Часто задаваемые вопросы об инструменте Google Cloud Directory Sync

Google Cloud Directory Sync

Ниже вы найдете ответы на распространенные вопросы об использовании инструмента Google Cloud Directory Sync.

Содержание

Как настроить GCDS

Развернуть раздел  |  Свернуть все и перейти к началу

Как авторизовать GCDS на компьютере без графического интерфейса пользователя?
  1. Убедитесь, что вы используете версию GCDS 4.7.14 или более позднюю.

    Узнайте, как обновить GCDS.

  2. Авторизуйте GCDS на компьютере с графическим интерфейсом пользователя.

    Подробнее об авторизации аккаунта Google

  3. Создайте и сохраните XML-файл.
  4. На этом же компьютере запустите из командной строки инструмент upgrade-config с параметром -exportkeys.

    Пример: upgrade-config -exportkeys файл ключа шифрования [пароль]

    В этом примере ключи экспортируются в файл с ключом шифрования. Пароль использовать необязательно.

  5. Скопируйте файл с ключом шифрования и файл конфигурации на компьютер без графического интерфейса пользователя.
  6. На этом же компьютере запустите из командной строки инструмент upgrade-config с параметром -importkeys.

    Пример: upgrade-config -importkeys название файла

    Важно! Параметр -importkeys удаляет разрешенные конфигурации GCDS, если они есть на вашем компьютере.

  7. При необходимости введите пароль, который вы использовали на шаге 4.

    Появится сообщение об успешном импорте ключей.

Совет. Чтобы получить дополнительную информацию, в командной строке введите upgrade-config -help.

Как перенести GCDS на другой сервер?
  1. Если вы не исключаете наличие незавершенных изменений адреса электронной почты (переименований пользователей), выберите один из следующих вариантов:
    • Запустите синхронизацию на старом сервере.
    • Скопируйте на новый сервер файлы в формате TSV (со значениями, разделенными символами табуляции).

      Чтобы найти названия и расположение этих файлов в файле конфигурации, выполните поиск по запросу .tsv.

    • Установите GCDS на новый сервер. Инструкции вы найдете в статье Скачивание и установка GCDS.
  2. Скопируйте файл конфигурации на новый сервер.
  3. На новом сервере в Диспетчере конфигураций откройте файл конфигурации.
  4. Повторно авторизуйте GCDS для своего аккаунта Google. Инструкции вы найдете в статье Авторизация аккаунта Google.
  5. Измените пароль LDAP на странице LDAP Configuration (Конфигурация LDAP). Инструкции вы найдете в статье Параметры Диспетчера конфигураций.
  6. Измените пароль SMTP на странице Notifications (Уведомления). Инструкции вы найдете в разделе Атрибуты уведомлений.
  7. Запустите моделирование синхронизации.
  8. Проанализируйте синхронизируемые данные, чтобы убедиться в отсутствии непредусмотренных изменений.
  9. Запустите полную синхронизацию.

    После синхронизации файлы TSV со старого сервера будут обновлены. Если вы не переносили файлы TSV, будут созданы новые файлы.

Что делать, если возникли проблемы с сертификатами?

Если при работе с GCDS возникли проблемы с сертификатами, ознакомьтесь со статьей Устранение неполадок, связанных с сертификатом.

Ваш аккаунт Google

Развернуть раздел  |  Свернуть все и перейти к началу

Какие API использует GCDS?

GCDS синхронизирует данные каталога с аккаунтом Google с помощью API Google Workspace. Эти API используют для аутентификации OAuth, а не пароль администратора. Благодаря этому подходу такие функции, как двухэтапная аутентификация, могут работать, не влияя на функциональность GCDS.

GCDS использует следующие API:

Почему я не вижу ожидаемых изменений в аккаунте Google?

Изменения в аккаунте Google становятся видны в течение восьми дней. Чтобы понять, почему так происходит, нужно разобраться, как инструмент Google Cloud Directory Sync (GCDS) кеширует информацию.

Данные аккаунта Google хранятся в кеше GCDS до восьми дней, однако они могут удаляться чаще в зависимости от их объема. Если кеш не очищен, может пройти до восьми дней, прежде чем изменения в аккаунте Google, внесенные через консоль администратора или другой клиент API, станут вам видны.

После очистки кеша GCDS выявляет изменения в аккаунте Google и сравнивает их с исходными данными в каталоге LDAP. Если они не совпадают, GCDS отменяет изменения, внесенные в аккаунте Google.

