Часто задаваемые вопросы о GCDS

Как авторизовать GCDS на машине без графического интерфейса?

1. Убедитесь, что вы используете GCDS версии 4.7.14 или более поздней.

   Подробную информацию см. в разделе Обновление GCDS .

2. Авторизуйте GCDS на компьютере с графическим интерфейсом.

   Подробную информацию см. в разделе Авторизация учетной записи Google .

3. Создайте и сохраните XML-файл.
4. На том же компьютере используйте командную строку для запуска инструмента upgrade-config с параметром -exportkeys .

   Пример: upgrade-config -exportkeys файл ключа шифрования [ пароль ]

   В этом примере ключи экспортируются в файл с именем «файл ключа шифрования» . Использование пароля необязательно.

5. Скопируйте файл ключа шифрования и файл конфигурации на компьютер без графического интерфейса.
6. На компьютере без графического интерфейса используйте командную строку для запуска инструмента upgrade-config с параметром -importkeys .

   Пример: upgrade-config -importkeys имя файла

   Важно : Параметр -importkeys удаляет все авторизованные конфигурации GCDS, которые могут быть на вашем компьютере.

7. При необходимости введите пароль, установленный на шаге 4.

   Вы должны получить подтверждение того, что ключи были успешно импортированы.

Совет : для получения дополнительных параметров введите в командной строке команду upgrade-config -help .

Как перенести GCDS на другой сервер?

1. Если вы считаете, что у вас есть ожидающие изменения адреса электронной почты пользователя (переименование пользователя), или не уверены в этом, выберите один из вариантов:
   • Запустите синхронизацию на старом сервере.
   • Скопируйте файлы со значениями, разделенными табуляцией (TSV), на новый сервер.

     Имя и местоположение файлов TSV можно найти в файле конфигурации, выполнив поиск по .tsv .

   • Установите GCDS на новый сервер. Инструкции см. в разделе «Загрузка и установка GCDS» .
2. Скопируйте файл конфигурации на новый сервер.
3. На новом сервере в Configuration Manager откройте файл конфигурации.
4. Повторно авторизуйте GCDS для своего аккаунта Google. Инструкции см. в статье «Авторизация аккаунта Google» .
5. На странице конфигурации LDAP обновите пароль LDAP. Инструкции см. в разделе «Настройки подключения LDAP» .
6. На странице «Уведомления» обновите пароль SMTP. Инструкции см. в разделе «Атрибуты уведомлений» .
7. Запустите имитацию синхронизации.
8. Проверьте синхронизацию, чтобы убедиться в отсутствии неожиданных изменений.
9. Запустите полную синхронизацию.

   После синхронизации TSV-файлы со старого сервера будут обновлены. Если вы не перенесли TSV-файлы, будут созданы новые.

Что делать, если у меня возникли проблемы с сертификатами?

Если у вас возникли проблемы с сертификатами при работе GCDS, см. раздел Устранение неполадок, связанных с сертификатами .

Какие API использует GCDS?

GCDS использует API Google Workspace для синхронизации данных вашего каталога с вашей учётной записью Google. Для аутентификации API используют OAuth, а не пароль администратора. Такой подход позволяет таким функциям, как двухэтапная аутентификация (2SV), оставаться активными, не влияя на функциональность GCDS.

GCDS использует следующие API:

• API каталога
• API облачной идентификации
• API настроек групп
• API менеджера корпоративных лицензий
• API общих контактов домена

Почему я не вижу ожидаемых изменений в своем аккаунте Google?

Изменения в вашем аккаунте Google могут появиться в течение 8 дней. Чтобы понять, почему это происходит, необходимо разобраться, как GCDS кэширует данные.

GCDS хранит кэш данных вашего аккаунта Google не более 8 дней. GCDS может очищать кэш чаще в зависимости от размера кэшированных данных. Однако, если кэш не очищать, изменения, внесённые непосредственно в ваш аккаунт Google (с помощью консоли администратора или другого API-клиента), могут появиться только через 8 дней.

После очистки кэша GCDS идентифицирует изменение в учётной записи Google и сравнивает его с исходными данными в каталоге LDAP. Если данные не совпадают, GCDS отменяет изменение, внесённое в учётную запись Google.

Чтобы очистить кэш вручную:

• Запустите синхронизацию из Configuration Manager и выберите очистку кэша при выполнении синхронизации.
• Используйте флаг командной строки -f для принудительной очистки кэша.
• Измените файл конфигурации XML, чтобы задать для параметра maxCacheLifetime значение 0 .

Важно : Очистка кэша может значительно увеличить время синхронизации.

Как GCDS получает доступ к данным профиля пользователя в моей учетной записи Google?

