4. Connettere i client LDAP al servizio LDAP sicuro

Segui questi passaggi:

1. Segui i passaggi 1–11 in ldp.exe (Windows) per installare i certificati client.
2. Vai ad Action > Connect to… (Azione > Connetti a).
3. Inserisci le seguenti impostazioni di connessione:
   
   Name (Nome): digita un nome per la connessione, ad esempio Google LDAP.
   Connection Point (Punto di connessione): "Select or type a Distinguished Name or Naming Context" (Seleziona o digita un nome distinto o un contesto di denominazione)
   Inserisci il nome di dominio nel formato DN, ad esempio dc=example,dc=com per example.com.
   
   Computer: “Select or type a domain or server” (Seleziona o digita un dominio o un server)
   ldap.google.com
   
   Use SSL-based Encryption (Usa crittografia basata su SSL): selezionato
    
4. Fai clic su Advanced (Avanzate) e inserisci i dettagli seguenti:
   
   Specify credentials (Specifica credenziali): selezionato
   Username (Nome utente): il nome utente delle credenziali di accesso della Console di amministrazione
   Password: la password delle credenziali di accesso dalla Console di amministrazione
   Port Number (Numero porta): 636
   Protocol (Protocollo): LDAP
   Simple bind authentication (Autenticazione di binding semplice): selezionato
    
5. Fai clic su OK, quindi di nuovo su OK.
6. Se la connettività ha esito positivo, i contenuti di Active Directory nel DN di base sono visualizzati nel riquadro a destra.

Per utilizzare Apache Directory Studio, connettiti via stunnel e utilizza una credenziale di accesso (nome utente e password) generata nella Console di amministrazione Google. Successivamente, se le credenziali sono corrette e stunnel è in ascolto sulla porta localhost 1389, segui questi passaggi:

1. Fai clic su File > New… (File > Nuovo…)
2. Seleziona LDAP Browser > LDAP Connection (Browser LDAP > Connessione LDAP).
3. Fai clic su Next (Avanti).
4. Inserisci i parametri di connessione:
   
   Connection name (Nome connessione): scegli un nome, ad esempio Google LDAP
   Hostname (Nome host): localhost
   Port (Porta): 1389 (o porta di ascolto/accettazione di stunnel)
   Encryption method (Metodo di crittografia): nessuna crittografia. Nota: se stunnel viene eseguito da remoto, consigliamo di applicare la crittografia tra stunnel e il client.
    
5. Fai clic su Next (Avanti).
6. Inserisci i parametri di autenticazione:
   
   Authentication Method (Metodo di autenticazione): autenticazione semplice
   Bind DN or user (DN o utente di binding): il nome utente delle credenziali di accesso dalla Console di amministrazione
   Bind password (Password di binding): la password delle credenziali di accesso dalla Console di amministrazione
    
7. Fai clic su Next (Avanti).
8. Inserisci il DN di base.
   Si tratta del nome di dominio in formato DN (dc=example,dc=com per example.com).
9. Fai clic su Finish (Fine).

Durante l'autenticazione, Atlassian Jira esegue una ricerca per recuperare ulteriori informazioni sull'utente. Per assicurarti che l'autenticazione degli utenti funzioni correttamente per questo client LDAP, devi attivare le opzioni Lettura informazioni degli utenti e Lettura informazioni dei gruppi per tutte le unità organizzative per le quali l'opzione Verifica credenziali utente è attiva. Per le istruzioni relative a questa operazione, vedi Configurare le autorizzazioni di accesso.

Importante: se ti attieni alle istruzioni riportate di seguito, il valore keystorePassword potrebbe essere esposto a utenti e file di log. Prendi le precauzioni necessarie per evitare l'accesso non autorizzato alla shell locale, al file di log e alla Console di amministrazione Google. In alternativa alle istruzioni seguenti, utilizza il metodo stunnel4. Vedi (Facoltativo) Utilizzare stunnel come proxy. 

Nota: le istruzioni che seguono presuppongono che Jira sia installato in /opt/atlassian/jira.

Per connettere un client Atlassian Jira al servizio LDAP sicuro:

1. Copia il certificato e la chiave nei tuoi server Jira. Si tratta del certificato generato nella Console di amministrazione Google durante l'aggiunta del client LDAP al servizio LDAP sicuro.
   
   Ad esempio:
   $  scp ldap-client.key user@jira-server:
    
2. Converti il certificato e le chiavi nel formato Java keystore. Durante questo processo ti verrà richiesto più volte di inserire una password. Per maggiore praticità, scegli una password sicura e utilizzala per tutte le richieste.
   
   $  openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$  sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
    
3. Configura Jira affinché utilizzi l'archivio chiavi appena creato. Segui le indicazioni fornite qui per aggiungere opzioni:
   
   “-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”
   
   Su Linux:
   1. Modifica il file /opt/atlassian/jira/bin/setenv.sh.
   2. Individua l'impostazione JVM_SUPPORT_RECOMMENDED_ARGS.
   3. Aggiungi “-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”, sostituendo “password” con la password che hai scelto nel passaggio 2.
4. Riavvia Jira.
   