Чтобы очистить кеш вручную, выполните следующие действия:

  • Запустите синхронизацию из Диспетчера конфигураций и выберите очистку кеша.
  • Воспользуйтесь параметром командной строки -f, чтобы принудительно очистить кеш.
  • Отредактируйте XML-файл конфигурации, установив для параметра maxCacheLifetime значение 0.

Внимание! Очистка кеша может значительно увеличить время синхронизации.

Как GCDS получает доступ к профилю пользователя в аккаунте Google?

Профили пользователей, включая дополнительные атрибуты, записаны в аккаунтах пользователей Google и видны в каталоге аккаунта. GCDS обращается к каталогу в Google Контактах. Подробнее о настройке каталога и управлении им

Как GCDS определяет, какие псевдонимы электронной почты добавляются в аккаунт Google?

В конфигурации GCDS можно указать атрибуты, подлежащие проверке. GCDS проверяет данные в атрибуте, только если он совпадает с действительным адресом SMTP.

Во время синхронизации инструмент GCDS удаляет префикс smtp: у атрибута proxyAddresses из Microsoft Active Directory, поэтому в домене Google этот префикс будет отсутствовать.

Можно ли синхронизировать несколько аккаунтов Google одновременно?

Да. С помощью GCDS можно синхронизировать один каталог LDAP с несколькими аккаунтами Google, используя несколько файлов конфигурации. Если вы выполняете несколько синхронизаций одновременно, убедитесь, что файлы конфигурации сохраняются с уникальными именами.

Чтобы клонировать имеющийся файл конфигурации, воспользуйтесь командой Save as (Сохранить как) в Диспетчере конфигураций и сохраните файл под другим названием.

Как GCDS разрешает конфликты аккаунтов?

GCDS управляет конфликтующими аккаунтами в соответствии с настройками, заданными в консоли администратора. Подробнее об управлении конфликтующими аккаунтами с помощью GCDS

Синхронизация пользователей и организационных подразделений

Развернуть раздел  |  Свернуть все и перейти к началу

Как настроить GCDS, чтобы инициализировать только часть пользователей?

Если вы хотите синхронизировать с аккаунтом Google только часть пользователей, вы можете использовать в качестве источника отдельную группу из каталога Active Directory или LDAP. С помощью группы можно ограничить количество пользователей, инициализируемых в вашем аккаунте Google.

Пример:

Запрос пользователей
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Этот запрос возвращает всех пользователей, которые являются участниками группы, идентифицируемой по уникальному имени (DN), и у которых есть адреса электронной почты и действующие аккаунты.

Как настроить GCDS, чтобы не синхронизировать данные определенного организационного подразделения в аккаунте Google?

Чтобы инструмент GCDS исключил из синхронизации определенное организационное подразделение, настроенное в вашем аккаунте Google, задайте в конфигурации домена Google правило исключения Organization Complete Path (Полный путь к организационному подразделению).

Пример:

Правило исключения
Тип: Organization Complete Path (Полный путь к организационному подразделению)
Тип соответствия: точное соответствие
Правило: /OUPath/MyExcludedOU

Можно ли синхронизировать пользователей с дополнительным доменом?

Если вы используете дополнительный домен, вы можете синхронизировать пользователей с ним с помощью GCDS. Для этого адреса электронной почты пользователей на сервере LDAP должны соответствовать имени дополнительного домена. GCDS создаст пользователей в аккаунте Google, используя дополнительный домен в качестве основного адреса электронной почты.

Если вы не хотите изменять имеющийся атрибут электронной почты LDAP, назначьте новый атрибут для синхронизации почтовых адресов пользователей дополнительного домена. Подробнее о том, как добавить пользовательский псевдоним домена или дополнительный домен

Можно ли использовать подстановочные знаки при поиске пользователей LDAP?

Да, если сервер LDAP поддерживает подстановочные знаки.

Каталоги LDAP не поддерживают их в атрибутах уникального имени (DN) при поиске пользователей. Например, вы можете использовать (mail=polzovatel*), но не (distinguishedName=*,DC=domen,DC=com).

Можно ли использовать рекурсивный поиск memberOf при поиске пользователей?

Да, если вы используете сервер LDAP, который поддерживает рекурсивные поисковые запросы memberOf. Active Directory их поддерживает, а OpenLDAP – нет.

