Часто задаваемые вопросы о GCDS

Как авторизовать GCDS на компьютере без графического интерфейса?

1. Убедитесь, что вы используете GCDS версии 4.7.14 или более поздней.

   Для получения более подробной информации перейдите в раздел «Обновление GCDS» .

2. Авторизуйте GCDS на компьютере, имеющем графический интерфейс пользователя.

   Для получения более подробной информации перейдите в раздел «Авторизуйте свой аккаунт Google» .

3. Создайте и сохраните XML-файл.
4. На том же компьютере используйте командную строку для запуска инструмента upgrade-config с параметром -exportkeys .

   Пример: upgrade-config -exportkeys encryption key file [ password ]

   В этом примере ключи экспортируются в файл, называемый файлом ключей шифрования . Использование пароля необязательно.

5. Скопируйте файл ключа шифрования и файл конфигурации на компьютер без графического интерфейса пользователя.
6. На компьютере без графического интерфейса пользователя используйте командную строку для запуска инструмента upgrade-config с параметром -importkeys .

   Пример: upgrade-config -importkeys file name

   Важно : параметр -importkeys удаляет все авторизованные конфигурации GCDS, которые могут быть установлены на вашем компьютере.

7. При необходимости введите пароль, который вы установили на шаге 4.

   Вы должны получить подтверждение об успешном импорте ключей.

Совет : Для получения дополнительных параметров в командной строке введите команду upgrade-config -help .

Как перенести GCDS на другой сервер?

1. Если вы считаете, что у вас есть незавершенные изменения адресов электронной почты пользователей (переименование пользователей), или не уверены в этом, выберите один из вариантов:
   • Выполните синхронизацию на старом сервере.
   • Скопируйте файлы с разделителями-табуляторами (TSV) на новый сервер.

     Название и расположение TSV-файлов можно найти в конфигурационном файле, выполнив поиск по запросу ".tsv" .

   • Установите GCDS на новый сервер. Инструкции см. в разделе «Скачать и установить GCDS» .
2. Скопируйте конфигурационный файл на новый сервер.
3. На новом сервере в диспетчере конфигураций откройте файл конфигурации.
4. Повторно авторизуйте GCDS для своей учетной записи Google. Инструкции см. в разделе «Авторизуйте свою учетную запись Google» .
5. На странице «Конфигурация LDAP» обновите пароль LDAP. Инструкции см. в разделе «Настройки подключения LDAP» .
6. На странице «Уведомления» обновите пароль SMTP. Инструкции см. в разделе «Атрибуты уведомлений» .
7. Запустите имитационную синхронизацию.
8. Проверьте синхронизацию, чтобы убедиться в отсутствии неожиданных изменений.
9. Выполните полную синхронизацию.

   После синхронизации файлы TSV со старого сервера обновляются. Если вы не перенесли файлы TSV, создаются новые файлы.

Что делать, если у меня возникли проблемы с сертификатами?

Если у вас возникли проблемы с сертификатами при работе с GCDS, см. раздел «Устранение неполадок, связанных с сертификатами» .

Какие API использует GCDS?

GCDS использует API Google Workspace для синхронизации данных вашего каталога с вашей учетной записью Google. Для аутентификации API используют OAuth, а не пароль администратора. Такой подход позволяет таким функциям, как двухфакторная аутентификация (2SV), оставаться активными без влияния на функциональность GCDS.

GCDS использует следующие API:

• API каталога
• API облачной идентификации
• API настроек групп
• API менеджера корпоративных лицензий
• API для общих контактов домена

Почему я не вижу ожидаемых изменений в своем аккаунте Google?

Изменения в вашем аккаунте Google могут появиться только через 8 дней. Чтобы понять, почему это происходит, нужно разобраться в том, как GCDS кэширует данные.

GCDS хранит кэш данных для вашей учетной записи Google максимум 8 дней. В зависимости от размера кэшированных данных GCDS может очищать кэш чаще. Однако, если кэш не очищается, для отображения изменений, внесенных непосредственно в вашу учетную запись Google (с помощью консоли администратора или другого API-клиента), может потребоваться до 8 дней.

