Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus; Enterprise Essentials Plus. Versionen vergleichen
Was passiert, wenn ich das Cloud Identity- oder Google Workspace-Nutzerkonto sperre?
In Secure LDAP dient Cloud Directory als Basis für die Authentifizierung, die Autorisierung und die Suche im Verzeichnis. Mit gesperrten Konten können Sie sich nicht in Anwendungen für Cloud Identity/Google Workspace anmelden. Dies schließt LDAP-Clients ein. Passwörter gesperrter Konten lassen sich nicht mit LDAP verifizieren. Sie können jedoch weiterhin von einem Clientdienst mithilfe einer LDAP-Suche abgefragt werden.
Was passiert, wenn ich in Google Workspace oder Cloud Identity einen externen Identitätsanbieter / SSO-Anbieter konfiguriere?
Das hat keine Auswirkungen auf die Verwendung von Secure LDAP für die Authentifizierung, die Autorisierung und die Suche im Verzeichnis, da externe Identitätsanbieter nur für HTTP-Transaktionen genutzt werden, z. B. für die SAML-basierte Authentifizierung.
Hinweis:Wenn Sie möchten, dass sich Ihre Nutzer bei Secure LDAP-Anwendungen authentifizieren können, müssen sie ihren Google-Nutzernamen und das zugehörige Passwort kennen. Diese Anmeldedaten (nicht die Anmeldedaten ihres Drittanbieter-Identitätsanbieters) werden für die Authentifizierung benötigt. Nutzer können nicht über einen externen IdP mit SSO auf Secure LDAP-Anwendungen zugreifen.
Warum benötige ich zur Authentifizierung von LDAP-Clients sowohl ein Zertifikat als auch Anmeldedaten?
Der LDAP-Client wird normalerweise nur mit dem Zertifikat authentifiziert. Die Anmeldedaten werden nur benötigt, wenn beim gewünschten Client auch zwingend ein Nutzername und ein Passwort gesendet werden müssen. Anmeldedaten allein ermöglichen jedoch keinen Zugriff auf den LDAP-Server oder auf Nutzerdaten. Sie sollten sie dennoch geheim halten, um zu verhindern, dass sich andere Personen im LDAP-Client anmelden.
Sind für einen LDAP-Client Anmeldedaten erforderlich, erfolgt die Authentifizierung mithilfe des Zertifikats und der Anmeldedaten.
Gibt es Alternativen, wenn TLS-Zertifikate in meiner LDAP-Anwendung nicht unterstützt werden?
Ja. Sie können Stunnel als Proxy zwischen Ihrer Anwendung und Secure LDAP verwenden. Weitere Informationen finden Sie unter Optional: Stunnel als Proxy verwenden.
Ich habe Anmeldedaten erstellt, weiß aber das Passwort nicht mehr und muss eine weitere Instanz meines LDAP-Clients einrichten. Kann ich einen zweiten Satz Anmeldedaten generieren?
Als Administrator können Sie weitere Anmeldedaten generieren, bestehend aus einem eindeutigen Nutzernamen und Passwort. Sie können maximal zwei Anmeldedaten gleichzeitig aktiv halten. Wenn Anmeldedaten kompromittiert wurden oder nicht mehr verwendet werden, können Sie sie löschen.
Wie kann ich einen LDAP-Client sofort deaktivieren, wenn ich ein Sicherheitsproblem vermute?
Für den Fall, dass Sie ein Sicherheitsproblem mit einem LDAP-Client vermuten, z. B. falls Zertifikate oder Anmeldedaten gehackt wurden, können Sie den Client sofort deaktivieren, indem Sie alle zugehörigen digitalen Zertifikate löschen. Dies ist der schnellste Weg, einen Client mit sofortiger Wirkung zu sperren. Wenn Sie nur den Dienst deaktivieren, kann es bis zu 24 Stunden dauern, bis dies auf den Client angewendet wird, nachdem der Dienststatus auf Aus gesetzt wurde.
Eine Anleitung finden Sie unter Zertifikate löschen.
Wenn Sie den Client später aktivieren möchten, müssen Sie neue Zertifikate generieren und die Zertifikate hochladen auf Ihren LDAP-Client.
Meine Linux-Computer auf Google Compute Engine haben keine externen IP-Adressen. Kann ich trotzdem eine Verbindung zu Secure LDAP herstellen?
Ja. Wenn Sie das SSSD-Modul auf Linux-Computern ohne externe IP-Adressen auf Google Compute Engine verwenden und der interne Zugriff auf Google-Dienste aktiviert ist, haben Sie auch in diesem Fall die Möglichkeit, eine Verbindung zu Secure LDAP herzustellen. Weitere Informationen finden Sie in der Schritt-für-Schritt-Anleitung. Weitere Informationen dazu, wie Sie den privaten Google Zugriff konfigurieren