (o arquivo ZIP transferido por download na etapa 1) e a chave para o computador macOS.
   Dica:descompacte o arquivo para encontrar os arquivos de certificado e chave.
2. Importe o par de chaves para o conjunto de chaves do sistema:

   1. Converta a chave e o certificado em um arquivo PKCS 12 (.p12). Execute o seguinte comando no terminal:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      Dica:anote o nome do arquivo .p12.
      
      O sistema vai pedir que você digite uma senha. para criptografar o arquivo .p12.

   2. Abra o app Acesso às Chaves.

   3. Clique no conjunto de chaves Sistema.

   4. Clique em Arquivo > Importar itens.

   5. Selecione o arquivo ldap-client.p12 criado acima.

   6. Se solicitado, digite a senha do administrador para permitir a modificação do conjunto de chaves do sistema.

   7. Digite a senha criada acima para descriptografar o arquivo .p12.

      Observação:um novo certificado e uma chave privada associada vão aparecer na lista de chaves. O nome talvez seja LDAP Client. Anote o nome do certificado para a próxima etapa abaixo.
      
   8. Siga a etapa 6 da seção ldapsearch (macOS) deste artigo para configurar o controle de acesso para a chave privada e adicionar os apps especificados abaixo. Se você não vir a chave privada na categoria Todos os Itens, mude para a categoria Meus Certificados e localize a entrada de chave privada correta expandindo o certificado correspondente.
      
      O app ldapsearch, como especificado nas instruções, só é relevante na solução de problemas e não para outros fins. Normalmente, ele é removido antes que os usuários recebam acesso ao macOS.
      
      Os três apps a seguir precisam ser adicionados à lista de controle de acesso:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. Adicione uma linha ao arquivo /etc/openldap/ldap.conf, garantindo que "LDAP Client" seja exatamente o mesmo nome de certificado mostrado no aplicativo Acesso ao chaveiro do macOS depois de importar o arquivo .p12. O nome vem do nome comum do assunto X.509 do certificado gerado:
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

Etapa 3: apontar o dispositivo para o diretório do Google para autenticação

Abra o app Utilitário de Diretório para criar um novo nó de diretório LDAP:

1. Clique no cadeado para fazer mudanças e digite sua senha.
2. Selecione LDAPv3 e clique no ícone de lápis para editar as configurações.
3. Clique em Novo….
4. No nome do servidor, digite ldap.google.com, selecione Criptografar usando SSL e clique em Manual.
5. Selecione o novo nome do servidor e clique em Editar….
6. Escolha um nome descritivo para a configuração, como LDAP seguro do Google.
7. Selecione Criptografar usando SSL e confirme que a porta está definida como 636.
8. Acesse a guia Busca e mapeamentos.
   1. Escolha RFC2307 na lista suspensa Acessar este servidor LDAPv3 usando.
   2. Quando solicitado, digite as informações relacionadas ao domínio em Sufixo da Base de Busca. Por exemplo, digite dc=zomato,dc=com para um nome de domínio de zomato.com.
   3. Clique em OK.
   4. Configure os atributos no tipo de registro Usuários:
      1. Na seção Tipos e atributos de registro, selecione Usuários e clique no botão +.
      2. Na janela pop-up, selecione Tipos de atributo > GeneratedUID e clique em OK para fechar a janela.
         
         GeneratedUID vai aparecer em "Usuários" quando a seção for expandida.
         
      3. Clique em "GeneratedUID" e no ícone + na caixa à direita.
      4. Digite apple-generateduid na caixa de texto e clique em Enter.
      5. No nó Usuários, clique no atributo NFSHomeDirectory.
      6. Na tela à direita, atualize o valor do atributo para #/Users/$uid$.
      7. Clique em OK e digite sua senha para salvar as mudanças.
9. Na janela Utilitário de Diretório, defina a nova configuração do LDAP:
   1. Acesse a guia Política de Busca.
   2. Clique no ícone de cadeado para fazer mudanças e digite a senha do usuário atual quando solicitado.
   3. Mude a opção do menu suspenso de Caminho da Busca para Caminho personalizado.
   4. Abra a guia Autenticação e clique no ícone +.
   5. Escolha /LDAPv3/ldap.google.com na lista "Domínios de diretório" e clique em Adicionar.
   6. Clique no botão Aplicar e digite sua senha de administrador, se solicitado.
10. Execute os quatro comandos a seguir para desativar os mecanismos de autenticação DIGEST-MD5, CRAM-MD5, NTLM e GSSAPI SASL. O macOS vai usar o Simple Bind para autenticar usando o serviço LDAP seguro do Google:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
    
