שאלות נפוצות על GCDS

Google Cloud Directory Sync

ריכזנו כאן כמה שאלות נפוצות על השימוש ב-Google Cloud Directory Sync.

הנושאים בדף

הגדרת GCDS

איך מאשרים את GCDS במחשב שאין בו GUI?

  1. מוודאים שמשתמשים ב-GCDS בגרסה 4.7.14 ואילך.

    תוכלו לקרוא פרטים נוספים במאמר בנושא עדכון GCDS.

  2. נותנים הרשאה ל-GCDS במחשב שיש בו GUI.

    פרטים נוספים זמינים במאמר בנושא מתן הרשאה לחשבון Google.

  3. יוצרים את קובץ ה-XML ושומרים אותו. 
  4. באותו מחשב, משתמשים בשורת הפקודה כדי להריץ את הכלי upgrade-config באמצעות הפרמטר -exportkeys.

    דוגמה: upgrade-config -exportkeys encryption key file [password]

    בדוגמה הזו, המפתחות מיוצאים לקובץ שנקרא encryption key file. השימוש בסיסמה הוא אופציונלי.

  5. מעתיקים את קובץ מפתח ההצפנה ואת קובץ ההגדרות למחשב ללא ממשק משתמש גרפי.
  6. במחשב ללא ממשק משתמש גרפי, משתמשים בשורת הפקודה כדי להריץ את הכלי upgrade-config באמצעות הפרמטר -importkeys.

    דוגמה: upgrade-config -importkeys file name

    חשוב: הפרמטר -importkeys מסיר את כל ההגדרות המורשות של GCDS שיש לכם במחשב. 

  7. אם צריך, מזינים את הסיסמה שהגדרתם בשלב 4.

    אמור להתקבל אישור שהמפתחות יובאו בהצלחה.

טיפ: כדי לראות אפשרויות נוספות, מזינים את הפקודה upgrade-config -help בשורת הפקודה.

איך מעבירים את GCDS לשרת אחר?

  1. אם אתם חושבים שיש לכם שינויים ממתינים בכתובות האימייל של המשתמשים (שינוי שמות משתמשים) או שאתם לא בטוחים, בוחרים באחת מהאפשרויות הבאות:
    • מריצים סנכרון בשרת הישן.
    • מעתיקים את הקבצים עם הערכים המופרדים בטאבים (TSV) לשרת החדש.

      כדי למצוא את השם והמיקום של קובצי ה-TSV בקובץ התצורה, מחפשים את המחרוזת .tsv.

    • מתקינים את GCDS בשרת החדש. הוראות מפורטות זמינות במאמר בנושא הורדה והתקנה של GCDS.
  2. מעתיקים את קובץ ההגדרות לשרת החדש.
  3. בשרת החדש, ב-Configuration Manager, פותחים את קובץ ההגדרות.
  4. צריך לתת מחדש הרשאה ל-GCDS בחשבון Google. הוראות מפורטות זמינות במאמר בנושא מתן הרשאה לחשבון Google.
  5. בדף LDAP Configuration, מעדכנים את הסיסמה של LDAP. הוראות מפורטות מופיעות במאמר בנושא הגדרות חיבור LDAP.
  6. בדף התראות, מעדכנים את הסיסמה של SMTP. הוראות מפורטות מופיעות במאמר בנושא מאפייני התראות.
  7. מריצים סימולציה של סנכרון.
  8. בודקים את הסנכרון כדי לוודא שלא חלו שינויים בלתי צפויים.
  9. מפעילים סנכרון מלא.

    אחרי הסנכרון, קובצי ה-TSV מהשרת הישן מתעדכנים. אם לא העברתם את קובצי ה-TSV, נוצרים קבצים חדשים.

מה אפשר לעשות אם נתקלים בבעיות עם אישורים?

אם נתקלתם בבעיות שקשורות לאישורים כשאתם מפעילים את GCDS, כדאי לעיין במאמר בנושא פתרון בעיות שקשורות לאישורים.

