Esquema de LDAP seguro

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Business Plus, Enterprise Standard y Enterprise Plus, Education Fundamentals, Education Standard y Education Plus, Enterprise Essentials Plus. Comparar tu edición

El servicio de LDAP seguro pone los objetos del directorio de Google Cloud a disposición de los clientes de LDAP con la jerarquía y los atributos que se describen en las siguientes secciones.

Ejemplo de jerarquía

    • cn=subschema
    • dc=example,dc=com
      • ou=Users
        • ou=Sales
          • uid=lisasmith
        • uid=jimsmith
      • ou=Groups
        • cn=group1
        • cn=group2

Atributos

Raíz

Metadatos del servidor:

  • objectClass: top
  • supportedLdapVersion: 3
  • supportedSASLMechanism: EXTERNAL, PLAIN
  • supportedExtension: 1.3.6.1.4.1.1466.20037 (StartTLS)
  • subschemaSubentry: cn=subschema

Subesquema

Una definición legible por máquina del esquema del servidor LDAP:

  • objectClass: top, subschema
  • objectClasses: Son las descripciones de las clases de objetos admitidas.
  • attributeTypes: Son las descripciones de los tipos de atributos admitidos.
  • matchingRules: Son las descripciones de las reglas de coincidencia admitidas.

Dominio

Es el dominio que usaste para inscribirte en Google Workspace o Cloud Identity Premium. Contiene subdominios, usuarios, grupos y unidades organizativas.

  • objectClass: top, domain, dcObject
  • dc: Es el nombre del componente de dominio (p. ej., dc=example,dc=com).
  • hasSubordinates: TRUE

Unidad organizativa

Es una unidad organizativa dentro del árbol de directorios. La unidad organizativa puede contener otras unidades organizativas o personas. El árbol de unidades organizativas es el mismo que el que ves en la Consola del administrador de Google.

  • objectClass: top, organizationalUnit
  • ou: Es el nombre de la unidad organizativa (p. ej., ou=Users).
  • description: Es la descripción más larga y legible de la unidad organizativa.
  • hasSubordinates: TRUE

Persona

Es un usuario del dominio. Las personas aparecen en las unidades organizativas a las que pertenecen:

  • objectClass: top, person, organizationalPerson, inetOrgPerson, posixAccount
  • uid: Es el nombre de usuario del usuario. Es la parte del nombre de usuario de su dirección de correo electrónico.
  • googleUid: Es igual que el UID. Esto existe para distinguirlo sin ambigüedades del posixUid.
  • posixUid: Es el nombre de usuario del usuario o, si está configurado, el nombre de usuario POSIX del usuario.
  • cn: Es el "nombre común". Contiene dos valores: el nombre de usuario y el nombre visible del usuario.
  • sn: Apellido del usuario.
  • givenName: Es el nombre del usuario.
  • displayName: Es el nombre visible del usuario (nombre completo).
  • mail: Es la dirección de correo electrónico del usuario.
  • memberOf: Es una lista de los nombres completamente calificados de los grupos a los que pertenece este usuario.
  • title: El título del usuario.
  • employeeNumber: Es el ID de empleado del usuario.
  • employeeType: Es el rol del usuario en la organización.
  • departmentNumber: Es el nombre del departamento del usuario. No necesariamente es un número.
  • physicalDeliveryOfficeName: Es la ubicación o dirección del usuario.
  • jpegPhoto: Es la foto de perfil del usuario. Solo se devuelve cuando se solicita de forma explícita en la solicitud de búsqueda.
  • entryUuid: Es un identificador estable y único universal para este usuario. Solo se devuelve cuando se solicita de forma explícita en la solicitud de búsqueda.
  • objectSid: Es un identificador único universal para este usuario, compatible con los identificadores de seguridad de Windows. Solo se devuelve cuando se solicita de forma explícita en la solicitud de búsqueda.
  • uidNumber: Es un número de UID de POSIX para el usuario. Si se establece un ID de POSIX para el usuario, se reflejará. De lo contrario, será un identificador estable y único.

  • gidNumber: Es un número de GID de POSIX para el grupo principal del usuario. Si se establece un GID de POSIX para el usuario, se reflejará. De lo contrario, será el mismo que el número de UID del usuario.

    Nota: No podrás buscar un usuario con su uidNumber o gidNumber, a menos que un administrador haya establecido estos atributos con la API del SDK de Admin. Cuando estos atributos se configuran con la API, también se debe configurar el atributo systemId de posixAccount, o no se podrán buscar uidNumber y gidNumber.

  • homeDirectory: Es el directorio principal de POSIX del usuario. El valor predeterminado es “/home/”.

  • loginShell: Es el shell de acceso POSIX del usuario. El valor predeterminado es "/bin/bash".

  • gecos: Son los atributos de GECOS (históricos) del usuario.

  • hasSubordinates: FALSE

Grupo

  • objectClass: top, groupOfNames, posixGroup
  • cn: Es el nombre único del grupo en el dominio.
  • displayName: Es el nombre visible del grupo legible por humanos.
  • description: Es una descripción más larga y legible del grupo.
  • gidNumber: Es el número de GID de POSIX para el grupo. Este es un ID único estable, pero no se puede buscar el grupo de manera eficiente con él.
  • entryUuid: Es un identificador estable y único universal para este grupo.
  • objectSid: Es un identificador único universal para este grupo, compatible con los identificadores de seguridad de Windows.
  • member: Es una lista de los nombres completamente calificados de los miembros de este grupo.
  • memberUid: Es una lista de nombres de usuario de los miembros de este grupo.
  • googleAdminCreated: Es verdadero si un administrador creó este grupo.
  • hasSubordinates: FALSE