Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Business Plus; Enterprise Standard en Enterprise Plus; Education Fundamentals, Education Standard en Education Plus; Enterprise Essentials Plus. Vergelijk uw editie
Wat gebeurt er als ik de Cloud Identity of het Google Workspace-gebruikersaccount opschort?
De beveiligde LDAP-service gebruikt Cloud Directory als basis voor authenticatie, autorisatie en het opzoeken van gegevens in de directory. Geblokkeerde accounts kunnen zich niet aanmelden bij applicaties die gerelateerd zijn aan Cloud Identity/Google Workspace, inclusief LDAP-applicaties. Hoewel geblokkeerde accounts hun wachtwoorden niet kunnen verifiëren met LDAP, kunnen ze nog steeds worden opgezocht door een clientservice met behulp van een LDAP-zoekopdracht.
Wat gebeurt er als ik een identiteitsprovider/SSO-provider van een derde partij configureer in Google Workspace of Cloud Identity?
Het gebruik van Secure LDAP voor authenticatie, autorisatie en het opzoeken van gegevens in de directory wordt niet beïnvloed, omdat externe identiteitsproviders alleen HTTP-gebaseerde transacties zoals SAML-gebaseerde authenticatie beïnvloeden.
Let op: als u wilt dat uw gebruikers zich kunnen authenticeren bij via Secure LDAP verbonden applicaties, zorg er dan voor dat ze hun Google-gebruikersnaam en -wachtwoord kennen. Deze gegevens (en niet de gegevens van hun externe identiteitsprovider) zijn namelijk nodig voor authenticatie. Gebruikers hebben geen toegang tot Secure LDAP-applicaties door in te loggen via een externe identiteitsprovider met behulp van SSO.
Waarom heb ik zowel een certificaat als inloggegevens nodig om LDAP-clients te authenticeren?
Alleen het certificaat authenticeert de LDAP-client. De toegangsgegevens bestaan alleen als de client erop staat om ook een gebruikersnaam en wachtwoord te versturen. Op zichzelf geven de toegangsgegevens geen toegang tot de LDAP-server of gebruikersgegevens, maar ze moeten geheim worden gehouden om te voorkomen dat ze worden gebruikt om in te loggen op bepaalde LDAP-clients.
Wanneer een LDAP-client toegangsgegevens vereist, authenticeren we LDAP-clients zowel met certificaten als met toegangsgegevens.
Als mijn LDAP-applicatie geen TLS-certificaten ondersteunt, is er dan een alternatief?
Ja. U kunt stunnel gebruiken als proxy tussen uw applicatie en Secure LDAP. Zie Stunnel gebruiken als proxy voor meer informatie en instructies.
Ik heb in het verleden toegangsgegevens gegenereerd, maar ik weet het wachtwoord niet meer om een nieuwe instantie van mijn LDAP-client in te stellen. Kan ik een nieuwe set toegangsgegevens genereren?
Als beheerder kunt u een nieuwe set toegangsgegevens genereren, bestaande uit een unieke gebruikersnaam/wachtwoordcombinatie. U kunt maximaal twee gegevens tegelijk actief hebben. Als een toegangsgegeven is gecompromitteerd of niet meer in gebruik is, kunt u het verwijderen.
Als ik een beveiligingsprobleem met een LDAP-client vermoed, hoe kan ik die dan direct uitschakelen?
Als u een beveiligingsprobleem vermoedt met een LDAP-client (bijvoorbeeld als certificaten of inloggegevens zijn gecompromitteerd), kunt u de client onmiddellijk uitschakelen door alle bijbehorende digitale certificaten te verwijderen. Dit is de beste manier om een client direct uit te schakelen, aangezien het tot 24 uur kan duren voordat een client is uitgeschakeld nadat de servicestatus op ' Uit' is gezet.
Zie Certificaten verwijderen voor instructies.
Als u de client later wilt inschakelen, moet u nieuwe certificaten genereren en deze uploaden naar uw LDAP-client.
Mijn Linux-computers op Google Compute Engine hebben geen externe IP-adressen. Kan ik dan nog steeds verbinding maken met de beveiligde LDAP-service?
Ja. Als u de SSSD-module gebruikt op Linux-computers zonder externe IP-adressen op Google Compute Engine, kunt u nog steeds verbinding maken met de beveiligde LDAP-service, zolang u interne toegang tot Google-services hebt ingeschakeld. Lees meer over het configureren van privétoegang. Zie 'Privétoegang tot Google configureren' voor meer informatie.