Профили пользователей, включая дополнительные атрибуты, записываются в учётную запись Google и отображаются в её каталоге. GCDS обращается к каталогу через Google Контакты. Подробнее см. в разделе «Обзор: Настройка и управление каталогом» .

Как GCDS определяет, какие псевдонимы адресов электронной почты добавляются в учетную запись Google?

В конфигурации GCDS можно указать атрибуты, которые оценивает GCDS. GCDS оценивает данные, хранящиеся в атрибуте, только если они соответствуют допустимому SMTP-адресу.

При использовании proxyAddresses Microsoft Active Directory GCDS удаляет префикс smtp: во время синхронизации, поэтому префикс не отображается в вашем домене Google.

Могу ли я синхронизироваться с несколькими аккаунтами Google одновременно?

Да. Вы можете использовать GCDS для синхронизации одного каталога LDAP с несколькими учётными записями Google, используя несколько файлов конфигурации. При одновременном запуске нескольких синхронизаций убедитесь, что файлы конфигурации сохранены под уникальными именами.

Чтобы клонировать существующий файл конфигурации, используйте опцию Сохранить как в диспетчере конфигураций и сохраните файл под новым именем.

Как GCDS разрешает конфликтующие учетные записи?

GCDS использует настройки управления конфликтующими аккаунтами, заданные в консоли администратора Google. Подробнее см. в статье Управление конфликтующими аккаунтами с помощью GCDS .

Как настроить GCDS для предоставления услуг только определенной подгруппе пользователей?

Если вы хотите синхронизировать подгруппу пользователей с вашей учётной записью Google, вы можете использовать в качестве источника одну группу каталога Active Directory или LDAP. Использование группы ограничивает количество пользователей, которые будут синхронизированы с вашей учётной записью Google.

Пример:

Запрос пользователя
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Этот запрос возвращает всех пользователей, которые являются членами группы, идентифицированной по отличительному имени группы, имеют адреса электронной почты и чьи учетные записи не отключены.

Как исключить организационное подразделение в моем аккаунте Google из синхронизации?

Вы можете настроить GCDS для исключения организационного подразделения, настроенного в вашей учетной записи Google, определив правило исключения полного пути организации в конфигурации домена Google.

Пример:

Правило исключения
Тип: Организация Полный путь
Тип соответствия: Точное совпадение
Правило: /OUPath/MyExcludedOU

Могу ли я синхронизировать пользователей с дополнительным доменом?

Если вы добавили дополнительный (дополнительный) домен, вы можете использовать GCDS для синхронизации пользователей с этим доменом. Чтобы синхронизировать пользователей с вашим дополнительным доменом, убедитесь, что почтовые адреса пользователей на вашем LDAP-сервере соответствуют имени вашего дополнительного домена. GCDS создаст пользователей в вашей учётной записи Google, используя ваш дополнительный домен в качестве основного почтового адреса.

Если вы не хотите вносить изменения в существующий атрибут почты LDAP, назначьте другой атрибут для синхронизации адресов электронной почты пользователей вашего дополнительного домена. Подробнее о дополнительных доменах см. в статье Добавление псевдонима домена пользователя или дополнительного домена .

Можно ли использовать подстановочные знаки в запросах поиска пользователей LDAP?

Да, если сервер LDAP поддерживает подстановочные знаки.

Каталоги LDAP не поддерживают подстановочные знаки в атрибутах различающихся имён (DN) при поиске пользователей. Например, можно использовать (mail=user*) , но не (distinguishedName=*,DC=domain,DC=com) .

Могу ли я использовать рекурсивный поиск memberOf для поисковых запросов пользователей?

Да, если вы используете LDAP-сервер, поддерживающий рекурсивный поиск memberOf. Active Directory поддерживает рекурсивный поиск, но не OpenLDAP.

Почему моя учетная запись пользователя Google Workspace блокируется после запуска GCDS?

Если учётная запись пользователя Google Workspace будет заблокирована после запуска GCDS, вы получите сообщение об ошибке с объяснением причины. Чтобы избежать повторения этой ошибки при последующих синхронизациях, вы можете применить одно из следующих решений в зависимости от причины проблемы:

• Проблема: Пользователь не существует на сервере LDAP.

  Решение: поскольку пользователь отсутствует на сервере LDAP, клиент должен установить правило исключения пользователей Google , чтобы предотвратить приостановку действия этого пользователя в Google Workspace системой GCDS.

• Проблема: у пользователя нет действительного адреса электронной почты на сервере LDAP.

