שאלות נפוצות על GCDS

ריכזנו כאן כמה שאלות נפוצות על השימוש ב-Google Cloud Directory Sync.

בדף הזה

הגדרת GCDS

איך מאשרים את GCDS במחשב שאין בו GUI?

  1. מוודאים שפועלת גרסה 4.7.14 ואילך של GCDS.

    פרטים נוספים זמינים במאמר בנושא עדכון GCDS.

  2. מאשרים את GCDS במחשב שיש בו GUI.

    פרטים נוספים זמינים במאמר בנושא מתן הרשאה לחשבון Google.

  3. יוצרים את קובץ ה-XML ושומרים אותו.
  4. באותו מחשב, משתמשים בשורת הפקודה כדי להריץ את הכלי upgrade-config באמצעות הפרמטר -exportkeys.

    דוגמה: upgrade-config -exportkeys encryption key file [password]

    בדוגמה הזו, המפתחות מיוצאים לקובץ בשם encryption key file. השימוש בסיסמה הוא אופציונלי.

  5. מעתיקים את קובץ מפתח ההצפנה ואת קובץ ההגדרות למחשב ללא ממשק משתמש גרפי.
  6. במחשב ללא ממשק משתמש גרפי, משתמשים בשורת הפקודה כדי להריץ את הכלי upgrade-config באמצעות הפרמטר -importkeys.

    דוגמה: upgrade-config -importkeys שם הקובץ

    חשוב: הפרמטר -importkeys מסיר את כל ההגדרות המורשות של GCDS שיש לכם במחשב.

  7. אם צריך, מזינים את הסיסמה שהגדרתם בשלב 4.

    אמור להתקבל אישור שהמפתחות יובאו בהצלחה.

טיפ: כדי לראות אפשרויות נוספות, מזינים את הפקודה upgrade-config -help בשורת הפקודה.

איך מעבירים את GCDS לשרת אחר?

  1. אם אתם חושבים שיש לכם שינויים ממתינים בכתובות אימייל של משתמשים (שינוי שמות משתמשים), או אם אתם לא בטוחים, בוחרים באחת מהאפשרויות הבאות:
    • מריצים סנכרון בשרת הישן.
    • מעתיקים את הקבצים עם הערכים המופרדים בטאבים (TSV) לשרת החדש.

      כדי למצוא את השם והמיקום של קובצי ה-TSV בקובץ התצורה, מחפשים את המחרוזת .tsv.

    • מתקינים את GCDS בשרת החדש. הוראות מפורטות זמינות במאמר בנושא הורדה והתקנה של GCDS.
  2. מעתיקים את קובץ ההגדרות לשרת החדש.
  3. בשרת החדש, ב-Configuration Manager, פותחים את קובץ ההגדרות.
  4. צריך לתת הרשאה מחדש ל-GCDS לחשבון Google שלכם. הוראות מפורטות מופיעות במאמר בנושא מתן הרשאה לחשבון Google.
  5. בדף LDAP Configuration, מעדכנים את הסיסמה של LDAP. הוראות מפורטות מופיעות במאמר בנושא הגדרות חיבור LDAP.
  6. בדף התראות, מעדכנים את הסיסמה של שרת ה-SMTP. ההוראות מפורטות במאמר בנושא מאפייני התראות.
  7. מריצים סימולציה של סנכרון.
  8. בודקים את הסנכרון כדי לוודא שלא חלו שינויים בלתי צפויים.
  9. מריצים סנכרון מלא.

    אחרי הסנכרון, קובצי ה-TSV מהשרת הישן מתעדכנים. אם לא העברתם את קובצי ה-TSV, נוצרים קבצים חדשים.

מה אפשר לעשות אם נתקלים בבעיות באישורים?

אם נתקלתם בבעיות שקשורות לאישורים כשאתם מריצים את GCDS, כדאי לעיין במאמר בנושא פתרון בעיות שקשורות לאישורים.

חזרה למעלה

החשבון שלך ב-Google

באילו ממשקי API משתמש GCDS?

‫GCDS משתמש ב-API של Google Workspace כדי לסנכרן את נתוני הספרייה עם חשבון Google שלכם. ממשקי ה-API משתמשים ב-OAuth לאימות, ולא בסיסמה של אדמין. הגישה הזו מאפשרת לתכונות כמו אימות דו-שלבי (2SV) להישאר פעילות בלי להשפיע על הפונקציונליות של GCDS.