חזרה למעלה

חשבון Google שלך

באילו ממשקי API משתמש GCDS?

‫GCDS משתמש בממשקי API של Google Workspace כדי לסנכרן את נתוני הספרייה עם חשבון Google. ממשקי ה-API משתמשים ב-OAuth, ולא בסיסמה של אדמין, כדי לבצע אימות. הגישה הזו מאפשרת לתכונות כמו אימות דו-שלבי (2SV) להישאר פעילות בלי להשפיע על הפונקציונליות של GCDS.

‫GCDS משתמש בממשקי ה-API הבאים:

למה אני לא רואה את השינויים הצפויים בחשבון Google שלי?

יכול להיות שיעברו עד 8 ימים עד שהשינוי יופיע בחשבון Google. כדי להבין למה, צריך להבין איך GCDS שומר נתונים במטמון.

‫GCDS שומר במטמון נתונים של חשבון Google למשך 8 ימים לכל היותר. GCDS יכול לנקות את המטמון בתדירות גבוהה יותר, בהתאם לגודל הנתונים במטמון. עם זאת, אם המטמון לא נוקה, יכול להיות שיחלפו עד 8 ימים עד שיוצגו שינויים שבוצעו ישירות בחשבון Google (באמצעות מסוף Admin או לקוח API אחר).

אחרי שמנקים את המטמון, GCDS מזהה את השינוי בחשבון Google ומשווה אותו לנתוני המקור בספריית LDAP. אם הנתונים לא תואמים, GCDS מבטל את השינוי שבוצע בחשבון Google.

כדי לנקות את המטמון באופן ידני:

  • מריצים סנכרון מ-Configuration Manager ובוחרים לנקות את המטמון כשמבצעים סנכרון.
  • משתמשים בדגל -f בשורת הפקודה כדי לכפות ניקוי של המטמון.
  • משנים את קובץ ההגדרות בפורמט XML כדי להגדיר את הערך של maxCacheLifetime ל-0.

חשוב: ניקוי המטמון יכול להאריך משמעותית את זמן הסנכרון.

איך GCDS ניגש לנתוני פרופיל משתמש בחשבון Google שלי?

פרופילי משתמשים, כולל מאפייני משתמש נוספים, נכתבים בחשבון המשתמש ב-Google ומוצגים בספרייה של החשבון. GCDS ניגש לספרייה ב'אנשי קשר של Google'. פרטים נוספים זמינים במאמר סקירה כללית: הגדרה וניהול של הספרייה.

איך GCDS קובע אילו כתובות אימייל של כינויים יתווספו לחשבון Google?

בהגדרת GCDS, אתם יכולים לציין את המאפיינים ש-GCDS בודק. GCDS בודק את הנתונים שמאוחסנים במאפיין רק אם הם תואמים לכתובת SMTP תקינה.

כשמשתמשים ב-proxyAddresses של Microsoft Active Directory,‏ GCDS מסיר את הקידומת smtp:‎ במהלך הסנכרון, כך שהקידומת לא מוצגת בדומיין Google. 

האם אפשר לסנכרן עם יותר מחשבון Google אחד בו-זמנית?

כן. אפשר להשתמש ב-GCDS כדי לסנכרן מספר חשבונות Google ממדריך LDAP אחד באמצעות יותר מקובץ הגדרה אחד. אם מריצים כמה סנכרונים במקביל, צריך לוודא שקובצי ההגדרות נשמרים עם שמות ייחודיים.

כדי לשכפל קובץ תצורה קיים, משתמשים באפשרות שמירה בשם באשף ההגדרות ושומרים את הקובץ בשם חדש.

איך GCDS פותר בעיות שקשורות לחשבונות בעלי מאפיינים זהים לחשבון פעיל

‫GCDS פועל לפי הגדרות הניהול של חשבונות עם כתובות אימייל זהות שהגדרתם במסוף Google Admin. לפרטים נוספים, אפשר לעבור אל ניהול חשבונות עם כתובות אימייל זהות באמצעות GCDS.