Почему после запуска GCDS блокируется мой пользовательский аккаунт Google Workspace?

Если ваш пользовательский аккаунт Google Workspace блокируется после запуска GCDS, появится сообщение об ошибке с объяснением, почему так происходит. Чтобы определенная ошибка не повторялась при последующих синхронизациях, вы можете воспользоваться одним из описанных ниже решений в зависимости от причины проблемы.

  • Проблема. Пользователь отсутствует на сервере LDAP.

    Решение. Настройте правило исключения пользователя Google, чтобы GCDS не блокировал этого пользователя в Google Workspace.

  • Проблема. У пользователя нет действительного адреса электронной почты на сервере LDAP.

    Решение. Настройте адрес электронной почты пользователя или задайте правило исключения, чтобы GCDS не блокировал этого пользователя в Google Workspace.

    Вы также можете изменить настройки GCDS, чтобы применять атрибут электронной почты пользователя, имеющийся на сервере LDAP. Например, вместо атрибута mail можно использовать атрибут userPrincipalName (UPN).

  • Проблема. Пользователь игнорируется правилами исключения на сервере LDAP.

    Решение. Измените правила исключения, чтобы пользователь не блокировался.

  • Проблема. Правила поиска находят и блокируют пользователя, так как установлен флажок Suspend these users in the Google Domain (Блокировать этих пользователей в домене Google).

    Решение. Возможно, существуют причины для блокировки пользователя.

  • Проблема. Пользователь блокируется на сервере LDAP.

    Решение. Возможно, существуют причины для блокировки пользователя.

Синхронизация групп

Развернуть раздел  |  Свернуть все и перейти к началу

Синхронизирует ли GCDS участников циклических групп?

В случае циклического членства несколько групп являются участниками друг друга. Например, Группа А состоит в Группе Б, а последняя – в Группе А.

Циклические группы поддерживаются LDAP и Microsoft Active Directory, но не Google Группами. При попытке синхронизировать циклические группы вы увидите следующее сообщение об ошибке: Cyclic memberships not allowed (Циклические группы не поддерживаются).

Как запретить GCDS удалять или редактировать созданные мной группы?

Чтобы инструмент GCDS исключил определенную группу, задайте в конфигурации домена Google правило исключения Group Email Address (Адрес электронной почты группы). Подробнее о том, как использовать правила для данных Google

Пример:

Правило исключения
Тип: Group Email Address (Адрес электронной почты группы)
Тип соответствия: точное соответствие
Правило: GCP_Project1@example.com

Примечание. Мы рекомендуем создавать эти группы и управлять ими в каталоге LDAP. Состав групп обновляется в аккаунте Google, когда GCDS синхронизирует данные.

Чтобы сохранить существующие группы, которых нет на сервере LDAP, вы можете включить параметр Don’t delete Google Groups not found in LDAP (Не удалять группы Google, не найденные на сервере LDAP). Подробнее о правилах удаления групп Google

Синхронизирует ли GCDS созданные пользователями группы?

Пользователи создают свои группы с помощью Google Групп для бизнеса. Если группа LDAP совпадает с созданной пользователем, GCDS не синхронизирует ее, как если бы в GCDS для нее было задано правило исключения. GCDS не удалит группу, если она не совпадает с данными в каталоге LDAP.

Если вы добавили участников в соответствующий объект в каталоге LDAP, GCDS добавит их в группу. Если вы добавили пользователей в группу Google, данные в которой не совпадают с данными в каталоге LDAP, эти участники не будут удалены во время синхронизации.

Дополнительные сведения о создаваемых пользователями группах приведены в статье Часто задаваемые вопросы о Группах (для администраторов).

Синхронизирует ли GCDS участников вложенных групп?

Да. Однако есть некоторые ограничения для вложенных групп и доставки электронной почты в сервисе "Google Группы для бизнеса". Отправленные группе электронные письма получат не все участники вложенных групп, если:

  • разрешена модерация, и тогда электронная почта отправляется участникам группы или вложенным группам только после одобрения модератора группы;
  • у родительской группы нет разрешения на отправку сообщений вложенным группам.

Статьи по теме

Выполняет ли GCDS поиск среди участников вложенных групп?

Да. GCDS синхронизирует все элементы в группе – как пользователей, так и группы. Однако GCDS не поддерживает правило поиска среди участников вложенных групп, если это правило не поддерживается сервером LDAP.