После очистки кэша GCDS идентифицирует изменение в учетной записи Google и сравнивает его с исходными данными в каталоге LDAP. Если данные не совпадают, GCDS отменяет изменение, внесенное в учетную запись Google.

Для очистки кэша вручную:

• Запустите синхронизацию из диспетчера конфигураций и выберите опцию очистки кэша при выполнении синхронизации.
• Используйте флаг командной строки -f для принудительной очистки кэша.
• Измените XML-файл конфигурации, установив значение параметра maxCacheLifetime равным 0 .

Важно : очистка кэша может значительно увеличить время синхронизации.

Как GCDS получает доступ к данным профиля пользователя в моем аккаунте Google?

Профили пользователей, включая дополнительные атрибуты, записываются в учетную запись пользователя Google и отображаются в телефонном справочнике этой учетной записи. GCDS получает доступ к телефонному справочнику через Google Контакты. Для получения более подробной информации перейдите в раздел «Обзор: Настройка и управление телефонным справочником» .

Как GCDS определяет, какие псевдонимы адресов электронной почты добавляются к учетной записи Google?

В конфигурации GCDS можно указать атрибуты, которые GCDS оценивает. GCDS оценивает данные, хранящиеся в атрибуте, только если они соответствуют допустимому SMTP-адресу.

При использовании параметра Microsoft Active Directory proxyAddresses , GCDS удаляет префикс smtp: во время синхронизации, поэтому этот префикс не отображается в вашем домене Google.

Можно ли синхронизировать данные с несколькими учетными записями Google одновременно?

Да. Вы можете использовать GCDS для синхронизации из одного каталога LDAP с несколькими учетными записями Google, используя несколько конфигурационных файлов. Если вы запускаете несколько синхронизаций одновременно, убедитесь, что конфигурационные файлы сохранены с уникальными именами.

Чтобы клонировать существующий файл конфигурации, используйте опцию «Сохранить как» в Диспетчере конфигураций и сохраните файл под новым именем.

Как GCDS разрешает конфликтующие учетные записи?

GCDS использует настройки управления конфликтующими учетными записями, которые вы задали в консоли администратора Google. Подробности см. в разделе «Управление конфликтующими учетными записями с помощью GCDS» .

Как настроить GCDS так, чтобы доступ к системе получали только ограниченные группы пользователей?

Если вы хотите синхронизировать подмножество пользователей с вашей учетной записью Google, вы можете использовать в качестве источника одну группу каталогов Active Directory или LDAP. Использование группы ограничивает количество пользователей, которые будут добавлены в вашу учетную запись Google.

Пример:

Запрос пользователя
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Этот запрос возвращает всех пользователей, являющихся членами группы, идентифицированной по DN группы, имеющих адреса электронной почты и чьи учетные записи не отключены.

Как исключить организационное подразделение в моем аккаунте Google из синхронизации?

Вы можете настроить GCDS таким образом, чтобы исключить из списка организаций подразделение, созданное в вашей учетной записи Google, определив правило исключения «Полный путь организации» в конфигурации домена Google.

Пример:

Исключить правило
Тип: Полный путь организации
Тип совпадения: Точное совпадение
Правило: /OUPath/MyExcludedOU

Можно ли синхронизировать пользователей с дополнительным доменом?

Если вы добавили дополнительный (вторичный) домен, вы можете использовать GCDS для синхронизации пользователей с этим доменом. Для синхронизации пользователей с вашим вторичным доменом убедитесь, что почтовые адреса пользователей на вашем LDAP-сервере совпадают с именем вашего вторичного домена. GCDS создает пользователей в вашей учетной записи Google, используя ваш вторичный домен в качестве основного почтового адреса.

Если вы не хотите вносить изменения в существующий атрибут почты LDAP, назначьте другой атрибут для синхронизации адресов электронной почты пользователей вашего дополнительного домена. Подробную информацию о дополнительных доменах см. в разделе «Добавление домена-псевдонима пользователя или дополнительного домена» .

