4- ربط برامج LDAP بخدمة "LDAP الآمن"

اتَّبِع الخطوات التالية:

1. اتَّبع الخطوات من 1 إلى 11 في ldp.exe (نظام التشغيل Windows) لتثبيت شهادات العميل.
2. انتقل إلى Action (الإجراء) > Connect to… (ربط بـ…)
3. أدخِل إعدادات الربط التالية:
   
   Name (الاسم): اكتب اسمًا لعملية الربط، مثل Google LDAP.
   Connection Point (نقطة الربط): "اختَر "اسمًا مميَّزًا" أو "سياق تسمية" أو اكتبه"
   أدخِل اسم النطاق بتنسيق الاسم المميَّز (مثل، dc=example,dc=com للنطاق example.com).
   
   Computer (جهاز الكمبيوتر): "اختَر نطاقًا أو خادمًا أو اكتبه"
   ldap.google.com
   
   Use SSL-based Encryption (استخدام التشفير المُستّنِد إلى طبقة المقابس الآمنة): تم وضع علامة عليه
    
4. انقر على Advanced… (إعدادات متقدمة…) وأدخِل التفاصيل التالية:
   
   Specify credentials (تحديد بيانات الاعتماد): تم وضع علامة عليها
   Username (اسم المستخدم): اسم مستخدم بيانات اعتماد الوصول من "وحدة تحكُّم المشرف"
   Password (كلمة المرور): كلمة مرور بيانات اعتماد الوصول من "وحدة تحكُّم المشرف"
   Port Number (رقم المنفذ): 636
   Protocol (البروتوكول): LDAP
   Simple bind authentication (مصادقة الربط البسيط): تم وضع علامة عليها
    
5. انقر على OK (حسنًا)، ثم انقر على OK (حسنًا) مرة أخرى.
6. في حال كان الربط ناجحًا، يتم عرض محتوى Active Directory في الاسم المميَّز الأساسي في الجزء الأيسر.

لاستخدام Apache Directory Studio، عليك الربط من خلال stunnel واستخدام بيانات اعتماد الوصول (اسم المستخدم وكلمة المرور) التي تم إنشاؤها ضمن "وحدة تحكُّم المشرف في Google". وبافتراض أن بيانات اعتماد الوصول متوفِّرة ويمكن الاستماع إلى Stunnel على منفذ localhost رقم 1389، يُرجى اتِّباع الخطوات التالية:

1. انقر على ملف > جديد…
2. اختر متصفِّح LDAP > ربط LDAP.
3. انقر على Next (التالي).
4. أدخِل معلمات الربط التالية:
   
   Connection name (اسم عملية الربط): اختَر اسمًا، مثل Google LDAP
   Hostname (اسم المضيف): localhost
   Port (المنفذ): 1389 (أو منفذ استماع/ قبول stunnel)
   Encryption method (طريقة التشفير): بدون تشفير (ملاحظة: في حال تشغيل stunnel عن بُعد، ننصح بإجراء تشفير بين stunnel والبرنامج.)
    
5. انقر على Next (التالي).
6. أدخِل معلمات المصادقة:
   
   Authentication Method (طريقة المصادقة): مصادقة بسيطة
   Bind DN or user (ربط الاسم المميَّز أو المستخدم): اسم مستخدم بيانات اعتماد الوصول من وحدة تحكم المشرف
   Bind password (ربط كلمة المرور): كلمة مرور بيانات اعتماد الوصول من وحدة تحكم المشرف
    
7. انقر على Next (التالي).
8. أدخِل الاسم المميَّز الأساسي.
   هذا هو اسم نطاقك بتنسيق الاسم المميَّز (dc=example,dc=com للنطاق example.com).
9. انقر على Finish (إنهاء).

يُجري برنامج Atlassian Jira بحثًا عن مستخدم لمعرفة المزيد من المعلومات عن مستخدم أثناء مصادقته. وللتأكُّد من أداء مصادقة المستخدم لبرنامج LDAP هذا بشكلٍ صحيح، عليك تفعيل الاطِّلاع على معلومات المستخدم والاطِّلاع على معلومات المجموعة لجميع الوحدات التنظيمية، حيث يكون التحقُّق من بيانات اعتماد المستخدم مفعّلاً. (للتعرُّف على التعليمات، يُرجى الاطِّلاع على ضبط أذونات الوصول.)

ملاحظة مهمة: قد يؤدي استخدام التعليمات التالية إلى الكشف عن كلمة مرور ملف تخزين المفاتيح للمستخدمين وملفات السجلات. عليك أخذ إجراءات احترازية لمنع الوصول غير المصرح به إلى واجهة المستخدم المحلية وملف السجلّ و"وحدة تحكُّم المشرف في Google". كبديل للتعليمات التالية، يمكنك استخدام طريقة stunnel4 (يُرجى الاطِّلاع على اختياري: استخدام stunnel كخادم وكيل). 

ملاحظة: تفترض التعليمات التالية أنه تم تثبيت Jira على /opt/atlassian/jira.

لربط برنامج Atlassian Jira بخدمة LDAP الآمنة، يُرجى تنفيذ ما يلي:

1. انسخ الشهادة والمفتاح إلى خادم (خوادم) Jira. (وهذه هي الشهادة التي يتم إنشاؤها ضمن "وحدة تحكُّم المشرف في Google" أثناء إضافة برنامج LDAP إلى خدمة "LDAP الآمن".)
   
   مثل:
   $  scp ldap-client.key user@jira-server:
    
2. حوِّل الشهادة والمفاتيح إلى تنسيق ملف تخزين مفاتيح بلغة Java. وسيُطلَب منك إدخال كلمات المرور خلال هذه العملية. لتبسط الأمور، اختَر كلمة مرور آمنة واستخدم كلمة المرور نفسها لجميع رسائل المطالبة.
   
   $  openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$  sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
    
3. اضبط Jira لاستخدام ملف تخزين المفاتيح المُنشأ حديثًا. اتَّبع التوجيهات المذكورة هنا لإضافة الخيارات التالية:
   
   “-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”
   
   على نظام التشغيل Linux، يُرجى تنفيذ ما يلي:
   1. عدِّل /opt/atlassian/jira/bin/setenv.sh.
   2. ابحث عن إعداد JVM_SUPPORT_RECOMMENDED_ARGS.
   3. أضِف "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password"، مع استبدال "كلمة المرور" بكلمة المرور التي اختَرتها أعلاه.
4. أعِد تشغيل Jira.
   
