安全 LDAP 結構定義

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Business Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus;Enterprise Essentials Plus。版本比較

安全 LDAP 服務會使用以下各節所述的階層和屬性,讓 LDAP 用戶端存取 Google Cloud Directory 物件。

階層範例

    • cn=subschema
    • dc=example,dc=com
      • ou=Users
        • ou=Sales
          • uid=lisasmith
        • uid=jimsmith
      • ou=Groups
        • cn=group1
        • cn=group2

屬性

根層級

伺服器中繼資料:

  • objectClass:top
  • supportedLdapVersion:3
  • supportedSASLMechanism:EXTERNAL、PLAIN
  • supportedExtension:1.3.6.1.4.1.1466.20037 (StartTLS)
  • subschemaSubentry: cn=subschema

子結構

機器可讀取的 LDAP 伺服器結構定義:

  • objectClass:top、subschema
  • objectClasses:支援物件類別的說明
  • attributeTypes:支援屬性類型的說明
  • matchingRules:支援配對規則的說明

網域

用來註冊 Google Workspace 或 Cloud Identity 進階版的網域,包含子網域、使用者、群組和機構單位。

  • objectClass:top、domain、dcObject
  • dc:網域元件名稱,例如 dc=example,dc=com
  • hasSubordinates:TRUE

機構單位

這是指樹狀目錄中列出的機構單位。機構單位中可能包含其他機構單位和/或使用者。這個機構單位樹狀結構和您在 Google 管理控制台看到的相同。

  • objectClass:top、organizationalUnit
  • ou:機構單位名稱,例如:ou=Users
  • description:使用者可理解的機構單位詳細說明
  • hasSubordinates:TRUE

人物

網域中的使用者,會顯示在所屬機構單位下方:

  • objectClass:top、person、organizationalPerson、inetOrgPerson、posixAccount
  • uid:使用者名稱,也就是使用者電子郵件地址的使用者名稱部分。
  • googleUid:與 uid 相同,這個屬性是為了與 posixUid 明確區分而設。
  • posixUid:使用者名稱,或是其 POSIX 使用者名稱 (如已設定)。
  • cn:即「通用名稱」。其中包含兩個值:使用者名稱和使用者的顯示名稱。
  • sn:使用者的姓氏。
  • givenName:使用者的名字。
  • displayName:使用者的顯示名稱 (全名)。
  • mail:使用者的電子郵件地址。
  • memberOf:使用者所屬群組的完整名稱清單。
  • title:使用者的職稱。
  • employeeNumber:使用者的員工 ID。
  • employeeType:使用者在機構中的角色。
  • departmentNumber:使用者所屬部門名稱 (不一定是號碼)。
  • physicalDeliveryOfficeName:使用者所在地區或住址。
  • jpegPhoto:使用者的個人資料相片。 只有在搜尋要求中明確要求時才會傳回。
  • entryUuid:使用者專屬的固定通用 ID。 只有在搜尋要求中明確要求時才會傳回。
  • objectSid:使用者專屬的固定通用 ID,與 Windows 安全性 ID 相容。 只有在搜尋要求中明確要求時才會傳回。
  • uidNumber:使用者的 POSIX UID 號碼。如果使用者的 POSIX ID 已設定完畢,這裡就會顯示該 ID;如果沒有,則會顯示使用者的專屬固定 ID。

  • gidNumber:使用者主要群組的 POSIX GID 號碼。如果使用者的 POSIX GID 已設定完畢,這裡就會顯示該 ID;如果沒有,則會顯示使用者的 UID 號碼。

    注意:您將無法使用使用者的「uidNumber」或「gidNumber」搜尋使用者,除非這些屬性是由管理員使用 Admin SDK API 設定。使用 API 設定這些屬性時,必須一併設定 posixAccount 的「systemId」屬性,否則將無法搜尋「uidNumber」和「gidNumber」

  • homeDirectory:使用者的 POSIX 主目錄,預設值為「/home/」。

  • loginShell:使用者的 POSIX 登入殼層,預設值為「/bin/bash」。

  • gecos:使用者的 GECOS (歷來) 屬性。

  • hasSubordinates:FALSE

群組

  • objectClass:top、groupOfNames、posixGroup
  • cn:群組的網域專屬名稱。
  • displayName:使用者可理解的群組顯示名稱。
  • description:使用者可理解的群組詳細說明。
  • gidNumber:群組的 POSIX GID 號碼。這是固定的唯一 ID,但您無法透過這組號碼快速找出群組。
  • entryUuid:群組專屬的固定通用 ID。
  • objectSid:群組專屬的固定通用 ID,與 Windows 安全性 ID 相容。
  • member:群組成員的完整名稱清單。
  • memberUid:群組成員的使用者名稱清單。
  • googleAdminCreated:如果群組是由管理員建立,則這裡的值為 True。
  • hasSubordinates:FALSE