Можно ли использовать подстановочные знаки в запросах поиска пользователей LDAP?

Да, если LDAP-сервер поддерживает подстановочные знаки.

В каталогах LDAP не поддерживаются подстановочные знаки в атрибутах отличительных имен (DN) при выполнении запроса поиска пользователя. Например, можно использовать (mail=user*) , но нельзя (distinguishedName=*,DC=domain,DC=com) .

Можно ли использовать рекурсивный поиск с помощью оператора memberOf для запросов поиска пользователей?

Да, если вы используете LDAP-сервер, поддерживающий рекурсивный поиск memberOf. Он поддерживается Active Directory, но не OpenLDAP.

Почему мой пользовательский аккаунт Google Workspace блокируется после запуска GCDS?

Если учетная запись пользователя Google Workspace блокируется после запуска GCDS, вы получите сообщение об ошибке с объяснением причины. Чтобы избежать повторения этой ошибки при последующих синхронизациях, в зависимости от причины проблемы можно применить одно из следующих решений:

• Проблема: Пользователь не существует на LDAP-сервере.

  Решение: Поскольку пользователь отсутствует на LDAP-сервере, клиенту следует настроить правило исключения пользователей Google , чтобы предотвратить блокировку этого пользователя в Google Workspace со стороны GCDS.

• Проблема: у пользователя отсутствует действительный адрес электронной почты на LDAP-сервере.

  Решение: Вам следует указать адрес электронной почты для этого пользователя или настроить правило исключения пользователей Google , чтобы предотвратить блокировку пользователя в Google Workspace со стороны GCDS.

  Вы также можете изменить конфигурацию GCDS таким образом, чтобы она использовала атрибут адреса электронной почты пользователя, который находится на сервере LDAP. Например, используйте атрибут userPrincipalName (UPN) вместо атрибута mail .

• Проблема: Пользователь пропускается правилами исключения на LDAP-сервере.

  Решение: Вам следует исправить правила исключения, если вы не хотите блокировать этого пользователя.

• Проблема: Пользователь обнаруживается и блокируется в правилах поиска, потому что установлен флажок «Блокировать этих пользователей в домене Google» .

  Решение: Возможно, пользователя необходимо заблокировать.

• Проблема: Пользователь заблокирован на LDAP-сервере.

  Решение: Возможно, пользователя необходимо заблокировать.

Может ли GCDS синхронизировать циклические данные о членстве в группах?

В циклической структуре принадлежности к группе две (или более) группы являются членами друг друга. Например, группа А является членом группы В, а группа В является членом группы А.

Циклическое членство в группах поддерживается LDAP и Microsoft Active Directory. Однако оно не поддерживается Google Groups. При попытке синхронизации циклического членства вы увидите ошибку «Циклическое членство запрещено».

Как мне убедиться, что GCDS не удалит и не изменит существующие группы, которые я создал?

Вы можете настроить GCDS для исключения группы, определив правило исключения адресов электронной почты группы в конфигурации домена Google. Подробности см. в разделе «Использование правил для данных Google» .

Пример:

Исключить правило
Тип: Групповой адрес электронной почты
Тип совпадения: Точное совпадение
Правило: GCP_Project1@example.com

Примечание : Мы рекомендуем создавать и управлять этими группами в вашем LDAP-каталоге. Членство в группах обновляется в вашем аккаунте Google при синхронизации данных GCDS.

Чтобы сохранить существующие группы, отсутствующие в LDAP, можно включить параметр « Не удалять группы Google, не найденные в LDAP» . Подробности см. в разделе «Политика удаления групп Google» .

Синхронизирует ли GCDS созданные пользователями группы?

Группа, созданная пользователем, — это группа, созданная в Google Groups for Business . Если группа LDAP соответствует группе, созданной пользователем, GCDS игнорирует эту группу, как если бы для этой конкретной группы действовало правило исключения GCDS. Группа не будет удалена, если она не соответствует данным LDAP.