   $  /opt/atlassian/jira/bin/stop-jira.sh
$  /opt/atlassian/jira/bin/start-jira.sh
    
5. Accedi all'interfaccia web di Jira come amministratore.
   1. Vai a Settings (Impostazioni) > User management (Gestione utenti). Per aprire le impostazioni utilizza l'icona a forma di ingranaggio in alto a destra.
   2. Fai clic su User Directories (Directory utente).
   3. Fai clic su Add Directory (Aggiungi directory).
   4. Scegli LDAP come tipo.
   5. Fai clic su Next (Avanti).
6. Inserisci i seguenti valori:

   Name (Nome)	Google Secure LDAP
   Directory type (Tipo directory)	OpenLDAP
   Hostname (Nome host)	ldap.google.com
   Port (Porta)	636
   Use SSL (Usa SSL)	Selezionata
   Username (Nome utente)	Genera un nome utente e una password nella Console di amministrazione Google. Per le istruzioni relative a questa operazione, consulta Generare le credenziali di accesso.
   Password	Genera un nome utente e una password nella Console di amministrazione Google. Per le istruzioni relative a questa operazione, consulta Generare le credenziali di accesso.
   Base DN (DN di base)	Il nome di dominio in formato DN, ad esempio, dc=example,dc=com per example.com
   Additional User DN (Altro DN utente)	Facoltativo: “ou=Users”
   Additional Group DN (Altro DN gruppo)	Facoltativo: “ou=Groups”
   LDAP Permissions (Autorizzazioni LDAP)	Sola lettura
   Impostazioni avanzate	Invariato
   User Schema Settings (Impostazioni schema utente) > User Name Attribute (Attributo nome utente)	googleUid
   User Schema Settings (Impostazioni schema utente) > User Name RDN Attribute (Attributo RDN Nome utente)	uid
   Group Schema Settings (Impostazioni schema gruppo) > (Classe oggetti gruppo)	groupOfNames
   Group Schema Settings (Impostazioni schema gruppo) > Group Object Filter (Filtro oggetti gruppo)	(objectClass=groupOfNames)
   Membership Schema Settings (Impostazioni schema appartenenza) > Group Members Attribute (Attributo membri gruppo)	member
   Membership Schema Settings (Impostazioni schema appartenenza) > Use the User Membership Attribute (Utilizza attributo appartenenza utente)	Selezionata

    

7. Assegna un ruolo a un gruppo.
   
   Affinché Atlassian Jira possa consentire l'accesso da parte di un utente, quest'ultimo deve essere membro di un gruppo autorizzato ad accedere a Jira.
   
   Per assegnare un ruolo a un gruppo:
   1. Vai a Settings (Impostazioni) > Applications (Applicazioni) > Application access (Accesso applicazioni). 
   2. Nella casella di testo Select group (Seleziona gruppo), inserisci il nome del gruppo Google che vuoi autorizzare ad accedere a Jira.

Per istruzioni per la connessione di CloudBees Core al servizio LDAP sicuro, leggi come configurare CloudBees Core con il servizio LDAP sicuro di Google Cloud Identity.

Segui questi passaggi:

1. Installa e configura FreeRADIUS in /etc/freeradius/3.0/.
   
   Dopo aver installato FreeRADIUS puoi aggiungere la configurazione LDAP installando il plug-in freeradius-ldap.
   
   $  sudo apt-get install freeradius freeradius-ldap
    
2. Copia i file della chiave e del certificato del client LDAP rispettivamente in /etc/freeradius/3.0/certs/ldap-client.key e /etc/freeradius/3.0/certs/ldap-client.crt.
   
   $  chown freeradius:freeradius
     /etc/freeradius/3.0/certs/ldap-client.*
$  chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
    
3. Attiva il modulo LDAP.
   
   $  cd /etc/freeradius/3.0/mods-enabled/
$  ln -s ../mods-available/ldap ldap
    
4. Modifica /etc/freeradius/3.0/mods-available/ldap.
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. identity = nome utente delle credenziali dell'applicazione
   3. password = password delle credenziali dell'applicazione
   4. base_dn = ‘dc=domain,dc=com’
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = ‘allow’
   9. Commenta tutti i campi del breadcrumb che rappresentano la sezione 'ldap -> post-auth -> update'
5. Modifica /etc/freeradius/3.0/sites-available/default.
   In questo modo si modifica la connessione del client FreeRADIUS. Se non utilizzi il client predefinito, assicurati di aggiornare il client pertinente (tunnel interno o qualsiasi client personalizzato) che hai configurato.
    
   1. Modifica la sezione authorize per aggiungere il blocco seguente in fondo, dopo l'istruzione PAP (protocollo di autorizzazione password):
      
      if (User-Password) {
    update control {
        Auth-Type := ldap
    }
}
       
   2. Nella sezione authorize, attiva LDAP rimuovendo il segno "-" che lo precede.
      
          #
          #  Il modulo ldap legge le password dal database LDAP.
          ldap
       
   3. Modifica la sezione authenticate modificando il blocco Auth-Type LDAP come segue:
      
      # Auth-Type LDAP {
    ldap
# }
       
   4. Modifica la sezione authenticate modificando il blocco Auth-Type PAP come segue:
      
      Auth-Type PAP {
    #  pap
    ldap
}

Per istruzioni su come connettere GitLab al servizio LDAP sicuro, leggi come configurare il servizio LDAP sicuro di Google per GitLab.

Per istruzioni su come connettere Itopia/Ubuntu al servizio LDAP sicuro, leggi come configurare il servizio LDAP di Google Cloud Identity su Ubuntu 16.04 per gli accessi utente.

Segui questi passaggi:

1. Sul server web Ivanti, apri OpenLDAPAuthenticationConfiguration.xml o OpenLDAPSSLAuthenticationConfiguration.xml in un editor di testo nelle due cartelle seguenti:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework e C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (dove servicedesk è il nome dell'istanza)
2. Aggiorna il valore <Server> a ldap.google.com.
3. Aggiorna il valore <Port> (Porta) alla porta 3268 per il testo in chiaro con StartTLS attivo e a 3269 per la porta SSL/TLS. I valori predefiniti sono 389 per la porta del testo in chiaro o 636 per la porta SSL/TLS. 
4. Imposta il valore <TestDN> sul nome di dominio in formato DN, ad esempio, dc=example,dc=com per example.com.
5. In entrambi i percorsi, ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config e ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config, aggiungi la riga:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   o la riga:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
    
6. In Ivanti Configuration Center, apri l'istanza richiesta.
7. Accanto all'applicazione Service Desk Framework, fai clic su Edit (Modifica).
   Viene visualizzata la finestra di dialogo Edit Application (Modifica applicazione) per Service Desk Framework.
8. Nel gruppo Configuration parameters (Parametri di configurazione), seleziona Explicit only (Solo espliciti) nell'elenco Logon policy (Criteri di accesso), quindi fai clic su OK.
9. Fai clic su Edit (Modifica) accanto all'applicazione Web Access.
   Viene visualizzata la finestra di dialogo Edit Application (Modifica applicazione) per Web Access.
10. Nel gruppo Configuration parameters (Parametri di configurazione), seleziona Explicit only (Solo espliciti) nell'elenco Logon policy (Criteri di accesso), quindi fai clic su OK.