  Решение: необходимо настроить адрес электронной почты для этого пользователя или установить правило исключения пользователей Google , чтобы предотвратить приостановку учетной записи пользователя в Google Workspace системой GCDS.

  Вы также можете изменить конфигурацию GCDS так, чтобы она использовала атрибут адреса электронной почты пользователя, хранящийся на LDAP-сервере. Например, используйте атрибут userPrincipalName (UPN) вместо атрибута mail .

• Проблема: Пользователь пропускается правилами исключения на сервере LDAP.

  Решение: Вам следует исправить правила исключения, если вы не хотите приостанавливать действия этого пользователя.

• Проблема: Пользователь обнаруживается и блокируется в правилах поиска, так как отмечена опция «Блокировать этих пользователей в домене Google» .

  Решение: Возможно, потребуется приостановить действие аккаунта пользователя.

• Проблема: Пользователь был приостановлен на сервере LDAP.

  Решение: Возможно, потребуется приостановить действие аккаунта пользователя.

Может ли GCDS синхронизировать циклическое членство в группах?

При циклическом групповом членстве две (или более) группы являются членами друг друга. Например, группа A является членом группы B, а группа B является членом группы A.

Циклическое членство в группах поддерживается LDAP и Microsoft Active Directory. Однако оно не поддерживается Google Groups. При попытке синхронизировать циклическое членство вы увидите ошибку «Циклическое членство не разрешено».

Как я могу гарантировать, что GCDS не удалит или не изменит существующие группы, которые я создал?

Вы можете настроить GCDS для исключения группы, определив правило исключения группового адреса электронной почты в конфигурации домена Google. Подробнее см. в статье Использование правил для данных Google .

Пример:

Правило исключения
Тип: Групповой адрес электронной почты
Тип соответствия: Точное совпадение
Правило: GCP_Project1@example.com

Примечание : рекомендуем создавать и управлять этими группами в каталоге LDAP. Информация о членстве в группах сохраняется в вашем аккаунте Google при синхронизации данных GCDS.

Чтобы сохранить существующие группы, не входящие в LDAP, включите параметр « Не удалять группы Google, не найденные в LDAP» . Подробнее см. в разделе «Политика удаления групп Google» .

Синхронизирует ли GCDS группы, созданные пользователями?

Группа, созданная пользователем, — это группа, созданная в Google Группах для бизнеса . Если группа LDAP совпадает с группой, созданной пользователем, GCDS игнорирует эту группу, как будто для неё установлено правило исключения GCDS. Группа не будет удалена, если её данные не соответствуют данным LDAP.

Если вы добавили участников в соответствующий объект или сущность в LDAP, GCDS добавит их в группу. Если вы добавили в группу Google пользователей, не соответствующих вашим данным LDAP, эти участники не будут удалены в процессе синхронизации.

Дополнительную информацию о группах, созданных пользователями, можно найти в разделе Часто задаваемые вопросы администратора групп .

Может ли GCDS синхронизировать членство во вложенных группах?

Да, GCDS синхронизирует членство во вложенных группах. Однако существуют некоторые ограничения, касающиеся вложенных групп и доставки электронной почты в Google Группах для бизнеса. Не все участники вложенных групп получают содержимое электронной почты, отправленное группе, если:

• Разрешение на модерацию включено. Электронное письмо не будет автоматически отправлено участникам группы или другим вложенным группам, пока модератор группы не даст разрешение.
• Родительская группа не имеет разрешения на публикацию сообщений для отправки во вложенные группы.

Похожие темы

• Добавить группу в другую группу
• Посмотрите, кто может просматривать, публиковать и модерировать

Может ли GCDS выполнять поиск по членству во вложенных группах?

Да. GCDS синхронизирует участников групп, независимо от того, является ли участник пользователем или группой. Однако GCDS не поддерживает правило поиска для раскрытия участников вложенных групп, если это правило поиска не поддерживается вашим LDAP-сервером.

Как синхронизировать только действительных участников группы?

Вам нужно синхронизировать только активных участников на LDAP-сервере. Например, у вас есть Группа 1 на LDAP-сервере, в которой два участника: user1 и user2. Однако пользователь user1 заблокирован на LDAP-сервере. После синхронизации Группа 1 в вашей учётной записи Google должна содержать только пользователя user2, а пользователь user1 заблокирован (или удалён в зависимости от настроек GCDS).

Чтобы синхронизировать действительных участников группы:

1. Найдите файл конфигурации. Это тот же XML-файл, который вы используете для загрузки конфигурации GCDS.
2. Откройте файл конфигурации с помощью текстового редактора.
3. Найдите и удалите параметр INDEPENDENT_GROUP_SYNC .
4. Найдите параметр ADD_VALID_GROUP_MEMBERS_ONLY .