Общие настройки

Развернуть раздел  |  Свернуть все и перейти к началу

Как добавить флаг необязательной функции в файл конфигурации GCDS?

Подготовка. Убедитесь, что GCDS поддерживает эту функцию.

  1. Найдите файл конфигурации. Это тот же XML-файл, который вы используете для загрузки конфигурации GCDS.
  2. Откройте файл конфигурации в текстовом редакторе.
  3. В XML-файле найдите тег <features> и вставьте новую строку внутри тега.
  4. В новой строке добавьте новый тег <optional> и укажите в нем название функции.
  5. Сохраните и закройте файл.

Пример

В примере ниже показано, как добавить функцию DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<features>

      <optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

Почему GCDS возвращает ошибку даже после очистки кеша?

Возможно, проблема заключается в неправильной конфигурации правила исключения. Кеширование GCDS может не позволить этого заметить.

Данные сервиса Google (например, Google Workspace или Cloud Identity) хранятся в кеше GCDS до восьми дней, однако они могут удаляться чаще в зависимости от их объема. Если кеш не очищен, может пройти до восьми дней, прежде чем изменения в аккаунте Google, внесенные через консоль администратора или другой клиент API, станут вам видны.

Чтобы очистить кеш вручную, выполните следующие действия:

  • Запустите синхронизацию из Диспетчера конфигураций и выберите очистку кеша.
  • Воспользуйтесь параметром командной строки -f, чтобы принудительно очистить кеш.
  • Отредактируйте XML-файл конфигурации, установив для параметра maxCacheLifetime значение 0.

Внимание! Очистка кеша может значительно увеличить время синхронизации.

Пример. У вас есть группа, которая существует на сервере LDAP и в аккаунте Google. Вы создали правило исключения для этой группы, чтобы инструмент GCDS не изменял ее во время синхронизации.

Но в результате применения этого правила в GCDS группа начинает считаться несуществующей в аккаунте Google. GCDS пытается создать группу, но так как она уже существует, отображается сообщение об ошибке и GCDS добавляет группу в кеш. При последующих синхронизациях используется кеш, и GCDS распознает группу как уже существующую, но после очистки кеша снова считает, что ее не существует.

Зачем настраивать синхронизацию паролей в GCDS?

В GCDS настройки синхронизации паролей по умолчанию определяют, как создаются пароли для новых аккаунтов пользователей. Если вы не хотите менять исходный пароль аккаунта, никаких действий не требуется – используйте настройки по умолчанию.

Для синхронизации паролей пользователей в Active Directory с доменом Google можно использовать приложение Password Sync.

Как GCDS разрешает конфликты, когда применяется несколько правил синхронизации?

Правила применяются в порядке от более приоритетных к менее приоритетным.

Например, вы настроили правило синхронизации аккаунтов на создание пользователей в корневом организационном подразделении ("/"), а затем создали правило нижнего уровня для создания пользователей в организационном подразделении /Exceptions (/Исключения). После синхронизации пользователи, соответствующие обоим правилам, будут созданы в корневом организационном подразделении, поскольку это правило предшествовало второму.

Чтобы пользователи попали в организационное подразделение /Exceptions (/Исключения), соответствующее правило должно находиться выше противоречащих ему правил или быть первым.

Как проверить результаты синхронизации, выполненной с помощью инструмента GCDS?

Для авторизации в GCDS используется трехсторонний протокол OAuth 2.0. GCDS присваивается токен OAuth 2.0. Он позволяет GCDS действовать от имени администратора, выполнившего авторизацию.

Все события аудита фиксируются от имени администратора, который авторизовал GCDS. Создайте специальный аккаунт администратора GCDS, чтобы видеть, какие изменения и проверки выполнил инструмент.

Статьи по теме

Авторизация аккаунта Google

Удалит ли GCDS мои наборы атрибутов, если я включу их синхронизацию?

Во время синхронизации GCDS оценивает текущую конфигурацию LDAP, чтобы определить, нужно ли удалить специальный набор атрибутов в аккаунте Google.

Кроме того, файл конфигурации GCDS содержит параметр schemaHistory с информацией о тех наборах, которые были синхронизированы ранее. Специальные наборы атрибутов, которые были синхронизированы GCDS, автоматически добавляются в schemaHistory. Если вы вручную удалили schemaHistory в файле конфигурации и специального набора атрибутов нет в каталоге LDAP, GCDS не удалит этот набор в аккаунте Google.