‫GCDS משתמש בממשקי ה-API הבאים:

למה אני לא רואה את השינויים הצפויים בחשבון Google שלי?

יכול להיות שיחלפו עד 8 ימים עד שהשינוי יופיע בחשבון Google. כדי להבין למה, צריך להבין איך GCDS שומר נתונים במטמון.

‫GCDS שומר במטמון נתונים מחשבון Google שלכם למשך 8 ימים לכל היותר. ‫GCDS יכול לנקות את המטמון בתדירות גבוהה יותר, בהתאם לגודל הנתונים שנשמרו במטמון. עם זאת, אם לא מוחקים את הנתונים שבזיכרון המטמון, יכול להיות שיחלפו עד 8 ימים עד ששינויים שבוצעו ישירות בחשבון Google (באמצעות המסוף לניהול המערכת או לקוח API אחר) יופיעו.

אחרי שמנקים את המטמון, GCDS מזהה את השינוי בחשבון Google ומשווה אותו לנתוני המקור בספריית LDAP. אם הנתונים לא תואמים, GCDS מבטל את השינוי שבוצע בחשבון Google.

כדי לנקות את המטמון באופן ידני:

  • מריצים סנכרון מ-Configuration Manager ובוחרים לנקות את המטמון כשמבצעים סנכרון.
  • משתמשים בדגל ‎-f בשורת הפקודה כדי לכפות ניקוי של המטמון.
  • משנים את קובץ ההגדרות בפורמט XML כדי להגדיר את הערך של maxCacheLifetime ל-0.

חשוב: ניקוי המטמון עלול להאריך משמעותית את זמן הסנכרון.

איך GCDS ניגש לנתוני פרופיל משתמש בחשבון Google שלי?

פרופילי משתמשים, כולל מאפייני משתמש נוספים, נכתבים בחשבון המשתמש ב-Google ומוצגים בספרייה של החשבון. ‫GCDS ניגש לספרייה באנשי הקשר מחשבון Google. פרטים נוספים זמינים במאמר סקירה כללית: הגדרה וניהול של הספרייה.

איך GCDS קובע אילו כתובות אימייל חלופיות יתווספו לחשבון Google?

בהגדרות של GCDS, אפשר לציין את המאפיינים ש-GCDS מעריך. כלי GCDS מעריך את הנתונים שמאוחסנים במאפיין רק אם הם תואמים לכתובת SMTP תקינה.

כשמשתמשים ב-proxyAddresses של Microsoft Active Directory,‏ GCDS מסיר את הקידומת smtp:‎ במהלך הסנכרון, כך שהקידומת לא מוצגת בדומיין Google.

האם אפשר לסנכרן עם יותר מחשבון Google אחד בו-זמנית?

כן. אפשר להשתמש ב-GCDS כדי לסנכרן מספר חשבונות Google ממדריך LDAP אחד באמצעות יותר מקובץ הגדרה אחד. אם מריצים כמה סנכרונים בו-זמנית, צריך לוודא שקובצי ההגדרות נשמרים עם שמות ייחודיים.

כדי לשכפל קובץ תצורה קיים, משתמשים באפשרות שמירה בשם באשף ההגדרות ושומרים את הקובץ בשם חדש.

איך GCDS פותרת בעיות שקשורות לחשבונות בעלי מאפיינים זהים לחשבון פעיל

‫GCDS פועל לפי הגדרות הניהול של חשבונות מתנגשים שהגדרתם במסוף Google Admin. פרטים נוספים זמינים במאמר בנושא ניהול חשבונות מתנגשים באמצעות GCDS.

חזרה למעלה

סנכרון משתמשים ויחידות ארגוניות

איך מגדירים את GCDS כך שיקצה הרשאות רק לקבוצה מצומצמת של משתמשים?

אם רוצים לסנכרן קבוצת משנה של משתמשים עם חשבון Google, אפשר להשתמש בקבוצה אחת של Active Directory או LDAP בתור המקור. שימוש בקבוצה מגביל את מספר המשתמשים שמקבלים הקצאת משתמש בחשבון Google.

דוגמה:

שאילתת משתמש
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

השאילתה הזו מחזירה את כל המשתמשים שחברים בקבוצה שמזוהה על ידי ה-DN של הקבוצה, שיש להם כתובות אימייל והחשבונות שלהם לא מושבתים.