   Если его нет, добавьте его в файл.

5. Убедитесь, что синхронизация учетных записей пользователей включена.

   Подробную информацию см. в разделе Определение списка пользователей .

6. Запустите симуляцию, чтобы проверить результаты, прежде чем выполнять полную синхронизацию.

Как добавить флаг дополнительной функции в файл конфигурации GCDS?

Прежде чем начать : убедитесь, что GCDS поддерживает эту функцию.

1. Найдите файл конфигурации. Это тот же XML-файл, который вы используете для загрузки конфигурации GCDS.
2. Откройте файл конфигурации с помощью текстового редактора.
3. В XML-файле найдите тег <features> и вставьте новую строку внутрь тега.
4. В новой строке добавьте новый тег <optional> с названием функции внутри него.
5. Сохраните и закройте файл.

Пример

В следующем примере показано, как добавить функцию DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<особенности>

<необязательно>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</необязательно>

</особенности>

Почему GCDS продолжает возвращать ошибку после очистки кэша?

Ошибка может быть вызвана проблемой конфигурации, например, неправильной настройкой правила исключения. Неправильная конфигурация может быть скрыта кэшированием GCDS.

GCDS хранит кэш данных вашего сервиса Google (например, Google Workspace или Cloud Identity) не более 8 дней. GCDS может очищать кэш чаще в зависимости от размера кэшированных данных. Однако, если кэш не очищать, изменения, внесённые непосредственно в ваш аккаунт Google (с помощью консоли администратора или другого API-клиента), могут появиться только через 8 дней.

Чтобы очистить кэш вручную:

• Запустите синхронизацию из Configuration Manager и выберите очистку кэша при выполнении синхронизации.
• Используйте флаг командной строки -f для принудительной очистки кэша.
• Измените файл конфигурации XML, чтобы задать для параметра maxCacheLifetime значение 0 .

Важно : Очистка кэша может значительно увеличить время синхронизации.

Пример: у вас есть группа, существующая как на вашем LDAP-сервере, так и в вашей учётной записи Google. Вы создаёте правило исключения Google для этой группы, надеясь предотвратить её изменение GCDS во время синхронизации.

Однако это правило фактически заставляет GCDS вести себя так, как будто группы нет в вашем аккаунте Google. GCDS пытается создать группу, но, поскольку она уже существует, возникает ошибка, и GCDS добавляет её в кэш. Последующие синхронизации используют кэш, и GCDS распознаёт, что группа уже существует. После очистки кэша GCDS снова ведёт себя так, как будто группы нет.

Зачем мне нужно настраивать GCDS для синхронизации паролей?

Настройки синхронизации паролей по умолчанию в GCDS определяют, как GCDS создаёт пароли для новых учётных записей пользователей. Если вы не хотите настраивать начальный пароль учётной записи, никаких действий не требуется. Просто используйте настройки по умолчанию.

Если вы используете Active Directory, вы можете использовать Password Sync для синхронизации паролей пользователей из Active Directory с вашим доменом Google.

Как GCDS разрешает конфликты при применении нескольких правил синхронизации?

GCDS рассматривает правила по порядку, от высшего к низшему.

Например, вы настраиваете правило синхронизации учётных записей пользователей для создания пользователей в корневом подразделении организации или в подразделении /. Затем вы создаёте правило более низкого уровня для создания пользователей в подразделении /Exceptions. После синхронизации пользователи, соответствующие обоим правилам, создаются в корневом подразделении организации, поскольку это правило имеет более высокий приоритет.

Чтобы гарантировать правильное размещение пользователей в /Exceptions, убедитесь, что правило указано выше всех других конфликтующих правил. Или что оно является первым в упорядоченном списке.

Как можно провести аудит и проверку синхронизации GCDS?

GCDS использует трёхсторонний протокол OAuth 2.0 для авторизации. В результате этого процесса GCDS получает токен OAuth 2.0. Этот токен позволяет GCDS выполнять действия от имени администратора, выполнившего авторизацию.

Все события аудита перечислены администратором, авторизовавшим GCDS. Рекомендуем создать отдельную учётную запись администратора GCDS, чтобы иметь возможность наглядно видеть изменения и аудиты, проведённые GCDS.

Связанная тема

Авторизуйте свой аккаунт Google

Удаляет ли GCDS мои схемы, если я включаю синхронизацию схем?

Во время синхронизации GCDS учитывает текущую настройку LDAP, чтобы определить, следует ли сохранить или удалить пользовательскую схему в вашей учетной записи Google.

