2. Подготовьте свой каталог LDAP

Вы сможете развернуть Google Cloud Directory Sync (GCDS) быстрее, если заранее определите свои ресурсы LDAP.

Вы на шаге 2 из 5

Шаг 1: Установите сторонний LDAP-браузер

Чтобы собрать информацию о структуре вашего сервера LDAP, загрузите и установите браузер LDAP, например Softerra LDAP Administrator или JXplorer.

Важно : Google не поддерживает сторонние браузеры LDAP.

Шаг 2: Соберите инвентаризацию данных LDAP

Соберите эту информацию:

  • Имя хоста или IP-адрес вашего LDAP-сервера.
  • Ваш сетевой доступ, прокси-серверы и исходящие соединения.
  • Следует ли использовать стандартное соединение LDAP или LDAP через SSL? Подробнее см. в статье «Обеспечение аутентификации после обновления Microsoft ADV190023» .
  • Имя и пароль учётной записи на вашем LDAP-сервере с правами на чтение и выполнение. Если вы хотите ограничить круг пользователей и групп, участвующих в синхронизации, вы можете настроить администратора LDAP с ограниченными правами на вашем сервере каталогов.
  • Подтверждение того, что ваш каталог LDAP-сервера соответствует всем требованиям. Подробнее см. в разделе LDAP-сервер .

GCDS может получать данные только из одного каталога LDAP. Если у вас несколько каталогов LDAP, учтите следующее:

  • Объединение данных вашего LDAP-сервера в единый каталог.
  • Если у вас несколько доменов Microsoft Active Directory, синхронизация из глобального каталога (через порт 3268 или 3269) может помочь. Примечание: Перед полной синхронизацией тщательно протестируйте это с помощью симуляции. Это связано с тем, что данные глобального каталога отличаются от данных основного раздела домена.

Шаг 3: Исследование структуры сервера LDAP

Используйте браузер LDAP для сбора следующей информации о вашем сервере LDAP и структуре:

  • Базовое отличительное имя (DN) LDAP — GCDS использует базовое отличительное имя в качестве верхнего уровня для всех запросов LDAP. Поскольку GCDS ищет пользователей и группы по базовому отличительному имени, укажите базовое отличительное имя на уровне, включающем пользователей и группы, которые вы хотите синхронизировать.

    Примечание: в конфигурации можно использовать несколько базовых DN. Вы можете указать отдельный базовый DN для каждого правила синхронизации.

  • Информация о структуре LDAP — определите атрибуты LDAP, содержащие важную информацию, например, группы, содержащие пользователей и другие ресурсы, которые вы хотите синхронизировать. Просмотрите структуру каталога LDAP с помощью LDAP-браузера. Изучите несколько примеров пользователей и других ресурсов, чтобы определить важные атрибуты LDAP.

  • Группы безопасности — определите группы безопасности, которые вы хотите синхронизировать. Для корректной синхронизации каждая группа должна иметь уникальный адрес электронной почты, определённый в объекте группы.

Шаг 4: Очистка данных сервера LDAP

  • Определите пользователей. Получите список текущих пользователей вашей организации и определите тех, которых вы хотите синхронизировать с доменом Google.
  • Найдите группы с поддержкой почты — определите группы с поддержкой почты, которые работают как списки рассылки, а не как группы безопасности, для синхронизации с доменом Google. Вы также можете разрешить пользователям создавать и управлять своими группами в домене Google. Группы, управляемые пользователями, синхронизация не затрагивает.
  • Учитывайте правила выбора имени и пароля — убедитесь, что ваш каталог не содержит неподдерживаемых символов. Подробнее см. в правилах именования .
  • (Необязательно) Заполните атрибут пароля . Если вы используете поле пароля в GCDS, создайте настраиваемый атрибут в каталоге LDAP для пользователей домена Google. Заполните атрибут настройкой пароля. Подробнее см. в разделе [Как вы будете синхронизировать пароли?](](https://support.google.com/a/answer124474#passwords)
  • (Необязательно) Задайте правила именования — определите любые правила именования адресов электронной почты, которые вы хотите использовать. Обновите пользователей в соответствии с этими правилами.

Шаг 5: Отметьте пользователей Google в каталоге LDAP

Чтобы упростить запросы LDAP, перед настройкой синхронизации необходимо отметить всех пользователей Google в каталоге LDAP. Вы можете отметить пользователей Google с помощью:

  • Описательное имя — в каталоге LDAP отметьте пользователей, которых вы планируете синхронизировать, описательным именем, например, GoogleUsers. Затем, после настройки и корректной работы синхронизации, вы можете отметить активных пользователей Google другим именем, например, GoogleActiveUsers.
  • Организационное подразделение — создайте в каталоге LDAP организационное подразделение и переместите в него пользователей Google. Настройте GCDS для синхронизации только пользователей из этого организационного подразделения.
  • Группа — создайте новую группу в каталоге LDAP и добавьте пользователей Google в качестве участников группы. Настройте GCDS так, чтобы он мог читать только участников группы.
  • Настраиваемый атрибут — создайте настраиваемый атрибут для пользователей Google и задайте его для новых пользователей. Настройте GCDS так, чтобы он читал только пользователей с этим атрибутом.


Google, Google Workspace и связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.