   $  /opt/atlassian/jira/bin/stop-jira.sh
$  /opt/atlassian/jira/bin/start-jira.sh
    
5. سجِّل الدخول إلى واجهة ويب Jira بصفتك مشرفًا.
   1. انتقِل إلى Settings (إعدادات) > User management (إدارة المستخدم). (للوصول إلى الإعدادات، انتقِل إلى رمز الترس في أعلى يسار الصفحة.)
   2. انقر على أدلة المستخدم.
   3. انقر على إضافة دليل.
   4. اختَر LDAP كالنوع.
   5. انقر على Next (التالي).
6. أدخِل ما يلي:

   Name (الاسم)	خدمة LDAP الآمنة في Google
   Directory type (نوع الدليل)	OpenLDAP
   Hostname (اسم المضيف)	ldap.google.com
   Port (المنفذ)	636
   Use SSL (استخدام طبقة المقابس الآمنة)	تم وضع علامة عليه
   Username (اسم المستخدم)	يمكنك إنشاء اسم مستخدم وكلمة مرور ضمن "وحدة تحكُّم المشرف في Google". لمعرفة التعليمات، يُرجى الاطِّلاع على إنشاء بيانات اعتماد الوصول.
   Password (كلمة المرور)	يمكنك إنشاء اسم مستخدم وكلمة مرور ضمن "وحدة تحكُّم المشرف في Google". لمعرفة التعليمات، يُرجى الاطِّلاع على إنشاء بيانات اعتماد الوصول.
   Base DN (الاسم المميَّز الأساسي)	اسم نطاقك بتنسيق الاسم المميَّز. (مثلاً، dc=example,dc=com للنطاق example.com)
   Additional User DN (الاسم المميَّز الإضافي للمستخدم)	اختياري. "ou=Users"
   Additional Group DN (الاسم المميَّز الإضافي للمجموعة)	اختياري. "ou=Groups"
   LDAP Permissions (أذونات LDAP)	للقراءة فقط
   Advanced Settings (الإعدادات المتقدمة)	بلا تغيير
   User Schema Settings (إعدادات مخطَّط المستخدم) > User Name Attribute (سمة اسم المستخدم)	googleUid
   User Schema Settings (إعدادات مخطَّط المستخدم) > User Name RDN Attribute (سمة RDN لاسم المستخدم)	uid
   Group Schema Settings (إعدادات مخطَّط المجموعة) > Group Object Class (فئة كائن المجموعة)	groupOfNames
   Group Schema Settings (إعدادات مخطَّط المجموعة) > Group Object Filter (فلتر كائن المجموعة)	(objectClass=groupOfNames)
   Membership Schema Settings (إعدادات مخطَّط العضوية) > Group Members Attribute (سمة أعضاء المجموعة)	عضو
   Membership Schema Settings (إعدادات مخطَّط العضوية) > Use the User Membership Attribute (استخدام سمة عضوية المستخدم)	تم وضع علامة عليه

    

7. امنح دورًا إلى مجموعة.
   
   قبل أن يسمح Atlassian Jira للمستخدم بتسجيل الدخول، يجب أن يكون هذا المستخدم عضوًا في مجموعة لديها إذن الوصول إلى Jira.
   
   لمنح دور إلى مجموعة، يُرجى تنفيذ ما يلي:
   1. انتقِل إلى Settings (الإعدادات) > Applications (التطبيقات) > Application access (الوصول إلى التطبيق). 
   2. في مربّع النص Select group (اختيار مجموعة)، أدخِل اسم مجموعة Google التي ترغب في منحها إذن الوصول إلى Jira.

للتعرُّف على تعليمات عن ربط CloudBees Core بخدمة "LDAP الأمن"، يُرجى الاطِّلاع على ضبط CloudBees Core لخدمة "LDAP الأمن" ضمن Google Cloud Identity.

اتَّبِع الخطوات التالية:

1. ثبِّت FreeRADIUS واحرص على ضبطه على /etc/freeradius/3.0/.
   
   بعد تثبيت FreeRADIUS، يمكنك إضافة ضبط LDAP من خلال تثبيت المكوِّن الإضافي freeradius-ldap.
   
   $  sudo apt-get install freeradius freeradius-ldap
    
2. انسخ مفتاح برنامج LDAP وملفات الشهادة إلى /etc/freeradius/3.0/certs/ldap-client.key و/etc/freeradius/3.0/certs/ldap-client.crt على التوالي.
   
   $  chown freeradius:freeradius
     /etc/freeradius/3.0/certs/ldap-client.*
$  chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
    
3. فعِّل وحدة LDAP.
   
   $  cd /etc/freeradius/3.0/mods-enabled/
$  ln -s ../mods-available/ldap ldap
    
4. عدِّل /etc/freeradius/3.0/mods-available/ldap.
   1. ldap->server = 'ldaps://ldap.google.com:636
   2. الهوية = اسم المستخدم من بيانات اعتماد التطبيق
   3. كلمة المرور = كلمة المرور من بيانات اعتماد التطبيق
   4. base_dn = ‘dc=domain,dc=com’
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = ‘allow’
   9. أزِل التعليق من جميع الحقول في شريط التنقل والتي تُمثِّل القسم 'ldap -> post-auth -> update'
5. ​عدِّل /etc/freeradius/3.0/sites-available/default.
   ملاحظة: يُغيِّر ذلك من ربط برنامج FreeRadius. وفي حال كنت لا تستخدم البرنامج التلقائي، يُرجى التأكُّد من تحديث البرنامج ذي الصلة الذي تم ضبطه (inner-tunnel أو أي برنامج مُخصَّص).
    
   1. عدِّل قسم authorize (تفويض) لإضافة المجموعة التالية في أسفل الصفحة بعد بيان بروتوكول مصادقة كلمات المرور (PAP):
      
      if (User-Password) {
    update control {
        Auth-Type := ldap
    }
}
       
   2. في قسم authorize (التفويض)، فعِّل LDAP من خلال إزالة علامة ’-‘ الموجودة قبله.
      
          #
          #  تقرأ وحدة ldap كلمات المرور من قاعدة بيانات LDAP.
          ldap
       
   3. عدِّل قسم authenticate (المصادقة) من خلال تعديل مجموعة Auth-Type LDAP (نوع مصادقة LDAP) على النحو التالي:
      
      # Auth-Type LDAP {
    ldap
# }
       
   4. عدِّل قسم authenticate (المصادقة) من خلال تعديل مجموعة Auth-Type PAP (نوع مصادقة PAP) على النحو التالي:
      
      Auth-Type PAP {
    #  pap
    ldap
}

للتعرُّف على تعليمات ربط GitLab بخدمة "LDAP الآمن"، يُرجى الاطِّلاع على ضبط خدمة "LDAP الآمن" في Google لبرنامج GitLab.

للتعرُّف على تعليمات ربط Itopia/Ubuntu بخدمة "LDAP الآمن"، يُرجى الاطِّلاع على ضبط LDAP لخدمة Google Cloud Identity على إصدار 16.04 لبرنامج Ubuntu لعمليات تسجيل دخول المستخدم.

