如果您事先确定了 LDAP 资源,就可以更快地部署 Google Cloud Directory Sync (GCDS)。
当前进度:第 2 步(共 5 步)
第 1 步:安装第三方 LDAP 浏览器
如要收集关于您的 LDAP 服务器结构的信息,您必须下载并安装一个 LDAP 浏览器,如 Softerra LDAP Administrator 或 JXplorer。
重要提示:Google 不会为第三方 LDAP 浏览器提供支持服务。
第 2 步:收集 LDAP 数据资源
请收集以下信息:
- 您的 LDAP 服务器的主机名或 IP 地址。
- 您的网络访问信息、代理服务器和出站连接信息。
- 是该使用标准 LDAP 还是基于 SSL 的 LDAP 连接。有关详情,请参阅确保在 Microsoft ADV190023 更新后进行身份验证。
- 对您的 LDAP 服务器拥有读取权和执行权的帐号的用户名和密码。如果您想要限制要同步的用户和群组,您可以设置一个 LDAP 管理员,向其授予对目录服务器的受限访问权限。
- 确认您的 LDAP 服务器目录满足所有服务器要求。有关详情,请参阅 LDAP 服务器。
GCDS 只能从一个 LDAP 目录中获取数据。如果您拥有多个 LDAP 目录,请考虑执行以下操作:
- 将您的 LDAP 服务器数据整合到一个目录。
- 如果您有多个 Microsoft Active Directory 网域,那么通过全局目录进行同步(使用端口 3268 或 3269)可能会对您的同步活动有所帮助。
注意:请在执行完整的同步任务前进行全面的模拟测试。这是因为全局目录数据与主网域分区数据不同。
第 3 步:研究 LDAP 服务器结构
使用 LDAP 浏览器收集关于您的 LDAP 服务器和结构的信息,包括:
- LDAP 基本标识名 (DN):GCDS 会使用基本 DN 作为所有 LDAP 查询的顶层。由于 GCDS 会通过基本 DN 来搜索用户和群组,请在包含您想要同步的用户和群组的级别指定基本 DN。
注意:您可以在一个配置中使用多个基本 DN。可以为每条同步规则指定单独的基本 DN。 - LDAP 结构信息:确定包含重要信息的 LDAP 属性,例如,用户所属的群组以及您想要同步的其他资源。请使用 LDAP 浏览器来浏览您的 LDAP 目录结构,然后检查某些示例用户和其他资源以确定重要的 LDAP 属性。
- 安全群组:确定您可能想同步的安全群组。每个群组必须拥有唯一的电子邮件地址(在群组对象中定义),以确保正确同步。
第 4 步:清理 LDAP 服务器数据
- 确定用户:获取您单位的当前用户列表,并确定要与 Google 网域同步的具体用户。
- 确定已启用邮件的群组:确定要与 Google 网域同步且已启用邮件的群组,这些群组起着邮寄名单的作用,而不是安全群组。您还可以将 Google 网域设为允许用户创建和管理自己的群组。由用户管理的群组不受同步影响。
- 参考名称和密码准则,以确保您的目录不包含不受支持的字符。有关详情,请参阅命名准则。
- (可选)填充密码属性:如果您使用了 GCDS 中的密码字段,请在您的 LDAP 目录中为 Google 网域用户创建自定义属性,然后用密码设置填充该属性。有关详情,请参阅如何同步密码?
- (可选)设置命名规则:确定您想要使用的任何电子邮件命名规则,然后更新用户以适应相应规则。
第 5 步:在 LDAP 目录中标记 Google 用户
为了简化 LDAP 查询,您应该先标记 LDAP 目录中的所有 Google 用户,然后再设置同步。您可以通过以下方式标记 Google 用户:
- 描述性名称:在 LDAP 目录中使用描述性的名称来标记您打算同步的用户,例如 GoogleUsers。设置好同步并正确运行后,您可以使用其他名称标记处于活动状态的 Google 用户,例如 GoogleActiveUsers。
- 单位部门:在 LDAP 目录中设置一个单位部门,然后将 Google 用户移入该部门。您可以将 GCDS 设置为仅该同步单位部门中的用户。
- 群组:在 LDAP 目录中创建一个新的群组,然后将 Google 用户添加为群组成员。您可以将 GCDS 设置为仅读取该群组中的成员。
- 自定义属性:为 Google 用户创建自定义属性,然后设置新用户的属性。您可以将 GCDS 设置为仅读取具有该属性的用户。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。