Durante l'accesso, utilizza la password di rete dell'utente del dominio associato.

Registrare le eccezioni per l'autenticazione del server LDAP

In caso di problemi durante la configurazione dell'autenticazione del server LDAP, puoi attivare la registrazione delle eccezioni per identificare il problema. Per impostazione predefinita, questa opzione è disattivata; consigliamo di disattivarla nuovamente al termine delle indagini.

Per attivare la registrazione delle eccezioni per l'autenticazione del server LDAP:

1. Apri il file XML di configurazione dell'autenticazione appropriato in un editor di testo:
   
   DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml o OpenLDAPSSLAuthenticationConfiguration.xml
2. Cambia la riga:
   
   <ShowExceptions>false</ShowExceptions>
   in 
   <ShowExceptions>true</ShowExceptions>
    
3. Salva le modifiche.

Segui questi passaggi:

1. Converti i file della chiave e del certificato client in un file in formato PKCS12. Al prompt dei comandi, inserisci quanto segue:
   
   In macOS o Linux, utilizza i comandi seguenti​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Inserisci una password per criptare il file di output.
    

   In Windows, utilizza i seguenti comandi:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Importante:  i due file (<CERT_FILE>.crt e <CERT_FILE>.key) devono trovarsi nella stessa directory. Inoltre, assicurati che il file key e il file crt abbiano lo stesso nome (con un'estensione diversa). In questo esempio utilizziamo i nomi ldap-client.crt e ldap-client.key.

2. Vai al Pannello di controllo.
3. Nella casella di ricerca, cerca "certificate" (certificato) e fai clic su Manage user certificates (Gestisci certificati utente).
4. Vai ad Action > All Tasks > Import… (Azione > Tutte le attività > Importa).
5. Seleziona Current User (Utente corrente) e fai clic su Next (Avanti).
6. Fai clic su Browse… (Sfoglia)
7. Nell'elenco a discesa File type (Tipo di file) nell'angolo inferiore destro della finestra di dialogo, seleziona Personal Information Exchange (*.pfx;*.p12) (Scambio di informazioni personali).
8. Seleziona il file ldap-client.p12 del passaggio 2, fai clic su Open (Apri) e quindi su Next (Avanti).
9. Inserisci la password utilizzata al passaggio 2 e fai clic su Next (Avanti).
10. Seleziona l'archivio certificati Personal (Personale), fai clic su Next (Avanti) e quindi su Finish (Fine).
11. Esegui Ldp.exe.
12. Vai a Connection > Connect… (Connessione > Connetti).
13. Inserisci i seguenti dati di connessione:
    
    Server: ldap.google.com
    Port (Porta): 636
    Connectionless (Senza connessione): deselezionato
    SSL: selezionato
     
14. Fai clic su OK.
15. Vai a View > Tree (Visualizza > Struttura).
16. Inserisci il DN di base, ovvero il tuo nome dominio in formato DN, ad esempio dc=example,dc=com per example.com.
17. Fai clic su OK.
18. Se la connettività ha esito positivo, LDP.exe visualizza i contenuti di Active Directory, ad esempio tutti gli attributi presenti nel DN di base, nel riquadro a destra.

Per istruzioni su come connettere Netgate/pfSense al servizio LDAP sicuro, leggi come configurare Google Cloud Identity come origine dell'autenticazione.

Per accedere alla directory LDAP dalla riga di comando, puoi utilizzare il comando ldapsearch di OpenLDAP.

Supponiamo che i file del certificato e della chiave client siano rispettivamente ldap-client.crt e ldap-client.key, che il tuo dominio sia example.com e il nome utente jsmith:

$   LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

Il comando imposta le variabili di ambiente pertinenti in modo che rimandino alle chiavi client. Puoi sostituire le altre opzioni di ldapsearch con i filtri da applicare, gli attributi richiesti e così via. Per altri dettagli, vedi le pagine man di ldapsearch (comando "man ldapsearch").

Segui questi passaggi:

1. Converti i file della chiave e del certificato client in un file in formato PKCS12. Al prompt dei comandi, inserisci quanto segue:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Inserisci la password per criptare il file di output.
    
2. Fai clic sull'icona  nell'angolo in alto a destra della barra dei menu e digita Keychain Access (Accesso Portachiavi).
3. Apri l'applicazione Keychain Access (Accesso Portachiavi) e fai clic su System (Sistema) nell'elenco sulla sinistra.
4. Fai clic sull'opzione File nella barra all'estremità sinistra e seleziona Import Items (Importa elementi).
5. Passa al percorso dell'elemento ldap-client.p12 generato e seleziona ldap-client.p12, quindi fai clic su Open (Apri).
   Se richiesto, inserisci la password.
   A questo punto, nell'elenco dei certificati System Keychain (Portachiavi di sistema) dovrebbe essere presente un certificato denominato LDAP Client. 
6. Fai clic sulla freccia accanto al certificato LDAP Client (Client LDAP). Sotto il certificato verrà visualizzata una chiave privata. 
   1. Fai doppio clic sulla chiave privata.
   2. Nella finestra di dialogo, seleziona la scheda Access Control (Controllo degli accessi) e fai clic sul segno + nell'angolo in basso a sinistra.

