Lược đồ LDAP bảo mật

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Fundamentals, Education Standard và Education Plus; Enterprise Essentials Plus. So sánh phiên bản của bạn

Dịch vụ LDAP bảo mật cung cấp các đối tượng Google Cloud Directory cho các ứng dụng LDAP bằng cách sử dụng hệ thống phân cấp và các thuộc tính được mô tả trong các phần bên dưới.

Hệ phân cấp mẫu

    • cn=subschema
    • dc=example,dc=com
      • ou=Users
        • ou=Sales
          • uid=lisasmith
        • uid=jimsmith
      • ou=Groups
        • cn=group1
        • cn=group2

Thuộc tính

Gốc

Siêu dữ liệu máy chủ:

  • objectClass: top
  • supportedLdapVersion: 3
  • supportedSASLMechanism: EXTERNAL, PLAIN
  • supportedExtension: 1.3.6.1.4.1.1466.20037 (StartTLS)
  • subschemaSubentry: cn=subschema

Subschema

Định nghĩa có thể đọc được bằng máy về giản đồ máy chủ LDAP:

  • objectClass: top, subschema
  • objectClasses: nội dung mô tả về các lớp đối tượng được hỗ trợ
  • attributeTypes: nội dung mô tả về các loại thuộc tính được hỗ trợ
  • matchingRules: nội dung mô tả về các quy tắc so khớp được hỗ trợ

Lâu đài

Miền mà bạn đã dùng để đăng ký Google Workspace hoặc Cloud Identity Premium. Thư mục này chứa các miền phụ, người dùng, nhóm và đơn vị tổ chức.

  • objectClass: top, domain, dcObject
  • dc: tên của thành phần miền (ví dụ: dc=example,dc=com)
  • hasSubordinates: TRUE

Đơn vị Tổ chức:

Đây là một đơn vị tổ chức trong cây thư mục. Đơn vị tổ chức có thể chứa các đơn vị tổ chức khác và/hoặc người dùng trong đó. Cây đơn vị tổ chức giống với cây đơn vị tổ chức mà bạn thấy trong Bảng điều khiển dành cho quản trị viên của Google.

  • objectClass: top, organizationalUnit
  • ou: tên của đơn vị tổ chức (ví dụ: ou=Users)
  • description: nội dung mô tả dài hơn mà con người có thể đọc được về đơn vị tổ chức
  • hasSubordinates: TRUE

Người

Một người dùng trong miền. Mọi người sẽ xuất hiện trong đơn vị tổ chức mà họ thuộc về:

  • objectClass: top, person, organizationalPerson, inetOrgPerson, posixAccount
  • uid: Tên người dùng của người dùng. Phần tên người dùng trong địa chỉ email của họ.
  • googleUid: Giống như uid. Mục này tồn tại để phân biệt rõ ràng với posixUid.
  • posixUid: Tên người dùng hoặc tên người dùng POSIX của người dùng (nếu được đặt).
  • cn: "Tên chung". Tham số này chứa hai giá trị: tên người dùng và tên hiển thị của người dùng.
  • sn: Họ của người dùng.
  • givenName: Tên của người dùng.
  • displayName: Tên hiển thị của người dùng (họ và tên).
  • mail: Địa chỉ email của người dùng.
  • memberOf: Danh sách tên đủ điều kiện của các nhóm mà người dùng này thuộc về.
  • title: Chức danh của người dùng.
  • employeeNumber: Mã nhân viên của người dùng.
  • employeeType: Vai trò của người dùng trong tổ chức.
  • departmentNumber: Tên của bộ phận mà người dùng thuộc về. Đây không nhất thiết phải là một số.
  • physicalDeliveryOfficeName: Vị trí hoặc địa chỉ của người dùng.
  • jpegPhoto: Ảnh hồ sơ của người dùng. Chỉ được trả về khi được yêu cầu rõ ràng trong yêu cầu tìm kiếm.
  • entryUuid: Giá trị nhận dạng duy nhất và cố định trên toàn cầu cho người dùng này. Chỉ được trả về khi được yêu cầu rõ ràng trong yêu cầu tìm kiếm.
  • objectSid: Giá trị nhận dạng riêng biệt trên toàn cầu cho người dùng này, tương thích với giá trị nhận dạng bảo mật của Windows. Chỉ được trả về khi được yêu cầu rõ ràng trong yêu cầu tìm kiếm.
  • uidNumber: Số POSIX UID của người dùng. Nếu bạn đặt một mã nhận dạng POSIX cho người dùng, thì mã nhận dạng đó sẽ được phản ánh. Nếu không, đó sẽ là một giá trị nhận dạng duy nhất và cố định.

  • gidNumber: Số GID POSIX cho nhóm chính của người dùng. Nếu bạn đặt một GID POSIX cho người dùng, thì GID đó sẽ được phản ánh. Nếu không, mã này sẽ giống với số UID của người dùng.

    Lưu ý: Bạn sẽ không thể tìm kiếm người dùng bằng uidNumber hoặc gidNumber của họ, trừ phi quản trị viên đã đặt các thuộc tính này bằng API Admin SDK. Khi bạn đặt các thuộc tính này bằng API, bạn cũng phải đặt thuộc tính posixAccount systemId, nếu không, bạn sẽ không thể tìm kiếm uidNumbergidNumber.

  • homeDirectory: Thư mục gốc POSIX của người dùng. Giá trị mặc định là "/home/".

  • loginShell: Vỏ đăng nhập POSIX của người dùng. Giá trị mặc định là "/bin/bash".

  • gecos: Thuộc tính GECOS (trước đây) của người dùng.

  • hasSubordinates: FALSE

Nhóm

  • objectClass: top, groupOfNames, posixGroup
  • cn: Tên duy nhất của nhóm trong miền.
  • displayName: Tên hiển thị dễ đọc của nhóm.
  • description: Nội dung mô tả dài hơn mà con người có thể đọc được về nhóm.
  • gidNumber: Số POSIX GID cho nhóm. Đây là một mã nhận dạng duy nhất ổn định, nhưng không thể tra cứu hiệu quả nhóm theo mã nhận dạng này.
  • entryUuid: Giá trị nhận dạng duy nhất và ổn định trên toàn cầu cho nhóm này.
  • objectSid: Giá trị nhận dạng duy nhất trên toàn cầu cho nhóm này, tương thích với giá trị nhận dạng bảo mật của Windows.
  • member: Danh sách tên đủ điều kiện của các thành viên trong nhóm này.
  • memberUid: Danh sách tên người dùng của các thành viên trong nhóm này.
  • googleAdminCreated: True nếu nhóm này do quản trị viên tạo.
  • hasSubordinates: FALSE