Если вы добавили участников в соответствующий объект или сущность в LDAP, GCDS добавит этих участников в группу. Если вы добавили в группу Google пользователей, которые не соответствуют вашим данным в LDAP, эти участники не будут удалены в процессе синхронизации.

Для получения дополнительной информации о группах, созданных пользователями, перейдите в раздел «Часто задаваемые вопросы для администраторов групп» .

Может ли GCDS синхронизировать вложенные группы пользователей?

Да, GCDS синхронизирует членство во вложенных группах. Однако существуют некоторые ограничения в отношении вложенных групп и доставки электронной почты с помощью Google Groups for Business. Не все члены вложенной группы получают содержимое электронных писем, отправляемых группе, когда:

• Разрешена модерация. Электронное письмо не будет автоматически отправлено участникам группы или другим вложенным группам до тех пор, пока модератор группы не даст свое одобрение.
• Родительская группа не имеет разрешения на отправку сообщений вложенным группам.

Связанные темы

• Добавить группу в другую группу
• Узнайте, кто может просматривать, публиковать и модерировать контент.

Может ли GCDS выполнять поиск по вложенным группам, входящим в одну группу?

Да. GCDS синхронизирует участников групп независимо от того, является ли участник пользователем или группой. Однако GCDS не поддерживает правило поиска для развертывания участников вложенных групп, если такое правило поиска не поддерживается вашим LDAP-сервером.

Как синхронизировать только действительных участников группы?

Вам необходимо синхронизировать только активных пользователей на LDAP-сервере. Например, у вас есть группа 1 на LDAP-сервере, в которой два участника: user1 и user2. Однако пользователь user1 заблокирован на LDAP-сервере. После синхронизации группа 1 в вашей учетной записи Google должна содержать только пользователя user2, а user1 будет заблокирован (или удален в зависимости от настроек GCDS).

Для синхронизации действительных участников группы:

1. Найдите файл конфигурации. Это тот же XML-файл, который вы используете для загрузки конфигурации GCDS.
2. Откройте файл конфигурации с помощью текстового редактора.
3. Найдите и удалите параметр INDEPENDENT_GROUP_SYNC .
4. Найдите параметр ADD_VALID_GROUP_MEMBERS_ONLY .

   Если его нет, добавьте его в файл.

5. Убедитесь, что синхронизация учетных записей пользователей включена.

   Для получения более подробной информации перейдите в раздел «Определение списка пользователей» .

6. Перед выполнением полной синхронизации запустите симуляцию для проверки результатов.

Как добавить необязательный флаг функции в конфигурационный файл GCDS?

Перед началом работы : убедитесь, что GCDS поддерживает эту функцию.

1. Найдите файл конфигурации. Это тот же XML-файл, который вы используете для загрузки конфигурации GCDS.
2. Откройте файл конфигурации с помощью текстового редактора.
3. В XML-файле найдите тег <features> и вставьте новую строку внутри этого тега.
4. В новой строке добавьте новый тег <optional> , внутри которого будет указано название функции.
5. Сохраните и закройте файл.

Пример

В следующем примере показано, как добавить функцию DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<особенности>

<optional>НЕ_РАЗРЕШАТЬ_КОНФЛИКТНЫЕ_УЧЕТНЫЕ ЗАПИСИ_ПОЛЬЗОВАТЕЛЕЙ</optional>

</features>

Почему GCDS постоянно выдает ошибку после очистки кэша?

Ошибка может быть вызвана проблемой конфигурации, например, неправильной настройкой правила исключения. Неправильная конфигурация может быть скрыта с помощью кэширования GCDS.

GCDS хранит кэш данных для вашего сервиса Google (например, Google Workspace или Cloud Identity) максимум 8 дней. В зависимости от размера кэшированных данных GCDS может очищать кэш чаще. Однако, если кэш не очищается, для просмотра изменений, внесенных непосредственно в вашу учетную запись Google (с помощью консоли администратора или другого API-клиента), может потребоваться до 8 дней.