   3. Nella finestra visualizzata, premi Comando + Maiusc + G per aprire una nuova finestra, quindi sostituisci il testo esistente con /usr/bin/ldapsearch.

   4. Fai clic su Go (Vai).
      
      Verrà aperta una finestra in cui ldapsearch è evidenziato.

   5. Fai clic su Add (Aggiungi).

   6. Fai clic su Save Changes (Salva modifiche) e inserisci la password, se richiesta.
      
      Ora è tutto pronto per accedere alla tua directory LDAP dalla riga di comando utilizzando il comando ldapsearch di OpenLDAP.

7. Supponendo che il nome del file ldap-client.p12 che hai importato prima nel portachiavi sia LDAP Client, il tuo dominio sia example.com e il nome utente sia jsmith, inserisci quanto segue:
   
   $   LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

Il comando imposta le variabili di ambiente pertinenti in modo che rimandino al certificato client importato. Puoi sostituire le altre opzioni di ldapsearch con i filtri da applicare, gli attributi richiesti e così via. Per maggiori dettagli, vedi le pagine dedicate a ldapsearch man (man ldapsearch).

Segui questi passaggi:

1. Se necessario, installa e configura OpenVPN oppure, se lo hai già fatto, apri la pagina delle impostazioni in OpenVPN.
   
   La configurazione generica di una VPN esula dall'ambito di questo articolo del Centro assistenza. Dopo aver configurato una VPN, puoi aggiungere l'autenticazione e l'autorizzazione degli utenti via LDAP. In particolare, devi installare il plug-in openvpn-auth-ldap.
   
   $  sudo apt-get install openvpn openvpn-auth-ldap
    
2. Copia i file della chiave e del certificato client LDAP in /etc/openvpn/ldap-client.key e /etc/openvpn/ldap-client.crt.
3. Crea un file denominato /etc/openvpn/auth-ldap.conf, con il seguente contenuto (in questo esempio il nome di dominio è example.com):
   
   <LDAP>
  URL ldaps://ldap.google.com:636 #
  Timeout 15
  TLSEnable false
  TLSCACertDir /etc/ssl/certs
  TLSCertFile /etc/openvpn/ldap-client.crt
  TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
  BaseDN "dc=example,dc=com"
  SearchFilter "(uid=%u)" # (o scegli un filtro LDAP personalizzato per gli utenti)
  RequireGroup false
</Authorization>
    
4. Modifica il file di configurazione di OpenVPN, in genere denominato /etc/openvpn/server.conf o in modo simile. Aggiungi quanto segue alla fine del file:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
    
5. Riavvia il server OpenVPN.
   
   $  sudo systemctl restart openvpn@server
    
6. Configura i client VPN in modo che utilizzino i nomi utente e le password degli utenti. Ad esempio, nella configurazione di un client OpenVPN, aggiungi auth-user-pass alla fine del file di configurazione del client OpenVPN e avvialo:
   
   $  openvpn --config /path/to/client.conf
    
7. Segui le istruzioni per utilizzare stunnel come proxy.

Per istruzioni per la connessione di OpenVPN Access Server al servizio LDAP sicuro, leggi come configurare il servizio LDAP sicuro di Google con OpenVPN Access Server.

Per istruzioni su come connettere PaperCut al servizio LDAP sicuro, leggi come sincronizzare e autenticare gli utenti di Google Workspace e Google Cloud Identity in PaperCut.

Per istruzioni su come connettere Puppet Enterprise al servizio LDAP sicuro, leggi l'articolo su Google Cloud Directory per PE.

Importante: prima di iniziare, assicurati di aver installato Softerra LDAP Browser con la versione numero 4.5 (4.5.19808.0) o successive. Vedi la pagina del browser LDAP 4.5.

Segui questi passaggi:

1. Converti i file della chiave e del certificato client in un file in formato PKCS12. Al prompt dei comandi, inserisci quanto segue:
   
   In macOS o Linux, utilizza i comandi seguenti​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Inserisci una password per criptare il file di output.
    

   In Windows, utilizza i seguenti comandi:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Importante:  i due file (<CERT_FILE>.crt e <CERT_FILE>.key) devono trovarsi nella stessa directory. Inoltre, assicurati che il file key e il file crt abbiano lo stesso nome (con un'estensione diversa). In questo esempio utilizziamo i nomi ldap-client.crt e ldap-client.key.

2. In Softerra LDAP Browser, installa la coppia di chiavi.
   1. Vai a Tools > Certificate Manager (Strumenti > Gestione certificati).
   2. Fai clic su Import… (Importa).
   3. Fai clic su Next (Avanti).
   4. Fai clic su Browse… (Sfoglia)
   5. Nell'elenco a discesa File type (Tipo di file) situato nell'angolo inferiore destro della finestra di dialogo, seleziona Personal Information Exchange (*.pfx;*.p12) (Scambio di informazioni personali).
   6. Seleziona il file ldap-client.p12 nel passaggio 2 precedente.
   7. Fai clic su Open (Apri) e scegli Next (Avanti).
   8. Inserisci la password di cui al precedente passaggio 2 e fai clic su Next (Avanti).
   9. Seleziona l'archivio certificati Personal (Personale).
   10. Fai clic su Next (Avanti).
   11. Fai clic su Finish (Fine).
3. Aggiungi un profilo del server.
   1. Vai a File > New > New Profile… (File > Nuovo > Nuovo profilo).
   2. Inserisci un nome per il profilo, ad esempio Google LDAP.
   3. Fai clic su Next (Avanti).
      
