Schemat usługi Bezpieczny LDAP

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Business Plus; Enterprise Standard i Enterprise Plus; Education Fundamentals, Education Standard i Education Plus; Enterprise Essentials Plus. Porównanie wersji

Usługa Bezpieczny LDAP udostępnia obiekty Google Cloud Directory klientom LDAP, korzystając z hierarchii i atrybutów opisanych w poniższych sekcjach.

Przykładowa hierarchia

    • cn=subschema
    • dc=example,dc=com
      • ou=Użytkownicy
        • ou=Sprzedaż
          • uid=lisasmith
        • uid=jimsmith
      • ou=Grupy
        • cn=group1
        • cn=group2

Atrybuty

Główny

Metadane serwera:

  • objectClass: top
  • supportedLdapVersion: 3
  • supportedSASLMechanism: EXTERNAL, PLAIN
  • supportedExtension: 1.3.6.1.4.1.1466.20037 (StartTLS)
  • subschemaSubentry: cn=subschema

Subschema

Czytelna dla komputera definicja schematu serwera LDAP:

  • objectClass: top, subschema
  • objectClasses: opisy obsługiwanych klas obiektów
  • attributeTypes: opisy obsługiwanych typów atrybutów
  • matchingRules: opisy obsługiwanych reguł dopasowywania

Domena

Domena, której użyto do rejestracji w Google Workspace lub Cloud Identity Premium. Zawiera subdomeny, konta użytkowników, grupy i jednostki organizacyjne.

  • objectClass: top, domain, dcObject
  • dc: nazwa komponentu domeny (np. dc=example,dc=com)
  • hasSubordinates: TRUE

Jednostka organizacyjna

Jest to jednostka organizacyjna w drzewie katalogów. Jednostka organizacyjna może zawierać inne jednostki organizacyjne i osoby. Drzewo jednostki organizacyjnej jest takie samo jak drzewo jednostki organizacyjnej wyświetlane w konsoli administracyjnej Google.

  • objectClass: top, organizationalUnit
  • ou: nazwa jednostki organizacyjnej (np.: ou=Użytkownicy)
  • description: dłuższy, czytelny dla ludzi opis jednostki organizacyjnej
  • hasSubordinates: TRUE

Osoba

Użytkownik w domenie. Osoby są wyświetlane w ramach jednostek organizacyjnych, do których należą:

  • objectClass: top, person, organizationalPerson, inetOrgPerson, posixAccount
  • uid: nazwa użytkownika (część adresu e-mail zawierająca nazwę użytkownika)
  • googleUid: to samo co uid (rolą tego identyfikatora jest jednoznaczne odróżnienie go od posixUid)
  • posixUid: nazwa użytkownika lub nazwa użytkownika POSIX, jeśli została ustawiona
  • cn: „common name” (nazwa zwyczajowa). Zawiera dwie wartości: nazwę użytkownika i wyświetlaną nazwę użytkownika.
  • sn: nazwisko użytkownika
  • givenName: imię użytkownika
  • displayName: wyświetlana nazwa użytkownika (pełna nazwa)
  • mail: adres e-mail użytkownika
  • memberOf: lista w pełni kwalifikowanych nazw grup, do których użytkownik należy
  • title: tytuł użytkownika
  • employeeNumber: identyfikator pracownika użytkownika
  • employeeType: rola użytkownika w organizacji
  • departmentNumber: nazwa działu użytkownika (nie musi to być liczba)
  • physicalDeliveryOfficeName: lokalizacja lub adres użytkownika
  • jpegPhoto: zdjęcie profilowe użytkownika. Zwracany tylko wtedy, gdy jest to wyraźnie wymagane w żądaniu wyszukiwania.
  • entryUuid: stały unikalny identyfikator uniwersalny użytkownika Zwracany tylko wtedy, gdy jest to wyraźnie wymagane w żądaniu wyszukiwania.
  • objectSid: unikalny identyfikator uniwersalny użytkownika zgodny z identyfikatorami zabezpieczeń systemu Windows Zwracany tylko wtedy, gdy jest to wyraźnie wymagane w żądaniu wyszukiwania.
  • uidNumber: numer POSIX UID użytkownika (jeśli dla użytkownika ustawiono identyfikator POSIX, zostanie on tutaj odzwierciedlony, w przeciwnym razie będzie to stały unikalny identyfikator)

  • gidNumber: numer POSIX GID grupy głównej użytkownika (jeśli dla użytkownika ustawiono POSIX GID, zostanie on tutaj odzwierciedlony, w przeciwnym razie będzie to numer UID użytkownika)

    Uwaga: nie będzie możliwe wyszukanie użytkownika według numeru uidNumber ani gidNumber, o ile te atrybuty nie zostaną ustawione przez administratora przy użyciu interfejsu Admin SDK API. Jeśli te atrybuty są ustawione za pomocą interfejsu API, musisz też ustawić atrybut systemId posixAccount. Jeśli tego nie zrobisz, uidNumber i gidNumber nie będą dostępne do wyszukania.

  • homeDirectory: katalog główny POSIX użytkownika Domyślna wartość to „/home/”.

  • loginShell: powłoka logowania POSIX użytkownika Domyślna wartość to „/bin/bash”.

  • gecos: atrybuty GECOS (historyczne) dla użytkownika

  • hasSubordinates: FALSE

Grupa

  • objectClass: top, groupOfNames, posixGroup
  • cn: unikalna w domenie nazwa grupy
  • displayName: wyświetlana nazwa grupy w formie czytelnej dla ludzi
  • description: dłuższy, czytelny dla ludzi opis grupy
  • gidNumber: numer POSIX GID grupy (jest to stały unikalny identyfikator, ale nie można według niego wyszukiwać grupy)
  • entryUuid: stały unikalny identyfikator uniwersalny grupy
  • objectSid: unikalny identyfikator uniwersalny grupy zgodny z identyfikatorami zabezpieczeń systemu Windows
  • member: lista w pełni kwalifikowanych nazw członków grupy
  • memberUid: lista nazw użytkowników będących członkami grupy
  • googleAdminCreated: ma wartość true, jeśli grupa została utworzona przez administratora
  • hasSubordinates: FALSE