איך אפשר להחריג יחידה ארגונית בחשבון Google שלי מסנכרון?

אתם יכולים להגדיר את GCDS כך שיחריג יחידה ארגונית שהוגדרה בחשבון Google שלכם. לשם כך, צריך להגדיר כלל החרגה של נתיב מלא של הארגון בהגדרות של דומיין Google.

דוגמה:

כלל החרגה
סוג: נתיב מלא בארגון
סוג התאמה: התאמה מדויקת
כלל: /OUPath/MyExcludedOU

אפשר לסנכרן משתמשים לדומיין משני?

אם הוספתם דומיין נוסף (משני), אתם יכולים להשתמש ב-GCDS כדי לסנכרן משתמשים עם הדומיין הזה. כדי לסנכרן משתמשים עם הדומיין המשני, צריך לוודא שכתובות האימייל של המשתמשים בשרת ה-LDAP תואמות לשם הדומיין המשני. מערכת GCDS יוצרת את המשתמשים בחשבון Google שלכם באמצעות הדומיין המשני ככתובת האימייל הראשית.

אם אתם לא רוצים לבצע שינויים במאפיין האימייל הקיים של LDAP, אתם יכולים להקצות מאפיין אחר כדי לסנכרן את כתובות האימייל של המשתמשים בדומיין המשני. פרטים על דומיינים משניים זמינים במאמר הוספת דומיין חלופי או דומיין משני של משתמש.

אפשר להשתמש בתווים כלליים בשאילתות של חיפוש משתמשים ב-LDAP?

כן, בתנאי ששרת ה-LDAP תומך בתווים כלליים לחיפוש.

ספריות LDAP לא תומכות בתווים כלליים במאפייני שם ייחודי (DN) כשמבצעים שאילתת חיפוש משתמש. לדוגמה, אפשר להשתמש ב-(mail=user*), אבל לא ב-(distinguishedName=*,DC=domain,DC=com).

האם אפשר להשתמש בחיפוש רקורסיבי של memberOf בשאילתות חיפוש של משתמשים?

כן, אם אתם משתמשים בשרת LDAP שתומך בחיפושים רקורסיביים של memberOf. הן נתמכות על ידי Active Directory, אבל לא על ידי OpenLDAP.

למה חשבון המשתמש שלי ב-Google Workspace מושעה אחרי שאני מפעיל את GCDS?

אם חשבון משתמש ב-Google Workspace מושעה אחרי הפעלת GCDS, תקבלו הודעת שגיאה שמסבירה למה זה קרה. כדי למנוע את השגיאה הספציפית הזו בסנכרונים הבאים, אפשר להטמיע אחד מהפתרונות הבאים, בהתאם לסיבת הבעיה:

  • בעיה: המשתמש לא קיים בשרת ה-LDAP.

    פתרון: מכיוון שהמשתמש לא קיים בשרת ה-LDAP, הלקוח צריך להגדיר כלל החרגה של משתמש Google כדי למנוע מ-GCDS להשעות את המשתמש הזה ב-Google Workspace.

  • הבעיה: למשתמש אין כתובת אימייל תקינה בשרת ה-LDAP.

    פתרון: צריך להגדיר כתובת אימייל למשתמש הזה או להגדיר כלל החרגה של משתמש Google כדי למנוע מ-GCDS להשעות את המשתמש ב-Google Workspace.

    אפשר גם לשנות את ההגדרה של GCDS כך שהיא תשתמש במאפיין של כתובת האימייל של המשתמש שנמצא בשרת LDAP. לדוגמה, במקום המאפיין mail, צריך להשתמש במאפיין userPrincipalName (UPN).

  • הבעיה: המשתמש מוחרג על ידי כללי החרגה בשרת ה-LDAP.

    פתרון: אם אתם לא רוצים להשעות את המשתמש הזה, אתם צריכים לתקן את כללי ההחרגה.

  • הבעיה: המשתמש נמצא ומושעה בכללי החיפוש כי האפשרות השעיית המשתמשים האלה בדומיין Google מסומנת.

    פתרון: יכול להיות שצריך להשעות את המשתמש.

  • הבעיה: המשתמש הושעה בשרת ה-LDAP.

    פתרון: יכול להיות שצריך להשעות את המשתמש.

חזרה למעלה

סנכרון קבוצות

האם GCDS יכול לסנכרן חברות מעגלית של קבוצות?