      Inserisci quanto segue:
      
      Host: ldap.google.com
      Port (Porta): 636
      Base DN (DN di base): il nome di dominio in formato DN, ad esempio dc=example,dc=com per example.com
      Use secure connection (SSL) (Usa connessione sicura - SSL): selezionato
       
   4. Fai clic su Next (Avanti).
   5. Seleziona External (SSL Certificate) (Esterno (Certificato SSL)).
   6. Fai clic su Next (Avanti).
   7. Fai clic su Finish (Fine).

Per istruzioni su come connettere Sophos Mobile al servizio LDAP sicuro, leggi come connettere Sophos Mobile a Google Cloud Identity/Google Cloud Directory utilizzando LDAP sicuro.

Quando colleghi Splunk al servizio LDAP sicuro, assicurati di utilizzare la versione 8.1.4 o successive di Splunk. Se utilizzi versioni di Splunk più datate, ad esempio la versione 8.1.3, è possibile che al server LDAP venga inviato un numero eccessivo di query, il che potrebbe portare rapidamente all'esaurimento della tua quota LDAP. Per saperne di più sui problemi con la versione 8.1.3 di Splunk, vedi i problemi noti di Splunk.

Segui questi passaggi:

1. Copia i file della chiave e del certificato client LDAP rispettivamente in /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key e /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt.
   
   $  cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$  sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$  sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
    
2. Modifica il file ldap.conf per aggiungere le seguenti configurazioni:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3.  Aggiungi le seguenti configurazioni nel file /home/splunkadmin/.ldaprc dell'utente:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
    
4. Aggiungi la strategia LDAP utilizzando l'interfaccia utente web di Splunk. Inserisci i seguenti dettagli, quindi fai clic su Save (Salva):
    

Name (Nome)	Google Secure LDAP
Host	ldap.google.com
Port (Porta)	636
SSL enabled (SSL attivo)	Selezionata
Connection order (Ordine di connessione)	1
Bind DN (DN di binding)	Inserisci le credenziali di accesso che hai generato nella Console di amministrazione Google.
Bind DN password (Password DN di binding)	Inserisci le credenziali di accesso che hai generato nella Console di amministrazione Google.
Base DN (DN di base)	Il tuo nome di dominio in formato DN (ad esempio dc=example,dc=com per il dominio example.com)
User base filter (Filtro base utenti)	Inserisci il filtro base utenti per la classe di oggetti in base a cui vuoi filtrare gli utenti.
User name attribute (Attributo nome utente)	uid
Real name attribute (Attributo nome utente)	displayname
Email attribute (Attributo email)	posta
Group mapping attribute (Attributo di mappatura di gruppo)	dn
Group base DN (DN di base del gruppo)	Il tuo nome di dominio in formato DN (ad esempio ou=Gruppi,dc=example,dc=com per il dominio example.com)
Static group search filter (Filtro di ricerca gruppi statici)	Inserisci il filtro di ricerca gruppi statici per la classe di oggetti in base a cui vuoi filtrare i gruppi statici.
Group name attribute (Attributo nome del gruppo)	cn
Static member attribute (Attributo membro statico)	member

 

Durante l'autenticazione, SSSD esegue una ricerca per recuperare ulteriori informazioni sull'utente. Per assicurarti che l'autenticazione degli utenti funzioni correttamente per questo client LDAP, devi attivare le opzioni Lettura informazioni degli utenti e Lettura informazioni dei gruppi per tutte le unità organizzative per le quali l'opzione Verifica credenziali utente è attiva. Per le istruzioni relative a questa operazione, vedi Configurare le autorizzazioni di accesso.

Per connettere un client SSSD su Red Hat 8 o CentOS 8 al servizio LDAP sicuro:

1. Aggiungi il client SSSD al servizio LDAP sicuro:
   1. Nella Console di amministrazione Google, vai ad Applicazioni > LDAP > AGGIUNGI CLIENT.
      Assicurati di accedere con il tuo account aziendale e non con il tuo account Gmail personale.
   2. Inserisci i dettagli del client e fai clic su CONTINUA.
   3. Configura le autorizzazioni di accesso:
      Verifica credenziali utente: tutto il dominio
      Lettura informazioni degli utenti: tutto il dominio
      Lettura informazioni dei gruppi:ON
   4. Fai clic su AGGIUNGI CLIENT LDAP.
   5. Scarica il certificato generato.
   6. Fai clic su VAI AI DETTAGLI DEL CLIENT.
   7. Cambia lo stato del servizio impostandolo su ON.
2. Installa le dipendenze:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   decomprimi il file .zip dei certificati e copia i file .crt e .key in /etc/sssd/ldap
    
3. (Facoltativo) Esegui un test con ldapsearch:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   Quando richiesto, inserisci la password di Google dell'utente.
   
   Nota: all'utente deve essere assegnata una licenza di Google Workspace Enterprise o Cloud Identity Premium.

4. Crea il file /etc/sssd/sssd.conf con il seguente contenuto:
    

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. Aggiorna le autorizzazioni e le etichette SELinux:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
    
6. Riavvia SSSD:
   
   systemctl restart sssd
    
7. Test:
   
   da ssh a server:

   ssh -l user@example.com {HOSTNAME}

Risoluzione dei problemi

1. Controlla la versione di SSSD (deve essere maggiore o uguale a 1.15.2):
   
   # sssd --version
2.2.3
    

2. In RHEL/CentOS (o qualsiasi distribuzione con applicazione di SELinux), i file di configurazione SSSD e il file e la chiave del certificato devono essere in una directory accessibile dal ruolo sssd_conf_t:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   Controlla se in /var/log/audit/audit.log sono presenti messaggi di rifiuto AVC.
    

3. Verifica che /etc/nsswitch.conf abbia "sss" per le entità passwd, shadow, group e netgroup:
   
   passwd:  files sss
shadow:  files sss
group:   files sss
netgroup:  files sss
   
   Qui i file locali sostituiranno gli utenti LDAP.
    