חזרה למעלה

סנכרון משתמשים ויחידות ארגוניות

איך מגדירים את GCDS כך שיקצה הרשאות רק לקבוצה מצומצמת של משתמשים? 

אם רוצים לסנכרן קבוצת משנה של משתמשים עם חשבון Google, אפשר להשתמש בקבוצה אחת של משתמשים בספריית Active Directory או LDAP כמקור. שימוש בקבוצה מגביל את מספר המשתמשים שמקבלים הקצאת הרשאות בחשבון Google.

דוגמה:

שאילתת משתמש
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

השאילתה הזו מחזירה את כל המשתמשים שחברים בקבוצה שמזוהה על ידי ה-DN של הקבוצה, שיש להם כתובות אימייל והחשבונות שלהם לא מושבתים.

איך אפשר להחריג יחידה ארגונית בחשבון Google שלי מסנכרון?

אתם יכולים להגדיר את GCDS כך שיחריג יחידה ארגונית שהוגדרה בחשבון Google שלכם. לשם כך, צריך להגדיר כלל החרגה של נתיב מלא של הארגון בהגדרות של דומיין Google.

דוגמה:

כלל החרגה
סוג: נתיב מלא בארגון
סוג התאמה: התאמה מדויקת
כלל: /OUPath/MyExcludedOU

האם אפשר לסנכרן משתמשים לדומיין משני?

אם הוספתם דומיין נוסף (משני), אתם יכולים להשתמש ב-GCDS כדי לסנכרן משתמשים עם הדומיין הזה. כדי לסנכרן משתמשים עם הדומיין המשני, צריך לוודא שכתובות האימייל של המשתמשים בשרת ה-LDAP תואמות לשם הדומיין המשני. מערכת GCDS יוצרת את המשתמשים בחשבון Google שלכם באמצעות הדומיין המשני ככתובת האימייל הראשית.

אם לא רוצים לבצע שינויים במאפיין האימייל הקיים של LDAP, צריך להקצות מאפיין אחר כדי לסנכרן את כתובות האימייל של המשתמשים בדומיין המשני. פרטים על דומיינים משניים מופיעים במאמר הוספת דומיין חלופי או דומיין משני של משתמש.

האם אפשר להשתמש בתווים כלליים בשאילתות של חיפוש משתמשים ב-LDAP?

כן, בתנאי ששרת ה-LDAP תומך בתווים כלליים לחיפוש.

ספריות LDAP לא תומכות בתווים כלליים לחיפוש במאפייני שם ייחודי (DN) כשמבצעים שאילתת חיפוש משתמשים. לדוגמה, אפשר להשתמש ב-(mail=user*), אבל לא ב-(distinguishedName=*,DC=domain,DC=com).

האם אפשר להשתמש בחיפוש רקורסיבי של memberOf בשאילתות חיפוש של משתמשים?

כן, אם אתם משתמשים בשרת LDAP שתומך בחיפושים רקורסיביים של memberOf. הן נתמכות על ידי Active Directory, אבל לא על ידי OpenLDAP.

למה חשבון המשתמש שלי ב-Google Workspace מושעה אחרי שאני מפעיל את GCDS?

אם חשבון משתמש ב-Google Workspace מושעה אחרי הפעלת GCDS, תקבלו הודעת שגיאה שמסבירה למה זה קרה. כדי למנוע את השגיאה הספציפית הזו בסנכרונים הבאים, אפשר להטמיע אחד מהפתרונות הבאים, בהתאם לסיבת הבעיה:

  • הבעיה: המשתמש לא קיים בשרת ה-LDAP.

    פתרון: מכיוון שהמשתמש לא קיים בשרת ה-LDAP, הלקוח צריך להגדיר כלל להחרגת משתמש ב-Google כדי למנוע מ-GCDS להשעות את המשתמש הזה ב-Google Workspace.

  • הבעיה: למשתמש אין כתובת אימייל תקינה בשרת ה-LDAP.

