התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus, Business Plus, Enterprise Standard ו-Enterprise Plus, Education Fundamentals, Education Standard ו-Education Plus, Enterprise Essentials Plus. השוואה בין מהדורות
מה קורה אם משעים את חשבון המשתמש ב-Cloud Identity או ב-Google Workspace?
שירות Secure LDAP משתמש ב-Cloud Directory כבסיס לאימות, להרשאה ולחיפושי מידע בספריות. משתמשים בחשבונות מושעים לא יכולים להיכנס לאף אפליקציה שקשורה ל-Cloud Identity או ל-Google Workspace, כולל אפליקציות LDAP. חשבונות מושעים לא יוכלו לאמת את הסיסמאות שלהם באמצעות LDAP, אבל עדיין אפשר יהיה לחפש אותם באמצעות שירות לקוח עם חיפוש LDAP.
מה קורה אם מגדירים ספק זהויות של צד שלישי או ספק SSO ב-Google Workspace או ב-Cloud Identity?
אין השפעה על השימוש ב-LDAP מאובטח לאימות, להרשאה ולחיפושים בספרייה, כי ספקי זהויות של צד שלישי משפיעים רק על טרנזקציות מבוססות-HTTP כמו אימות מבוסס-SAML.
הערה: אם אתם רוצים שהמשתמשים יוכלו לבצע אימות באמצעות אפליקציות שמחוברות ל-LDAP מאובטח, ודאו שהם יודעים את שם המשתמש והסיסמה שלהם ב-Google, כי פרטי הכניסה האלה (ולא פרטי הכניסה שלהם בספק הזהויות של צד שלישי) נדרשים לאימות. המשתמשים לא יכולים לגשת לאפליקציות Secure LDAP על ידי כניסה דרך IdP מצד שלישי באמצעות SSO.
למה צריך גם אישור וגם פרטי כניסה כדי לאמת לקוחות LDAP?
רק האישור מאמת את לקוח ה-LDAP. פרטי הגישה קיימים רק אם הלקוח מתעקש לשלוח גם שם משתמש וסיסמה. פרטי הגישה האלה לא מאפשרים גישה לשרת ה-LDAP או לנתוני המשתמשים, אבל צריך לשמור אותם בסוד כדי שלא ישמשו לכניסה ללקוחות LDAP מסוימים.
במקרים שבהם לקוח LDAP דורש פרטי כניסה לגישה, אנחנו מאמתים את לקוחות ה-LDAP באמצעות אישורים ופרטי כניסה לגישה.
אם אפליקציית ה-LDAP שלי לא תומכת באישורי TLS, יש חלופה כלשהי?
כן. אפשר להשתמש ב-stunnel כפרוקסי בין האפליקציה לבין פרוטוקול LDAP מאובטח. פרטים והוראות מופיעים במאמר בנושא שימוש ב-stunnel כשרת proxy.
יצרתי בעבר פרטי כניסה לגישה, ועכשיו אני לא זוכר את הסיסמה להגדרת מופע נוסף של לקוח LDAP. אפשר ליצור עוד פרטי כניסה?
אדמינים יכולים ליצור עוד קבוצה של פרטי גישה, שתכלול שם משתמש וסיסמה שונים. אפשר להשאיר עד שני אישורים פעילים בו-זמנית. אם פרטי הכניסה נחשפו או שהם כבר לא בשימוש, אפשר למחוק אותם.
אם אני חושד שיש בעיית אבטחה בלקוח LDAP, איך אפשר להשבית אותו באופן מיידי?
אם אתם חושדים בבעיית אבטחה בלקוח LDAP (לדוגמה, אם האישורים או פרטי הכניסה נפרצו), אתם יכולים להשבית את הלקוח באופן מיידי על ידי מחיקת כל האישורים הדיגיטליים שמשויכים אליו. זו הדרך הכי טובה להשבית לקוח באופן מיידי, כי יכולות לחלוף עד 24 שעות עד שהלקוח מושבת אחרי שמעבירים את סטטוס השירות למושבת.
הוראות מפורטות מופיעות במאמר מחיקת אישורים.
אם תרצו להפעיל את הלקוח בשלב מאוחר יותר, תצטרכו ליצור אישורים חדשים ולהעלות את האישורים ללקוח ה-LDAP.
למחשבי Linux שלי ב-Google Compute Engine אין כתובות IP חיצוניות. האם עדיין אפשר להתחבר לשירות LDAP מאובטח?
כן. אם אתם משתמשים במודול SSSD במחשבי Linux ללא כתובות IP חיצוניות ב-Google Compute Engine, אתם עדיין יכולים להתחבר לשירות Secure LDAP, בתנאי שהפעלתם גישה פנימית לשירותי Google. מידע נוסף על הגדרת גישה פרטית פרטים נוספים זמינים במאמר בנושא הגדרת גישה פרטית ל-Google.