4. LDAP istemcilerini Güvenli LDAP hizmetine bağlama

Aşağıdaki adımları uygulayın:

1. İstemci sertifikalarını yüklemek için ldp.exe (Windows) bölümündeki 1-11. adımları izleyin.
2. Action > Connect to… (İşlem > Bağlan) seçeneğine gidin.
3. Aşağıdaki bağlantı ayarlarını girin:
   
   Name: (Ad): Bağlantınız için Google LDAP gibi bir ad yazın.
   Connection Point: "Select or type a Distinguished Name or Naming Context" (Bir Ayırt Edici Ad ya da Adlandırma İçeriği seçin veya yazın)
   Alan adınızı DN biçiminde girin (örneğin, example.com için dc=example,dc=com).
   
   Computer: (Bilgisayar) "Select or type a domain or server" (Bir alan ya da sunucu seçin veya girin)
   ldap.google.com
   
   Use SSL-based Encryption: (SSL tabanlı şifreleme kullan) İşaretli
   
4. Gelişmiş... seçeneğini tıklayın ve aşağıdaki ayrıntıları girin:
   
   Kimlik bilgilerini belirtin: İşaretli
   Kullanıcı adı: Yönetici Konsolu'ndaki erişim kimlik bilgilerinin kullanıcı adı
   Şifre: Yönetici Konsolu'ndaki erişim kimlik bilgilerinin şifresi
   Bağlantı Noktası Numarası: 636
   Protokol: LDAP
   Basit bağlama kimlik doğrulaması: İşaretli
   
5. Tamam'ı ve ardından tekrar Tamam'ı tıklayın.
6. Bağlantı başarılı olursa sağ bölmede ana DN'deki etkin dizin içerikleri görüntülenir.

Apache Directory Studio'yu kullanmak için stunnel üzerinden bağlanın ve Google Yönetici Konsolu'nda oluşturulan erişim kimlik bilgilerini (kullanıcı adı ve şifre) kullanın. Kimlik bilgilerinin girildiği ve stunnel'ın yerel ağ bağlantı noktası 1389'da dinlediği varsayılarak, aşağıdaki adımları izleyin:

1. File > New… (Dosya > Yeni) seçeneğini tıklayın.
2. LDAP Browser > LDAP Connection (LDAP Tarayıcısı > LDAP Bağlantısı) öğesini seçin.
3. İleri'yi tıklayın.
4. Bağlantı parametrelerini girin:
   
   Bağlantı adı: Google LDAP gibi bir ad seçin.
   Ana makine adı: localhost
   Bağlantı noktası: 1389 (veya stunnel dinleme/kabul bağlantı noktası)
   Şifreleme yöntemi: Şifreleme yok (Not: Stunnel uzaktan çalışıyorsa stunnel ile istemci arasındaki şifreleme önerilir.)
   
5. İleri'yi tıklayın.
6. Kimlik doğrulama parametrelerini girin:
   
   Authentication Method: (Kimlik Doğrulama Yöntemi) Simple Authentication (Basit Kimlik Doğrulama)
   Bind DN or user: (Bağlama DN veya kullanıcısı) Yönetici Konsolu'ndaki erişim kimlik bilgilerinin kullanıcı adı
   Bind password: (Bağlama şifresi) Yönetici Konsolu'ndaki erişim kimlik bilgilerinin şifresi
   
7. İleri'yi tıklayın.
8. Ana DN'yi girin.
   Bu, DN biçimindeki alan adınızdır (örneğin, example.com için dc=example,dc=com)
9. Son'u tıklayın.

Atlassian Jira, kullanıcı kimlik doğrulaması sırasında kullanıcı hakkında daha fazla bilgi almak için bir kullanıcı araması gerçekleştirir. Kullanıcı kimlik doğrulamasının bu LDAP istemcisi için düzgün şekilde çalıştığından emin olmak amacıyla, Kullanıcı kimlik bilgilerini doğrulama'nın etkin olduğu tüm kuruluş birimlerinde Kullanıcı bilgilerini okuma'yı ve Grup bilgilerini okuma'yı etkinleştirmeniz gerekir. (Talimatlar için Erişim izinlerini yapılandırma başlıklı makaleye bakın.)

Önemli: Aşağıdaki talimatları kullandığınızda, keystorePassword kullanıcılara gösterilebilir ve günlük dosyalarında görünebilir. Yerel kabuğa, günlük dosyasına ve Google Yönetici Konsolu'na yetkisiz erişimi önlemek için gerekli önlemleri alın. Aşağıdaki talimatlara alternatif olarak stunnel4 yöntemini kullanabilirsiniz (İsteğe bağlı: Stunnel'ı proxy olarak kullanma bölümüne bakın).

Not: Aşağıdaki talimatlarda, Jira'nın /opt/atlassian/jira konumuna yüklendiği varsayılmaktadır.

Atlassian Jira istemcisini Güvenli LDAP hizmetine bağlamak için:

1. Sertifikayı ve anahtarı kopyalayıp Jira sunucularınıza yapıştırın. (Bu, LDAP istemcisi Güvenli LDAP hizmetine eklenirken Google Yönetici Konsolu'nda oluşturulan sertifikadır.)
   
   Örneğin:
   $ scp ldap-client.key user@jira-server:
   
2. Sertifikayı ve anahtarları Java anahtar deposu biçimine dönüştürün. Bu işlem boyunca şifre girmeniz istenecektir. İşinizi kolaylaştırmak için güvenli bir şifre seçin ve tüm şifre sorgularında aynı şifreyi kullanın.
   
   $ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
   
3. Jira'yı yeni oluşturulan anahtar deposunu kullanacak şekilde yapılandırın. Seçenekleri eklemek için buradaki yönergeleri uygulayın:
   
   "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"
   
   Linux'ta:
   1. /opt/atlassian/jira/bin/setenv.sh dosyasını düzenleyin.
   2. JVM_SUPPORT_RECOMMENDED_ARGS ayarını bulun.
   3. "şifre" değerini yukarıda belirlediğiniz şifreyle değiştirerek "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=şifre" ifadesini ekleyin.
4. Jira'yı yeniden başlatın.
   
