2. Подготовьте свой каталог LDAP

Развертывание Google Cloud Directory Sync (GCDS) можно ускорить, если заранее определить ваши ресурсы LDAP.

Вы на шаге 2 из 5.

Шаг 1: Установите сторонний LDAP-браузер.

Для сбора информации о структуре вашего LDAP-сервера загрузите и установите LDAP-браузер, например Softerra LDAP Administrator или JXplorer.

Важно : Google не поддерживает сторонние LDAP-браузеры.

Шаг 2: Составьте перечень данных LDAP.

Соберите следующую информацию:

  • Имя хоста или IP-адрес вашего LDAP-сервера.
  • Ваш сетевой доступ, прокси-серверы и исходящие соединения.
  • Следует ли использовать стандартное соединение LDAP или соединение LDAP через SSL? Подробности см. в разделе «Обеспечение аутентификации после обновления Microsoft ADV190023» .
  • Имя и пароль учетной записи на вашем LDAP-сервере с правами на чтение и выполнение. Если вы хотите ограничить пользователей и группы для синхронизации, вы можете настроить администратора LDAP с ограниченными правами на вашем сервере каталогов.
  • Подтверждение того, что каталог вашего LDAP-сервера соответствует всем требованиям сервера. Для получения более подробной информации перейдите на страницу LDAP-сервера .

GCDS может получать данные только из одного каталога LDAP. Если у вас несколько каталогов LDAP, учтите следующее:

  • Объединение данных вашего LDAP-сервера в одну директорию.
  • Если у вас несколько доменов Microsoft Active Directory, синхронизация из глобального каталога (с использованием порта 3268 или 3269) может помочь с синхронизацией. Примечание: перед выполнением полной синхронизации тщательно протестируйте это с помощью симуляции. Это связано с тем, что данные глобального каталога отличаются от данных основного раздела домена.

Шаг 3: Изучение структуры LDAP-сервера

Используйте LDAP-браузер для сбора следующей информации о вашем LDAP-сервере и его структуре:

  • Базовое отличительное имя (DN) LDAP — GCDS использует базовое DN в качестве верхнего уровня для всех запросов LDAP. Поскольку GCDS ищет пользователей и группы по базовому DN, укажите базовое DN на уровне, который включает пользователей и группы, которые вы хотите синхронизировать.

    Примечание: В конфигурации можно использовать несколько базовых DN. Для каждого правила синхронизации можно указать отдельный базовый DN.

  • Информация о структуре LDAP — Определите атрибуты LDAP, содержащие важную информацию, например, группы, включающие пользователей и другие ресурсы, которые вы хотите синхронизировать. Просмотрите структуру каталогов LDAP с помощью браузера LDAP. Изучите несколько примеров пользователей и других ресурсов, чтобы определить важные атрибуты LDAP.

  • Группы безопасности — Определите группы безопасности, которые вы хотите синхронизировать. Для корректной синхронизации каждая группа должна иметь уникальный адрес электронной почты, определенный в объекте группы.

Шаг 4: Очистка данных LDAP-сервера

  • Идентификация пользователей — Получите список текущих пользователей вашей организации и определите тех, кого вы хотите синхронизировать с доменом Google.
  • Найдите группы с поддержкой электронной почты — определите группы с поддержкой электронной почты, которые функционируют как списки рассылки, а не как группы безопасности, для синхронизации с доменом Google. Вы также можете настроить домен Google так, чтобы пользователи могли создавать и управлять своими собственными группами. Группы, управляемые пользователями, не затрагиваются синхронизацией.
  • Учитывайте рекомендации по именованию и паролям — убедитесь, что ваш каталог не содержит неподдерживаемых символов. Подробнее см. рекомендации по именованию .
  • (Необязательно) Заполните атрибут пароля — Если вы используете поле пароля в GCDS, создайте пользовательский атрибут в каталоге LDAP для пользователей вашего домена Google. Заполните атрибут параметром пароля. Подробнее см. [Как синхронизировать пароли?](](https://support.google.com/a/answer124474#passwords)
  • (Необязательно) Установите правила именования — Укажите любые правила именования электронных писем, которые вы хотите использовать. Обновите учетные записи пользователей в соответствии с этими правилами.

Шаг 5: Отметьте пользователей Google в каталоге LDAP.

Для упрощения LDAP-запросов перед настройкой синхронизации следует отметить всех пользователей Google в каталоге LDAP. Отметить пользователей Google можно следующим образом:

  • Описательное имя — В каталоге LDAP отметьте пользователей, которых вы планируете синхронизировать, описательным именем, например, GoogleUsers. Затем, после того как синхронизация будет настроена и будет работать правильно, вы можете отметить активных пользователей Google другим именем, например, GoogleActiveUsers.
  • Организационная единица — В вашем LDAP-каталоге создайте организационную единицу и переместите в нее своих пользователей Google. Настройте GCDS так, чтобы синхронизировать только пользователей из этой организационной единицы.
  • Группа — Создайте новую группу в каталоге LDAP и добавьте в нее своих пользователей Google. Настройте GCDS так, чтобы он считывал данные только у участников этой группы.
  • Пользовательский атрибут — Создайте пользовательский атрибут для ваших пользователей Google и установите его для новых пользователей. Настройте GCDS так, чтобы он считывал данные только у тех пользователей, у которых есть этот атрибут.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.