Для очистки кэша вручную:

• Запустите синхронизацию из диспетчера конфигураций и выберите опцию очистки кэша при выполнении синхронизации.
• Используйте флаг командной строки -f для принудительной очистки кэша.
• Измените XML-файл конфигурации, установив значение параметра maxCacheLifetime равным 0 .

Важно : очистка кэша может значительно увеличить время синхронизации.

Пример: У вас есть группа, которая существует как на вашем LDAP-сервере, так и в вашей учетной записи Google. Вы создаете правило исключения Google для этой группы, надеясь предотвратить изменение группы системой GCDS во время синхронизации.

Однако это правило фактически приводит к тому, что GCDS ведет себя так, как будто группа не существует в вашем аккаунте Google. GCDS пытается создать группу, но, поскольку группа уже существует, вы видите ошибку, и GCDS добавляет ее в кэш. Последующие синхронизации используют кэш, и GCDS распознает, что группа уже существует. Затем, после очистки кэша, GCDS снова ведет себя так, как будто группа не существует.

Почему мне нужно настраивать GCDS для синхронизации паролей?

Настройки синхронизации паролей по умолчанию в GCDS определяют, как GCDS создает пароли для новых учетных записей пользователей. Если вы не хотите настраивать начальный пароль учетной записи, никаких действий не требуется. Просто используйте настройки по умолчанию.

Если вы используете Active Directory, вы можете использовать функцию синхронизации паролей для синхронизации паролей пользователей из Active Directory с вашим доменом Google.

Как GCDS разрешает конфликты при применении нескольких правил синхронизации?

GCDS рассматривает правила в порядке убывания их юрисдикции.

Например, вы настраиваете правило синхронизации учетных записей пользователей для создания пользователей в корневом организационном подразделении или в корневом каталоге /. Затем вы создаете правило более низкого уровня для создания пользователей в организационном подразделении /Exceptions. После синхронизации пользователи, соответствующие обоим правилам, создаются в корневом организационном подразделении, поскольку это правило имеет более высокий приоритет.

Чтобы гарантировать правильное размещение пользователей в разделе /Exceptions, убедитесь, что правило указано выше любого другого конфликтующего правила. Или убедитесь, что оно является первым правилом в упорядоченном списке.

Как можно провести аудит и проверку синхронизации GCDS?

GCDS использует трехэтапную авторизацию OAuth 2.0. В результате этого процесса GCDS получает токен OAuth 2.0. Этот токен позволяет GCDS выполнять действия от имени администратора, выполнившего авторизацию.

Все события аудита отображаются по имени администратора, который авторизовал GCDS. Рекомендуется создать отдельную учетную запись администратора GCDS, чтобы вы могли четко видеть изменения и аудиты, выполняемые GCDS.

Связанная тема

Авторизуйте свой аккаунт Google.

Удалит ли GCDS мои схемы, если я включу синхронизацию схем?

В процессе синхронизации GCDS учитывает текущую настройку LDAP, чтобы определить, следует ли сохранить или удалить пользовательскую схему в вашем аккаунте Google.

Кроме того, в конфигурационном файле GCDS есть параметр schemaHistory , содержащий информацию о ранее синхронизированных пользовательских схемах. Если пользовательская схема была синхронизирована GCDS, она автоматически добавляется в schemaHistory. Если вы вручную удалите параметр schemaHistory в конфигурационном файле, и если пользовательская схема отсутствует в вашем каталоге LDAP, GCDS пропустит этот шаг и не удалит пользовательскую схему из вашей учетной записи Google.

Чтобы удалить файл schemaHistory вручную в конфигурационном файле, найдите:

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

Можно ли синхронизировать GCDS из нескольких каталогов LDAP?

Синхронизация GCDS возможна только из одного каталога LDAP. Если у вас несколько каталогов LDAP, объедините данные вашего LDAP-сервера в один каталог. Подробности см. в шаге 2 раздела «Подготовка каталога LDAP» .