   $ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
   
5. Jira web arayüzünde yönetici olarak oturum açın.
   1. Ayarlar > Kullanıcı yönetimi'ne gidin. (Ayarlar için sağ üstteki dişli simgesine gidin.)
   2. User Directories'i (Kullanıcı Dizinleri) tıklayın.
   3. Add Directory'yi (Dizin Ekle) tıklayın.
   4. Tür olarak LDAP'ı seçin.
   5. İleri'yi tıklayın.
6. Aşağıdakileri girin:

   Ad	Google Secure LDAP
   Dizin türü	OpenLDAP
   Ana makine adı	ldap.google.com
   Bağlantı noktası	636
   Use SSL (SSL Kullan)	Kontrol edildi
   Kullanıcı Adı	Google Yönetici Konsolu'nda bir kullanıcı adı ve şifre oluşturun. Talimatlar için Erişim kimlik bilgileri oluşturma başlıklı makaleye bakın.
   Şifre	Google Yönetici Konsolu'nda bir kullanıcı adı ve şifre oluşturun. Talimatlar için Erişim kimlik bilgileri oluşturma başlıklı makaleye bakın.
   Base DN	DN biçiminde alan adınız. (örneğin, example.com için dc=example,dc=com)
   Additional User DN	İsteğe bağlı. "ou=Users"
   Additional Group DN (Ek Grup DN)	İsteğe bağlı. "ou=Groups"
   LDAP Permissions	Salt okuma
   Gelişmiş Ayarlar	Değiştirilmemiş
   User Schema Settings (Kullanıcı Şeması Ayarları) > User Name Attribute (Kullanıcı Adı Özelliği)	googleUid
   User Schema Settings (Kullanıcı Şeması Ayarları) > User Name RDN Attribute (Kullanıcı Adı RDN Özelliği)	uid
   Group Schema Settings (Grup Şeması Ayarları) > Group Object Class (Grup Nesnesi Sınıfı)	groupOfNames
   Group Schema Settings (Grup Şeması Ayarları) > Group Object Filter (Grup Nesnesi Filtresi)	(objectClass=groupOfNames)
   Membership Schema Settings (Üyelik Şeması Ayarları) > Group Members Attribute (Grup Üyeleri Özelliği)	üye
   Membership Schema Settings (Üyelik Şeması Ayarları) > Use the User Membership Attribute (Kullanıcı Üyelik Özelliğini Kullan)	Kontrol edildi

7. Gruba bir rol verin.
   
   Atlassian Jira'nın bir kullanıcıya giriş yapma izni verebilmesi için bu kullanıcının Jira'ya erişim izni verilen bir grubun üyesi olması gerekir.
   
   Bir gruba rol vermek için:
   1. Ayarlar > Uygulamalar > Uygulama erişimi'ne gidin.
   2. Select group (Grup seçin) metin kutusuna, Jira'ya erişmesini istediğiniz kullanıcıları içeren Google grubunun adını girin.

CloudBees Core'u Güvenli LDAP hizmetine bağlama talimatları için Configure CloudBees Core with Google's Cloud Identity Secure LDAP (CloudBees Core'u Google Cloud Identity Güvenli LDAP ile yapılandırma) sayfasına bakın.

Aşağıdaki adımları uygulayın:

1. /etc/freeradius/3.0/ adresinden FreeRADIUS uygulamasını yükleyin ve yapılandırın.
   
   FreeRADIUS yüklendikten sonra, freeradius-ldap eklentisini yükleyerek LDAP yapılandırmasını ekleyebilirsiniz.
   
   $ sudo apt-get install freeradius freeradius-ldap
   
2. LDAP istemci anahtarı ve sertifika dosyalarını kopyalayıp, sırasıyla /etc/freeradius/3.0/certs/ldap-client.key ve /etc/freeradius/3.0/certs/ldap-client.crt konumlarına yapıştırın.
   
   $ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
   
3. LDAP modülünü etkinleştirin.
   
   $ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
   
4. /etc/freeradius/3.0/mods-available/ldap konumunu düzenleyin.
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. identity = uygulama kimlik bilgilerinden alınan kullanıcı adı
   3. şifre = uygulama kimlik bilgilerinden alınan şifre
   4. base_dn = 'dc=domain,dc=com'
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = 'allow'
   9. İçerik haritasında "ldap -> post-auth -> update" bölümünü temsil eden tüm alanlara açıklama satırı yapın.
5. /etc/freeradius/3.0/sites-available/default konumunu düzenleyin.
   Bu işlem FreeRadius istemci bağlantısını değiştirir. Varsayılan istemciyi kullanmıyorsanız, yapılandırdığınız ilgili istemciyi (inner-tunnel veya herhangi bir özel istemci) güncellediğinizden emin olun.
   
   1. authorize bölümünü, şifre kimlik doğrulama protokolü (PAP) ifadesinden sonra aşağıdaki bloğu ekleyerek değiştirin:
      
      if (User-Password) {
update control {
Auth-Type := ldap
}
}
      
   2. authorize bölümünde, önündeki "-" işaretini kaldırarak LDAP'yi etkinleştirin.
      
      #
      # Ldap modülü LDAP veritabanından şifreleri okur.
      ldap
      
   3. Auth-Type LDAP bloğunu aşağıdaki gibi düzenleyerek authenticate bölümünü değiştirin:
      
      # Auth-Type LDAP {
ldap
# }
      
   4. Auth-Type PAP bloğunu aşağıdaki gibi düzenleyerek authenticate bölümünü değiştirin:
      
      Auth-Type PAP {
# pap
ldap
}

GitLab'i Güvenli LDAP hizmetine bağlamaya ilişkin talimatlar için Configure Google Secure LDAP for GitLab (Google Güvenli LDAP hizmetini GitLab için yapılandırma) başlıklı dokümana göz atın.

Itopia/Ubuntu'yu Güvenli LDAP hizmetine bağlama talimatları için Configuring Google Cloud Identity LDAP on Ubuntu 16.04 for user logins (Kullanıcı girişleri için Ubuntu 16.04 sürümünde Google Cloud Identity LDAP'yi yapılandırma) sayfasına bakın.

Aşağıdaki adımları uygulayın:

1. Ivanti web sunucunuzda, aşağıdaki iki klasörde bir metin düzenleyicide OpenLDAPAuthenticationConfiguration.xml veya OpenLDAPSSLAuthenticationConfiguration.xml dosyasını açın:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework ve C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (burada servicedesk örnek adıdır)
2. <Server> değerini ldap.google.com olarak güncelleyin.
3. Okunabilir metin için <Port> değerini 3268 olarak ve StartTLS etkin olacak şekilde, SSL/TLS bağlantı noktası için ise 3269 olacak şekilde güncelleyin (varsayılan ayarlarda okunabilir metin için 389 SSL/TLS bağlantı noktası için 636 kullanılır).
4. <TestDN> değerini DN biçimindeki alan adınıza ayarlayın. (örneğin, example.com için dc=example,dc=com).
5. Hem ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config hem de ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config dosyalarına şu satırı ekleyin:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   veya şu satırı ekleyin:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
   
6. Ivanti Configuration Center'da gerekli örneği açın.
7. Service Desk Framework uygulamasının yanındaki Edit (Düzenle) seçeneğini tıklayın.
   Service Desk Framework için Edit Application (Uygulamayı Düzenle) iletişim kutusu görünür.
8. Configuration parameters (Yapılandırma parametreleri) grubundaki Logon policy (Giriş politikası) listesinde Explicit only (Yalnızca özel) seçeneğini belirtin ve OK (Tamam) seçeneğini tıklayın.
9. Web Access uygulamasının yanındaki Edit (Düzenle) seçeneğini tıklayın.
   Web Access (Web Erişimi) için Edit Application (Uygulamayı Düzenle) iletişim kutusu görünür.
10. Configuration parameters (Yapılandırma parametreleri) grubundaki Logon policy (Giriş politikası) listesinde Explicit only (Yalnızca özel) seçeneğini belirtin ve OK (Tamam) seçeneğini tıklayın.