    פתרון: צריך להגדיר כתובת אימייל למשתמש הזה או להגדיר כלל החרגה של משתמש Google כדי למנוע את השעיית המשתמש ב-Google Workspace על ידי GCDS.

    אפשר גם לשנות את ההגדרה של GCDS כך שהיא תשתמש במאפיין של כתובת האימייל של המשתמש שנמצא בשרת ה-LDAP. לדוגמה, אפשר להשתמש במאפיין userPrincipalName (UPN) במקום במאפיין mail.

  • הבעיה: המשתמש מוחרג על ידי כללי החרגה בשרת ה-LDAP.

    פתרון: אם אתם לא רוצים להשעות את המשתמש הזה, אתם צריכים לתקן את כללי ההחרגה.

  • הבעיה: המשתמש נמצא ומושעה בכללי החיפוש כי האפשרות השעיית המשתמשים האלה בדומיין Google מסומנת.

    פתרון: יכול להיות שצריך להשעות את המשתמש.

  • הבעיה: המשתמש הושעה בשרת ה-LDAP.

    פתרון: יכול להיות שצריך להשעות את המשתמש.

חזרה למעלה

סנכרון קבוצות

האם GCDS יכול לסנכרן חברות מעגלית של קבוצות?

חברות בקבוצה שהיא חלק ממחזוריות, היא מצב שבו 2 קבוצות (או יותר) הן חברות אחת של השנייה. לדוגמה, קבוצה א' היא חברה בקבוצה ב', וקבוצה ב' היא חברה בקבוצה א'.

‫LDAP ו-Microsoft Active Directory תומכים בחברות בקבוצות ציקליות, אבל קבוצות Google לא תומכות בהן. אם תנסו לסנכרן חברות ציקלית, תופיע השגיאה 'אין אפשרות להשתמש בחברות ציקליות'.

איך אפשר לוודא ש-GCDS לא ימחק או ישנה קבוצות קיימות שיצרתי?

אפשר להגדיר ב-GCDS כלל החרגה של כתובת אימייל של קבוצה בתצורת הדומיין של Google כדי להחריג קבוצה. פרטים נוספים זמינים במאמר בנושא שימוש בכללים לנתונים בחשבון Google.

דוגמה:

כלל החרגה
סוג: כתובת אימייל של קבוצה
סוג התאמה: התאמה מדויקת
כלל: GCP_Project1@example.com

הערה: מומלץ ליצור את הקבוצות האלה ולנהל אותן בספריית ה-LDAP. חברות בקבוצות נשמרת מעודכנת בחשבון Google שלכם כש-GCDS מסנכרן נתונים.

כדי לשמור קבוצות קיימות שלא נמצאות ב-LDAP, אפשר להפעיל את ההגדרה Don't delete Google Groups not found in LDAP (אל תמחק קבוצות Google שלא נמצאות ב-LDAP). פרטים נוספים זמינים במאמר בנושא המדיניות בנושא מחיקת נתונים של קבוצות Google.

האם GCDS מסנכרן קבוצות שנוצרו על ידי משתמשים?

קבוצה שנוצרה על ידי משתמש היא קבוצה שנוצרה ב-Google Groups for Business. אם קבוצת LDAP תואמת לקבוצה שנוצרה על ידי משתמש, GCDS מתעלם מהקבוצה כאילו קיים כלל החרגה של GCDS עבור הקבוצה הספציפית הזו. הקבוצה לא תוסר אם היא לא תואמת לנתוני ה-LDAP. 

אם הוספתם חברים לאובייקט או לישות התואמים ב-LDAP, ‏ GCDS מוסיף את החברים האלה לקבוצה. אם הוספתם לקבוצה ב-Google משתמשים שלא תואמים לנתוני ה-LDAP, החברים האלה לא יוסרו במהלך תהליך הסנכרון.

מידע נוסף על קבוצות שנוצרו על ידי משתמשים זמין בשאלות הנפוצות בנושא ניהול קבוצות.

