Развертывание Google Cloud Directory Sync (GCDS) пройдет быстрее, если предварительно провести инвентаризацию ресурсов LDAP.
Шаг 2 из 5
Шаг 1. Установите сторонний LDAP-браузер
Чтобы собрать информацию о структуре LDAP-сервера, необходимо скачать и установить LDAP-браузер, например Softerra LDAP Administrator или JXplorer.
Внимание! Google не предоставляет поддержку для сторонних LDAP-браузеров.
Шаг 2. Соберите информацию о LDAP
Соберите следующие данные:
- Имя хоста или IP-адрес вашего LDAP-сервера.
- Сетевой доступ, прокси-серверы и исходящие соединения.
- Тип соединения – по стандартному протоколу LDAP или по протоколу LDAP с использованием SSL. Дополнительные сведения приведены в разделе Проверьте, корректно ли выполняется аутентификация после обновления Microsoft ADV190023.
- Название и пароль аккаунта с правами чтения и выполнения на LDAP-сервере. Чтобы синхронизировать меньше пользователей и групп, на сервере каталога можно настроить инструмент администратора LDAP с ограниченными правами.
- Подтверждение того, что выбранный вами каталог LDAP-сервера соответствует всем требованиям сервера. Подробнее о LDAP-серверах…
GCDS может получать данные только из одного каталога LDAP. Если у вас есть несколько каталогов LDAP, советуем сделать следующее:
- Объедините все данные LDAP-сервера в один каталог.
- Если вы используете несколько доменов Microsoft Active Directory, синхронизация может пройти успешнее, если выполнять ее из глобального каталога (через порт 3268 или 3269).
Примечание. Сперва проведите синхронизацию в тестовом режиме и убедитесь, что все работает как надо. Обратите внимание, что данные в глобальном каталоге отличаются от данных в основном разделе домена.
Шаг 3. Изучите структуру LDAP-сервера
С помощью LDAP-браузера соберите следующую информацию:
- Основное уникальное имя LDAP (DN). В GCDS оно используется на верхнем уровне всех запросов LDAP. Поскольку поиск пользователей и групп в GCDS основан на уникальном имени, укажите его на том уровне, где содержатся данные для синхронизации.
Примечание. В конфигурации можно указать отдельное уникальное имя для каждого правила синхронизации. - Информация о структуре LDAP. Определите, в каких атрибутах LDAP содержатся важные сведения. Это могут быть, например, группы с пользователями и другими ресурсами, которые вы хотите синхронизировать. Просмотрите структуру каталога с помощью LDAP-браузера. Определите атрибуты LDAP по отдельным пользователям и другим ресурсам.
- Группы безопасности. Выберите группы безопасности, которые нужно синхронизировать. Чтобы синхронизация прошла правильно, у каждой из них должен быть уникальный адрес электронной почты, назначенный объекту группы.
Шаг 4. Упорядочьте данные LDAP-сервера
- Выберите пользователей для синхронизации с доменом Google. Для этого вам понадобится актуальный список сотрудников организации.
- Выберите группы адресов для синхронизации с доменом Google (это должны быть списки рассылки, а не группы безопасности). С помощью настроек сервера Google вы можете разрешить пользователям создавать собственные группы и управлять ими. Такие группы не синхронизируются.
- Разработайте правила по созданию имен пользователей и паролей, чтобы избежать появления недопустимых символов. Подробнее…
- При необходимости добавьте атрибут пароля. Если в GCDS есть поле ввода пароля, создайте в каталоге LDAP настраиваемый атрибут для пользователей домена Google. Укажите в этом атрибуте значение пароля. Подробные инструкции приведены в разделе Выберите метод синхронизации паролей.
- При необходимости задайте правила именования для электронной почты. Приведите данные пользователей в соответствие с ними.
Шаг 5. Выделите пользователей Google в каталоге LDAP
Чтобы упростить LDAP-запросы, выделите всех пользователей Google в каталоге, прежде чем настраивать синхронизацию. Выделить пользователей Google можно несколькими способами.
- Характерная пометка. Пользователям, которые будут участвовать в синхронизации, можно присвоить в каталоге LDAP характерную пометку, например GoogleUsers. Когда вы настроите синхронизацию и проверите ее в действии, то сможете присвоить активным пользователям Google другую пометку (например, GoogleActiveUsers).
- Организационное подразделение. Настройте новое подразделение в каталоге LDAP и переместите в него пользователей Google. В GCDS настройте синхронизацию пользователей только из этого организационного подразделения.
- Группа. Создайте группу в каталоге LDAP и добавьте в нее пользователей Google. В GCDS настройте синхронизацию пользователей только из этой группы.
- Настраиваемый атрибут. Создайте отдельный атрибут и присвойте его новым пользователям Google. В GCDS настройте синхронизацию пользователей только с этим атрибутом.
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.