Giriş yaparken, ilişkili etki alanı kullanıcısının ağ şifresini kullanın.

LDAP sunucusu kimlik doğrulaması için istisna günlüğü

LDAP sunucusu kimlik doğrulamasını yapılandırırken sorunlarla karşılaşırsanız sorunu tanımlamanıza yardımcı olması için istisna günlük kaydını etkinleştirebilirsiniz. İstisna günlüğü varsayılan olarak devre dışıdır ve incelemenizi tamamladığınızda tekrar devre dışı bırakmanızı öneririz.

LDAP Sunucusu kimlik doğrulaması için istisna günlük kaydını etkinleştirme:

1. Bir metin düzenleyicide ilgili kimlik doğrulama yapılandırması XML dosyasını açın:
   
   DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml veya OpenLDAPSSLAuthenticationConfiguration.xml
2. Satırı değiştirme:
   
   <ShowExceptions>false</ShowExceptions>
   ile
   <ShowExceptions>true</ShowExceptions>
   
3. Değişiklikleri kaydedin.

Aşağıdaki adımları uygulayın:

1. Sertifika ve anahtar dosyalarını PKCS12 biçimli bir dosyaya dönüştürün. Bir komut isteminde aşağıdaki komutu girin:
   
   İşletim sisteminiz macOS veya Linux ise aşağıdaki komutları kullanın:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Çıkış dosyasını şifrelemek için bir şifre girin.
   

   Windows'da ise aşağıdaki komutları kullanın:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Önemli: Her iki dosyanın da (<CERT_FILE>.crt ve <CERT_FILE>.key) aynı dizinde bulunması gerekir. Ayrıca, hem key hem de crt'nin aynı ada (ancak farklı uzantıya) sahip olduğundan emin olun. Bu örnekte, ldap-client.crt ve ldap-client.key adları kullanılmıştır.

2. Denetim Masası'na gidin.
3. Arama kutusunda "sertifika" araması yapın ve Kullanıcı sertifikalarını yönetin'i tıklayın.
4. Eylem > Tüm Görevler > İçe Aktar… seçeneğine gidin.
5. Geçerli Kullanıcı'yı seçin ve İleri'yi tıklayın.
6. Browse… (Göz At) seçeneğini tıklayın.
7. İletişim kutusunun sağ alt köşesindeki dosya türü açılır menüsünde Kişisel Bilgi Değişimi (&ast;.pfx;&ast;.p12) seçeneğini belirleyin.
8. 2. adımdaki ldap-client.p12 dosyasını seçin, Aç'ı ve ardından İleri'yi tıklayın.
9. 2. adımdaki şifreyi girin ve İleri'yi tıklayın.
10. Kişisel sertifika deposunu seçin, İleri'yi ve ardından Son'u tıklayın.
11. Ldp.exe'yi çalıştırın.
12. Bağlantı > Bağlan... seçeneğine gidin.
13. Aşağıdaki bağlantı bilgilerini girin:
    
    Sunucu: ldap.google.com
    Bağlantı noktası: 636
    Bağlantısız: İşaretsiz
    SSL: İşaretli
    
14. Tamam'ı tıklayın.
15. Görünüm > Ağaç'a gidin.
16. Ana DN'yi girin. Bu, DN biçimindeki alan adınızdır. (örneğin, example.com için dc=example,dc=com).
17. Tamam'ı tıklayın.
18. Bağlantı başarılı olursa LDP.exe sağ bölmede Active Directory içeriğini (örneğin, ana DN'de bulunan tüm özellikleri) görüntüler.

Netgate/pfSense'i Güvenli LDAP hizmetine bağlama talimatları için Configuring Google Cloud Identity as an Authentication Source (Google Cloud Identity'yi Kimlik Doğrulama Kaynağı Olarak Yapılandırma) sayfasına bakın.

LDAP dizininize komut satırından erişmek için OpenLDAP ldapsearch komutunu kullanabilirsiniz.

İstemci sertifikası ve anahtar dosyalarınızın ldap-client.crt ve ldap-client.key, alanınızın example.com, kullanıcı adınızın ise bbilgili olarak adlandırıldığı varsayılarak:

$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

Bu yapılandırma, ilgili ortam değişkenlerini istemci anahtarlarına işaret edecek şekilde ayarlar. Diğer ldapsearch seçeneklerini istediğiniz filtreler, istenen özellikler vb. ile değiştirebilirsiniz. Diğer ayrıntılar için lütfen ldapsearch man sayfalarına ("man ldapsearch") bakın.

Aşağıdaki adımları uygulayın:

1. Sertifika ve anahtar dosyalarını PKCS12 biçimli bir dosyaya dönüştürün. Bir komut istemine aşağıdaki komutu girin:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Çıkış dosyasını şifrelemek için şifrenizi girin.
   
2. Menü çubuğunun sağ üst köşesindeki simgesini tıklayıp Anahtar Zinciri Erişimi yazın.
3. Anahtar Zinciri Erişimi uygulamasını açın ve soldaki listeden Sistem'i tıklayın.
4. Sol üstteki menü çubuğunda Dosya seçeneğini tıklayın ve Öğeleri İçe Aktar'ı seçin.
5. Oluşturulan ldap-client.p12 dosyasının bulunduğu konuma gidin, ldap-client.p12'yi seçin ve Aç'ı tıklayın.
   İstenirse şifrenizi girin.
   Artık Sistem Anahtar Zinciri sertifikalarınız arasında LDAP İstemcisi adında bir sertifika görünür.
6. LDAP İstemcisi sertifikasının yanındaki oku tıklayın. Sertifikanın altında bir özel anahtar görünür.
   1. Özel anahtarı çift tıklayın.
   2. İletişim kutusunda, Erişim Denetimi sekmesini seçin ve sol alt köşedeki + simgesini tıklayın.