4. Verifica se in /var/log/sssd.conf sono presenti errori di configurazione:
    

   Esempio:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Skipping.

   Azione: devi usare il comando chmod 600 per il file .conf.

   Example:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   Azione: rimuovi le estensioni LDAP delle corrispondenze dei gruppi non supportate da sssd.conf.

5. Verifica se in /var/log/sssd_{DOMAIN}.log sono presenti errori LDAP, di rete o di autorizzazione.
   
   Esempio:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   Azione: devi aggiungere "ldap_tls_reqcert = never" a sssd.conf.

   Per aumentare il livello di dettaglio degli errori, aggiungi "debug_level = 9" in sssd.conf nella sezione del dominio e riavvia sssd.

Durante l'autenticazione, SSSD esegue una ricerca per recuperare ulteriori informazioni sull'utente. Per assicurarti che l'autenticazione degli utenti funzioni correttamente per questo client LDAP, devi attivare le opzioni Lettura informazioni degli utenti e Lettura informazioni dei gruppi per tutte le unità organizzative per le quali l'opzione Verifica credenziali utente è attiva. Per le istruzioni relative a questa operazione, vedi Configurare le autorizzazioni di accesso.

Per connettere un client SSSD al servizio Secure LDAP:

1. Installa la versione di SSSD 1.15.2 o una versione successiva.
   
   $  sudo apt-get install sssd
    
2. Supponendo che i file del certificato e della chiave client siano denominati rispettivamente /var/ldap-client.crt e /var/ldap-client.key e che il tuo dominio sia example.com, modifica il file /etc/sssd/sssd.conf utilizzando una configurazione simile alla seguente:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
    

3. Cambia la proprietà e le autorizzazioni del file di configurazione:
   
   $  sudo chown root:root /etc/sssd/sssd.conf
$  sudo chmod 600 /etc/sssd/sssd.conf

4. Riavvia SSSD:
   
   $  sudo service sssd restart

Suggerimento: se utilizzi il modulo SSSD su computer Linux senza indirizzi IP esterni su Google Compute Engine, puoi comunque connetterti al servizio LDAP sicuro a condizione che l'accesso interno ai servizi Google sia attivo. Per maggiori dettagli, leggi come configurare un accesso privato Google. 

Segui questi passaggi per connettere il client macOS per l'autenticazione degli account utente tramite il servizio LDAP sicuro.

Requisiti di sistema

• macOS deve essere Catalina versione 10.15.4 o successiva.
• L'ID utente super amministratore di Google è necessario per completare il passaggio 1 della fase di preparazione.
• Devi avere le autorizzazioni di amministratore locali per eseguire questa configurazione.

Sommario:

• Fase di preparazione
• Fase di deployment
• Limitazioni e linee guida
• Risoluzione dei problemi

Fase di preparazione

Le istruzioni riportate in questa sezione sono incentrate su come impostare e testare manualmente l'autenticazione macOS utilizzando il servizio LDAP sicuro.

Passaggio 1: inizializza macOS come client LDAP nella Console di amministrazione Google

Per le istruzioni, vedi Aggiungere i client LDAP oppure guarda questa demo di LDAP sicuro. Durante questo processo, scarichi anche un certificato client TLS generato automaticamente. 

Passaggio 2: importa il certificato nel portachiavi di sistema

1. Copia il certificato (il file ZIP scaricato nel passaggio 1) e la chiave nel computer macOS.
   Suggerimento: decomprimi il file per trovare i file del certificato e delle chiavi.
2. Importa la coppia di chiavi nel portachiavi di sistema:

   1. Converti la chiave e il certificato in un file PKCS 12 (p12). Esegui il comando seguente nel terminale:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      Suggerimento: prendi nota del nome del file con estensione p12.
      
      Ti verrà chiesto di inserire una password. Inserisci una password con cui criptare il file .p12.

   2. Apri l'applicazione Accesso Portachiavi .

   3. Fai clic sul portachiavi del sistema.

   4. Fai clic su File > Importa elementi.

   5. Seleziona il file ldap-client.p12 creato in precedenza.

   6. Se richiesto, inserisci la password dell'amministratore per consentire la modifica del portachiavi di sistema.

   7. Inserisci la password creata in precedenza per decriptare il file .p12.

      Nota: nell'elenco delle chiavi verranno visualizzati un nuovo certificato e la chiave privata associata. Il nome del certificato può essere LDAP Client (Client LDAP). Prendi nota del nome del certificato per il passaggio successivo.
       
   8. Segui il passaggio 6 nella sezione ldapsearch (macOS) di questo articolo per configurare il controllo dell'accesso per la chiave privata per aggiungere le app specificate di seguito. Se la chiave privata non viene visualizzata nella categoria Tutti gli elementi, prova a passare alla categoria I miei certificati e individua la chiave privata corretta espandendo il certificato corrispondente.
      
      L'app ldapsearch, come specificato nelle istruzioni, è pertinente solo se è necessario risolvere dei problemi, non per altri scopi. In genere viene rimossa prima di fornire l'accesso a macOS agli utenti.
      
