Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Business Plus; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard и Education Plus; Enterprise Essentials Plus. Сравните вашу версию.
Что произойдет, если я приостановлю действие учетной записи пользователя Cloud Identity или Google Workspace?
Сервис Secure LDAP использует Cloud Directory в качестве основы для аутентификации, авторизации и поиска в каталоге. Заблокированные учетные записи не могут войти ни в одно приложение, связанное с Cloud Identity/Google Workspace, включая приложения LDAP. Хотя заблокированные учетные записи не смогут подтвердить свои пароли с помощью LDAP, их все равно можно будет найти с помощью клиентского сервиса, выполнив поиск в LDAP.
Что произойдет, если я настрою стороннего поставщика идентификации/поставщика единого входа в Google Workspace или Cloud Identity?
Использование Secure LDAP для аутентификации, авторизации и поиска в каталогах не влияет на работу системы, поскольку сторонние поставщики идентификационных данных затрагивают только транзакции на основе HTTP, такие как аутентификация на основе SAML.
Примечание: Если вы хотите, чтобы ваши пользователи могли проходить аутентификацию в приложениях, подключенных к Secure LDAP, убедитесь, что они знают свое имя пользователя и пароль Google, поскольку для аутентификации необходимы именно эти учетные данные (а не учетные данные стороннего поставщика идентификации). Пользователи не могут получить доступ к приложениям Secure LDAP, войдя в систему через стороннего поставщика идентификации с использованием единого входа (SSO).
Зачем мне нужен и сертификат, и учетные данные для аутентификации LDAP-клиентов?
Только сертификат подтверждает подлинность LDAP-клиента. Учетные данные доступа существуют только в том случае, если клиент настаивает на отправке также имени пользователя и пароля. Сами по себе учетные данные доступа не предоставляют доступа к LDAP-серверу или данным пользователя, но их следует хранить в секрете, чтобы предотвратить их использование для входа в определенные LDAP-клиенты.
В тех случаях, когда LDAP-клиенту требуются учетные данные доступа, мы аутентифицируем LDAP-клиентов как с помощью сертификатов, так и с помощью учетных данных доступа.
Если мое LDAP-приложение не поддерживает TLS-сертификаты, есть ли какая-либо альтернатива?
Да. Вы можете использовать stunnel в качестве прокси-сервера между вашим приложением и Secure LDAP. Подробности и инструкции см. в разделе «Использование stunnel в качестве прокси-сервера» .
Ранее я создавал учетные данные для доступа, но сейчас не помню пароль для настройки еще одного экземпляра моего LDAP-клиента. Могу ли я создать новый набор учетных данных для доступа?
В качестве администратора вы можете сгенерировать еще один набор учетных данных доступа, который будет состоять из отдельной пары имя пользователя/пароль. Вы можете одновременно использовать максимум две активные учетные данные. Если учетные данные скомпрометированы или больше не используются, вы можете удалить их.
Если я подозреваю наличие проблемы безопасности в LDAP-клиенте, как я могу немедленно его отключить?
Если вы подозреваете наличие проблемы безопасности у LDAP-клиента (например, если скомпрометированы сертификаты или учетные данные), вы можете немедленно отключить клиент, удалив все связанные с ним цифровые сертификаты. Это лучший способ немедленно отключить клиент, поскольку отключение клиента после перевода статуса службы в положение «Выкл .» может занять до 24 часов.
Инструкции см. в разделе «Удаление сертификатов» .
Позже, если вы захотите включить клиент, вам потребуется сгенерировать новые сертификаты и загрузить их в свой LDAP-клиент.
Мои компьютеры под управлением Linux в Google Compute Engine не имеют внешних IP-адресов. Могу ли я по-прежнему подключаться к защищенному сервису LDAP?
Да. Если вы используете модуль SSSD на компьютерах Linux без внешних IP-адресов в Google Compute Engine, вы все равно можете подключиться к службе Secure LDAP, если у вас включен внутренний доступ к сервисам Google. Подробнее о настройке частного доступа см. в разделе «Настройка частного доступа к Google» .