Как GCDS генерирует и безопасно хранит симметричный ключ?

Симметричный ключ, используемый для шифрования токена обновления GCDS, генерируется стандартным криптографическим генератором ключей Java с использованием алгоритма AES 128.

Сохранение симметричного ключа осуществляется методом userNodeForPackage в классе Preferences в Java. Точное местоположение ключа не контролируется GCDS и зависит от операционной системы.

В Windows данные о настройках хранятся в разделе реестра пользователя. В Linux они хранятся в домашнем каталоге пользователя.

Мы рекомендуем клиентам следовать передовым методам обеспечения надлежащей защиты ключа, используя как зашифрованную файловую систему, так и ограничивающие списки контроля доступа (ACL).

Что такое уникальный идентификатор?

Уникальный идентификатор (также называемый первичным ключом, не являющимся адресом) используется внутри GCDS и не синхронизируется с Google Workspace. GCDS хранит уникальный идентификатор в TSV-файле на компьютере, на котором установлен GCDS. Имя TSV-файла и его полный путь можно найти в XML-файле конфигурации.

Если имя пользователя изменено на LDAP-сервере, но не в Google Workspace, GCDS использует уникальный идентификатор, чтобы предотвратить удаление или дублирование данных пользователя.

Примечание: Изменение адресов электронной почты пользователей вручную как на LDAP-сервере, так и в Google Workspace может вызвать проблемы синхронизации. Чтобы избежать этой проблемы, удалите соответствующие записи пользователей из TSV-файла перед запуском GCDS.

Как синхронизировать группы безопасности из Active Directory или моего LDAP-каталога и использовать их в Cloud IAM?

Вы можете настроить GCDS для синхронизации групп безопасности с помощью правил поиска LDAP.

Пример 1: Поиск всех групп безопасности

В этом примере показан поиск по протоколу LDAP для всех групп безопасности, содержащих адрес электронной почты:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Пример 2: Поиск подмножества групп безопасности

Если вы хотите синхронизировать подмножество групп безопасности, рассмотрите возможность использования параметра extensionAttribute1 и укажите конкретное значение, например, GoogleCloud. Затем вы можете уточнить запрос GCDS, чтобы синхронизировать только определенное подмножество групп безопасности.

В этом примере показан поиск по протоколу LDAP для всех групп безопасности, содержащих адрес электронной почты и атрибут GoogleCloud:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Важный:

• Все группы в домене Google связаны с адресом электронной почты. Необходимо убедиться, что для всех групп безопасности, которые вы хотите синхронизировать, определен действительный атрибут mail.
• Группа, созданная в домене Google, не получает автоматически явную роль в системе управления идентификацией и доступом Google Cloud (IAM). После создания группы необходимо использовать Cloud IAM для назначения группе определенных ролей.

Как добавить пользователей, которым учетная запись нужна только для проектов Google Cloud?

Настроить GCDS можно, добавив правило синхронизации пользователей Google Cloud. Проще всего создать новый запрос на основе принадлежности пользователей к группе, например:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Затем вы можете использовать следующий фильтр поиска, чтобы отобразить пользователей, которые являются членами группы, имеют адрес электронной почты и чьи учетные записи не заблокированы:

группа cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Рассмотрите возможность объединения этих пользователей в единую организационную единицу. Для этого определите имя организационной единицы (например, «Пользователи облака») в правиле. Создайте организационную единицу, если она еще не существует.

Вопросы лицензирования

Учитывайте конфигурацию вашего домена, чтобы правильно назначать лицензии на продукты учетным записям пользователей. Если включено автоматическое лицензирование, возможно, вам следует исключить подразделение «Пользователи облака» из числа получателей лицензий на продукты. Подробности см. в разделе «Настройка параметров автоматического лицензирования для организации» .

Для более сложных требований к лицензированию вы можете настроить GCDS для синхронизации и управления всеми назначениями пользовательских лицензий. Подробности см. в разделе «Синхронизация лицензий» .