האם אפשר לסנכרן ב-GCDS את החברים בקבוצות מוטמעות?

כן, GCDS מסנכרן חברות בקבוצות מקוננות. עם זאת, יש כמה מגבלות לגבי קבוצות מקוננות ומסירת אימיילים באמצעות קבוצות Google לעסקים. לא כל החברים בקבוצות מקוננות מקבלים תוכן אימייל שנשלח לקבוצה במקרים הבאים:

  • הרשאת האדמין מופעלת. אימייל לא יועבר אוטומטית לחברים בקבוצה או לקבוצות מוטמעות אחרות עד שהמנהל של הקבוצה יאשר אותו.
  • לקבוצת ההורה אין הרשאת פרסום לשליחת ההודעה לקבוצות המשנה.

נושאים קשורים

האם GCDS יכול לחפש חברות בקבוצות מקוננות?

כן. ‫GCDS מסנכרן חברים בקבוצות, בלי קשר לשאלה אם החבר הוא משתמש או קבוצה. עם זאת, מערכת GCDS לא תומכת בכלל חיפוש להרחבת חברים בקבוצות מקוננות אם שרת ה-LDAP שלכם לא תומך בכלל החיפוש הזה.

איך אפשר לסנכרן רק חברים בקבוצה שהם משתמשים פעילים?

אתם רוצים לסנכרן רק חברים שהם משתמשים פעילים בשרת ה-LDAP. לדוגמה, יש לכם את קבוצה 1 בשרת ה-LDAP, שכוללת 2 חברים, משתמש 1 ומשתמש 2. עם זאת, משתמש 1 הושעה בשרת ה-LDAP. אחרי הסנכרון, קבוצה 1 בחשבון Google שלכם צריכה להכיל את משתמש 2 כחבר היחיד, בעוד שמשתמש 1 מושעה (או מוסר, בהתאם להגדרות GCDS).

כדי לסנכרן חברים בקבוצה:

  1. מאתרים את קובץ התצורה. זהו אותו קובץ XML שמשמש לטעינת ההגדרות של GCDS.
  2. פותחים את קובץ ההגדרות באמצעות כלי לעריכת טקסט.
  3. מאתרים את האפשרות INDEPENDENT_GROUP_SYNC ומוחקים אותה.
  4. מחפשים את האפשרות ADD_VALID_GROUP_MEMBERS_ONLY.

    אם הוא לא קיים, מוסיפים אותו לקובץ.

  5. מוודאים שסנכרון חשבונות המשתמשים מופעל.

    פרטים נוספים מופיעים במאמר בנושא הגדרת רשימת המשתמשים.

  6. כדאי להריץ סימולציה כדי לוודא שהתוצאות תקינות לפני שמריצים סנכרון מלא.

למה GCDS לא מסנכרן קבוצות אבטחה?

אם המאפיין adminCreated ב-Directory API מוגדר לערך false עבור קבוצות שנוצרו על ידי אדמינים במסוף Google Admin, יכול להיות ש-GCDS ידלג על הקבוצות האלה במהלך סנכרון. כדי לוודא ש-GCDS מסנכרן קבוצת אבטחה חדשה:

  1. משתמשים במסוף Google Admin או ב-Directory API כדי ליצור את הקבוצה החדשה כקבוצת דיוור.
  2. משנים את ההגדרות של הקבוצה כדי להפוך אותה לקבוצת אבטחה.

בנוסף, מערכת GCDS לא מסנכרנת קבוצות אבטחה שקיימות בשרת ה-LDAP אבל לא ב-Google. הקבוצות האלה מסתנכרנות כקבוצות רגילות.

חזרה למעלה

כללי

איך מוסיפים דגל תכונה אופציונלי לקובץ התצורה של GCDS?

לפני שמתחילים: חשוב לוודא ש-GCDS תומך בתכונה.