      Le seguenti tre app devono essere aggiunte all'elenco di controllo di accesso:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. ​Aggiungi una riga al file /etc/openldap/ldap.conf, assicurandoti che "LDAP Client" (Client LDAP) sia lo stesso nome di certificato visualizzato nell'applicazione macOS Keychain Access dopo l'importazione del file .p12 (il nome deriva dal nome comune del soggetto X.509 del certificato generato):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

Passaggio 3: indirizza il dispositivo alla directory Google per l'autenticazione

Apri l'applicazione Utility Directory per creare un nuovo nodo di directory LDAP:

1. Fai clic sul lucchetto per apportare le modifiche e inserisci la password.
2. Seleziona LDAPv3 e fai clic sull'icona a forma di matita per modificare le impostazioni.
3. Fai clic su Novità.
4. Per il nome del server, inserisci ldap.google.com, seleziona Cripta usando SSL e fai clic su Manuale.
5. Seleziona il nuovo nome del server e fai clic su Modifica.
6. Inserisci un nome descrittivo per la configurazione, ad esempio Google LDAP sicuro.
7. Seleziona Cripta usando SSL e assicurati che la porta sia impostata su 636.
8. Vai alla scheda Ricerca & Assegnazione.
   1. Scegli RFC2307 dall'elenco a discesa Accedi al server LDAPv3 usando.
   2. Quando richiesto, inserisci le informazioni relative al dominio in Suffisso per la base di ricerca. Ad esempio, inserisci dc=zomato,dc=com per il nome del dominio zomato.com.
   3. Fai clic su OK.
   4. Configura gli attributi nel tipo di record Utenti:
      1. Nella sezione Tipi di record e attributi, seleziona Utenti e fai clic sul pulsante "+".
      2. Nella finestra popup, scegli Tipi di attributo, seleziona GeneratedUID e fai clic su OK per chiudere la finestra popup.
         
         GeneratedUID dovrebbe essere visibile nella sezione Utenti espansa.
          
      3. Fai clic su GeneratedUID e sull'icona "+" nella casella a destra.
      4. Inserisci apple-generateduid nella casella di testo e premi Invio.
      5. Sotto il nodo Utenti, fai clic sull'attributo NFSHomeDirectory.
      6. Nella schermata a destra, aggiorna il valore di questo attributo in #/Users/$uid$
      7. Fai di nuovo clic su OK e inserisci la tua password per salvare le modifiche.
9. Nella finestra Utility Directory imposta la nuova configurazione LDAP:
   1. Vai alla scheda Politica di ricerca.
   2. Fai clic sull'icona lucchetto per apportare le modifiche e inserisci la password dell'utente corrente quando richiesto.
   3. Modifica l'opzione del menu a discesa da Cerca a Percorso personalizzato.
   4. Apri la scheda Autenticazione e fai clic sull'icona "+". 
   5. Scegli /LDAPv3/ldap.google.com dall'elenco dei domini Directory, quindi fai clic su Aggiungi.
   6. Fai clic sul pulsante Applica e, se richiesto, inserisci la password amministratore.
10. Esegui i quattro comandi che seguono per disattivare i meccanismi di autenticazione SASL DIGEST-MD5, CRAM-MD5, NTLM e GSSAPI. macOS userà il simple bind per effettuare l'autenticazione mediante il servizio Google LDAP sicuro:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist 

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
     
11. Riavvia il computer per ricaricare la configurazione di OpenDirectory.

Passaggio 4: crea un account per dispositivi mobili (consente l'accesso offline)

Qualsiasi utente di Google Workspace o Cloud Identity può accedere con un account di rete (Account Google) utilizzando il proprio nome utente e la propria password. La procedura di accesso richiede una connessione di rete. Se un utente deve eseguire l'accesso con o senza connessione alla rete, è possibile creare un account dispositivo mobile. Un account dispositivo mobile ti consente di utilizzare il nome utente e la password del tuo account di rete (Account Google) per effettuare l'accesso, indipendentemente dal fatto che tu sia connesso o meno alla rete. Per maggiori dettagli, vedi Creare e configurare un account mobile sul Mac.

Per creare un account dispositivo mobile per gli utenti di LDAP sicuro:

1. Esegui il comando seguente per connetterti al server LDAP sicuro e configurare un percorso della home directory e gli account dispositivo mobile:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v 
   
   Suggerimento: sostituisci $uid con il nome utente dell'indirizzo email associato all'Account Google dell'utente. Ad esempio, jsmith è la parte del nome utente per jsmith@solarmora.com.

2. Quando viene richiesto il nome utente dell'amministratore di SecureToken, inserisci il nome utente dell'amministratore e inserisci la tua password nella richiesta successiva. in questo modo $uid viene aggiunto a FileVault. Questa operazione è necessaria se il disco macOS è criptato. 

Passaggio 5: (facoltativo) imposta la preferenza per la schermata di accesso

1. Vai a Preferenze di Sistema > Utenti e Gruppi > Opzioni login in basso a sinistra.
2. Per sbloccare, devi fornire le credenziali di amministratore.
3. Imposta la visualizzazione della finestra di accesso su Nome e password.

Passaggio 6: riavvia e accedi al tuo dispositivo

1. Assicurati che il dispositivo sia connesso a Internet. Se non hai una connessione a Internet, l'accesso per l'utente di LDAP sicuro non funzionerà.
   Nota: la connessione a Internet è necessaria solo per il primo accesso. Qualsiasi accesso successivo può avvenire senza accesso a Internet. 
2. Accedi al dispositivo con l'account utente configurato per l'uso di LDAP sicuro per l'autenticazione. 

Fase di deployment

Le istruzioni contenute in questa sezione sono incentrate sull'automazione della configurazione dei dispositivi per gli utenti. Esegui i passaggi 1 e 2 riportati di seguito sullo stesso dispositivo macOS in cui hai completato la configurazione manuale durante la fase di preparazione. 

Passaggio 1: crea un profilo Mac con certificato utilizzando Apple Configurator 2

1. Installa Apple Configurator 2 sul computer dove hai configurato manualmente l'autenticazione macOS con LDAP sicuro.
2. Apri Apple Configurator 2, crea un nuovo profilo e, nella sezione dei certificati, fai clic su Configura e importa il file .p12 generato in precedenza.
   Nota: assicurati che il file .p12 abbia una password. Inserisci questa password nella sezione Password del certificato.
3. Salva questo profilo. 
4. Apri il profilo in qualsiasi editor di testo e aggiungi le seguenti righe nel primo tag <dict>:
   
   <key>PayloadScope</key>
<string>System</string>
   
   Il motivo di questa aggiunta è che Apple Configurator non supporta ancora i profili per macOS.
    
