התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus, Business Plus, Enterprise Standard ו-Enterprise Plus, Education Fundamentals, Education Standard ו-Education Plus, Enterprise Essentials Plus. השוואה בין המהדורות
מה קורה אם אני משעה את חשבון המשתמש ב-Cloud Identity או ב-Google Workspace?
שירות LDAP מאובטח משתמש ב-Cloud Directory כבסיס לאימות, להרשאה ולחיפושי מידע בספריות. חשבונות מושעים לא יכולים להיכנס לאף אפליקציה שקשורה ל-Cloud Identity או ל-Google Workspace, כולל אפליקציות LDAP. חשבונות מושעים לא יוכלו לאמת את הסיסמאות שלהם באמצעות LDAP, אבל עדיין אפשר לחפש אותם באמצעות שירות לקוח עם חיפוש LDAP.
מה קורה אם מגדירים ספק זהויות של צד שלישי או ספק SSO ב-Google Workspace או ב-Cloud Identity?
אין השפעה על השימוש ב-LDAP מאובטח לאימות, להרשאה ולחיפושים בספרייה, כי ספקי זהויות של צד שלישי משפיעים רק על טרנזקציות מבוססות-HTTP, כמו אימות מבוסס-SAML.
הערה: אם אתם רוצים שהמשתמשים יוכלו לבצע אימות באפליקציות שמחוברות ל-LDAP מאובטח, חשוב לוודא שהם יודעים את שם המשתמש והסיסמה שלהם ב-Google, כי פרטי הכניסה האלה (ולא פרטי הכניסה שלהם בספק הזהויות של צד שלישי) נדרשים לאימות. המשתמשים לא יכולים לגשת לאפליקציות LDAP מאובטח על ידי כניסה דרך IdP מצד שלישי באמצעות SSO.
למה צריך גם אישור וגם פרטי כניסה כדי לאמת לקוחות LDAP?
רק האישור מאמת את לקוח ה-LDAP. פרטי הגישה קיימים רק אם הלקוח מתעקש לשלוח גם שם משתמש וסיסמה. פרטי הגישה האלה לא מאפשרים גישה לשרת ה-LDAP או לנתוני המשתמשים, אבל צריך לשמור אותם בסוד כדי שלא ישמשו לכניסה ללקוחות LDAP מסוימים.
במקרים שבהם לקוח LDAP דורש פרטי כניסה לגישה, אנחנו מאמתים את לקוחות ה-LDAP באמצעות אישורים ופרטי כניסה לגישה.
אם אפליקציית ה-LDAP שלי לא תומכת באישורי TLS, יש חלופה כלשהי?
כן. אפשר להשתמש ב-stunnel כפרוקסי בין האפליקציה לבין פרוטוקול LDAP מאובטח. פרטים והוראות מופיעים במאמר בנושא שימוש ב-stunnel כשרת proxy.
יצרתי בעבר פרטי גישה, ועכשיו אני לא זוכר את הסיסמה להגדרת מופע נוסף של לקוח LDAP. אפשר ליצור עוד פרטי כניסה?
אדמינים יכולים ליצור עוד קבוצה של פרטי גישה, שתכלול שם משתמש וסיסמה שונים. אפשר להשאיר עד שני אישורים פעילים בו-זמנית. אם פרטי כניסה נחשפו או שכבר לא נעשה בהם שימוש, אפשר למחוק אותם.
אם יש לי חשד לבעיית אבטחה בלקוח LDAP, איך אפשר להשבית אותו באופן מיידי?
אם אתם חושדים בבעיה אבטחתית בלקוח LDAP (לדוגמה, אם האישורים או פרטי הכניסה נפרצו), אתם יכולים להשבית את הלקוח באופן מיידי על ידי מחיקת כל האישורים הדיגיטליים שמשויכים אליו. זו הדרך הכי טובה להשבית לקוח באופן מיידי, כי יכולות לחלוף עד 24 שעות עד שהלקוח מושבת אחרי שהסטטוס של השירות משתנה למושבת.
הוראות מפורטות מופיעות במאמר בנושא מחיקת אישורים.
אם תרצו להפעיל את הלקוח בשלב מאוחר יותר, תצטרכו ליצור אישורים חדשים ולהעלות את האישורים ללקוח ה-LDAP.
למחשבי Linux שלי ב-Google Compute Engine אין כתובות IP חיצוניות. האם עדיין אפשר להתחבר לשירות LDAP מאובטח?
כן. אם אתם משתמשים במודול SSSD במחשבי Linux ללא כתובות IP חיצוניות ב-Google Compute Engine, אתם עדיין יכולים להתחבר לשירות LDAP מאובטח, בתנאי שהפעלתם גישה פנימית לשירותי Google. מידע נוסף על הגדרת גישה פרטית מידע נוסף זמין במאמר בנושא הגדרת גישה פרטית ל-Google.