สคีมา LDAP ที่ปลอดภัย

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus, Business Plus, Enterprise Standard และ Enterprise Plus, Education Fundamentals, Education Standard และ Education Plus, Enterprise Essentials Plus เปรียบเทียบรุ่นของคุณ

บริการ LDAP ที่ปลอดภัยทำให้ออบเจ็กต์ Google Cloud Directory ใช้ได้กับไคลเอ็นต์ LDAP โดยใช้ลำดับชั้นและแอตทริบิวต์ตามที่อธิบายไว้ด้านล่าง

ตัวอย่างลำดับชั้น

    • cn=subschema
    • dc=example,dc=com
      • ou=Users
        • ou=Sales
          • uid=lisasmith
        • uid=jimsmith
      • ou=Groups
        • cn=group1
        • cn=group2

Attributes

รูท

ข้อมูลเมตาของเซิร์ฟเวอร์

  • objectClass: top
  • supportedLdapVersion: 3
  • supportedSASLMechanism: EXTERNAL, PLAIN
  • supportedExtension: 1.3.6.1.4.1.1466.20037 (StartTLS)
  • subschemaSubentry: cn=subschema

Subschema

คำจำกัดความของสคีมาเซิร์ฟเวอร์ LDAP ในรูปแบบที่เครื่องอ่านได้

  • objectClass: top, subschema
  • objectClasses: คำอธิบายของคลาสออบเจ็กต์ที่รองรับ
  • attributeTypes: คำอธิบายของประเภทแอตทริบิวต์ที่รองรับ
  • matchingRules: คำอธิบายของกฎการจับคู่ที่รองรับ

โดเมน

โดเมนที่คุณใช้ลงทะเบียนใน Google Workspace หรือ Cloud Identity Premium ซึ่งประกอบด้วยโดเมนย่อย ผู้ใช้ กลุ่ม และหน่วยขององค์กร

  • objectClass: top, domain, dcObject
  • dc: ชื่อของคอมโพเนนต์โดเมน (เช่น dc=example,dc=com)
  • hasSubordinates: TRUE

หน่วยขององค์กร

หน่วยขององค์กรภายในโครงสร้างไดเรกทอรี หน่วยขององค์กรอาจมีหน่วยขององค์กรอื่นและ/หรือบุคคลอื่นอยู่ภายในหน่วยนั้นด้วย โครงสร้างหน่วยขององค์กรจะเหมือนกับโครงสร้างหน่วยขององค์กรที่คุณเห็นในคอนโซลผู้ดูแลระบบของ Google

  • objectClass: top, organizationalUnit
  • ou: ชื่อหน่วยขององค์กร (เช่น ou=Users)
  • คำอธิบาย: คำอธิบายหน่วยขององค์กรโดยละเอียดที่มนุษย์อ่านได้
  • hasSubordinates: TRUE

บุคคล

คือผู้ใช้ในโดเมน โดยบุคคลที่ปรากฏภายใต้หน่วยขององค์กรคือบุคคลในหน่วยขององค์กรนั้น

