התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus, Business Plus, Enterprise Standard ו-Enterprise Plus, Education Fundamentals, Education Standard ו-Education Plus, Enterprise Essentials Plus. השוואה בין מהדורות
מה קורה אם אני משעה את חשבון המשתמש ב-Cloud Identity או ב-Google Workspace?
שירות Secure LDAP משתמש ב-Cloud Directory כבסיס לאימות, להרשאה ולחיפושי מידע בספריות. משתמשים בחשבונות מושעים לא יכולים להיכנס לאף אפליקציה שקשורה ל-Cloud Identity או ל-Google Workspace, כולל אפליקציות LDAP. חשבונות מושעים לא יוכלו לאמת את הסיסמאות שלהם באמצעות LDAP, אבל עדיין אפשר יהיה לחפש אותם באמצעות שירות לקוח עם חיפוש LDAP.
מה קורה אם מגדירים ספק זהויות של צד שלישי או ספק SSO ב-Google Workspace או ב-Cloud Identity?
אין השפעה על השימוש ב-LDAP מאובטח לאימות, להרשאה ולחיפושים בספרייה, כי ספקי זהויות של צד שלישי משפיעים רק על טרנזקציות מבוססות-HTTP כמו אימות מבוסס-SAML.
הערה: אם אתם רוצים שהמשתמשים יוכלו לבצע אימות באפליקציות שמחוברות ל-LDAP מאובטח, ודאו שהם יודעים את שם המשתמש והסיסמה שלהם ב-Google, כי פרטי הכניסה האלה (ולא פרטי הכניסה שלהם בספק הזהויות של צד שלישי) נדרשים לאימות. המשתמשים לא יכולים לגשת לאפליקציות LDAP מאובטח על ידי כניסה דרך IdP מצד שלישי באמצעות SSO.
למה צריך גם אישור וגם פרטי כניסה כדי לאמת לקוחות LDAP?
רק האישור מאמת את לקוח ה-LDAP. פרטי הגישה קיימים רק אם הלקוח מתעקש לשלוח גם שם משתמש וסיסמה. פרטי הגישה האלה לא מאפשרים גישה לשרת ה-LDAP או לנתוני המשתמשים, אבל צריך לשמור אותם בסוד כדי למנוע שימוש בהם לצורך כניסה ללקוחות LDAP מסוימים.
במקרים שבהם לקוח LDAP דורש פרטי כניסה לגישה, אנחנו מאמתים את לקוחות ה-LDAP באמצעות אישורים ופרטי כניסה לגישה.
אם אפליקציית ה-LDAP שלי לא תומכת באישורי TLS, יש חלופה כלשהי?
כן. אפשר להשתמש ב-stunnel כפרוקסי בין האפליקציה לבין פרוטוקול LDAP מאובטח. פרטים והוראות מופיעים במאמר בנושא שימוש ב-stunnel כשרת proxy.
יצרתי בעבר פרטי גישה, ועכשיו אני לא זוכר את הסיסמה להגדרת מופע נוסף של לקוח LDAP. אפשר ליצור עוד פרטי כניסה?
אדמינים יכולים ליצור עוד קבוצה של פרטי גישה, שתכלול שם משתמש וסיסמה שונים. אפשר להשאיר עד שני אישורים פעילים בו-זמנית. אם פרטי כניסה נחשפו או שכבר לא נעשה בהם שימוש, אפשר למחוק אותם.
אם אני חושד שיש בעיית אבטחה בלקוח LDAP, איך אפשר להשבית אותו באופן מיידי?
אם אתם חושדים בבעיית אבטחה בלקוח LDAP (לדוגמה, אם יש פגיעה באישורים או בפרטי הכניסה), אתם יכולים להשבית את הלקוח באופן מיידי על ידי מחיקת כל האישורים הדיגיטליים שמשויכים אליו. זו הדרך הכי טובה להשבית לקוח באופן מיידי, כי יכול להיות שיחלפו עד 24 שעות עד שהלקוח יושבת אחרי שהסטטוס של השירות ישתנה למושבת.
הוראות מפורטות מופיעות במאמר בנושא מחיקת אישורים.
אם תרצו להפעיל את הלקוח בשלב מאוחר יותר, תצטרכו ליצור אישורים חדשים ולהעלות את האישורים ללקוח ה-LDAP.
למחשבי Linux שלי ב-Google Compute Engine אין כתובות IP חיצוניות. האם עדיין אפשר להתחבר לשירות LDAP מאובטח?
כן. אם אתם משתמשים במודול SSSD במחשבי Linux ללא כתובות IP חיצוניות ב-Google Compute Engine, אתם עדיין יכולים להתחבר לשירות Secure LDAP, בתנאי שהגישה הפנימית לשירותי Google מופעלת. מידע נוסף על הגדרת גישה פרטית מידע נוסף זמין במאמר בנושא הגדרת גישה פרטית ל-Google.