חברות בקבוצה מעגלית היא מצב שבו 2 קבוצות (או יותר) חברות זו בזו. לדוגמה, קבוצה א' היא חברה בקבוצה ב', וקבוצה ב' היא חברה בקבוצה א'.

‫LDAP ו-Microsoft Active Directory תומכים בחברות בקבוצות מחזוריות. עם זאת, אין תמיכה בהן ב-Google Groups. אם תנסו לסנכרן חברות במועדון עם מחזוריות, תופיע השגיאה 'אין אפשרות לסנכרן חברות במועדון עם מחזוריות'.

איך אפשר לוודא ש-GCDS לא ימחק או ישנה קבוצות קיימות שיצרתי?

אפשר להגדיר את GCDS כך שיחריג קבוצה על ידי הגדרת כלל החרגה של כתובת אימייל של קבוצה בהגדרות של דומיין Google. פרטים נוספים זמינים במאמר בנושא שימוש בכללים לנתוני Google.

דוגמה:

כלל החרגה
סוג: כתובת אימייל של קבוצה
סוג התאמה: התאמה מדויקת
כלל: GCP_Project1@example.com

הערה: מומלץ ליצור את הקבוצות האלה ולנהל אותן בספריית ה-LDAP. חברות בקבוצות נשמרת מעודכנת בחשבון Google כש-GCDS מסנכרן נתונים.

כדי לשמור קבוצות קיימות שלא נמצאות ב-LDAP, אפשר להפעיל את ההגדרה Don't delete Google Groups not found in LDAP (אל תמחקו קבוצות Google שלא נמצאות ב-LDAP). פרטים נוספים זמינים במאמר בנושא מדיניות המחיקה של קבוצות Google.

האם GCDS מסנכרן קבוצות שנוצרו על ידי משתמשים?

קבוצה שנוצרה על ידי משתמש היא קבוצה שנוצרה ב-Google Groups for Business. אם קבוצת LDAP תואמת לקבוצה שנוצרה על ידי משתמש, GCDS מתעלם מהקבוצה כאילו יש כלל החרגה של GCDS עבור הקבוצה הספציפית הזו. הקבוצה לא תוסר אם היא לא תואמת לנתוני ה-LDAP.

אם הוספתם חברים לאובייקט או לישות התואמים ב-LDAP, ‏ GCDS מוסיף את החברים האלה לקבוצה. אם הוספתם לקבוצת Google משתמשים שלא תואמים לנתוני ה-LDAP, החברים האלה לא יוסרו במהלך תהליך הסנכרון.

מידע נוסף על קבוצות שנוצרו על ידי משתמשים זמין במאמר שאלות נפוצות בנושא קבוצות לאדמינים.

האם GCDS יכול לסנכרן חברים בתתי-קבוצות?

כן, GCDS מסנכרן חברויות בקבוצות מקוננות. עם זאת, יש כמה מגבלות לגבי קבוצות מקוננות ומסירת אימייל ב-Google Groups for Business. לא כל החברים בקבוצות משנה מקבלים את תוכן האימייל שנשלח לקבוצה במקרים הבאים:

  • הרשאת האדמין מופעלת. אימייל לא יועבר אוטומטית לחברי הקבוצה או לקבוצות משנה אחרות עד שהמנהל של הקבוצה יאשר אותו.
  • לקבוצת ההורה אין הרשאת פרסום לשליחת ההודעה לקבוצות המשנה.

האם GCDS יכול לחפש חברים בקבוצות שהן מרכיב בקבוצה אחרת?

כן. ‫GCDS מסנכרן את חברי הקבוצות, בלי קשר לשאלה אם החבר הוא משתמש או קבוצה. עם זאת, GCDS לא תומך בכלל חיפוש להרחבת חברים בקבוצות מקוננות אם שרת ה-LDAP שלכם לא תומך בכלל החיפוש הזה.

איך אפשר לסנכרן רק חברים בקבוצה שהם משתמשים פעילים?

אתם רוצים לסנכרן רק חברים שהם משתמשים פעילים בשרת LDAP. לדוגמה, יש לכם קבוצה 1 בשרת ה-LDAP, שכוללת 2 חברים, משתמש1 ומשתמש2. לעומת זאת, המשתמש User1 הושעה בשרת ה-LDAP. אחרי הסנכרון, קבוצה 1 בחשבון Google שלכם צריכה להכיל את משתמש2 כחבר היחיד, בעוד שמשתמש1 מושעה (או מוסר, בהתאם להגדרות GCDS).