   3. Açılan pencerede, Command+Üst Karakter+G tuşlarına basarak yeni bir pencere açın ve mevcut metni /usr/bin/ldapsearch ile değiştirin.

   4. Git'i tıklayın.
      
      ldapsearch vurgulanmış olarak bir pencere açılır.

   5. Ekle'yi tıklayın.

   6. Değişiklikleri Kaydet'i tıklayın ve istendiğinde şifrenizi girin.
      
      Artık LDAP dizininize, komut satırından OpenLDAP ldapsearch komutunu kullanarak erişmeye hazırsınız.

7. Anahtar zincirine önceden aktardığınız ldap-client.p12 dosyasının adının LDAP İstemcisi, alanınızın example.com, kullanıcı adının ise bbilgili olduğu varsayıldığında, aşağıdaki metni girmeniz gerekir:
   
   $ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

Bu yapılandırma, ilgili ortam değişkenlerini içe aktarılan istemci sertifikasına işaret edecek şekilde ayarlar. Diğer ldapsearch seçeneklerini istediğiniz filtreler, istenen özellikler vb. ile değiştirebilirsiniz. Daha fazla bilgi için lütfen ldapsearch man sayfalarına (man ldapsearch) bakın.

Aşağıdaki adımları uygulayın:

1. Gerekirse OpenVPN'i yükleyin ve yapılandırın. Daha önce zaten yükleyip yapılandırdıysanız OpenVPN'de ayarlar sayfasını açın.
   
   Genel VPN yapılandırması bu yardım makalesinin kapsamı dışındadır. Bir VPN yapılandırıldığında, LDAP aracılığıyla kullanıcı kimlik doğrulaması ve yetkilendirme ekleyebilirsiniz. Özellikle openvpn-auth-ldap eklentisini yüklemeniz gerekir. Özellikle openvpn-auth-ldap eklentisini yüklemeniz gerekir.
   
   $ sudo apt-get install openvpn openvpn-auth-ldap
   
2. LDAP istemci anahtarı ve sertifika dosyalarını kopyalayıp /etc/openvpn/ldap-client.key ve /etc/openvpn/ldap-client.crt konumlarına yapıştırın.
3. Aşağıdakileri içeren bir /etc/openvpn/auth-ldap.conf dosyası oluşturun (alan adının example.com olduğu varsayılarak):
   
   <LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (or choose your own LDAP filter for users)
RequireGroup false
</Authorization>
   
4. Genellikle /etc/openvpn/server.conf veya benzeri bir ada sahip OpenVPN yapılandırma dosyasını düzenleyin. Dosyanın en altına şunları ekleyin:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
   
5. OpenVPN sunucusunu yeniden başlatın.
   
   $ sudo systemctl restart openvpn@server
   
6. VPN istemcilerini, kullanıcıların kullanıcı adlarını ve şifrelerini kullanacak şekilde yapılandırın. Örneğin, bir OpenVPN istemcisi yapılandırmasında, OpenVPN istemcisi yapılandırma dosyasının sonuna auth-user-pass ekleyin ve OpenVPN istemcisini başlatın:
   
   $ openvpn --config /path/to/client.conf
   
7. Stunnel'ı proxy olarak kullanma talimatlarını uygulayın.

OpenVPN Erişim Sunucusu'nu Güvenli LDAP hizmetine bağlama talimatları için Configuring Google Secure LDAP with OpenVPN Access Server (Google Güvenli LDAP'yi OpenVPN Erişim Sunucusu ile Yapılandırma) sayfasına bakın.

PaperCut'ı Güvenli LDAP hizmetine bağlama talimatları için How to sync and authenticate Google Workspace and Google Cloud Identity users in PaperCut (PaperCut'ta Google Workspace ve Google Cloud Identity kullanıcılarını senkronize etme ve kimlik doğrulaması yapma) sayfasına bakın.

Puppet Enterprise'ı Güvenli LDAP hizmetine bağlama talimatları için Google Cloud Directory for PE sayfasına bakın.

Önemli: Başlamadan önce, Softerra LDAP Browser'ın 4.5 numaralı sürümüne (4.5.19808.0) veya sonraki bir sürümüne sahip olduğunuzdan emin olun. LDAP Browser 4.5 sayfasına göz atın.

Aşağıdaki adımları uygulayın:

1. Sertifika ve anahtar dosyalarını PKCS12 biçimli bir dosyaya dönüştürün. Bir komut isteminde aşağıdaki komutu girin:
   
   İşletim sisteminiz macOS veya Linux ise aşağıdaki komutları kullanın:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Çıkış dosyasını şifrelemek için bir şifre girin.
   

   Windows'da ise aşağıdaki komutları kullanın:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Önemli: Her iki dosyanın da (<CERT_FILE>.crt ve <CERT_FILE>.key) aynı dizinde bulunması gerekir. Ayrıca, hem key hem de crt'nin aynı ada (ancak farklı uzantıya) sahip olduğundan emin olun. Bu örnekte, ldap-client.crt ve ldap-client.key adları kullanılmıştır.

2. Softerra LDAP Browser'a anahtar çiftini yükleyin.
   1. Araçlar > Sertifika Yöneticisi'ne gidin.
   2. Import… (İçe aktar) seçeneğini tıklayın.
   3. İleri'yi tıklayın.
   4. Browse… (Göz At) seçeneğini tıklayın.
   5. İletişim kutusunun sağ alt köşesindeki File type (Dosya türü) açılır listesinde Personal Information Exchange (&ast;.pfx;&ast;.p12) [Kişisel Bilgi Değişimi (&ast;.pfx;&ast;.p12)] öğesini seçin.
   6. Yukarıdaki 2. adımda oluşturduğunuz ldap-client.p12 dosyasını seçin.
   7. Open'ı (Aç) ve ardından Next'i (İleri) tıklayın.
   8. Yukarıdaki 2. adımda belirlediğiniz şifreyi girin ve Sonraki'yi tıklayın.
   9. Kişisel sertifika deposunu seçin.
   10. İleri'yi tıklayın.
   11. Son'u tıklayın.
3. Sunucu profili ekleyin.
   1. File > New > New Profile… (Dosya > Yeni > Yeni Profil) seçeneğine gidin.
   2. Profile Google LDAP gibi bir ad girin.
   3. İleri'yi tıklayın.
      
      Aşağıdakileri girin:
      
      Ana makine: ldap.google.com
      Bağlantı noktası: 636
      Ana DN: DN biçimindeki alan adınız. (ör. example.com için dc=example,dc=com)
      Use secure connection (SSL) [Güvenli bağlantı (SSL) kullan]: İşaretli
      
   4. İleri'yi tıklayın.
   5. External (SSL Certificate) [Harici (SSL sertifikası)] seçeneğini belirleyin.
   6. İleri'yi tıklayın.
   7. Son'u tıklayın.