Чтобы удалить schemaHistory в файле конфигурации вручную, найдите в нем следующий фрагмент:

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

Может ли GCDS выполнять синхронизацию данных из нескольких каталогов LDAP?
GCDS синхронизирует только один каталог LDAP. Если у вас несколько каталогов LDAP, объедините все данные сервера LDAP в один каталог. Подробная информация об этом приведена в разделе "Шаг 2" статьи Подготовка каталога LDAP.
Как GCDS создает и безопасно хранит симметричный ключ?

Заданный по умолчанию для Java класс KeyGenerator генерирует симметричный ключ, с помощью которого шифруется токен обновления GCDS. Для этого используется алгоритм AES-128.

За хранение симметричного ключа отвечает метод userNodeForPackage в классе Java под названием Preferences. Точное расположение ключа не контролируется GCDS и зависит от ОС.

В Windows параметры хранятся в кусте реестра для пользователя. В Linux они хранятся в домашнем каталоге пользователя.

Клиентам необходимо следовать рекомендациям по защите ключа, например использовать зашифрованную файловую систему и списки контроля доступа.

Что такое уникальный идентификатор?

Уникальный идентификатор (безадресный первичный ключ) используется в GCDS и не синхронизируется с Google Workspace. GCDS хранит уникальный идентификатор в файле TSV на компьютере, где установлено приложение GCDS. Название файла и полный путь к нему можно найти в XML-файле конфигурации.

Если на сервере LDAP пользователь переименован, а в Google Workspace нет, то GCDS использует уникальный идентификатор, чтобы не допустить удаления сведений об этом пользователе или их дублирования.

Примечание. Изменение адреса электронной почты пользователя на сервере LDAP и в Google Workspace вручную может привести к ошибкам синхронизации. Чтобы избежать этого, перед запуском GCDS удалите записи о пользователе из файла TSV.

Google Cloud

Развернуть раздел  |  Свернуть все и перейти к началу

Как синхронизировать группы безопасности из каталога Active Directory или LDAP и использовать их в Cloud IAM?

В GCDS можно настроить синхронизацию групп безопасности с помощью поисковых правил LDAP.

Пример 1. Поиск всех групп безопасности

Пример поискового запроса LDAP, который возвращает все группы безопасности с адресом электронной почты:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Пример 2. Поиск подмножества групп безопасности

Чтобы синхронизировать подмножество групп безопасности, используйте атрибут extensionAttribute1 и присвойте ему определенное значение, например GoogleCloud. Затем уточните запрос GCDS таким образом, чтобы синхронизировать только некоторое подмножество групп безопасности.

Пример поискового запроса LDAP, возвращающего все группы безопасности с адресом электронной почты и атрибутом GoogleCloud:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Обратите внимание!

  • Все группы в домене Google идентифицируются по своим адресам электронной почты. Убедитесь, что во всех группах безопасности, которые вы хотите синхронизировать, атрибут mail имеет действительное значение.
  • Созданная в домене Google группа по умолчанию не получает определенной роли Google Cloud Identity and Access Management (IAM). После ее создания ей нужно присвоить роли с помощью приложения Cloud IAM.
Как добавить пользователей, которым аккаунт нужен только для проектов в Google Cloud?

Вы можете настроить GCDS, добавив правило синхронизации для пользователей Google Cloud. Проще всего создать запрос для поиска пользователей, являющихся участниками группы, например:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Затем можно применить следующий поисковый фильтр, чтобы найти пользователей, которые являются участниками группы, имеют адрес электронной почты и действующие аккаунты:

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Поместите этих пользователей в одно организационное подразделение. Для этого задайте в правиле атрибут Org Unit Name (Название организационного подразделения), например "Пользователи Cloud". Если организационного подразделения ещё нет, создайте его.

Проблемы с лицензированием

Проанализируйте конфигурацию своего домена, чтобы правильно распределить лицензии на продукты между аккаунтами пользователей. Если включено автоматическое лицензирование, исключите из него организационное подразделение "Пользователи Cloud". Подробнее о том, как настроить автоматическое назначение лицензий в организационных подразделениях

Если требования к лицензированию более сложные, в GCDS можно настроить синхронизацию всех назначенных пользовательских лицензий и управление ими. Подробнее о синхронизации лицензий


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню