Защищенная схема LDAP

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Business Plus; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard и Education Plus; Enterprise Essentials Plus. Сравните вашу версию.

Сервис Secure LDAP предоставляет доступ к объектам Google Cloud Directory клиентам LDAP, используя иерархию и атрибуты, описанные в разделах ниже.

Пример иерархии

    • cn=подсхема
    • dc=example,dc=com
      • ou=Пользователи
        • ou=Продажи
          • uid=lisasmith
        • uid=jimsmith
      • ou=Группы
        • cn=group1
        • cn=group2

Атрибуты

Корень

Метаданные сервера:

  • objectClass: top
  • supportedLDAPVersion: 3
  • supportedSASLMechanism: EXTERNAL, PLAIN
  • supportedExtension: 1.3.6.1.4.1.1466.20037 (StartTLS)
  • subschemaSubentry: cn=subschema

Подсхема

Машинночитаемое определение схемы LDAP-сервера:

  • objectClass: top, subschema
  • objectClasses: описание поддерживаемых классов объектов
  • attributeTypes: описание поддерживаемых типов атрибутов
  • matchingRules: описание поддерживаемых правил сопоставления

Домен

Домен, который вы использовали для регистрации в Google Workspace или Cloud Identity Premium. Он содержит поддомены, пользователей, группы и организационные подразделения.

  • objectClass: top, domain, dcObject
  • dc: имя компонента домена (например: dc=example,dc=com)
  • hasSubordinates: TRUE

Организационное подразделение

Это организационная единица в структуре каталогов. Организационная единица может содержать другие организационные единицы и/или людей внутри себя. Структура организационных единиц аналогична структуре организационных единиц, которую вы видите в консоли администратора Google.

  • objectClass: top, organizationalUnit
  • ou: название организационного подразделения (например, ou=Users)
  • Описание: более подробное, удобочитаемое описание организационной единицы.
  • hasSubordinates: TRUE

Человек

Пользователь в домене. Люди отображаются в организационных подразделениях, к которым они принадлежат:

  • objectClass: top, person, organizationalPerson, inetOrgPerson, posixAccount
  • uid: Имя пользователя. Часть имени пользователя в его адресе электронной почты.
  • googleUid: То же самое, что и uid. Он существует для однозначного отличия от posixUid.
  • posixUid: Имя пользователя или, если задано, имя пользователя в формате POSIX.
  • cn: "Общее имя". Содержит два значения: имя пользователя и отображаемое имя пользователя.
  • sn: Фамилия пользователя.
  • givenName: Имя пользователя.
  • displayName: Отображаемое имя пользователя (полное имя).
  • mail: Адрес электронной почты пользователя.
  • memberOf: Список полных имен групп, к которым принадлежит данный пользователь.
  • Заголовок: Должность пользователя.
  • employeeNumber: Идентификационный номер сотрудника.
  • employeeType: Роль пользователя в организации.
  • departmentNumber: Название отдела пользователя. Это не обязательно число.
  • physicalDeliveryOfficeName: Местоположение или адрес пользователя.
  • jpegPhoto: Фотография профиля пользователя. Возвращается только в том случае, если это явно указано в поисковом запросе.
  • entryUuid: Универсальный уникальный стабильный идентификатор для этого пользователя. Возвращается только при явном запросе в поисковом запросе.
  • objectSid: Универсальный уникальный идентификатор для этого пользователя, совместимый с идентификаторами безопасности Windows. Возвращается только при явном запросе в поисковом запросе.
  • uidNumber: POSIX UID-номер пользователя. Если для пользователя задан POSIX ID, он будет отражать этот номер. В противном случае это будет уникальный стабильный идентификатор.

  • gidNumber: Идентификатор группы POSIX (GID) для основной группы пользователя. Если для пользователя задан идентификатор группы POSIX, он будет отражать этот идентификатор. В противном случае он будет совпадать с идентификатором пользователя (UID).

    Примечание: Вы не сможете найти пользователя по его uidNumber или gidNumber, если эти атрибуты не были установлены администратором с помощью API Admin SDK . Если эти атрибуты установлены с помощью API, необходимо также установить атрибут systemId posixAccount, иначе поиск по uidNumber и gidNumber будет невозможен.

  • homeDirectory: Домашний каталог пользователя в формате POSIX. По умолчанию — "/home/" «.

  • loginShell: POSIX-оболочка входа пользователя. По умолчанию используется "/bin/bash".

  • gecos: Атрибуты GECOS (исторические) для пользователя.

  • hasSubordinates: FALSE

Группа

  • objectClass: top, groupOfNames, posixGroup
  • cn: Уникальное доменное имя группы.
  • displayName: Удобочитаемое отображаемое имя группы.
  • Описание: Более подробное, удобочитаемое описание группы.
  • gidNumber: POSIX GID-номер группы. Это стабильный уникальный идентификатор, но по нему невозможно эффективно найти группу.
  • entryUuid: Универсальный уникальный стабильный идентификатор для этой группы.
  • objectSid: Универсальный уникальный идентификатор для этой группы, совместимый с идентификаторами безопасности Windows.
  • Участник: Список полных имен членов этой группы.
  • memberUid: Список имен пользователей, входящих в эту группу.
  • googleAdminCreated: True, если эта группа была создана администратором.
  • hasSubordinates: FALSE