11. Reinicialize para recarregar a configuração do OpenDirectory.

Etapa 4: criar uma conta de celular (permite o login off-line)

Qualquer usuário do Google Workspace ou do Cloud Identity pode fazer login usando uma conta de rede (Conta do Google) com o próprio nome de usuário e a senha. Esse processo de login requer conectividade de rede. Quando o usuário também precisa fazer login sem estar conectado à rede, é possível criar uma conta móvel. Uma conta de celular permite que você use o nome de usuário e a senha da sua conta de rede (Conta do Google) para fazer login, independentemente de você estar ou não conectado à rede. Para mais detalhes, consulte Criar e configurar contas móveis no Mac.

Para criar uma conta móvel para usuários do LDAP seguro, faça o seguinte:

1. Execute o comando a seguir para se conectar ao servidor LDAP seguro e configurar um caminho inicial e contas móveis:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
   
   Dica:substitua $uid pela parte do nome de usuário do endereço de e-mail associado à Conta do Google do usuário. Por exemplo, jsmith é a parte correspondente ao nome de usuário de jsilva@solarmora.com.

2. Quando o nome de usuário do administrador do SecureToken for solicitado, digite seu nome de usuário de administrador e a senha. Isso adicionará $uid ao FileVault. o que é necessário quando o disco do macOS está criptografado.

Etapa 5 (opcional): definir a preferência de tela de login

1. Acesse Preferências do Sistema > Usuários e Grupos > Opções de Início no canto inferior esquerdo.
2. Use as credenciais do administrador para desbloquear.
3. Altere a opção Exibir janela de início de sessão como para Nome e senha.

Etapa 6: reinicializar e fazer login no dispositivo

1. Confira se o dispositivo está conectado à Internet. Se você não tiver uma conexão de Internet, o login do usuário do LDAP seguro não vai funcionar.
   Observação:a conexão de Internet é necessária apenas para o primeiro login. Depois disso, é possível fazer login sem acesso à Internet.
2. Faça login no dispositivo com a conta de usuário configurada para autenticação com o LDAP seguro.

Fase de implantação

As instruções nesta seção mostram como automatizar a configuração do dispositivo para seus usuários. Siga as etapas 1 e 2 abaixo no mesmo dispositivo macOS em que você concluiu a configuração manual durante a fase de preparação.

Etapa 1: criar um perfil do Mac com certificado usando o Apple Configurator 2

1. Instale o Apple Configurator 2 no computador em que você configurou manualmente a autenticação do macOS com o LDAP seguro.
2. Abra o Apple Configurator 2, crie um novo perfil e, na seção "Certificado", clique em "configurar" e importe o arquivo .p12 gerado anteriormente.

   Observação:confirme que o arquivo .p12 tem uma senha. Digite essa senha na seção "Senha" do certificado.

3. Salve o perfil.
4. Para dispositivos que usam processadores M1 ou M2, pule esta etapa e continue para a etapa 5. ) Abra o perfil em qualquer editor de texto e adicione as linhas abaixo na primeira tag <dict>:
   
   <key>PayloadScope</key>
<string>System</string>
   
   Isso é necessário porque o Apple Configurator ainda não é compatível com perfis para o macOS.
   
5. Na segunda tag <dict>, paralela aos dados do certificado, adicione as linhas a seguir:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   Isso garantirá que todos os apps possam acessar o certificado.

Etapa 2: converter o arquivo de configuração do diretório (plist) em um arquivo XML

Nesta etapa, você extrai para um arquivo XML todas as configurações manuais concluídas durante a etapa 3 da fase de preparação. Você pode usar esse arquivo e o perfil do Mac criado na etapa 1 acima para configurar automaticamente outros dispositivos macOS.

1. Copie /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist para a Mesa ou outro local.
2. Converta-o em um arquivo XML para examiná-lo em qualquer editor de texto. Execute este comando no terminal:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   Você pode acessar o arquivo como <path>/ldap.google.com.plist.
   