اتَّبِع الخطوات التالية:

1. في خادم الويب Ivanti، افتَح OpenLDAPAuthenticationConfiguration.xml أو OpenLDAPSSLAuthenticationConfiguration.xml في مُحرِِّر نص بكل من المجلدين التاليين:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework and C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (حيث يكون servicedesk هو اسم حدث واحد من سلسلة أحداث)
2. عدِّل قيمة <Server> إلى ldap.google.com.
3. حدِّث قيمة <Port> إلى المنفذ 3268 للنص الواضح مع تفعيل StartTLS وإلى 3269 لمنفذ طبقة النقل الآمنة/طبقة المقابس الآمنة (المنافذ التلقائية هي 389 لمنفذ النص الواضح أو 636 لمنفذ طبقة النقل الآمنة/طبقة المقابس الآمنة). 
4. اضبط قيمة <TestDN> على اسم نطاقك بتنسيق الاسم المميَّز. (مثلاً، dc=example,dc=com للنطاق example.com).
5. لكل من ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config و..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config أضف هذا السطر:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   أو هذا السطر:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
    
6. في Ivanti Configuration Center (مركز ضبط Ivanti)، افتح المثيل المطلوبة.
7. بجانب تطبيق Service Desk Framework، انقر على Edit (تعديل).
   سيظهر مربَّع الحوار Edit Application (تعديل التطبيق) لتطبيق Service Desk Framework.
8. في مجموعة Configuration parameters (معلَمات الضبط)، اختَر Explicit only (صريح فقط) في قائمة Logon policy (سياسة تسجيل الدخول)، ثم انقر على OK (حسنًا).
9. بجانب تطبيق Web Access، انقر على Edit (تعديل).
   سيظهر مربّع الحوار Edit Application (تعديل التطبيق) لتطبيق Web Access.
10. في مجموعة Configuration parameters (معلَمات الضبط)، اختَر Explicit only (صريح فقط) في قائمة Logon policy (سياسة تسجيل الدخول)، ثم انقر على OK (حسنًا).

عند تسجيل الدخول، عليك استخدام كلمة مرور شبكة مستخدم النطاق ذات الصلة.

تسجيل الاستثناءات لمصادقة خادم LDAP

إذا كنت تواجه مشاكل بشأن إعداد مصادقة خادم LDAP، يمكنك تفعيل تسجيل الاستثناءات لمساعدتك في تحديد المشكلة. يتم إيقاف ذلك تلقائيًا، ونقترح إيقاف تسجيل الاستثناءات مرة أخرى عند الانتهاء من التحقيقات.

لتفعيل تسجيل الاستثناءات لمصادقة "خادم LDAP"، اتَّبِع الخطوات التالية:

1. افتَح ملف XML المناسب لضبط المصادقة في مُحرِّر نص:
   
   DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml أو OpenLDAPSSLAuthenticationConfiguration.xml
2. غيَّر السطر:
   
   <ShowExceptions>false</ShowExceptions>
   إلى 
   <ShowExceptions>true</ShowExceptions>
    
3. احفظ التغييرات.

اتَّبِع الخطوات التالية:

1. حوِّل ملفات المفتاح والشهادة إلى ملف واحد بتنسيق PKCS12. في موجِّه الأوامر، أدخِل التالي:
   
   إذا كنت تستخدم نظام التشغيل macOS أو Linux، استخدم الأوامر التالية:​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   أدخِل كلمة مرور لتشفير ملف الناتج.
    

   إذا كنت تستخدم نظام التشغيل Windows، استخدم الأوامر التالية:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   ملاحظة مهمة:  يجب أني كون موقع الملفين (<CERT_FILE>.crt و<CERT_FILE>.key) في الدليل نفسه. وتأكد أيضًا من أن كل من المفتاح key والشهادة crt لهما اسم متطابق (بامتداد مختلف). في هذا المثال، نستخدم الاسمين ldap-Client.crt وldap-client.key.

2. انتقِل إلى "لوحة التحكُّم".
3. في مربّع البحث، ابحَث عن "الشهادة"، ثم انقر على إدارة شهادات المستخدم.
4. انتقل إلى الإجراءات > جميع المهام > استيراد…
5. اختَر مستخدم حالي، وانقر على التالي.
6. انقر على تصفَّح…
7. ضمن القائمة المنسدلة file type (نوع الملف) في الجانب السفلي الأيسر من مربّع الحوار، اختَر Personal Information Exchange (*.pfx;*.p12) (تبادل المعلومات الشخصية (*.pfx;*.p12)).
8. اختَر الملف ldap-client.p12 من الخطوة 2، وانقر على فتح، ثم انقر على التالي.
9. أدخِل كلمة المرور من الخطوة 2 وانقر على التالي.
10. اختَر مخزن الشهادات الشخصية، وانقر على التالي، ثم انقر على إنهاء.
11. شغَّل Ldp.exe.
12. انتقِل إلى Connection (الربط) > Connect… (ربط…)
13. أدخِل تفاصيل الربط التالية:
    
    Server (الخادم): ldap.google.com
    Port (المنفذ): 636
    Connectionless (بدون ربط): تم حذف العلامة منه
    SSL (طبقة المقابس الآمنة): تم وضع علامة عليه
     
14. انقر على OK (حسنًا).
15. انتقِل إلى View (عرض )> Tree (شجرة).
16. أدخِل الاسم المميّز الأساسي، وهو اسم نطاقك بتنسيق الاسم المميَّز. (مثلاً، dc=example,dc=com للنطاق example.com).
17. انقر على OK (حسنًا).
18. في حال كان الربط ناجحًا، يعرض LDP.exe محتوى Active Directory، مثل جميع السمات المُقدَّمة في الاسم المميَّز الأساسي في الجزء الأيسر.

للتعرُّف على تعليمات ربط Netgate/pfSense بخدمة "LDAP الآمن"، يُرجى الاطِّلاع على ضبط Google Cloud Identity كمصدر مصادقة.

للوصول إلى دليل LDAP من سطر الأوامر، يمكنك استخدام الأمر OpenLDAP ldapsearch.

بافتراض أن ملفات المفتاح وشهادة العميل هما ldap-client.crt وldap-client.key، ونطاقك هو example.com واسم المستخدم هو jsmith:

$   LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

يحدِّد ذلك متغيِّرات البيئة ذات الصلة والتي تعمل على التوجيه إلى مفاتيح البرنامج. ويمكنك استبدال خيارات ldapsearch الأخرى بالفلاتر التي تريدها والسمات المطلوبة وغيرها. ولمعرفة التفاصيل الأخرى، يُرجى الاطِّلاع على صفحات ldapsearch man ("man ldapsearch")‎.

اتَّبِع الخطوات التالية:

1. حوِّل ملفات المفتاح والشهادة إلى ملف واحد بتنسيق PKCS12. في موجِّه الأوامر، أدخِل التالي:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   أدخِل كلمة مرور لتشفير ملف الناتج.
    
2. انقر على رمز  في الجزء العلوي الأيسر من شريط القوائم واكتب Keychain Access.
3. افتح تطبيق Keychain Access، ومن القائمة على يمين الصفحة، انقر على System (النظام).
4. انقر على الخيار الملف في شريط القائمة العلوية اليمنى واختَر استيراد عناصر.
5. استعرض للوصول إلى الموقع باستخدام الملف ldap-client.p12 الذي تم إنشاؤه، واختَر ldap-client.p12، ثم انقر على Open (فتح).
   وأدخِل كلمة مرورك في حال طُلِب منك.
   يجب أن تظهر الآن شهادة باسم برنامج LDAP في قائمة شهادات System Keychain. 
6. انقر على السهم بجانب شهادة عميل LDAP. يظهر مفتاح خاص أدناه. 
   1. انقر مرتين على المفتاح الخاص.
   2. من مربع الحوار، اختَر علامة التبويب التحكم في الوصول وانقر على + في أسفل يمين الصفحة.

   3. من النافذة التي تظهر لك، اكتب Command+Shift+G لفتح نافذة جديدة، ثم استبدل النص الحالي بالأمر /usr/bin/ldapsearch.