  • objectClass: top, person, organizationalPerson, inetOrgPerson, posixAccount
  • uid: ชื่อผู้ใช้ ซึ่งหมายถึงส่วนของชื่อผู้ใช้ในที่อยู่อีเมล
  • googleUid: เหมือนกันกับ uid ใช้เพื่อไม่ให้สับสนกับ posixUid
  • posixUid: ชื่อผู้ใช้ หรือหากตั้งค่าไว้ ก็จะหมายถึงชื่อผู้ใช้ POSIX
  • cn: The "common name". ซึ่งจะประกอบไปด้วยค่า 2 ค่า ได้แก่ ชื่อผู้ใช้และชื่อที่แสดงของผู้ใช้
  • sn: นามสกุลของผู้ใช้
  • givenName: ชื่อต้นของผู้ใช้
  • displayName: ชื่อที่แสดงของผู้ใช้ (ชื่อเต็ม)
  • mail: อีเมลของผู้ใช้
  • memberOf: รายชื่อกลุ่มที่มีคุณสมบัติครบที่ผู้ใช้รายนี้เป็นสมาชิกอยู่
  • title: คำนำหน้าชื่อผู้ใช้
  • employeeNumber: รหัสพนักงานของผู้ใช้
  • employeeType: บทบาทของผู้ใช้ในองค์กร
  • departmentNumber: ชื่อแผนกของผู้ใช้ ไม่จำเป็นต้องเป็นตัวเลข
  • physicalDeliveryOfficeName: สถานที่หรือที่อยู่ของผู้ใช้
  • jpegPhoto: รูปโปรไฟล์ของผู้ใช้ จะแสดงผลเมื่อมีการขออย่างชัดเจนในคำขอค้นหาเท่านั้น
  • entryUuid: ตัวระบุผู้ใช้ที่เป็นค่าคงที่และไม่ซ้ำกับผู้อื่น จะแสดงผลเมื่อมีการขออย่างชัดเจนในคำขอค้นหาเท่านั้น
  • objectSid: ตัวระบุที่ไม่ซ้ำกันของผู้ใช้รายนี้ เข้ากันได้กับตัวระบุเพื่อความปลอดภัยของ Windows จะแสดงผลเมื่อมีการขออย่างชัดเจนในคำขอค้นหาเท่านั้น
  • uidNumber: หมายเลข POSIX UID ของผู้ใช้ หากตั้งค่า POSIX ID ไว้ก็จะใช้ค่านั้น แต่หากไม่ได้ตั้งค่าจะใช้ตัวระบุที่เป็นค่าคงที่และไม่ซ้ำกัน

  • gidNumber: หมายเลข POSIX GID สำหรับกลุ่มหลักของผู้ใช้ หากตั้งค่า POSIX GID ของผู้ใช้ไว้ก็จะใช้ค่านั้น แต่หากไม่ได้ตั้งค่าจะใช้หมายเลขเดียวกับ UID ของผู้ใช้

    หมายเหตุ: คุณจะค้นหาผู้ใช้โดยใช้ uidNumber หรือ gidNumber ไม่ได้ เว้นแต่ผู้ดูแลระบบจะตั้งค่าแอตทริบิวต์เหล่านี้โดยใช้ Admin SDK API เมื่อแอตทริบิวต์เหล่านี้ได้รับการตั้งค่าโดยใช้ API แล้ว ต้องตั้งค่าแอตทริบิวต์ systemId ของ posixAccount ไม่เช่นนั้น uidNumber และ gidNumber จะไม่สามารถค้นหาได้

  • homeDirectory: ไดเรกทอรีหลักสำหรับ POSIX ของผู้ใช้ มีค่าเริ่มต้นเป็น "/home/"

  • loginShell: Shell การเข้าสู่ระบบ POSIX ของผู้ใช้ มีค่าเริ่มต้นเป็น "/bin/bash"

  • gecos: แอตทริบิวต์ GECOS (ประวัติ) สำหรับผู้ใช้

  • hasSubordinates: FALSE

กลุ่ม

  • objectClass: top, groupOfNames, posixGroup
  • cn: ชื่อโดเมนที่ไม่ซ้ำกันของกลุ่ม
  • displayName: ชื่อที่แสดงของกลุ่มสำหรับผู้ใช้งาน
  • description: คำอธิบายกลุ่มโดยละเอียดสำหรับผู้ใช้งาน
  • gidNumber: หมายเลข POSIX GID ของกลุ่ม ซึ่งเป็นรหัสคงที่และไม่ซ้ำกัน แต่จะใช้เพื่อค้นหากลุ่มได้ไม่ดีนัก
  • entryUuid: ตัวระบุกลุ่มที่เป็นค่าคงที่และไม่ซ้ำกับผู้อื่น
  • objectSid: ตัวระบุที่ไม่ซ้ำกันของผู้ใช้รายนี้ เข้ากันได้กับตัวระบุเพื่อความปลอดภัยของ Windows
  • member: รายชื่อสมาชิกที่มีคุณสมบัติครบในกลุ่ม
  • memberUid: รายการชื่อผู้ใช้ของสมาชิกในกลุ่ม
  • googleAdminCreated: หากผู้ดูแลระบบเป็นผู้สร้างกลุ่ม ให้กำหนดเป็น True
  • hasSubordinates: FALSE