3. Altere a permissão do arquivo acima para abrir o arquivo XML. Confirme que ele não está vazio.

Etapa 3: criar um script do Python para automatizar a configuração nos dispositivos do usuário final

Copie o script Python abaixo e salve-o como um arquivo Python (.py).

Observação:este exemplo de script foi criado para ser compatível com a versão 3.10.x do Python. Este script é fornecido no estado em que se encontra. O Google não oferece suporte para exemplos de script.

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b' '*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

Etapa 4: configurar automaticamente os dispositivos do usuário final

Nos outros dispositivos macOS que você quer configurar, siga estas etapas:

1. Copie o arquivo do perfil do Mac gerado na etapa 1, o arquivo de configuração XML gerado na etapa 2 e o script do Python da etapa 3 para o dispositivo.
2. Para instalar a dependência necessária do script, execute o seguinte comando:
   python3 -m pip install pyobjc-framework-opendirectory
3. Execute este comando:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. Para importar certificados para o conjunto de chaves do sistema macOS, clique duas vezes no arquivo de perfil do Mac gerado na etapa 1 e, quando solicitado, informe suas credenciais de administrador local do macOS. Em seguida, digite a senha do arquivo .p12 definida durante a fase de preparação.
5. Reinicie o computador macOS.
6. Crie contas móveis conforme instruído na etapa 4 da fase de preparação e, opcionalmente, defina preferências adicionais conforme descrito na etapa 5 da fase de preparação.

Limitações e diretrizes

• Para os usuários que fazem login no macOS usando as credenciais do Google, o nome de usuário da conta do Workspace precisa ser diferente do ID do usuário do perfil do macOS. Caso contrário, o login será bloqueado.
• Quando um usuário começa a fazer login no macOS com credenciais do Google, o gerenciamento de senha do usuário (redefinição ou recuperação) precisa acontecer no site do Google (por exemplo, em myaccount.google.com ou no Google Admin console). Caso você prefira fazer o gerenciamento usando uma solução de terceiros, confirme que a senha mais recente está sincronizada com o Google.
• Se o administrador criar um novo usuário ou redefinir a senha de um usuário atual com a configuração Solicitar uma alteração de senha no próximo login ativada, o usuário não poderá fazer login no Mac com a senha temporária definida pelo administrador.
  Solução alternativa: o usuário precisa fazer login no Google em outro dispositivo (por exemplo, um smartphone ou outro computador), definir uma senha permanente e fazer login no macOS com a nova senha.
• O Mac precisa ter uma conexão de Internet ativa para que ldap.google.com esteja acessível durante o primeiro login após a configuração acima. O acesso à Internet não será necessário para os logins subsequentes se você tiver configurado uma conta móvel.
• A integração do LDAP seguro do Google com o macOS foi testada no macOS Catalina, Big Sur e Monterey.

Solução de problemas

Se você tiver problemas para se conectar ao serviço LDAP seguro, siga as instruções abaixo.

Etapa 1: verificar a conexão

Verifique a conexão usando o comando "odutil".
Execute o comando odutil show nodenames no terminal.
Verifique se o status /LDAPv3/ldap.google.com é on-line. Caso não seja, tente usar o protocolo Telnet.

Verifique a conexão usando o comando "nc".
Execute este comando no terminal: nc -zv ldap.google.com 636
Se não for possível se conectar ao Google dessa forma, tente usar o protocolo IPv4.

Verifique a conexão com o IPv4.
Siga estas etapas para o dispositivo usar o IPv4:

1. Acesse Preferências do Sistema > Rede > Wi-Fi > Avançado.
2. No menu "Avançado", acesse a guia "TCP/IP".
3. Mude a seleção da lista suspensa de Configurar IPv6 para Somente link-local.
4. Clique em OK e em Aplicar para salvar as mudanças.
5. Verifique a autenticação do serviço com uma pesquisa válida no ldapsearch.

Etapa 2: verifique se você vê os objetos de diretório.

1. Abra o Utilitário de Diretório e a guia Editor de Diretório.
2. Selecione o nó /LDAPv3/ldap.google.com na lista suspensa.
3. Confirme que você vê os usuários e grupos do seu domínio do Google.