Sophos Mobile'ı Güvenli LDAP hizmetine bağlama talimatları için Connecting Sophos Mobile to Google Cloud Identity / Google Cloud Directory using Secure LDAP (Sophos Mobile'ı Güvenli LADP kullanarak Google Cloud Identity/Google Cloud Directory'ye bağlama) sayfasına bakın.

Splunk'ı Güvenli LDAP hizmetine bağlarken Splunk sürüm 8.1.4 veya sonraki bir sürümü kullandığınızdan emin olun. Splunk sürüm 8.1.3 gibi eski Splunk sürümleri kullanıldığında, aşırı LDAP sorguları LDAP sunucusuna gönderilebilir. Bu, LDAP kotanızın hızla tüketilmesine neden olabilir. Splunk sürüm 8.1.3 ile ilgili sorunlar hakkında daha fazla bilgi için Splunk bilinen sorunlar sayfasına bakın.

Aşağıdaki adımları uygulayın:

1. LDAP istemci anahtarı ve sertifika dosyalarını /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key ve /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.cert konumlarına kopyalayın.
   
   $ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
   
2. Aşağıdaki yapılandırmaları eklemek için ldap.conf dosyasını düzenleyin:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. Aşağıdaki yapılandırmaları kullanıcının /home/splunkadmin/.ldaprc dosyasına ekleyin:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
   
4. Splunk web kullanıcı arayüzünü kullanarak LDAP stratejisini ekleyin. Aşağıdaki bilgileri girip Kaydet'i tıklayın:
   

SSSD, kullanıcı kimlik doğrulaması sırasında kullanıcı hakkında daha fazla bilgi almak için bir kullanıcı araması gerçekleştirir. Kullanıcı kimlik doğrulamasının bu LDAP istemcisi için düzgün şekilde çalıştığından emin olmak amacıyla, Kullanıcı kimlik bilgilerini doğrulama'nın etkin olduğu tüm kuruluş birimlerinde Kullanıcı bilgilerini okuma'yı ve Grup bilgilerini okuma'yı etkinleştirmeniz gerekir. (Talimatlar için Erişim izinlerini yapılandırma başlıklı makaleye bakın.)

Red Hat 8 veya CentOS 8'de bir SSSD istemcisini Güvenli LDAP hizmetine bağlamak için:

1. SSSD istemcisini Güvenli LDAP hizmetine ekleyin:
   1. Google Yönetici Konsolu'nda Uygulamalar > LDAP > İSTEMCİ EKLE'ye gidin.
      Şirket hesabınızla (kişisel Gmail hesabınızla değil) oturum açtığınızdan emin olun.
   2. İstemci ayrıntılarını girip DEVAM'ı tıklayın.
   3. Erişim izinleri'ni yapılandırın:
      Kullanıcı kimlik bilgilerini doğrulama - Tüm alan
      Kullanıcı bilgilerini okuma - Tüm alan
      Grup bilgilerini okuma - Açık
   4. LDAP İSTEMCİSİ EKLE'yi tıklayın.
   5. Oluşturulan sertifikayı indirin.
   6. İSTEMCİ AYRINTILARINA GİT'i tıklayın.
   7. Hizmet durumunu AÇIK olarak değiştirin.
2. Bağımlılıkları yükleyin:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   Sertifika .zip dosyasını açıp .crt ve .key dosyalarını /etc/sssd/ldap konumuna kopyalayın
   
3. (İsteğe bağlı) ldapsearch ile test edin:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   İstendiğinde kullanıcının Google şifresini girin.
   
   Not: Kullanıcıya Google Workspace Enterprise veya Cloud Identity Premium lisansı atanmış olmalıdır.

4. Aşağıdaki içeriklerle /etc/sssd/sssd.conf dosyasını oluşturun:
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. İzinleri ve SELinux etiketlerini güncelleyin:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
   
6. SSSD'yi yeniden başlatın:
   
   systemctl restart sssd
   
7. Test edin:
   
   ssh'den sunucuya:

   ssh -l user@example.com {HOSTNAME}

Sorun giderme

1. SSSD sürümünü kontrol edin (1.15.2 veya daha yeni bir sürüm olmalıdır):
   
   # sssd --version
2.2.3
   

2. RHEL/CentOS'ta (veya SELinux'un uygulanmasına sahip herhangi bir dağıtımda), SSSD yapılandırma dosyaları, sertifika dosyası ve anahtarın, sssd_conf_t rolü tarafından erişilebilen bir dizinde olması gerekir:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   /var/log/audit/audit.log dosyasında AVC reddetme mesajları olup olmadığına bakın.
   

3. /etc/nsswitch.conf dosyasında; passwd, shadow, group ve netgroup varlıkları için "sss" değerinin bulunduğundan emin olun:
   
   passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
   
   Burada, yerel dosyalar LDAP kullanıcılarını geçersiz kılacaktır.
   
4. /var/log/sssd.conf dosyasında yapılandırma hatası olup olmadığını kontrol edin:
   

   Örnek:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. (Yapılandırma birleştirme hatası: /etc/sssd/sssd.conf dosyası, erişim kontrolünden geçemedi.) Atlanıyor.

   Yapılacak işlem: .conf dosyasında chmod 600 işlemi yapmanız gerekiyor.

   Örnek:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. ("domain/{DOMAIN}" bölümünde "ldap_groups_use_matching_rule_in_chain" özelliğine izin verilmiyor.) Yazım hatası olup olmadığını kontrol edin.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. ("domain/{DOMAIN}" bölümünde "ldap_initgroups_use_matching_rule_in_chain" özelliğine izin verilmiyor.) Yazım hatası olup olmadığını kontrol edin.

   Yapılacak işlem: Desteklenmeyen grup eşleşmesiyle ilişkili LDAP uzantılarını sssd.conf dosyasından kaldırın.

5. Check /var/log/sssd_{DOMAIN}.log for LDAP/network/auth errors. (Check /var/log/sssd_{DOMAIN}.log dosyasında LDAP/ağ/kimlik doğrulama hataları olup olmadığını kontrol edin.)
   
   Örnek:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   Yapılacak İşlem: ssd.conf dosyasına "ldap_tls_reqcert = never" değerini eklemeniz gerekir.

   Hataların ayrıntı düzeyini artırmak için domain bölümü altındaki ssd.conf öğesine "debug_level = 9" değerini ekleyin ve sssd'yi yeniden başlatın.