   4. انقرعلى انتقال.
      
      يؤدي ذلك إلى فتح نافذة ldapsearch المحدَّدة.

   5. انقر على Add (إضافة).

   6. انقر على Save Changes (حفظ التغييرات)، وأدخِل كلمة المرور إذا طُلب منك.
      
      يمكنك الآن الوصول إلى دليل LDAP من سطر الأمر، باستخدام الأمر OpenLDAP ldapsearch.

7. وبافتراض أن الملف ldap-client.p12 الذي أجريت استرادًا له إلى تطبيق keychain من قبل يحمل اسم برنامج LDAP، وأن نطاقك هو example.com، واسم المستخدم هو jsmith، عليك إدخال ما يلي:
   
   $   LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

يحدِّد ذلك متغيِّرات البيئة ذات الصلة والتي تعمل على التوجيه إلى شهادة العميل التي تم استيرادها. ويمكنك استبدال خيارات ldapsearch الأخرى بالفلاتر التي تريدها والسمات المطلوبة وغيرها. ولمعرفة المزيد من التفاصيل، يُرجى الاطِّلاع على صفحات ldapsearch man pages (man ldapsearch).

اتَّبِع الخطوات التالية:

1. ثبِّت OpenVPN واضبطه إذا لزم الأمر، أو في حال تم إجراء ذلك من قبل، افتح صفحة الإعدادات في OpenVPN.
   
   يتجاوز الضبط العام للشبكة الافتراضية الخاصة (VPN) نطاق مقالة المساعدة هذه. وبعد إعداد شبكة افتراضية خاصة (VPN)، يمكنك إضافة مصادقة المستخدم وتفويضه عبر خدمة LDAP. وبشكلٍ خاص، عليك تثبيت المكوِّن الإضافي openvpn-auth-ldap.
   
   $  sudo apt-get install openvpn openvpn-auth-ldap
    
2. انسخ مفتاح برنامج LDAP وملفات الشهادة إلى /etc/openvpn/ldap-client.key و/etc/openvpn/ldap-client.crt.
3. أنشئ ملف، /etc/openvpn/auth-ldap.conf، يتضمن ما يلي (بافتراض أن example.com هو اسم النطاق):
   
   <LDAP>
  URL ldaps://ldap.google.com:636 #
  Timeout 15
  TLSEnable false
  TLSCACertDir /etc/ssl/certs
  TLSCertFile /etc/openvpn/ldap-client.crt
  TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
  BaseDN "dc=example,dc=com"
  SearchFilter "(uid=%u)" # (أو اختر فلتر LDAP الخاص بك للمستخدمين)
  RequireGroup false
</Authorization>
    
4. عدِّل ملف ضبط OpenVP، والذي يُسمى غالبًا /etc/openvpn/server.conf، أو ما شابه ذلك. وفي أسفل الملف، أضِف ما يلي:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
    
5. أعِد تشغيل خادم OpenVPN.
   
   $  sudo systemctl restart openvpn@server
    
6. اضبط برامج الشبكة الافتراضية الخاصة (VPN) لاستخدام أسماء المستخدمين وكلمات مرورهم. مثلاً، عند ضبط برنامج OpenVPN، يمكنك إضافة auth-user-pass إلى نهاية ملف ضبط برنامج OpenVPN وبدء برنامج OpenVPN:
   
   $  openvpn --config /path/to/client.conf
    
7. اتَّبِع تعليمات استخدام stunnel كخادم وكيل.

للتعرُّف على تعليمات ربط OpenVPN Access Server بخدمة "LDAP الآمن"، اطِّلع على ضبط "LDAP الآمن" في Google مع OpenVPN Access Server.

للتعرُّف على تعليمات ربط PaperCut بـ "خدمة LDAP الآمن"، يُرجى الاطِّلاع على كيفية مزامنة مستخدمي Google Workspace وGoogle Cloud Identity ومصادقتهم في PaperCut.

للتعرُّف على تعليمات ربط Puppet Enterprise بخدمة "LDAP الآمن"، يُرجى الاطِّلاع على دليل Google Cloud لخبير المنتجات.

ملاحظة مهمة: قبل البدء، يُرجى التأكُّد من تثبيت "متصفِّح Softerra LDAP" باستخدام الإصدار رقم 4.5 (4.5.19808.0) أو الإصدارات الأحدث. ويُرجى الاطِّلاع على إصدار 4.5 لمتصفِّح LDAP.

اتَّبِع الخطوات التالية:

1. حوِّل ملفات المفتاح والشهادة إلى ملف واحد بتنسيق PKCS12. في موجِّه الأوامر، أدخِل التالي:
   
   إذا كنت تستخدم نظام التشغيل macOS أو Linux، استخدم الأوامر التالية:​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   أدخِل كلمة مرور لتشفير ملف الناتج.
    

   إذا كنت تستخدم نظام التشغيل Windows، استخدم الأوامر التالية:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   ملاحظة مهمة:  يجب أني كون موقع الملفين (<CERT_FILE>.crt و<CERT_FILE>.key) في الدليل نفسه. وتأكد أيضًا من أن كل من المفتاح key والشهادة crt لهما اسم متطابق (بامتداد مختلف). في هذا المثال، نستخدم الاسمين ldap-Client.crt وldap-client.key.

2. في "متصفِّح Softerra LDAP"، ثبِّت زوجًا من المفاتيح.
   1. انتقل إلى الأدوات > مدير الشهادة.
   2. انقر على استيراد…
   3. انقر على Next (التالي).
   4. انقر على تصفَّح…
   5. في القائمة المنسدلة File type (أنواع الملف) في الجانب السفلي الأيسر من مربّع الحوار، اختَر Personal Information Exchange (*.pfx;*.p12) (تبادل المعلومات الشخصية (*.pfx;*.p12)).
   6. اختر الملف ldap-client.p12 من الخطوة 2 أعلاه.
   7. انقر على Open (فتح)، ثم انقر على Next (التالي).
   8. أدخِل كلمة المرور من الخطوة 2 أعلاه وانقر على التالي.
   9. اختر مخزن الشهادات الشخصية.
   10. انقر على Next (التالي).
   11. انقر على إنهاء.
3. أضِف ملفًا شخصيًّا للخادم.
   1. انتقل إلى ملف > جديد > ملف شخصي جديد…
   2. أدخِل اسمًا للملف الشخصي، مثل Google LDAP.
   3. انقر على Next (التالي).
      
      أدخِل التفاصيل التالية:
      
      Host (المضيف): ldap.google.com
      Port (المنفذ): 636
      Base DN (الاسم المميَّز الأساسي): اسم النطاق بتنسيق الاسم المميَّز. (مثل. dc=example,dc=com للنطاق example.com)
      Use secure connection (SSL) (استخدام الربط الآمن (طبقة المقابس الآمنة)): تم وضع علامة عليه
       
   4. انقر على Next (التالي).
   5. اختر (شهادة طبقة المقابس الآمنة) الخارجية.
   6. انقر على Next (التالي).
   7. انقر على إنهاء.

للتعرُّف على تعليمات ربط Sophos Mobile بخدمة "LDAP الآمن"، يُرجى الاطِّلاع على ربط Sophos Mobile بخدمة Google Cloud Identity / دليل Google Cloud باستخدام خدمة "LDAP الآمن".