  1. מאתרים את קובץ התצורה. זהו אותו קובץ XML שמשמש לטעינת ההגדרות של GCDS.
  2. פותחים את קובץ ההגדרות באמצעות כלי לעריכת טקסט.
  3. בקובץ ה-XML, מאתרים את התג <features> ומוסיפים שורה חדשה בתוך התג. 
  4. בשורה החדשה, מוסיפים תג <optional> חדש עם שם התכונה בתוכו.
  5. שומרים את הקובץ וסוגרים אותו.

דוגמה

בדוגמה הבאה אפשר לראות איך מוסיפים את התכונה DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<features>

      <optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

למה GCDS ממשיך להחזיר שגיאה אחרי ניקוי המטמון?

יכול להיות שהשגיאה נגרמת בגלל בעיה בהגדרות, למשל הגדרה שגויה של כלל החרגה. יכול להיות שההגדרה השגויה מוסתרת על ידי שמירת הנתונים במטמון של GCDS.

‫GCDS שומר במטמון נתונים של שירות Google (כמו Google Workspace או Cloud Identity) למשך 8 ימים לכל היותר. ‫GCDS יכול לנקות את המטמון בתדירות גבוהה יותר, בהתאם לגודל הנתונים שנשמרו במטמון. עם זאת, אם לא מוחקים את המטמון, יכול להיות שיחלפו עד 8 ימים עד ששינויים שבוצעו ישירות בחשבון Google (באמצעות מסוף Admin או לקוח API אחר) יופיעו. 

כדי לנקות את המטמון באופן ידני:

  • מריצים סנכרון מ-Configuration Manager ובוחרים לנקות את המטמון כשמבצעים סנכרון.
  • משתמשים בדגל -f בשורת הפקודה כדי לכפות ניקוי של המטמון.
  • משנים את קובץ ההגדרות בפורמט XML כדי להגדיר את הערך של maxCacheLifetime ל-0.

חשוב: ניקוי המטמון יכול להאריך משמעותית את זמן הסנכרון.

דוגמה: יש לכם קבוצה שקיימת גם בשרת ה-LDAP וגם בחשבון Google. אתם יוצרים כלל החרגה של Google לקבוצה הזו, בתקווה למנוע מ-GCDS לשנות את הקבוצה במהלך סנכרון.

עם זאת, הכלל הזה גורם למערכת GCDS להתנהג כאילו הקבוצה לא קיימת בחשבון Google שלכם. ‫GCDS מנסה ליצור את הקבוצה, אבל מכיוון שהקבוצה כבר קיימת, מוצגת שגיאה ו-GCDS מוסיף אותה למטמון. בסנכרונים הבאים, המערכת משתמשת במטמון ו-GCDS מזהה שהקבוצה כבר קיימת. אחרי שהמטמון ינוקה, GCDS יתנהג שוב כאילו הקבוצה לא קיימת.

למה צריך להגדיר את GCDS לסנכרון סיסמאות?

הגדרות ברירת המחדל של סנכרון הסיסמאות ב-GCDS משמשות להגדרת האופן שבו GCDS יוצר סיסמאות לחשבונות משתמשים חדשים. אם אתם לא רוצים להתאים אישית סיסמה ראשונית לחשבון, לא צריך לבצע שום פעולה. פשוט משתמשים בהגדרות ברירת המחדל.

אם אתם משתמשים ב-Active Directory, אתם יכולים להשתמש ב-סנכרון סיסמאות כדי לסנכרן את סיסמאות המשתמשים מ-Active Directory לדומיין שלכם ב-Google.

איך GCDS פותרת קונפליקטים כשכמה כללי סנכרון חלים?

‫GCDS מתייחס לכללים לפי הסדר, מהגבוה לנמוך. 

לדוגמה, אתם מגדירים כלל לסנכרון חשבונות משתמשים כדי ליצור משתמשים ביחידה הארגונית בראש ההיררכיה או ב-/. אחר כך אתם יוצרים כלל ברמה נמוכה יותר כדי ליצור משתמשים ביחידה הארגונית /Exceptions. אחרי הסנכרון, משתמשים שתואמים לשני הכללים נוצרים ביחידה הארגונית בראש ההיררכיה כי לכלל הזה יש עדיפות גבוהה יותר. 