כדי לסנכרן חברים בקבוצה:

  1. מאתרים את קובץ ההגדרה. זהו אותו קובץ XML שבו אתם משתמשים כדי לטעון את התצורה של GCDS.
  2. פותחים את קובץ ההגדרות בכלי לעריכת טקסט.
  3. מאתרים את האפשרות INDEPENDENT_GROUP_SYNC ומוחקים אותה.
  4. מחפשים את האפשרות ADD_VALID_GROUP_MEMBERS_ONLY.

    אם הוא לא קיים, מוסיפים אותו לקובץ.

  5. מוודאים שסנכרון חשבונות המשתמשים מופעל.

    פרטים נוספים זמינים במאמר בנושא הגדרת רשימת המשתמשים.

  6. כדי לוודא שהתוצאות תקינות, מומלץ להריץ סימולציה לפני שמריצים סנכרון מלא.

חזרה למעלה

כללי

איך מוסיפים דגל תכונה אופציונלי לקובץ התצורה של GCDS?

לפני שמתחילים: חשוב לוודא ש-GCDS תומך בתכונה.

  1. מאתרים את קובץ ההגדרה. זהו אותו קובץ XML שבו אתם משתמשים כדי לטעון את התצורה של GCDS.
  2. פותחים את קובץ ההגדרות בכלי לעריכת טקסט.
  3. בקובץ ה-XML, מאתרים את התג <features> ומוסיפים שורה חדשה בתוך התג.
  4. בשורה החדשה, מוסיפים תג <optional> חדש עם שם התכונה בתוכו.
  5. שומרים את הקובץ וסוגרים אותו.

דוגמה

בדוגמה הבאה מוצג אופן ההוספה של התכונה DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<features>

<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

למה GCDS ממשיך להחזיר שגיאה אחרי ניקוי המטמון?

יכול להיות שהשגיאה נגרמת בגלל בעיה בהגדרות, כמו הגדרה שגויה של כלל החרגה. יכול להיות שההגדרה השגויה מוסתרת על ידי שמירת נתונים במטמון של GCDS.

‫GCDS שומר במטמון נתונים של שירות Google (כמו Google Workspace או Cloud Identity) למשך 8 ימים לכל היותר. ‫GCDS יכול לנקות את המטמון בתדירות גבוהה יותר, בהתאם לגודל הנתונים שנשמרו במטמון. עם זאת, אם לא מוחקים את הנתונים שבזיכרון המטמון, יכול להיות שיחלפו עד 8 ימים עד ששינויים שבוצעו ישירות בחשבון Google (באמצעות המסוף לניהול המערכת או לקוח API אחר) יופיעו.

כדי לנקות את המטמון באופן ידני:

  • מריצים סנכרון מ-Configuration Manager ובוחרים לנקות את המטמון כשמבצעים סנכרון.
  • משתמשים בדגל ‎-f בשורת הפקודה כדי לכפות ניקוי של המטמון.
  • משנים את קובץ ההגדרות בפורמט XML כדי להגדיר את הערך של maxCacheLifetime ל-0.

חשוב: ניקוי המטמון עלול להאריך משמעותית את זמן הסנכרון.

דוגמה: יש לכם קבוצה שקיימת גם בשרת LDAP וגם בחשבון Google. אתם יוצרים כלל החרגה של Google לקבוצה הזו, בתקווה למנוע מ-GCDS לשנות את הקבוצה במהלך סנכרון.

עם זאת, הכלל הזה גורם למערכת GCDS להתנהג כאילו הקבוצה לא קיימת בחשבון Google. מערכת GCDS מנסה ליצור את הקבוצה, אבל מכיוון שהקבוצה כבר קיימת, מוצגת שגיאה ומערכת GCDS מוסיפה אותה למטמון. בסנכרונים הבאים, המערכת משתמשת במטמון ו-GCDS מזהה שהקבוצה כבר קיימת. אחרי שהמטמון ינוקה, GCDS יתנהג שוב כאילו הקבוצה לא קיימת.

למה צריך להגדיר את GCDS לסנכרון סיסמאות?

הגדרות ברירת המחדל של סנכרון הסיסמאות ב-GCDS משמשות להגדרת האופן שבו GCDS יוצר סיסמאות לחשבונות משתמשים חדשים. אם לא רוצים להתאים אישית את הסיסמה הראשונית לחשבון, לא צריך לעשות כלום. פשוט משתמשים בהגדרות ברירת המחדל.

