سوالات متداول: سرویس LDAP امن

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Business Plus؛ Enterprise Standard و Enterprise Plus؛ Education Fundamentals، Education Standard و Education Plus؛ Enterprise Essentials Plus. نسخه خود را مقایسه کنید

اگر حساب کاربری Cloud Identity یا Google Workspace را به حالت تعلیق درآورم، چه اتفاقی می‌افتد؟

سرویس Secure LDAP از Cloud Directory به عنوان مبنایی برای احراز هویت، مجوزدهی و جستجوی دایرکتوری استفاده می‌کند. حساب‌های کاربری معلق نمی‌توانند به هیچ برنامه‌ای مرتبط با Cloud Identity/Google Workspace، از جمله برنامه‌های LDAP، وارد شوند. اگرچه حساب‌های کاربری معلق قادر به تأیید رمزهای عبور خود با LDAP نخواهند بود، اما همچنان می‌توانند توسط یک سرویس کلاینت با جستجوی LDAP جستجو شوند.

اگر یک ارائه‌دهنده هویت شخص ثالث / ارائه‌دهنده SSO را در Google Workspace یا Cloud Identity پیکربندی کنم، چه اتفاقی می‌افتد؟

هیچ تاثیری بر استفاده از Secure LDAP برای احراز هویت، مجوزدهی و جستجوی دایرکتوری وجود ندارد، زیرا ارائه‌دهندگان هویت شخص ثالث فقط بر تراکنش‌های مبتنی بر HTTP مانند احراز هویت مبتنی بر SAML تأثیر می‌گذارند.

توجه: اگر می‌خواهید کاربران شما بتوانند با برنامه‌های متصل به Secure LDAP احراز هویت کنند، مطمئن شوید که نام کاربری و رمز عبور گوگل خود را می‌دانند، زیرا این اعتبارنامه‌ها (نه اعتبارنامه‌های ارائه‌دهنده هویت شخص ثالث آنها) برای احراز هویت مورد نیاز هستند. کاربران نمی‌توانند با ورود به سیستم از طریق یک IdP شخص ثالث با استفاده از SSO به برنامه‌های Secure LDAP دسترسی پیدا کنند.

چرا برای احراز هویت کلاینت‌های LDAP به گواهی و اعتبارنامه‌های دسترسی نیاز دارم؟

فقط گواهی، کلاینت LDAP را احراز هویت می‌کند. اطلاعات دسترسی فقط در صورتی وجود دارد که کلاینت اصرار به ارسال نام کاربری و رمز عبور داشته باشد. اطلاعات دسترسی به خودی خود هیچ دسترسی به سرور LDAP یا داده‌های کاربر را فراهم نمی‌کنند، اما باید مخفی نگه داشته شوند تا از استفاده از آنها برای ورود به برخی از کلاینت‌های LDAP جلوگیری شود.

در مواردی که یک کلاینت LDAP به اعتبارنامه‌های دسترسی نیاز داشته باشد، ما کلاینت‌های LDAP را هم با گواهی‌نامه‌ها و هم با اعتبارنامه‌های دسترسی احراز هویت می‌کنیم.

اگر برنامه LDAP من از گواهی‌های TLS پشتیبانی نکند، آیا جایگزینی وجود دارد؟

بله. شما می‌توانید از stunnel به عنوان یک پروکسی بین برنامه خود و Secure LDAP استفاده کنید. برای جزئیات و دستورالعمل‌ها، به بخش «استفاده از stunnel به عنوان یک پروکسی» مراجعه کنید.

من قبلاً اعتبارنامه‌های دسترسی ایجاد کرده‌ام و اکنون رمز عبور راه‌اندازی نمونه دیگری از کلاینت LDAP خود را به خاطر نمی‌آورم. آیا می‌توانم مجموعه دیگری از اعتبارنامه‌های دسترسی ایجاد کنم؟

به عنوان مدیر، شما می‌توانید مجموعه دیگری از اعتبارنامه‌های دسترسی ایجاد کنید که شامل یک جفت نام کاربری/رمز عبور مجزا خواهد بود. شما می‌توانید حداکثر دو اعتبارنامه را به طور همزمان فعال نگه دارید. اگر یک اعتبارنامه به خطر افتاده یا دیگر مورد استفاده قرار نمی‌گیرد، می‌توانید آن را حذف کنید.

اگر به یک مشکل امنیتی در یک کلاینت LDAP مشکوک شوم، چگونه می‌توانم بلافاصله آن را غیرفعال کنم؟

اگر به وجود یک مشکل امنیتی در یک کلاینت LDAP مشکوک هستید (برای مثال، اگر گواهی‌ها یا اعتبارنامه‌ها در معرض خطر قرار گرفته باشند)، می‌توانید بلافاصله با حذف تمام گواهی‌های دیجیتال مرتبط با آن، کلاینت را غیرفعال کنید. این بهترین راه برای غیرفعال کردن فوری یک کلاینت است، زیرا ممکن است غیرفعال شدن یک کلاینت پس از تغییر وضعیت سرویس به خاموش ، تا 24 ساعت طول بکشد.

برای دستورالعمل‌ها، به حذف گواهی‌ها مراجعه کنید.

بعداً، اگر می‌خواهید کلاینت را فعال کنید، باید گواهینامه‌های جدیدی ایجاد کرده و آنها را در کلاینت LDAP خود آپلود کنید .

کامپیوترهای لینوکس من در Google Compute Engine آدرس IP خارجی ندارند. آیا هنوز می‌توانم به سرویس Secure LDAP متصل شوم؟

بله. اگر از ماژول SSSD در رایانه‌های لینوکس بدون آدرس‌های IP خارجی در Google Compute Engine استفاده می‌کنید، تا زمانی که دسترسی داخلی به سرویس‌های گوگل را فعال کرده باشید، می‌توانید به سرویس Secure LDAP متصل شوید. در مورد پیکربندی دسترسی خصوصی بیشتر بیاموزید. برای جزئیات بیشتر، به پیکربندی دسترسی خصوصی به گوگل مراجعه کنید.