عند ربط Splunk بخدمة LDAP الآمن، تأكّد من استخدام الإصدار 8.1.4 من Splunk أو إصدار أحدث. عند استخدام الإصدارات القديمة من Splunk مثل الإصدار 8.1.3، قد يتم إرسال طلبات LDAP الزائدة إلى خادم LDAP، مما قد يؤدي إلى استنفاد حصة LDAP بسرعة. للتعرّف على مزيد من المعلومات عن مشاكل الإصدار 8.1.3 من Splunk، يمكنك الاطّلاع على مشاكل Splunk المعروفة.

اتَّبِع الخطوات التالية:

1. انسخ مفتاح برنامج LDAP وملفات الشهادة إلى /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key و/home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt.
   
   $  cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$  sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$  sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
    
2. عدِّل الملف ldap.conf لإضافة عمليات الضبط التالية:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3.  أضِف عمليات الضبط التالية في ملف المستخدم /home/splunkadmin/.ldaprc file:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
    
4. أضِف استراتيجية LDAP باستخدام واجهة مستخدم ويب Splunk. أدخِل التفاصيل التالية، ثم انقر على Save (حفظ):
    

Name (الاسم)	خدمة LDAP الآمنة في Google
المضيف	ldap.google.com
Port (المنفذ)	636
تفعيل طبقة المقابس الآمنة	تم وضع علامة عليه
طلب الربط	1
ربط الاسم المميَّز	أدخِل بيانات اعتماد الوصول التي أنشأتها ضمن "وحدة تحكُّم المشرف في Google".
ربط كلمة مرور الاسم المميَّز	أدخِل بيانات اعتماد الوصول التي أنشأتها ضمن "وحدة تحكُّم المشرف في Google".
Base DN (الاسم المميَّز الأساسي)	اسم نطاقك بتنسيق الاسم المميز. (مثلاً، dc=example,dc=com للنطاق example.com)
فلتر قاعدة المستخدمين	أدخِل فلتر قاعدة المستخدمين لتحديد فئة العنصر التي تريد فلترة المستخدمين وفقًا لها.
سمة اسم المستخدم	uid
سمة الاسم الحقيقي	الاسم المعروض
سمة البريد الإلكتروني	البريد
سمة تحديد المجموعة	الاسم المميَّز
الاسم المميَّز الأساسي للمجموعة	اسم نطاقك بتنسيق الاسم المميّز (مثلاً، ou=Groups,dc=example,dc=com للنطاق example.com)
فلتر بحث المجموعة الثابتة	أدخِل فلتر بحث المجموعة الثابتة لتحديد فئة العنصر التي تريد فلترة مجموعاتك الثابتة وفقًا لها.
سمة اسم المجموعة	cn
سمة العضو الثابت	عضو

 

يُجري SSSD عملية بحث عن مستخدم لمعرفة المزيد من المعلومات عنه أثناء مصادقته. وللتأكُّد من أداء مصادقة المستخدم لبرنامج LDAP هذا بشكلٍ صحيح، عليك تفعيل الاطِّلاع على معلومات المستخدم والاطِّلاع على معلومات المجموعة لجميع الوحدات التنظيمية، حيث يكون التحقُّق من بيانات اعتماد المستخدم مفعّلاً. (للتعرُّف على التعليمات، يُرجى الاطِّلاع على ضبط أذونات الوصول.)

لربط برنامج SSSD على Red Hait 8 أو CentOS 8 بـ "خدمة LDAP الآمن"، اتَّبِع الخطوات التالية:

1. أضِف برنامج SSSD إلى "خدمة LDAP الآمن":
   1. من "وحدة تحكُّم المشرف في Google"، انتقِل إلى التطبيقات > LDAP > إضافة برنامج.
      تأكَّد من تسجيل الدخول باستخدام حساب شركتك، وليس حسابك الشخصي على Gmail.
   2. أدخِل تفاصيل البرنامج وانقر على متابعة.
   3. اضبُط أذونات الوصول:
      التحقُّق من بيانات اعتماد المستخدم - النطاق بالكامل
      الاطِّلاع على معلومات المستخدم - النطاق بالكامل
      الاطِّلاع على معلومات المجموعة - تفعيل
   4. انقر على إضافة برنامج LDAP.
   5. نزِّل الشهادة التي تم إنشاؤها.
   6. انقر على المتابعة إلى تفاصيل البرنامج.
   7. غيِّر حالة الخدمة إلى تفعيل.
2. ثبِّت العناصر التابعة:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   احرِص على فك ضغط ملف zip. للشهادة وانسَخ ملف .crt وملف .key إلى /etc/sssd/ldap
    
3. (اختياري) يمكنك إجراء اختبار باستخدام ldapsearch:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   أدخِل كلمة مرور مستخدم Google عند الطلب.
   
   ملاحظة: يجب أن يمتلك المستخدم ترخيص Google Workspace Enterprise أو "النسخة المميّزة من Cloud Identity".

4. أنشِئ الملف /etc/sssd/sssd.conf متضمنًا المحتوى التالي:
    

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. عدِّل الأذونات وتصنيفات SELinux:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
    
6. أعِد تشغيل SSSD:
   
   systemctl restart sssd
    
7. اختبِر من خلال:
   
   ssh to server:

   ssh -l user@example.com {HOSTNAME}

تحديد المشاكل وحلّها

1. راجِع إصدار SSSD (يجب أن يكون الإصدار 1.15.2 أو إصدار أحدث):
   
   # sssd --version
2.2.3
    

2. في RHEL/CentOS (أو أي توزيعة مع فرض SELinux)، يجب أن يتمكَّن الدور ssd_conf_t من الوصول إلى ملفات ضبط SSSD وملف الشهادة والمفتاح:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   راجِع /var/log/audit/audit.log بحثًا عن رسائل الرفض AVC.
    

3. تحقَّق من توفُّر "sss" في /etc/nsswitch.conf لإدخالات passwd وshadow وgroup وnetgroup:
   
   passwd:  files sss
shadow:  files sss
group:   files sss
netgroup:  files sss
   
   ستحل الملفات المحلية محل مستخدمي LDAP.
    
4. راجِع /var/log/sssd.conf بحثًا عن أخطاء ملفات الضبط:
    

   مثال:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Skipping.

   الإجراء: تحتاج إلى chmod 600 في ملف .conf.

   مثال:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   الإجراء: احرِص على إزالة إضافات LDAP المطابقة لمجموعات غير متوافقة من sssd.conf.

5. راجِع /var/log/sssd_{DOMAIN}.log بحثًا عن أخطاء LDAP/network/auth.
   
   مثال:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   الإجراء: عليك إضافة "ldap_tls_reqcert = never" إلى sssd.conf.

   لاستيضاح الأخطاء بشكل أكبر، يمكنك إضافة "debug_level = 9" في ssd.conf ضمن قسم النطاق وإعادة تشغيل sssd.

يُجري SSSD عملية بحث عن مستخدم لمعرفة المزيد من المعلومات عنه أثناء مصادقته. وللتأكُّد من أداء مصادقة المستخدم لبرنامج LDAP هذا بشكلٍ صحيح، عليك تفعيل الاطِّلاع على معلومات المستخدم والاطِّلاع على معلومات المجموعة لجميع الوحدات التنظيمية، حيث يكون التحقُّق من بيانات اعتماد المستخدم مفعّلاً. (للتعرُّف على التعليمات، يُرجى الاطِّلاع على ضبط أذونات الوصول.)