5. Nel secondo tag <dict>, parallelo ai dati del certificato, aggiungi le seguenti righe:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   In questo modo avrai la certezza che sia possibile accedere a questo certificato da tutte le applicazioni.

Passaggio 2: converti il file di configurazione della directory (plist) in XML 

In questo passaggio stai estraendo tutte le configurazioni manuali che hai completato durante il passaggio 3 della fase di preparazione in un file XML. Puoi utilizzare questo file e il profilo Mac creato nel passaggio 1 per configurare automaticamente altri dispositivi macOS. 

1. Copia /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist sul desktop o altrove.
2. Convertilo in XML per poterlo esaminare in qualsiasi editor di testo. Esegui il comando seguente nel terminale:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   Puoi accedere al file come <path>/ldap.google.com.plist.
    
3. Modifica l'autorizzazione del file precedente in modo da poter aprire il file XML. Assicurati che non sia vuoto.

Passaggio 3: crea uno script Python per automatizzare la configurazione sui dispositivi degli utenti finali

Copia lo script Python seguente e salvalo come file Python (file .py).

Nota: questo script di esempio viene fornito così com'è. L'Assistenza Google non fornirà alcun supporto per gli script di esempio. 

Ldap_pythong_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Lettura di plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Scrittura di plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b'\x00'*32, 32)
request.appendData_(NSData.dataWithBytes_length_(CONFIG, len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Modifica del percorso di ricerca predefinito e aggiunta del nuovo nodo per consentire il login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

Passaggio 4: configura automaticamente i dispositivi degli utenti finali

Passa ad altri dispositivi macOS che vuoi configurare e segui questi passaggi:

1. Copia nel dispositivo il file del profilo Mac generato nel passaggio 1, il file di configurazione XML generato nel passaggio 2 e lo script Python del passaggio 3.
2. Esegui questo comando:
   
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generato nel passaggio 2>
    
3. Per importare i certificati nel portachiavi di sistema di macOS, fai doppio clic sul file del profilo Mac generato nel passaggio 1 e, quando richiesto, fornisci le tue credenziali di amministratore locale di macOS. Ti verrà quindi chiesto di inserire la password .p12 che hai impostato durante la fase di preparazione. 
4. Riavvia il computer macOS.
5. Crea gli account dispositivo mobile seguendo le istruzioni del passaggio 4 della fase di preparazione e, se vuoi, imposta le preferenze aggiuntive descritte nel passaggio 5 della fase di preparazione.

Limitazioni e linee guida

• Quando un utente inizia ad accedere a macOS utilizzando le credenziali Google, la gestione delle password utente (ripristino o recupero) deve avvenire sul sito web di Google (ad esempio, su myaccount.google.com o nella Console di amministrazione Google). Se scegli di gestire le password utilizzando una soluzione di terze parti, assicurati che la password più recente sia sincronizzata con Google.
• Se l'amministratore crea un nuovo utente o reimposta la password di un utente esistente con l'impostazione Richiedi di cambiare la password all'accesso successivo attiva, l'utente non può accedere al Mac utilizzando la password temporanea impostata dall'amministratore. 
  Soluzione: l'utente deve accedere a Google utilizzando un altro dispositivo (ad esempio il proprio dispositivo mobile o un altro dispositivo desktop), impostare una password permanente e accedere a macOS utilizzando la nuova password. 
• Il Mac deve essere collegato a una connessione Internet funzionante in modo che ldap.google.com sia raggiungibile durante il primo accesso dopo la configurazione descritta sopra.  Gli accessi successivi non richiederanno l'accesso a Internet purché tu abbia deciso di configurare un account dispositivo mobile.
• L'integrazione di Google LDAP sicuro con macOS viene testata su macOS Catalina e Big Sur.
• Abbiamo visto che si verificano dei problemi se si aggiungono nuovi Account Google con la funzionalità FileVault dopo l'upgrade del dispositivo a macOS Big Sur. Stiamo lavorando attivamente con Apple per esaminare il problema. Se riscontri questo problema, ti consigliamo vivamente di aprire un ticket di assistenza direttamente presso Apple.

Risoluzione dei problemi

In caso di problemi di connessione al servizio LDAP sicuro, segui le istruzioni riportate di seguito.

Passaggio 1: verifica la connessione

Verifica la connessione utilizzando odutil.
Esegui il comando odutil show nodenames nel terminale.
Verifica che lo stato di /LDAPv3/ldap.google.com sia online. Se non è online, prova l'opzione telnet.

Verifica la connessione utilizzando nc.
Esegui il comando seguente nel terminale: nc -zv  ldap.google.com 636
Se non riesci a collegarti a Google utilizzando questo metodo, prova a connetterti con IPv4.

Verifica la connessione con IPv4.
Puoi impostare l'utilizzo del protocollo IPv4 nel dispositivo nel seguente modo:

1. Vai a Preferenze di Sistema > Rete > Wi-Fi > Avanzate.
2. Nel menu delle opzioni avanzate, vai alla scheda TCP/IP.
3. Cambia la selezione nel menu a discesa da Configura IPv6 a Solo link locale.
4. Fai clic su OK, quindi su Applica per salvare le modifiche.
5. Verifica l'autenticazione del servizio tramite la connettività ldapsearch e convalida la ricerca.

Passaggio 2: controlla se riesci a visualizzare gli oggetti della directory

1. Apri Utility Directory e apri la scheda Editor directory. 
2. Seleziona il nodo /LDAPv3/ldap.google.com nell'elenco a discesa.
3. Verifica se sei in grado di visualizzare gli utenti e i gruppi del tuo dominio Google.