SSSD, kullanıcı kimlik doğrulaması sırasında kullanıcı hakkında daha fazla bilgi almak için bir kullanıcı araması gerçekleştirir. Kullanıcı kimlik doğrulamasının bu LDAP istemcisi için düzgün şekilde çalıştığından emin olmak amacıyla, Kullanıcı kimlik bilgilerini doğrulama'nın etkin olduğu tüm kuruluş birimlerinde Kullanıcı bilgilerini okuma'yı ve Grup bilgilerini okuma'yı etkinleştirmeniz gerekir. (Talimatlar için Erişim izinlerini yapılandırma başlıklı makaleye bakın.)

Bir SSSD istemcisini Güvenli LDAP hizmetine bağlamak için:

1. 1.15.2 veya daha yeni bir SSSD sürümü yükleyin.
   
   $ sudo apt-get install sssd
   
2. İstemci sertifikası ve anahtar dosyalarınızın /var/ldap-client.crt ve /var/ldap-client.key, alanınızın ise example.com olarak adlandırıldığı varsayılarak, /etc/sssd/sssd.conf dosyasını aşağıdaki gibi bir yapılandırmayla düzenleyin:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
   

3. Yapılandırma dosyasının sahipliğini ve iznini değiştirin:
   
   $ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf

4. SSSD'yi yeniden başlatın:
   
   $ sudo service sssd restart

İpucu: Google Compute Engine'deki harici IP adresleri olmayan Linux bilgisayarlarda SSSD modülünü kullanıyorsanız, Google hizmetlerine dahili erişiminiz olduğu sürece Güvenli LDAP hizmetine bağlanabilirsiniz. Ayrıntılar için Özel Google Erişimini Yapılandırma başlıklı makaleye bakın.

macOS istemcisini, Güvenli LDAP hizmetini kullanarak kullanıcı hesabı kimlik doğrulaması için bağlamak üzere aşağıdaki adımları uygulayın.

Sistem gereksinimleri

• macOS, Catalina Sürüm 10.15.4 veya daha yeni bir sürümde olmalıdır.
• Hazırlık aşamasındaki 1. adımın tamamlanması için Google süper yönetici kullanıcı kimliği gereklidir.
• Bu yapılandırmayı gerçekleştirmek için yerel yönetici izinlerine ihtiyacınız vardır.

İçindekiler:

• Hazırlık aşaması
• Dağıtım aşaması
• Sınırlamalar ve yönergeler
• Sorun giderme

Hazırlık aşaması

Bu bölümdeki talimatlar, macOS kimlik doğrulamasının Güvenli LDAP hizmeti ile manuel olarak ayarlanmasına ve test edilmesine odaklanmaktadır.

1. adım: Google Yönetici Konsolu'nda macOS'i LDAP istemcisi olarak ekleyin

Talimatlar için LDAP istemcileri ekleme başlıklı makaleye göz atın veya Güvenli LDAP demosu adlı videoyu izleyin. Bu işlem sırasında, otomatik olarak oluşturulmuş bir TLS istemci sertifikası da indireceksiniz.

2. adım: Sertifikayı sistem anahtar zincirine aktarın

1. Sertifikayı (1. adımda indirilen zip dosyası) ve anahtarı macOS makinesine kopyalayın.
   İpucu: Sertifikayı ve anahtar dosyalarını bulmak için dosyanın sıkıştırmasını açın.
2. Anahtar çiftini sistem anahtar zincirine aktarın:

   1. Anahtarı ve sertifikayı bir PKCS 12 (p12) dosyasına dönüştürün. Terminalde şu komutu çalıştırın:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      İpucu: .p12 dosyasının adını not alın.
      
      Sistem sizden bir şifre girmenizi ister. p12 dosyasını şifrelemek için bir şifre girin.

   2. Anahtar Zinciri Erişimi uygulamasını açın.

   3. System (Sistem) anahtar zincirini tıklayın.

   4. Dosya > Öğeleri İçe Aktar'ı tıklayın.

   5. Yukarıda oluşturulan ldap-client.p12 dosyasını seçin.

   6. İstenirse, sistem anahtar zincirinin değiştirilmesine izin vermek için yönetici şifresini girin.

   7. .p12 dosyasının şifresini çözmek için yukarıda oluşturduğunuz şifreyi girin.

      Not: Anahtar listesinde yeni bir sertifika ve ilişkili özel anahtar gösterilir. Bunun adı, LDAP Client (LDAP İstemcisi) olabilir. Aşağıda açıklanan bir sonraki adım için sertifikanın adını not alın.
      
   8. Aşağıda belirtilen uygulamaları eklemek üzere özel anahtarın Erişim Denetimi'ni ayarlamak için bu makalede, ldapsearch (macOS) bölümünde yer alan 6. adımı uygulayın. Özel anahtar, Tüm Öğeler kategorisi altında görünmüyorsa Sertifikalarım kategorisine geçmeyi deneyin. Ardından, ilgili sertifikayı genişleterek doğru özel anahtar girişini bulun.
      
      Talimatlarda belirtildiği gibi ldapsearch uygulaması yalnızca sorun giderme amaçlıdır, başka amaçla kullanılamaz. Bu uygulama genellikle macOS'e kullanıcı erişimi sağlanmadan önce kaldırılır.
      
      Aşağıdaki üç uygulama Erişim Kontrol listesine eklenmelidir:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. /etc/openldap/ldap.conf dosyasına bir satır ekleyin. "LDAP Client"ın, .p12 dosyası içe aktarıldıktan sonra macOS Keychain Access uygulamasında gösterilen sertifika adıyla tamamen aynı olduğundan emin olun (ad, oluşturulan sertifikanın X.509 Konu Ortak Adı'ndan gelir):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

3. adım: Kimlik doğrulama için cihazı Google dizinine yönlendirin

Yeni bir LDAP dizini düğümü oluşturmak için Dizin İzlencesi uygulamasını açın:

1. Kilit simgesini tıklayarak gerekli değişiklikleri yapın ve şifrenizi girin.
2. LDAPv3'ü seçin ve ayarları düzenlemek için kalem simgesini tıklayın.
3. Yeni… seçeneğini tıklayın.
4. Sunucu adı olarak ldap.google.com girin, SSL kullanarak şifrele'yi seçin ve Manuel'i tıklayın.
5. Yeni sunucu adını seçin ve Düzenle… seçeneğini tıklayın.
6. Yapılandırma adı olarak Google Güvenli LDAP gibi açıklayıcı bir ad girin.
7. SSL kullanarak şifrele'yi seçin ve bağlantı noktasının 636 olarak ayarlandığından emin olun.
8. Arama ve Eşlemeler sekmesine gidin.
   1. RFC2307 açılır listesinden RFC2307'yi seçin.
   2. Sizden istendiğinde alanla ilgili bilgileri Arama Tabanı Son Eki bölümüne girin. Örneğin, zomato.com alan adı için dc=zomato,dc=com ifadesini girin.
   3. Tamam'ı tıklayın.
   4. Kullanıcılar kayıt türü altında özellikleri yapılandırın:
      1. Kayıt Türleri ve Özellikler bölümünde Kullanıcılar'ı seçin ve "+" düğmesini tıklayın.
      2. Pop-up pencerede, Özellik Türleri'ni ve sonra GeneratedUID'yi seçip Tamam'ı tıklayarak pop-up pencereyi kapatın.
         