لربط برنامج SSSD بخدمة LDAP الآمنة، يُرجى تنفيذ ما يلي:

1. ثبّت إصدار SSSD  >= 1.15.2.
   
   $  sudo apt-get install sssd
    
2. بافتراض أن ملفا مفتاح وشهادة البرنامج يحملان الاسم /var/ldap-client.crt و/var/ldap-client.key ونطاقك باسم example.com، عدِّل /etc/sssd/sssd.conf من خلال عملية ضبط مثل ما يلي:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
    

3. غيّر ملكية ملف الضبط وإذنه:
   
   $  sudo chown root:root /etc/sssd/sssd.conf
$  sudo chmod 600 /etc/sssd/sssd.conf

4. ابدأ تشغيل SSSD:
   
   $  sudo service sssd restart

نصيحة: في حال كنت تستخدم وحدة SSSD على أجهزة كمبيوتر Linux بلا عناوين IP خارجية على Google Compute Engine، يظل بإمكانك الربط بخدمة "LDAP الآمن" طالما أن الوصول الداخلي إلى خدمات Google مُفعَّل. للتعرُّف على التفاصيل، يُرجى الاطِّلاع على ضبط الوصول الخاص إلى Google. 

اتَّبِع الخطوات التالية لربط برنامج نظام التشغيل macOS لمصادقة حساب المستخدم باستخدام "خدمة LDAP الآمن".

متطلبات النظام

• يجب أن يكون إصدار نظام التشغيل macOS هو Catalina 10.15.4 أو إصدار أحدث.
• يجب تقديم رقم تعريف المستخدم للمشرف المتميِّز في Google لإكمال الخطوة 1 في مرحلة التحضير.
• يجب الحصول على أذونات المشرف المحلي لتنفيذ عملية الضبط هذه.

المحتوى:

• مرحلة التحضير
• مرحلة النشر
• القيود والإرشادات
• تحديد المشاكل وحلّها

مرحلة التحضير

تركِّز التعليمات الواردة في هذا القسم على كيفية إعداد مصادقة نظام التشغيل macOS واختبارها يدويًا باستخدام "خدمة LDAP الآمن".

الخطوة 1: إعداد نظام التشغيل macOS كبرنامج LDAP ضمن "وحدة تحكُّم المشرف في Google"

لمعرفة التعليمات، يُرجى الاطِّلاع على إضافة برامج LDAP أو مشاهدة هذا العرض التوضيحي عن "خدمة LDAP الآمن". واحرِص أيضًا على تنزيل شهادة عميل طبقة النقل الآمنة التي يتم إنشاؤها تلقائيًا أثناء هذه العملية. 

الخطوة 2: استيراد الشهادة إلى سلسلة مفاتيح النظام

1. انسَخ الشهادة (الملف المضغوط الذي تم تنزيله في الخطوة 1) والمفتاح إلى جهاز macOS.
   ملاحظة: يمكنك فك ضغط الملف للعثور على ملف الشهادة وملف المفتاح.
2. احرِص على استيراد زوج المفاتيح إلى سلسلة مفاتيح النظام:

   1. حوِّل المفتاح والشهادة إلى ملف PKCS 12 (p12)‎. شغِّل الأمر التالي في الوحدة الطرفية:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      ملاحظة: اكتب اسم ملف .p12.
      
      سيطلب منك النظام إدخال كلمة مرور. أدخِل كلمة مرور لتشفير ملف p12.

   2. افتَح تطبيق Keychain Access.

   3. انقر على سلسلة مفاتيح System (النظام).

   4. انقر على File (ملف) > Import Items (استيراد العناصر).

   5. اختَر الملف ldap-client.p12 الذي تم إنشاؤه أعلاه.

   6. عند الطلب، أدخِل كلمة مرور المشرف للسماح بتعديل سلسلة مفاتيح النظام.

   7. أدخِل كلمة المرور التي أنشأتها أعلاه لفك تشفير ملف .p12.

      ملاحظة: من المتوقع ظهور شهادة جديدة ومفتاح خاص متعلق بها في قائمة المفاتيح. قد يُطَلق عليه LDAP Client. يرجى تسجيل اسم الشهادة للخطوة التالية أدناه.
       
   8. اتَّبِع الخطوة 6 في قسم ldapsearch (نظام التشغيل macOS) ضمن هذه المقالة لإعداد "التحكُّم في الوصول" للمفتاح الخاص لإضافة التطبيقات المُحدَّدة أدناه. وفي حال عدم ظهور المفتاح الخاص ضمن فئة All Items (جميع العناصر)، جرِّب تغيير الفئة إلى My Certificates (شهاداتي) وتحديد موقع إدخال المفتاح الخاص الصحيح من خلال توسيع الشهادة المقابلة.
      
      لا يكون تطبيق ldapsearch ملائمًا للاستخدام إلا في حال الحاجة إلى تحديد المشاكل وحلّها، وليس لأغراض أخرى، كما هو موضَّح في التعليمات. تُزال هذه النسخة عادةً قبل منح المستخدمين إمكانية الوصول إلى نظام التشغيل macOS.
      
      يجب إضافة التطبيقات الثلاثة التالية إلى قائمة Access Control (التحكُّم في الوصول):
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. ​أضِف سطر إلى ملف /etc/openldap/ldap.conf مع التأكد من أن "برنامج LDAP" هو نفس اسم الشهادة الظاهرة في تطبيق Keychain Access في نظام التشغيل mac بعد استيراد ملف .p12 (يأتي الاسم من الاسم الشائع للموضوع X.509 للشهادة المنشأة):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

الخطوة 3: توجيه الجهاز إلى دليل Google للمصادقة

افتَح تطبيق Directory Utility لإنشاء عقدة دليل LDAP جديدة:

1. انقر على القفل لإجراء تغييرات وإدخال كلمة المرور.
2. اختَر LDAPv3، ثم انقر على رمز القلم الرصاص لتعديل الإعدادات.
3. انقر على New… (جديد…).
4. بالنسبة إلى اسم الخادم، أدخِل ldap.google.com،، ثم اختَر Encrypt using SSL (التشفير باستخدام طبقة المقابس الآمنة) وانقر على Manual (يدوي).
5. اختَر اسم الخادم الجديد وانقر على Edit… (تعديل…)
6. أدخِل اسمًا وصفيًا مثل Google Secure LDAP (خدمة LDAP الآمن من Google) لعملية الضبط.
7. اختَر Encrypt using SSL (التشفير باستخدام طبقة المقابس الآمنة) وتأكَّد من إعداد المنفذ على 636.
8. انتقِل إلى علامة التبويب Search & Mappings (البحث وعمليات الربط).
   1. اختَر RFC2307 من القائمة المنسدلة Access this LDAPv3 server using (الوصول إلى خادم LDAPv3 هذا باستخدام).
   2. عند الطلب، أدخِل المعلومات المتعلقة بالنطاق في Search Base Suffix (لاحقة قاعدة البحث). على سبيل المثال، أدخِل dc=zomato,dc=com لاسم نطاق zomato.com.
   3. انقر على OK (حسنًا).
   4. اضبُط السمات ضمن نوع السجلّ Users (المستخدمون):
      1. في القسم Record Types and Attributes (أنواع السجلّات والسمات)، اختَر Users (المستخدمون) وانقر على الزر "+".
      2. في النافذة المنبثقة، اختَر Attribute Types (أنواع السمات)، واختَر GeneratedUID، ثم انقر على OK (حسنًا) لإغلاق النافذة المنبثقة.
         