כדי לוודא שהמשתמשים ממוקמים בצורה נכונה ב-Exceptions/, צריך לוודא שהכלל מופיע מעל כל כלל אחר שסותר אותו. לחלופין, מוודאים שזה הכלל הראשון ברשימה הממוינת.

איך אפשר לבצע ביקורת ולבדוק סנכרון של GCDS? 

‫GCDS משתמש ב-OAuth 2.0 תלת-רגלי לצורך הרשאה. במהלך התהליך הזה, ל-GCDS מוענק אסימון OAuth 2.0. האסימון מאפשר ל-GCDS לבצע פעולות בשם האדמין שביצע את ההרשאה.

כל אירועי הביקורת מפורטים לפי האדמין שאישר את GCDS. כדאי ליצור חשבון אדמין ייעודי ל-GCDS כדי שתוכלו לראות בבירור את השינויים והביקורות שבוצעו על ידי GCDS.

נושא קשור

איך מאשרים את חשבון Google

האם GCDS מוחק את הסכימות שלי אם אני מפעיל סנכרון של סכימות?

במהלך סנכרון, GCDS בודק את הגדרת ה-LDAP הנוכחית כדי לקבוע אם צריך לשמור או למחוק סכימה מותאמת אישית בחשבון Google.

בנוסף, בקובץ התצורה של GCDS יש הגדרה schemaHistory שמכילה מידע על סכימות מותאמות אישית שסונכרנו בעבר. אם סכימה מותאמת אישית סונכרנה על ידי GCDS, היא מתווספת אוטומטית ל-schemaHistory. אם מוחקים באופן ידני את ההגדרות של schemaHistory בקובץ ההגדרה, ואם סכימת המותאמת אישית לא קיימת בספריית ה-LDAP,‏ GCDS מדלג על סכימת המותאמת אישית בחשבון Google ולא מוחק אותה.

כדי למחוק באופן ידני את schemaHistory בקובץ ההגדרות, מחפשים את: 

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

האם אפשר לסנכרן את GCDS מכמה ספריות LDAP?

מערכת GCDS יכולה לסנכרן רק מספריית LDAP אחת. אם יש לכם כמה ספריות LDAP, צריך לאחד את הנתונים של שרת ה-LDAP לספרייה אחת. פרטים נוספים זמינים בשלב 2 במאמר בנושא הכנת ספריית LDAP.

איך GCDS יוצר ומאחסן בצורה מאובטחת את המפתח הסימטרי?

המפתח הסימטרי שמצפין את טוקן הרענון של GCDS נוצר על ידי KeyGenerator של Java crypto כברירת מחדל באמצעות AES 128. 

האחסון של המפתח הסימטרי מתבצע באמצעות השיטה userNodeForPackage במחלקה Preferences ב-Java. מיקום המפתח המדויק לא נשלט על ידי GCDS ותלוי במערכת ההפעלה.

ב-Windows, נתוני ההעדפות מאוחסנים בכוורת הרישום של המשתמש. ב-Linux, הוא מאוחסן בספריית הבית של המשתמש.

אנחנו ממליצים ללקוחות לפעול לפי השיטות המומלצות כדי לוודא שהמפתח מאובטח בצורה נכונה. לשם כך, צריך להשתמש במערכת קבצים מוצפנת ולוודא שיש רשימות ACL מגבילות.

מהו המזהה הייחודי?

המזהה הייחודי (שנקרא גם המפתח הראשי שאינו כתובת) משמש באופן פנימי את GCDS ולא מסונכרן עם Google Workspace. ‫GCDS מאחסן את המזהה הייחודי בקובץ TSV במחשב שבו מותקן GCDS. אפשר למצוא את שם קובץ ה-TSV ואת הנתיב המלא שלו בקובץ התצורה של ה-XML.