         GeneratedUID, genişletildiğinde Kullanıcılar listesinde gösterilecektir.
         
      3. GeneratedUID'yi ve ardından sağdaki kutuda "+" simgesini tıklayın.
      4. Metin kutusuna apple-createduid ifadesini girin ve Enter'ı tıklayın.
      5. Kullanıcılar düğümünde NFSHomeDirectory özelliğini tıklayın.
      6. Sağdaki ekranda, bu özelliğin değerini #/Users/$uid$ olarak güncelleyin.
      7. Değişiklikleri kaydetmek için Tamam'ı tıklayın ve şifrenizi girin.
9. Dizin İzlencesi penceresinde yeni LDAP yapılandırmasını ayarlayın:
   1. Arama Politikası sekmesine gidin.
   2. Değişiklik yapmak için kilit simgesini tıklayın ve istendiğinde geçerli kullanıcının şifresini girin.
   3. Açılır menü seçeneğini Arama Yolu'ndan Özel yol'a değiştirin.
   4. Kimlik doğrulama sekmesini açın ve "+" simgesini tıklayın.
   5. Dizin Alanları listesinden /LDAPv3/ldap.google.com simgesini seçin ve ardından Ekle'yi tıklayın.
   6. Uygula düğmesini tıklayın ve istenirse yönetici şifrenizi girin.
10. DDIG-MD5, CRAM-MD5, NTLM ve GSSAPI SASL kimlik doğrulama mekanizmalarını devre dışı bırakmak için aşağıdaki dört komutu çalıştırın. macOS, Google Güvenli LDAP hizmetini kullanarak kimlik doğrulamak için Basit Bağlama'yı kullanır:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
    
11. OpenDirectory yapılandırmasını yeniden yüklemek için bilgisayarı yeniden başlatın.

4. adım: Mobil hesap oluşturun (çevrimdışı girişe izin verir)

Herhangi bir Google Workspace veya Cloud Identity kullanıcısı, kullanıcı adı ve şifresi ile bir ağ hesabı (Google Hesabı) kullanarak giriş yapabilir. Bu giriş işlemi için ağ bağlantısı gereklidir. Kullanıcının ağ bağlantısıyla veya ağ bağlantısı olmadan oturum açması gerekiyorsa mobil hesap oluşturulabilir. Taşınabilir hesap, ağa bağlı olup olmadığınızdan bağımsız olarak oturum açmak için ağ hesabı (Google Hesabı) kullanıcı adınızı ve şifrenizi kullanmanızı sağlar. Daha fazla bilgi edinmek için Mac'te taşınabilir hesap oluşturma ve yapılandırma başlıklı makaleye bakın.

Güvenli LDAP kullanıcıları için mobil hesap oluşturma:

1. Güvenli LDAP sunucusuna bağlanmak ve bir ana yol ile mobil hesaplar oluşturmak için aşağıdaki komutu çalıştırın:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
   
   İpucu: $uid yerine, kullanıcının Google Hesabı ile ilişkili e-posta adresinin kullanıcı adı kısmını girin. Örneğin, bbilgili@solarmora.com'un kullanıcı adı bölümü bbilgili'dir.

2. SecureToken admin user name (Güvenli Jeton yöneticisi kullanıcı adı) istendiğinde yönetici kullanıcı adınızı ve sonraki istemde şifrenizi girin. Bu işlem, $uid öğesini FileVault'a ekler. macOS diski şifrelenmişse bu gereklidir.

5. adım: (İsteğe bağlı) Giriş ekranı tercihini ayarlayın

1. Sol alttaki System preferences (Sistem tercihleri) > Users & Groups (Kullanıcılar ve Gruplar) > Login Options (Giriş Seçenekleri) bölümüne gidin.
2. Yönetici kimlik bilgilerini sağlayarak kilidi açın.
3. Display login window as (Giriş ekranı görüntülenme biçimi) ayarını Name and password (Ad ve şifre) olarak değiştirin.

6. adım: Cihazı yeniden başlatın ve cihazınıza giriş yapın

1. Cihazın internete bağlı olduğundan emin olun. İnternet bağlantınız yoksa Güvenli LDAP kullanıcısı giriş yapamaz.
   Not: İnternet bağlantısı yalnızca ilk giriş için gereklidir. Sonraki tüm girişler, internet erişimi olmadan yapılabilir.
2. Cihazda, kimlik doğrulaması için Güvenli LDAP kullanacak şekilde yapılandırılmış kullanıcı hesabıyla oturum açın.

Dağıtım aşaması

Bu bölümdeki talimatlar, kullanıcılarınızın cihaz yapılandırmasını otomatikleştirmeye odaklanmaktadır. Hazırlık aşamasında manuel yapılandırmanızı tamamladığınız macOS cihazda, aşağıdaki 1. ve 2. adımları yapın.

1. adım: Apple Configurator 2'yi kullanarak sertifikayla bir Mac profili oluşturun

1. Apple Configurator 2 uygulamasını, macOS kimlik doğrulamasını Güvenli LDAP ile manuel olarak yapılandırdığınız makineye yükleyin.
2. Apple Configurator 2'yi açın, yeni bir profil oluşturun ve Certificate (Sertifika) bölümünde Configure (Yapılandır) seçeneğini tıklayıp önceden oluşturulmuş .p12 dosyasını içe aktarın.

   Not: .p12 dosyasında şifre bulunduğundan emin olun. Bu şifreyi, Sertifikanın Password (Şifre) bölümüne girin.

3. Bu Profili kaydedin.
4. (M1 veya M2 işlemci kullanan cihazlarda bu adımı atlayıp 5. adıma geçin. ) Bu profili herhangi bir metin düzenleyicide açın ve aşağıdaki satırları <dict> etiketine ekleyin:
   
   <key>PayloadScope</key>
<string>System</string>
   
   Apple Configurator henüz macOS profillerini de desteklemediği için bu ayar eklenmektedir.
   