         من المُفترَض أن يظهر GeneratedUID ضمن Users (المستخدمون) بعد التوسيع.
          
      3. انقر على GeneratedUID، ثم انقر على الرمز "+" في المربع على اليسار.
      4. أدخِل apple-generateduid في مربع النص، وانقر على Enter (إدخال).
      5. ضمن عقدة Users (المستخدمون)، انقر على السمة NFSHomeDirector.
      6. على يسار الشاشة، عدِّل قيمة هذه السمة إلى #/Users/$uid$
      7. انقر على OK (حسنًا) وأدخِل كلمة المرور لحفظ التغييرات.
9. من نافذة Directory Utility، احرص على إعداد ملف ضبط LDAP الجديد:
   1. انتقِل إلى علامة التبويب Search Policy (سياسة البحث).
   2. انقر على رمز القفل لإجراء تغييرات، وأدخِل كلمة مرور المستخدم الحالي عند الطلب.
   3. غيِّر خيار القائمة المنسدلة من Search Path (مسار البحث) إلى Custom path (مسار مُخصَّص).
   4. افتَح علامة التبويب Authentication (المصادقة) وانقر على الرمز "+". 
   5. اختَر /LDAPv3/ldap.google.com من قائمة Directory Domains (نطاقات الدليل)، ثم انقر على Add (إضافة).
   6. انقر على الزر Apply (تطبيق) وأدخِل كلمة مرور المشرف عند الطلب.
10. شغِّل الأوامر الأربعة التالية لإيقاف آليات المصادقة DIGEST-MD5 وCRAM-MD5 وNTLM وGSSAPI SASL. سيستخدم نظام التشغيل macOS‏ Simple Bind (الربط البسيط) للمصادقة باستخدام "خدمة LDAP الآمن" من Google:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist 

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
     
11. أعِد التشغيل لإعادة تحميل ضبط OpenDirectory.

الخطوة 4: إنشاء حساب أجهزة جوَّالة (يسمح بتسجيل الدخول بلا اتصال بالإنترنت)

يمكن لأي مستخدم في Google Workspace أو Cloud Identity تسجيل الدخول باستخدام حساب شبكة (حساب Google) مستخدمًا اسم المستخدم وكلمة المرور. تحتاج عملية تسجيل الدخول هذه إلى الاتصال بالشبكة. وإذا كان المستخدم يحتاج إلى تسجيل الدخول إلى الشبكة سواء كان متصلاً بالإنترنت أو لا، يمكن إنشاء حساب أجهزة جوَّالة. يتيح لك حساب الأجهزة الجوَّالة استخدام اسم المستخدم وكلمة المرور لحساب الشبكة (حساب Google) لتسجيل الدخول، سواء كنت متصلاً بالشبكة أو لا. ولمعرفة مزيد من التفاصيل، يُرجى الاطِّلاع على إنشاء حسابات الأجهزة الجوَّالة وضبطها على جهاز Mac.

اتَّبِع الخطوات التالية لإنشاء حساب أجهزة جوِّالة لمستخدمي "خدمة LDAP الآمن":

1. شغِّل الأمر التالي للربط بخادم "خدمة LDAP الآمن" وإعداد مسار للصفحة الرئيسية وحسابات أجهزة جوَّالة:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v 
   
   ملاحظة: استبدِل $uid بجزء اسم المستخدم في عنوان البريد الإلكتروني المرتبط بحساب المستخدم على Google. مثلاً، jsmith هو جزء اسم المستخدم في عنوان البريد الإلكتروني jsmith@solarmora.com.

2. عندما يُطلب منك SecureToken admin user name (اسم مستخدم مشرف SecureToken)، أدخِل اسم المستخدم للمشرف وأدخِل كلمة المرور في رسالة الطلب التالية. سيؤدي ذلك إلى إضافة $uid إلى FileVault. وهي خطوة ضرورية إذا كان قرص macOS مشفّرًا. 

الخطوة 5: (اختياري) ضبط الإعدادات المُفضَّلة لشاشة تسجيل الدخول

1. انتقِل إلى System preferences (الإعدادات المفضَّلة للنظام) > Users & Groups (المستخدمون والمجموعات) > Login Options (خيارات تسجيل الدخول) في أسفل يمين الصفحة.
2. افتَح القفل من خلال تقديم بيانات اعتماد المشرف.
3. غيَّر Display login window as (طريقة عرض نافذة تسجيل الدخول) إلى Name and password (الاسم وكلمة المرور).

الخطوة 6: إعادة التشغيل جهازك وتسجيل الدخول إليه

1. تأكَّد من اتصال الجهاز بالإنترنت. وفي حال عدم الاتصال بالإنترنت، لن تتم عملية تسجيل الدخول لمستخدم "خدمة LDAP الآمن".
   ملاحظة: الاتصال بالإنترنت ضروري لتسجيل الدخول لأول مرة فقط. يمكن أن تحدث أي عمليات تسجيل دخول تالية بدون اتصال بالإنترنت. 
2. سجِّل الدخول إلى الجهاز باستخدام حساب المستخدم الذي تم ضبطه لاستخدام "خدمة LDAP الآمن" للمصادقة. 

مرحلة النشر

تركِّز التعليمات الواردة في هذا القسم على برمجة ضبط الجهاز للمستخدمين. نفِّذ الخطوتين 1 و2 أدناه على الجهاز الذي يعمل بنظام التشغيل macOS نفسه الذي أكملت عليه عملية الضبط اليدوية أثناء مرحلة التحضير. 

الخطوة 1: إنشاء ملف شخصي على جهاز Mac من خلال شهادة باستخدام Apple Configurator 2

1. ثبِِّت Apple Configurator 2 على الجهاز الذي تم ضبط مصادقة نظام التشغيل macOS يدويًا عليه باستخدام "خدمة LDAP الآمن".
2. افتَح Apple Configurator 2 وأنشِئ ملفًا شخصيًا جديدًا وانقر على configure (ضبط) واحرِص على استيراد ملف ‎.p12 الذي تم إنشاؤه ضمن قسم Certificate (الشهادة) في السابق.
   ملاحظة: تأكَّد من أن ملف ‎.p12 هذا لديه كلمة مرور. أدخِل كلمة المرور هذه في قسم Password (كلمة المرور) ضمن Certificate (الشهادة).
3. احفَظ هذا الملف الشخصي. 
4. افتَح هذا الملف الشخصي في أي مُحرِّر نصوص وأضِف الأسطر التالية في علامة <dict> الأولى:
   
   <key>PayloadScope</key>
<string>System</string>
   
   تتم إضافة هذه الأسطر، لأن تطبيق Apple Configurator لا يتوافق مع المفات الشخصية لنظام التشغيل macOS حتى الآن.
    