Кроме того, в файле конфигурации GCDS есть параметр schemaHistory , содержащий информацию о ранее синхронизированных пользовательских схемах. Если GCDS синхронизировал пользовательскую схему, она автоматически добавляется в schemaHistory. Если вы вручную удалите параметры schemaHistory из файла конфигурации, и пользовательская схема отсутствует в вашем каталоге LDAP, GCDS пропустит этот шаг и не удалит пользовательскую схему из вашей учётной записи Google.

Чтобы вручную удалить schemaHistory в файле конфигурации, найдите:

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

Можно ли синхронизировать GCDS из нескольких каталогов LDAP?

GCDS может синхронизировать данные только из одного каталога LDAP. Если у вас несколько каталогов LDAP, объедините данные сервера LDAP в один. Подробнее см. в шаге 2 раздела «Подготовка каталога LDAP» .

Как GCDS генерирует и безопасно хранит симметричный ключ?

Симметричный ключ, шифрующий токен обновления GCDS, генерируется стандартным Java Crypto KeyGenerator с использованием AES 128.

Хранение симметричного ключа осуществляется методом userNodeForPackage класса Preferences в Java. Точное расположение ключа не контролируется GCDS и зависит от операционной системы.

В Windows данные о настройках хранятся в разделе реестра пользователя. В Linux они хранятся в домашнем каталоге пользователя.

Мы рекомендуем клиентам следовать лучшим практикам, чтобы гарантировать надежную защиту ключа, используя зашифрованную файловую систему и устанавливая ограничительные списки контроля доступа (ACL).

Что такое уникальный идентификатор?

Уникальный идентификатор (также называемый неадресным первичным ключом) используется внутри GCDS и не синхронизируется с Google Workspace. GCDS хранит уникальный идентификатор в TSV-файле на компьютере, где установлен GCDS. Имя TSV-файла и полный путь к нему можно найти в XML-файле конфигурации.

Если пользователь переименован на сервере LDAP, но не в Google Workspace, GCDS использует уникальный идентификатор, чтобы предотвратить удаление или дублирование данных пользователя.

Примечание: при ручном изменении адресов электронной почты пользователя на сервере LDAP и в Google Workspace могут возникнуть проблемы с синхронизацией. Чтобы избежать этой проблемы, удалите соответствующие записи пользователя из TSV-файла перед запуском GCDS.

Как синхронизировать группы безопасности из Active Directory или моего каталога LDAP и использовать их в Cloud IAM?

Вы можете настроить GCDS для синхронизации групп безопасности с использованием правил поиска LDAP.

Пример 1: Поиск всех групп безопасности

В этом примере показан поиск LDAP для всех групп безопасности, имеющих адрес электронной почты:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Пример 2: Поиск подмножества групп безопасности

Если вы хотите синхронизировать подмножество групп безопасности, используйте extensionAttribute1 и задайте конкретное значение, например, GoogleCloud. Затем вы можете уточнить запрос GCDS, чтобы синхронизировать только определённое подмножество групп безопасности.

В этом примере показан поиск LDAP для всех групп безопасности, имеющих адрес электронной почты и атрибут GoogleCloud:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Важный:

• Все группы в домене Google ссылаются на адрес электронной почты. Необходимо убедиться, что для всех групп безопасности, которые вы хотите синхронизировать, определён действительный атрибут почты.
• Группа, созданная в домене Google, не получает автоматически явную роль Google Cloud Identity and Access Management (IAM). После создания группы необходимо использовать Cloud IAM для назначения ей определённых ролей.

Как добавить пользователей, которым нужна учетная запись только для проектов Google Cloud?

Вы можете настроить GCDS, добавив правило синхронизации для пользователей Google Cloud. Проще всего создать новый запрос на основе принадлежности пользователей к группе, например:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Затем вы можете использовать следующий фильтр поиска, чтобы вернуть пользователей, которые являются участниками группы, имеют адрес электронной почты и чьи учетные записи не приостановлены:

группа cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Рассмотрите возможность объединения этих пользователей в одно организационное подразделение. Для этого укажите название организационного подразделения (например, «Пользователи облака») в правиле. Создайте организационное подразделение, если оно ещё не существует.

Проблемы с лицензированием

Продумайте конфигурацию вашего домена, чтобы иметь возможность правильно назначать лицензии на продукты учётным записям пользователей. Если включено автоматическое лицензирование, вы можете исключить подразделение Cloud Users из списка получателей лицензий на продукты. Подробнее см. в статье «Настройка параметров автоматического лицензирования для организации» .

Для более сложных требований к лицензированию вы можете настроить GCDS для синхронизации и управления всеми назначенными лицензиями пользователей. Подробнее см. в разделе Синхронизация лицензий .