התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus, Business Plus, Enterprise Standard ו-Enterprise Plus, Education Fundamentals, Education Standard ו-Education Plus, Enterprise Essentials Plus. השוואה בין המהדורות
מה קורה אם אני משעה את חשבון המשתמש ב-Cloud Identity או ב-Google Workspace?
שירות LDAP מאובטח משתמש בספריית Cloud כבסיס לאימות, להרשאה ולחיפושים בספרייה. חשבונות מושעים לא יכולים להיכנס לאף אפליקציה שקשורה ל-Cloud Identity או ל-Google Workspace, כולל אפליקציות LDAP. חשבונות מושעים לא יכולים לאמת את הסיסמאות שלהם באמצעות LDAP, אבל עדיין אפשר לחפש אותם באמצעות שירות לקוח עם חיפוש LDAP.
מה קורה אם מגדירים ספק זהויות של צד שלישי או ספק SSO ב-Google Workspace או ב-Cloud Identity?
אין השפעה על השימוש ב-LDAP מאובטח לאימות, להרשאה ולחיפושים בספרייה, כי ספקי זהויות של צד שלישי משפיעים רק על טרנזקציות מבוססות-HTTP כמו אימות מבוסס-SAML.
הערה: אם אתם רוצים שהמשתמשים יוכלו לבצע אימות באפליקציות שמחוברות ל-LDAP מאובטח, חשוב לוודא שהם יודעים את שם המשתמש והסיסמה שלהם ב-Google, כי פרטי הכניסה האלה (ולא פרטי הכניסה שלהם בספק הזהויות של צד שלישי) נדרשים לאימות. המשתמשים לא יכולים לגשת לאפליקציות LDAP מאובטח על ידי כניסה דרך IdP מצד שלישי באמצעות SSO.
למה צריך גם אישור וגם פרטי כניסה לגישה כדי לאמת לקוחות LDAP?
רק האישור מאמת את לקוח ה-LDAP. פרטי הגישה קיימים רק אם הלקוח מתעקש לשלוח גם שם משתמש וסיסמה. פרטי הכניסה האלה לא מעניקים גישה לשרת ה-LDAP או לנתוני המשתמשים, אבל צריך לשמור אותם בסוד כדי שלא ישמשו לכניסה ללקוחות LDAP מסוימים.
במקרים שבהם לקוח LDAP דורש פרטי כניסה לגישה, אנחנו מאמתים את לקוחות ה-LDAP באמצעות אישורים ופרטי כניסה לגישה.
אם אפליקציית ה-LDAP שלי לא תומכת באישורי TLS, יש חלופה כלשהי?
כן. אפשר להשתמש ב-stunnel כפרוקסי בין האפליקציה לבין פרוטוקול LDAP מאובטח. פרטים והוראות מופיעים במאמר שימוש ב-stunnel כשרת proxy.
יצרתי בעבר פרטי כניסה לגישה, ועכשיו אני לא זוכר את הסיסמה להגדרת מופע נוסף של לקוח ה-LDAP שלי. האם אפשר ליצור עוד פרטי כניסה לגישה?
אדמינים יכולים ליצור עוד קבוצה של פרטי גישה, שתכלול שם משתמש וסיסמה שונים. אפשר להשאיר עד שני אישורים פעילים בו-זמנית. אם פרטי כניסה נחשפו או שכבר לא נעשה בהם שימוש, אפשר למחוק אותם.
אם אני חושד שיש בעיית אבטחה בלקוח LDAP, איך אפשר להשבית אותו באופן מיידי?
אם אתם חושדים שיש בעיה אבטחתית בלקוח LDAP (לדוגמה, אם האישורים או פרטי הכניסה נפרצו), אתם יכולים להשבית את הלקוח באופן מיידי על ידי מחיקת כל האישורים הדיגיטליים שמשויכים אליו. זו הדרך הכי טובה להשבית לקוח באופן מיידי, כי יכול להיות שיחלפו עד 24 שעות עד שהלקוח יושבת אחרי שמעבירים את סטטוס השירות למושבת.
הוראות מפורטות מופיעות במאמר בנושא מחיקת אישורים.
אם תרצו להפעיל את הלקוח בשלב מאוחר יותר, תצטרכו ליצור אישורים חדשים ולהעלות את האישורים ללקוח ה-LDAP.
למחשבי Linux שלי ב-Google Compute Engine אין כתובות IP חיצוניות. האם עדיין אפשר להתחבר לשירות LDAP מאובטח?
כן. אם אתם משתמשים במודול SSSD במחשבי Linux ללא כתובות IP חיצוניות ב-Google Compute Engine, אתם עדיין יכולים להתחבר לשירות LDAP מאובטח, בתנאי שהפעלתם גישה פנימית לשירותי Google. מידע נוסף על הגדרת גישה פרטית מידע נוסף זמין במאמר בנושא הגדרת גישה פרטית ל-Google.