5. في علامة <dict> الثانية، بالتوازي مع بيانات الشهادة، أضِف الأسطر التالية:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   سيؤدي ذلك إلى ضمان إمكانية وصول جميع التطبيقات إلى هذه الشهادة.

الخطوة 2: تحويل ملف ضبط الدليل (plist) إلى xml 

في هذه الخطوة، يتم استخراج جميع عمليات الضبط اليدوية التي أكملتها خلال الخطوة 3 من مرحلة التحضير إلى ملف XML. يمكنك استخدام هذا الملف والملف الشخصي على جهاز Mac الذي تم إنشاؤه في الخطوة 1 أعلاه لضبط الأجهزة الأخرى التي تعمل بنظام التشغيل macOS تلقائيًا. 

1. انسَخ /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist إلى جهاز كمبيوتر سطح المكتب أو أي جهاز آخر.
2. حوِِّل هذا الملف إلى XML حتى تتمكن من فحصه في أي مُحرِّر نصوص. شغِّل الأمر التالي في وحدة طرفية:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   يمكنك الوصول إلى الملف على <path>/ldap.google.com.plist.
    
3. غيِِّر إذن الملف أعلاه حتى تتمكَّن من فتح ملف XML. تأكَّد من أنه ليس فارغًا.

الخطوة 3: إنشاء نص برمجي python لبرمجة عملية الضبط على أجهزة المستخدمين

انسَخ النص البرمجي python أدناه واحفَظه كملف python (ملف ‎.py).

ملاحظة: يتم توفير نموذج النص البرمجي كما هو. لن يوفِّر فريق دعم Google نماذج نصوص برمجية. 

Ldap_pythong_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b'\x00'*32, 32)
request.appendData_(NSData.dataWithBytes_length_(CONFIG, len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

الخطوة 4: ضبط أجهزة المستخدمين تلقائيًا

انتِقل إلى الأجهزة الأخرى التي تعمل بنظام التشغيل macOS والتي تريد ضبطها واتَّبِع الخطوات التالية:

1. انسَخ الملف الذي تم إنشاؤه للملف الشخصي في جهاز Mac ضمن الخطوة 1 وملف الضبط XML الذي تم إنشاؤه في الخطوة 2 والنص البرمجي python من الخطوة 3 إلى الجهاز.
2. شغِّل الأمر التالي:
   
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
    
3. لاستيراد الشهادات إلى سلسلة مفاتيح نظام التشغيل macOS، انقر مرّتين على الملف الذي تم إنشاؤه للملف الشخصي على جهاز Mac في الخطوة 1، وعند الطلب، قدِّم بيانات اعتماد المشرف المحلي لنظام التشغيل macOS. سيُطلَب منك بعد ذلك إدخال كلمة مرور ‎.p12 التي أعددتها أثناء مرحلة التحضير. 
4. أعِد تشغيل الجهاز الذي يعمل بنظام التشغيل macOS.
5. أنشِئ حسابات الأجهزة الجوَّالة كما هو موضح في الخطوة 4 من مرحلة التحضير، ويمكنك اختيار ضبط إعدادات مُفضَّلة إضافية كما هو موضح في الخطوة 5 من مرحلة التحضير.

القيود والإرشادات

• عندما يبدأ المستخدم تسجيل الدخول إلى نظام التشغيل macOS باستخدام بيانات الاعتماد في Google، يجب أن تتم إدارة كلمة مرور المستخدم (إعادة الضبط أو الاسترداد) على موقع Google الإلكتروني (مثل، myaccount.google.com أو ضمن "وحدة تحكُّم المشرف في Google"). إذا اخترت إدارة كلمات المرور باستخدام حل تابع لجهة خارجية، تأكَّد من مزامنة أحدث كلمة مرور مع Google.
• في حال أنشأ المشرف مستخدمًا جديدًا أو أعاد ضبط كلمة مرور مستخدم حالي مع تفعيل إعداد طلب تغيير كلمة المرور عند تسجيل الدخول للمرة التالية، لن يتمكَّن المستخدم من تسجيل الدخول إلى جهاز Mac باستخدام كلمة المرور المؤقتة التي أعدَّها المشرف. 
  الحل: يحتاج المستخدم إلى تسجيل الدخول إلى Google باستخدام جهاز آخر (مثل، جهاز جوَّال أو جهاز كمبيوتر سطح مكتب آخر)، وإعداد كلمة مرور دائمة، ثم تسجيل الدخول إلى نظام التشغيل macOS باستخدام كلمة المرور الجديدة. 
• ويجب أن يكون جهاز Mac متصلاً بالإنترنت حتى يمكن الوصول إلى ldap.google.com أثناء عملية تسجيل الدخول الأولى بعد تنفيذ عملية الضبط أعلاه.  لن تحتاج أي عمليات تسجيل دخول لاحقة إلى الاتصال بالإنترنت طالما اخترت إعداد حساب أجهزة جوَّالة.
• يتم اختبار دمج "خدمة LDAP الآمن" من Google مع نظام التشغيل macOS على الإصدار Catalina وBig Sur.

تحديد المشاكل وحلّها

في حال واجهتك مشاكل في الاتصال بخدمة LDAP الآمن، يُرجى اتّباع التعليمات التالية.

الخطوة 1: التحقُّق من الربط

التحقُّق من الربط باستخدام odutil.
شغِّل الأمر odutil show nodenames  في الوحدة الطرفية.
تحقَّق من أن حالة /LDAPv3/ldap.google.com هي Online (على الإنترنت). في حال عدم الاتصال بالإنترنت، جرّب خيار telnet.

التحقُّق من الربط باستخدام nc.
نفِّذ الأمر التالي في الوحدة الطرفية: nc -zv  ldap.google.com 636
في حال لم تتمكَّن من الربط بخدمة Google باستخدام هذه الطريقة، جرِّب الربط باستخدام IPv4.

التحقُّق من الربط باستخدام IPv4.
يمكنك تغيير إعدادات جهازك لاستخدام IPv4 باتِّباع الخطوات التالية:

1. انتقِل إلى System Preferences (الإعدادات المُفضَّلة للنظام) > Network (الشبكة) > Wi-Fi > ‏Advanced (الإعدادات المتقدِّمة).
2. ضمن القائمة Advanced (الإعدادات المتقدِّمة)، انتقِل إلى علامة التبويب TCP/IP.
3. غيِِّر القائمة المنسدلة من Configure IPv6 (ضبط IPv6) إلى Link-local only (الربط المحلي فقط).
4. انقر على OK (حسنًا)، ثم انقر على Apply (تطبيق) لحفظ التغييرات.
5. تحقّق من مصادقة الخدمة من خلال إجراء عملية بحث صالحة وربط ldapsearch.

الخطوة 2: التحقُّق مما إذا كان بإمكانك الاطِّلاع على كائنات الدليل.

1. افتَح Directory Utility، ثم افتَح علامة التبويب Directory Editor (مُحرِّر الدليل). 
2. اختَر العقدة /LDAPv3/ldap.google.com في القائمة المنسدلة.
3. تحقَّق مما إذا كان بإمكانك الاطِّلاع على المستخدمين والمجموعات من نطاق Google.