Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Business Plus; Enterprise Standard och Enterprise Plus; Education Fundamentals, Education Standard och Education Plus; Enterprise Essentials Plus. Jämför din utgåva
Vad händer om jag stänger av Cloud Identity- eller Google Workspace-användarkontot?
Tjänsten Secure LDAP använder Cloud Directory som grund för autentisering, auktorisering och katalogsökningar. Avstängda konton kan inte logga in på några appar relaterade till Cloud Identity/Google Workspace, inklusive LDAP-appar. Även om avstängda konton inte kan verifiera sina lösenord med LDAP, kan de fortfarande sökas upp av en klienttjänst med en LDAP-sökning.
Vad händer om jag konfigurerar en tredjeparts identitetsleverantör/SSO-leverantör i Google Workspace eller Cloud Identity?
Det påverkar inte användningen av säker LDAP för autentisering, auktorisering och katalogsökningar, eftersom identitetsleverantörer från tredje part endast påverkar HTTP-baserade transaktioner som SAML-baserad autentisering.
Obs! Om du vill att dina användare ska kunna autentisera med Secure LDAP-anslutna appar, se till att de känner till sitt användarnamn och lösenord för Google, eftersom dessa inloggningsuppgifter (inte deras inloggningsuppgifter från tredjepartsidentitetsleverantörer) behövs för autentisering. Användare kan inte komma åt Secure LDAP-appar genom att logga in via en tredjeparts-IdP med SSO.
Varför behöver jag både ett certifikat och åtkomstuppgifter för att autentisera LDAP-klienter?
Endast certifikatet autentiserar LDAP-klienten. Åtkomstuppgifterna finns bara om klienten insisterar på att även skicka ett användarnamn och lösenord. Åtkomstuppgifterna ger i sig ingen åtkomst till LDAP-servern eller användardata, men de bör hållas hemliga för att förhindra att de används för att logga in på vissa LDAP-klienter.
I de fall där en LDAP-klient kräver åtkomstuppgifter autentiserar vi LDAP-klienter med både certifikat och åtkomstuppgifter.
Om min LDAP-applikation inte stöder TLS-certifikat, finns det något alternativ?
Ja. Du kan använda stunnel som en proxy mellan din applikation och Secure LDAP. För mer information och instruktioner, se Använd stunnel som en proxy .
Jag genererade åtkomstuppgifter tidigare och nu kommer jag inte ihåg lösenordet för att konfigurera en annan instans av min LDAP-klient. Kan jag generera en ny uppsättning åtkomstuppgifter?
Som administratör kan du generera ytterligare en uppsättning åtkomstuppgifter, som kommer att bestå av ett separat användarnamn/lösenordspar. Du får ha maximalt två inloggningsuppgifter aktiva samtidigt. Om en inloggningsuppgift är komprometterad eller inte längre används kan du ta bort den.
Om jag misstänker ett säkerhetsproblem med en LDAP-klient, hur kan jag omedelbart inaktivera den?
Om du misstänker ett säkerhetsproblem med en LDAP-klient (till exempel om certifikat eller autentiseringsuppgifter har äventyrats) kan du omedelbart inaktivera klienten genom att ta bort alla digitala certifikat som är kopplade till den. Detta är det bästa sättet att inaktivera en klient omedelbart, eftersom det kan ta upp till 24 timmar innan klienten inaktiveras efter att tjänstens status har ställts in på Av .
För instruktioner, se Ta bort certifikat .
Om du vill aktivera klienten senare måste du generera nya certifikat och ladda upp certifikaten till din LDAP-klient.
Mina Linux-datorer på Google Compute Engine har inga externa IP-adresser. Kan jag fortfarande ansluta till Secure LDAP-tjänsten?
Ja. Om du använder SSSD-modulen på Linux-datorer utan externa IP-adresser på Google Compute Engine kan du fortfarande ansluta till Secure LDAP-tjänsten så länge du har intern åtkomst till Googles tjänster aktiverad. Läs mer om hur du konfigurerar privat åtkomst. Mer information finns i Konfigurera privat Google-åtkomst .