אם אתם משתמשים ב-Active Directory, אתם יכולים להשתמש ב-Password Sync כדי לסנכרן סיסמאות משתמשים מ-Active Directory לדומיין שלכם ב-Google.

איך GCDS פותר התנגשויות כשחלים כמה כללי סנכרון?

‫GCDS מתייחס לכללים לפי הסדר, מהגבוה לנמוך.

לדוגמה, אתם מגדירים כלל לסנכרון חשבונות משתמשים כדי ליצור משתמשים ביחידה הארגונית הבסיסית או ב-/. אחר כך אתם יוצרים כלל נמוך יותר כדי ליצור משתמשים ביחידה הארגונית /Exceptions. אחרי הסינכרון, משתמשים שתואמים לשני הכללים נוצרים ביחידה הארגונית הבסיסית, כי לכלל הזה יש עדיפות גבוהה יותר.

כדי לוודא שהמשתמשים ממוקמים נכון ב-‎ /Exceptions, צריך לוודא שהכלל מופיע מעל כל כלל אחר שסותר אותו. לחלופין, מוודאים שזה הכלל הראשון ברשימה הממוינת.

איך אפשר לבדוק ולסקור סנכרון של GCDS?

‫GCDS משתמש ב-OAuth 2.0 תלת-רגלי לצורך הרשאה. במהלך התהליך הזה, GCDS מקבל אסימון OAuth 2.0. האסימון מאפשר ל-GCDS לבצע פעולות בשם האדמין שביצע את ההרשאה.

כל אירועי הביקורת מפורטים לפי האדמין שאישר את GCDS. כדאי ליצור חשבון אדמין ייעודי ל-GCDS כדי שתוכלו לראות בבירור את השינויים והביקורות שבוצעו על ידי GCDS.

אישור חשבון Google

האם GCDS מוחק את הסכימות שלי אם אני מפעיל סנכרון של סכימות?

במהלך סנכרון, GCDS בודק את הגדרת ה-LDAP הנוכחית כדי לקבוע אם צריך לשמור או למחוק סכימה מותאמת אישית בחשבון Google.

בנוסף, בקובץ התצורה של GCDS יש הגדרה schemaHistory שמכילה מידע על סכימות מותאמות אישית שסונכרנו בעבר. אם סכימה מותאמת אישית סונכרנה על ידי GCDS, היא מתווספת באופן אוטומטי ל-schemaHistory. אם מוחקים באופן ידני את ההגדרות של schemaHistory בקובץ ההגדרות, ואם הסכימה המותאמת אישית לא קיימת בספריית ה-LDAP,‏ GCDS מדלג על הסכימה המותאמת אישית ולא מוחק אותה בחשבון Google.

כדי למחוק ידנית את schemaHistory בקובץ ההגדרות, מחפשים את השורה הבאה:

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

האם אפשר לסנכרן את GCDS מכמה ספריות LDAP?

מערכת GCDS יכולה לסנכרן רק מספריית LDAP אחת. אם יש לכם כמה ספריות LDAP, צריך לאחד את הנתונים של שרת ה-LDAP לספרייה אחת. פרטים נוספים זמינים בשלב 2 במאמר בנושא הכנת ספריית LDAP.

איך GCDS יוצר ומאחסן באופן מאובטח את המפתח הסימטרי?

המפתח הסימטרי שמצפין את טוקן הרענון של GCDS נוצר על ידי KeyGenerator של Java crypto שמוגדר כברירת מחדל באמצעות AES 128.

האחסון של המפתח הסימטרי מטופל על ידי השיטה userNodeForPackage במחלקה Preferences ב-Java. מיקום המפתח המדויק לא נשלט על ידי GCDS ותלוי במערכת ההפעלה.

ב-Windows, נתוני ההעדפות מאוחסנים בכוורת הרישום של המשתמש. ב-Linux, הוא מאוחסן בספריית הבית של המשתמש.

אנחנו ממליצים ללקוחות לפעול לפי השיטות המומלצות כדי לוודא שהמפתח מאובטח בצורה נכונה. לשם כך, צריך להשתמש במערכת קבצים מוצפנת ולוודא שרשימות ה-ACL מגבילות.

מהו המזהה הייחודי?

