अक्सर पूछे जाने वाले सवाल: सुरक्षित एलडीएपी सेवा

यह सुविधा इन वर्शन में उपलब्ध है: Frontline Standard और Frontline Plus; Business Plus; Enterprise Standard और Enterprise Plus; Education Fundamentals, Education Standard, और Education Plus; Enterprise Essentials Plus. अपने वर्शन की तुलना करें

Cloud Identity या Google Workspace के उपयोगकर्ता खाते को निलंबित करने पर क्या होता है?

Secure LDAP सेवा, Cloud Directory का इस्तेमाल करती है. इससे पुष्टि करने, अनुमति देने, और डायरेक्ट्री लुकअप करने में मदद मिलती है. निलंबित किए गए खाते, Cloud Identity/Google Workspace से जुड़े किसी भी ऐप्लिकेशन में साइन इन नहीं कर सकते. इनमें एलडीएपी ऐप्लिकेशन भी शामिल हैं. निलंबित किए गए खाते, LDAP की मदद से अपने पासवर्ड की पुष्टि नहीं कर पाएंगे. हालांकि, LDAP खोज की सुविधा देने वाली क्लाइंट सेवा की मदद से, इन खातों को अब भी खोजा जा सकता है.

अगर मैं Google Workspace या Cloud Identity में, पहचान देने वाली तीसरे पक्ष की सेवा या एसएसओ सेवा देने वाली कंपनी को कॉन्फ़िगर करूं, तो क्या होगा?

पुष्टि करने, अनुमति देने, और डायरेक्ट्री लुकअप के लिए Secure LDAP का इस्तेमाल करने पर कोई असर नहीं पड़ता. ऐसा इसलिए, क्योंकि तीसरे पक्ष के आइडेंटिटी प्रोवाइडर का असर सिर्फ़ एचटीटीपी पर आधारित लेन-देन पर पड़ता है. जैसे, एसएएमएल पर आधारित पुष्टि.

ध्यान दें: अगर आपको अपने उपयोगकर्ताओं को Secure LDAP से कनेक्ट किए गए ऐप्लिकेशन की पुष्टि करने की अनुमति देनी है, तो पक्का करें कि उन्हें अपना Google उपयोगकर्ता नाम और पासवर्ड पता हो. ऐसा इसलिए, क्योंकि पुष्टि करने के लिए इन क्रेडेंशियल (तीसरे पक्ष के आइडेंटिटी प्रोवाइडर के क्रेडेंशियल नहीं) की ज़रूरत होती है. एसएसओ (SSO) का इस्तेमाल करके, तीसरे पक्ष के आईडीपी (IdP) से साइन इन करने पर, उपयोगकर्ता Secure LDAP ऐप्लिकेशन को ऐक्सेस नहीं कर सकते.

LDAP क्लाइंट की पुष्टि करने के लिए, मुझे सर्टिफ़िकेट और ऐक्सेस क्रेडेंशियल, दोनों की ज़रूरत क्यों होती है?

सिर्फ़ सर्टिफ़िकेट से LDAP क्लाइंट की पुष्टि होती है. ऐक्सेस क्रेडेंशियल सिर्फ़ तब मौजूद होते हैं, जब क्लाइंट उपयोगकर्ता नाम और पासवर्ड भी भेजने पर ज़ोर देता है. ऐक्सेस क्रेडेंशियल से, LDAP सर्वर या उपयोगकर्ता के डेटा का ऐक्सेस नहीं मिलता. हालांकि, इन्हें गोपनीय रखना चाहिए, ताकि इनका इस्तेमाल कुछ LDAP क्लाइंट में लॉग इन करने के लिए न किया जा सके.

अगर किसी LDAP क्लाइंट को ऐक्सेस क्रेडेंशियल की ज़रूरत होती है, तो हम LDAP क्लाइंट की पुष्टि करने के लिए, प्रमाणपत्र और ऐक्सेस क्रेडेंशियल, दोनों का इस्तेमाल करते हैं.

अगर मेरा LDAP ऐप्लिकेशन, टीएलएस सर्टिफ़िकेट के साथ काम नहीं करता है, तो क्या कोई दूसरा विकल्प है?

हां. अपने ऐप्लिकेशन और Secure LDAP के बीच, stunnel को प्रॉक्सी के तौर पर इस्तेमाल किया जा सकता है. ज़्यादा जानकारी और निर्देशों के लिए, stunnel को प्रॉक्सी के तौर पर इस्तेमाल करना लेख पढ़ें.

मैंने पहले ऐक्सेस क्रेडेंशियल जनरेट किए थे. अब मुझे अपने एलडीएपी क्लाइंट का दूसरा इंस्टेंस सेट अप करने के लिए पासवर्ड याद नहीं है. क्या मैं ऐक्सेस क्रेडेंशियल का दूसरा सेट जनरेट कर सकता/सकती हूं?

एडमिन के तौर पर, आपके पास ऐक्सेस करने के लिए क्रेडेंशियल का दूसरा सेट जनरेट करने का विकल्प होता है. इसमें उपयोगकर्ता नाम/पासवर्ड का अलग पेयर शामिल होगा. एक साथ ज़्यादा से ज़्यादा दो क्रेडेंशियल चालू रखे जा सकते हैं. अगर किसी क्रेडेंशियल के साथ छेड़छाड़ हुई है या अब उसका इस्तेमाल नहीं किया जा रहा है, तो उसे मिटाया जा सकता है.

अगर मुझे किसी एलडीएपी क्लाइंट में सुरक्षा से जुड़ी समस्या का पता चलता है, तो मैं उसे तुरंत कैसे बंद करूं?

अगर आपको किसी LDAP क्लाइंट से जुड़ी सुरक्षा समस्या का पता चलता है (उदाहरण के लिए, अगर सर्टिफ़िकेट या क्रेडेंशियल से समझौता किया गया है), तो उससे जुड़े सभी डिजिटल सर्टिफ़िकेट मिटाकर, क्लाइंट को तुरंत बंद किया जा सकता है. क्लाइंट को तुरंत बंद करने का यह सबसे अच्छा तरीका है. ऐसा इसलिए, क्योंकि सेवा की स्थिति को बंद है पर सेट करने के बाद, क्लाइंट को बंद होने में 24 घंटे लग सकते हैं.

निर्देशों के लिए, सर्टिफ़िकेट मिटाना लेख पढ़ें.

अगर आपको बाद में क्लाइंट को चालू करना है, तो आपको नए सर्टिफ़िकेट जनरेट करने होंगे और अपने LDAP क्लाइंट में सर्टिफ़िकेट अपलोड करने होंगे.

Google Compute Engine पर मेरे Linux कंप्यूटरों के पास बाहरी आईपी पते नहीं हैं. क्या अब भी सुरक्षित एलडीएपी सेवा से कनेक्ट किया जा सकता है?

हां. अगर Google Compute Engine पर बाहरी आईपी पतों के बिना Linux कंप्यूटर पर SSSD मॉड्यूल का इस्तेमाल किया जा रहा है, तो भी Secure LDAP सेवा से कनेक्ट किया जा सकता है. इसके लिए, Google की सेवाओं का इंटरनल ऐक्सेस चालू होना चाहिए. निजी ऐक्सेस कॉन्फ़िगर करने के बारे में ज़्यादा जानें. ज़्यादा जानकारी के लिए, Private Google Access को कॉन्फ़िगर करना लेख पढ़ें.