5. İkinci <dict> etiketine, sertifika verilerine paralel olarak şu satırları ekleyin:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   Böylece, bu sertifikaya tüm uygulamalar tarafından erişilebilir.

2. adım: Dizin yapılandırma dosyasını (plist) XML'ye dönüştürün

Bu adımda, hazırlık aşamasının 3. adımında tamamladığınız tüm manuel yapılandırmaları bir XML dosyasına çıkarmış olursunuz. Bu dosyayı ve yukarıdaki 1. adımda oluşturulan Mac profilini kullanarak diğer macOS cihazlarını otomatik olarak yapılandırabilirsiniz.

1. /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist dosyasını masaüstünüze veya başka bir yere kopyalayın.
2. İstediğiniz metin düzenleyicide inceleyebilmek için XML'ye dönüştürün. Terminal'de şu komutu çalıştırın:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   Dosyaya şu konumdan erişebilirsiniz: <path>/ldap.google.com.plist.
   
3. XML dosyasını açabilmek için yukarıdaki dosyanın iznini değiştirin. Boş bırakılmadığından emin olun.

3. adım: Son kullanıcı cihazlarınızda yapılandırmayı otomatikleştirmek için bir Python komut dosyası oluşturun

Aşağıdaki python komut dosyasını kopyalayın ve bir python dosyası (.py dosyası) olarak kaydedin.

Not: Bu örnek komut dosyası, Python 3.10.x sürümüyle uyumlu olacak şekilde tasarlanmıştır. Bu komut dosyası olduğu gibi sağlanmıştır. Google destek ekibi, örnek komut dosyaları için destek sağlamaz.

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b' '*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

4. adım: Son kullanıcı cihazlarını otomatik olarak yapılandırın

Yapılandırmak istediğiniz diğer macOS cihazlarına gidin ve aşağıdaki adımları uygulayın:

1. 1. adımda oluşturulan Mac Profili dosyasını, 2. adımda oluşturulan XML yapılandırma dosyasını ve 3. adımdaki python komut dosyasını cihaza kopyalayın.
2. Komut dosyası için gerekli bağımlılığı yüklemek üzere aşağıdaki komutu çalıştırın:
   python3 -m pip install pyobjc-framework-opendirectory
3. Aşağıdaki komutu çalıştırın:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. Sertifikaları macOS sistem anahtar zincirine aktarmak için 1. adımda oluşturduğunuz Mac profili dosyasını çift tıklayın ve istendiğinde macOS yerel yönetici kimlik bilgilerinizi sağlayın. Ardından, hazırlık aşamasında belirlediğiniz .p12 şifresini girmeniz istenir.
5. macOS makinesini yeniden başlatın.
6. Hazırlık aşamasının 4. adımında belirtildiği şekilde mobil hesaplar oluşturun ve isteğe bağlı olarak hazırlık aşamasının 5. adımında verilen ek tercihleri ayarlayın.

Sınırlamalar ve yönergeler

• macOS'te Google kimlik bilgilerini kullanarak oturum açan kullanıcıların Workspace hesabı kullanıcı adı, macOS kullanıcı profili kullanıcı kimliğinden farklı olmalıdır. Aksi takdirde oturum açmaları engellenir.
• Bir kullanıcı Google kimlik bilgilerini kullanarak macOS'te oturum açmaya başladığında, kullanıcı şifresi yönetimi (örneğin, şifre sıfırlama veya kurtarma işlemleri) Google web sitesinde (örneğin, myaccount.google.com sayfasında veya Google Yönetici Konsolu'nda) gerçekleşmelidir. Şifre yönetimini üçüncü taraf bir çözüm kullanarak gerçekleştirmeyi tercih ediyorsanız en son şifrenin Google ile senkronize edildiğinden emin olun.
• Yönetici yeni bir kullanıcı oluşturursa veya Bir sonraki oturum açma işleminde şifre değişikliği iste ayarı etkinken mevcut bir kullanıcının şifresini sıfırlarsa kullanıcı, yönetici tarafından belirlenmiş geçici şifreyi kullanarak Mac'te oturum açamaz.
  Geçici çözüm: Kullanıcının başka bir cihazı (örneğin, mobil cihazını veya başka bir masaüstü cihazı) kullanarak Google'da oturum açması, kalıcı bir şifre belirlemesi ve ardından yeni şifreyi kullanarak macOS'te oturum açması gerekir.
• Yukarıdaki yapılandırmadan sonra ilk oturum açma sırasında ldap.google.com adresine erişilebilmesi için Mac'in çalışan bir internet bağlantısı olmalıdır. Mobil hesap oluşturmayı tercih ettiğiniz sürece, sonraki oturum açma işlemlerinde internet erişimi gerekmez.
• macOS ile Google Güvenli LDAP entegrasyonu, macOS Catalina, Big Sur ve Monterey'de test edilmiştir.

Sorun giderme

Güvenli LDAP hizmetine bağlanırken sorun yaşıyorsanız aşağıdaki talimatları uygulayın.

1. adım: Bağlantıyı doğrulayın.

odutil kullanarak bağlantıyı doğrulayın.
Terminalde odutil show nodenames komutunu çalıştırın.
/LDAPv3/ldap.google.com durumunun çevrimiçi olduğunu doğrulayın. Online değilse telnet seçeneğini deneyin.

nc'yi kullanarak bağlantıyı doğrulayın.
Terminalde şu komutu çalıştırın: nc -zv ldap.google.com 636
Google'a bu yöntemle bağlanamıyorsanız IPv4 kullanarak bağlantı kurmayı deneyin.

Bağlantıyı IPv4 ile doğrulayın.
Aşağıdaki adımları uygulayarak cihazınızı IPv4 kullanacak şekilde değiştirebilirsiniz:

1. Sistem Tercihleri > Ağ > Kablosuz > Gelişmiş'e gidin.
2. Gelişmiş menüsü altında, TCP/IP sekmesine gidin.
3. Açılır menü seçimini IPv6'yı yapılandır ayarından Yalnızca yerel bağlantı'ya çevirin.
4. Değişiklikleri kaydetmek için Tamam'ı ve ardından Uygula'yı tıklayın.
5. ldapsearch bağlantısı ve geçerli arama yoluyla hizmet kimlik doğrulamasını kontrol edin.

2. adım: Dizin nesnelerini görüp göremediğinizi kontrol edin.

1. Dizin İzlencesi'ni ve Dizin Düzenleyici sekmesini açın.
2. Açılır listede /LDAPv3/ldap.google.com düğümünü seçin.
3. Google alanınızdaki kullanıcıları ve grupları görüp göremediğinizi doğrulayın.