אם משנים את השם של משתמש בשרת LDAP אבל לא ב-Google Workspace, כלי GCDS משתמש במזהה הייחודי כדי למנוע מחיקה או שכפול של פרטי המשתמש.

הערה: אם תשנו ידנית את כתובות האימייל של המשתמשים גם בשרת LDAP וגם ב-Google Workspace, יכול להיות שייווצרו בעיות בסנכרון. כדי למנוע את הבעיה הזו, צריך להסיר את רשומות המשתמשים התואמות מקובץ ה-TSV לפני שמריצים את GCDS.

חזרה למעלה

Google Cloud

איך אפשר לסנכרן קבוצות אבטחה מ-Active Directory או מספריית LDAP ולהשתמש בהן ב-Cloud IAM? 

אפשר להגדיר את GCDS כך שיסנכרן קבוצות אבטחה באמצעות כללי חיפוש LDAP.

דוגמה 1: חיפוש של כל קבוצות האבטחה

בדוגמה הזו מוצג חיפוש LDAP של כל קבוצות האבטחה שיש להן כתובת אימייל:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

דוגמה 2: חיפוש של קבוצת משנה של קבוצות אבטחה

אם רוצים לסנכרן קבוצת משנה של קבוצות אבטחה, כדאי להשתמש ב-extensionAttribute1 ולהגדיר ערך ספציפי, כמו GoogleCloud. לאחר מכן תוכלו לשפר את השאילתה של GCDS כדי להקצות הרשאות רק לקבוצת המשנה הספציפית של קבוצות האבטחה.

בדוגמה הזו מוצג חיפוש LDAP של כל קבוצות האבטחה שיש להן כתובת אימייל ומאפיין GoogleCloud:

‪(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

חשוב לדעת:

  • כל הקבוצות בדומיין Google מקבלות כתובת אימייל. צריך לוודא שלכל קבוצות האבטחה שרוצים לסנכרן מוגדר מאפיין אימייל תקין.
  • לקבוצה שנוצרה בדומיין של Google לא מוקצה באופן אוטומטי תפקיד מפורש ב-Cloud Identity and Access Management (IAM) ב-Google Cloud. אחרי שיוצרים קבוצה, צריך להשתמש ב-Cloud IAM כדי להקצות לקבוצה תפקידים ספציפיים.

איך אפשר להוסיף משתמשים שצריכים חשבון רק לפרויקטים ב-Google Cloud?

אפשר להגדיר את GCDS על ידי הוספת כלל לסנכרון משתמשים עבור משתמשי Google Cloud. הדרך הכי פשוטה היא ליצור שאילתה חדשה שמבוססת על משתמשים שחברים בקבוצה, לדוגמה:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

לאחר מכן, אפשר להשתמש במסנן החיפוש הבא כדי להציג משתמשים שהם חברים בקבוצה, שיש להם כתובת אימייל והחשבונות שלהם לא מושעים: 

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

כדאי לשקול להוסיף את המשתמשים האלה ליחידה ארגונית אחת. כדי לעשות את זה, מגדירים שם של יחידה ארגונית (לדוגמה, משתמשי Cloud) בכלל. יוצרים את היחידה הארגונית אם היא עדיין לא קיימת. 

בעיות ברישוי

חשוב לבדוק את הגדרות הדומיין כדי להקצות רישיונות למוצרים לחשבונות משתמשים בצורה מתאימה. אם הפעלתם הקצאת רישיונות אוטומטית, יכול להיות שתרצו להחריג את היחידה הארגונית 'משתמשי Cloud' מהקצאה של רישיון למוצר. פרטים נוספים מופיעים במאמר הגדרת אפשרויות להקצאת רישיונות אוטומטית לארגון.

אם יש לכם דרישות רישוי מורכבות יותר, אתם יכולים להגדיר את GCDS כך שיסנכרן וינהל את כל הקצאות רישיונות המשתמשים. פרטים נוספים זמינים במאמר בנושא סנכרון רישיונות

חזרה למעלה


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.