המזהה הייחודי (שנקרא גם המפתח הראשי שאינו כתובת) משמש באופן פנימי את GCDS ולא מסונכרן עם Google Workspace. ‫GCDS מאחסן את המזהה הייחודי בקובץ TSV במחשב שבו מותקן GCDS. אפשר למצוא את שם קובץ ה-TSV ואת הנתיב המלא שלו בקובץ התצורה של ה-XML.

אם משנים את השם של משתמש בשרת LDAP אבל לא ב-Google Workspace, כלי GCDS משתמש במזהה הייחודי כדי למנוע מחיקה או שכפול של פרטי המשתמש.

הערה: אם תשנו ידנית את כתובות האימייל של המשתמשים גם בשרת LDAP וגם ב-Google Workspace, יכול להיות שייווצרו בעיות בסנכרון. כדי למנוע את הבעיה הזו, צריך להסיר את רשומות המשתמשים התואמות מקובץ ה-TSV לפני שמריצים את GCDS.

חזרה למעלה

Google Cloud

איך אפשר לסנכרן קבוצות אבטחה מ-Active Directory או מספריית LDAP ולהשתמש בהן ב-Cloud IAM?

אפשר להגדיר את GCDS כך שיסנכרן קבוצות אבטחה באמצעות כללי חיפוש LDAP.

דוגמה 1: חיפוש של כל קבוצות האבטחה

בדוגמה הזו מוצג חיפוש LDAP של כל קבוצות האבטחה שיש להן כתובת אימייל:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

דוגמה 2: חיפוש של קבוצות אבטחה שהן קבוצת משנה

אם רוצים לסנכרן קבוצת משנה של קבוצות אבטחה, כדאי להשתמש ב-extensionAttribute1 ולהגדיר ערך ספציפי, כמו GoogleCloud. לאחר מכן תוכלו לשנות את השאילתה ב-GCDS כדי להקצות הרשאות רק לקבוצת המשנה הספציפית של קבוצות האבטחה.

בדוגמה הזו מוצג חיפוש LDAP של כל קבוצות האבטחה שיש להן כתובת אימייל ומאפיין GoogleCloud:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

חשוב:

  • כל הקבוצות בדומיין Google מיוצגות על ידי כתובת אימייל. צריך לוודא שלכל קבוצות האבטחה שרוצים לסנכרן מוגדר מאפיין אימייל תקין.
  • לקבוצה שנוצרה בדומיין Google לא מוקצה באופן אוטומטי תפקיד מפורש בניהול זהויות והרשאות גישה (IAM) ב-Google Cloud. אחרי שיוצרים קבוצה, צריך להשתמש ב-Cloud IAM כדי להקצות לקבוצה תפקידים ספציפיים.

איך אפשר להוסיף משתמשים שצריכים חשבון רק לפרויקטים ב-Google Cloud?

אפשר להגדיר את GCDS על ידי הוספת כלל לסנכרון משתמשים עבור משתמשי Google Cloud. הדרך הכי פשוטה היא ליצור שאילתה חדשה שמבוססת על משתמשים שחברים בקבוצה. לדוגמה:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

לאחר מכן, אפשר להשתמש במסנן החיפוש הבא כדי להציג משתמשים שהם חברים בקבוצה, שיש להם כתובת אימייל והחשבונות שלהם לא מושעים:

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

כדאי לשקול להוסיף את המשתמשים האלה ליחידה ארגונית אחת. כדי לעשות את זה, מגדירים שם של יחידה ארגונית (לדוגמה, משתמשי ענן) בכלל. יוצרים את היחידה הארגונית אם היא עדיין לא קיימת.

בעיות ברישוי

חשוב לבדוק את הגדרות הדומיין כדי להקצות רישיונות למוצרים לחשבונות משתמשים בצורה מתאימה. אם הפעלתם הקצאת רישיונות אוטומטית, יכול להיות שתרצו להחריג את היחידה הארגונית 'משתמשי Cloud' מהקצאה של רישיון למוצר. פרטים נוספים מופיעים במאמר בנושא הגדרת אפשרויות להקצאת רישיונות אוטומטית לארגון.

אם יש לכם דרישות רישוי מורכבות יותר, אתם יכולים להגדיר את GCDS כך שיסנכרן וינהל את כל הקצאות הרישיונות של המשתמשים. פרטים נוספים זמינים במאמר בנושא סנכרון רישיונות.

חזרה למעלה


‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.