Gebruik de instructies in dit artikel om uw LDAP-client te koppelen aan de Secure LDAP-service.
BELANGRIJK:
- Lees de documentatie van de leverancier
De informatie in dit artikel om uw LDAP-client te koppelen aan de Secure LDAP-service is alleen ter referentie en kan altijd worden gewijzigd. Bekijk naast deze helpinstructies de documentatie van de leverancier voor actuele informatie over hoe u uw client koppelt aan de Secure LDAP-service. - Voordat u begint
Voordat u aan de slag gaat met deze instructies, moet u de client hebben toegevoegd aan de Secure LDAP-service, toegangsrechten hebben ingesteld, een clientcertificaat en -sleutel hebben gedownload en eventueel toegangsgegevens hebben gemaakt. - Koppelingstests
U kunt eventueel, voordat u deze stappen uitvoert, een snelle koppelingstest uitvoeren met makkelijk te gebruiken tools als ldapsearch, ADSI en ldp.exe. U kunt deze tools ook gebruiken om problemen op te lossen als u een foutmelding krijgt wanneer u uw LDAP-client koppelt aan de service. Zie De koppeling met Secure LDAP testen voor instructies. - De installatiestappen uitvoeren
Nadat u de LDAP-client heeft gekoppeld volgens de instructies op deze pagina, moet u de installatie van de LDAP-client voltooien door de servicestatus op Aan te zetten in de Google Beheerdersconsole. Zie 5. LDAP-clients aanzetten voor instructies.
De informatie in dit artikel
Dit artikel bevat de volgende gedeelten:
- Algemene configuratie-instructies: Algemene instructies om LDAP-clients te koppelen die niet worden genoemd in dit artikel.
- Configuratie-instructies voor specifieke LDAP-clients: Instructies om specifieke LDAP-clients (zoals Atlassian Jira of OpenVPN) te koppelen aan de Secure LDAP-service. De stappen verschillen per type client.
- Configuratie-instructies voor Java-apps: Algemene instructies voor Java-gebaseerde apps met LDAP-functies.
- Optioneel: Stunnel gebruiken als proxy: Dit gedeelte bevat instructies met aanvullende overwegingen als u LDAP-clients wilt koppelen die geen digitale certificaten ondersteunen.
In deze instructies hebben de clientsleutel en certificaatbestanden die u downloadt de namen ldap-client.key en ldap-client.crt.
Algemene configuratie-instructies
Dit gedeelte bevat algemene instructies om uw LDAP-client te koppelen aan de Secure LDAP-service. Als uw LDAP-client niet bij de instructies hieronder staat, bekijkt u de documentatie van de app.
Opmerking: Bepaalde LDAP-clients, zoals Atlassian Jira en SSSD, voeren een zoekactie uit op een gebruiker om meer informatie te krijgen tijdens de verificatie. U moet Gebruikersgegevens lezen aanzetten voor alle organisatie-eenheden waarvoor Inloggegevens van gebruiker controleren aanstaat, om te zorgen dat de gebruikersverificatie correct wordt uitgevoerd voor deze LDAP-clients. (Zie Toegangsrechten configureren voor instructies.)
Ga zo te werk om de LDAP-client te koppelen aan de Secure LDAP-service:
- Configureer de LDAP-client met Cloud Directory als uw LDAP-server.
- Upload het certificaat naar uw LDAP-client.
De Secure LDAP-service gebruikt TLS-clientcertificaten als primaire verificatiemethode. Als u het certificaat wilt uploaden naar de LDAP-client, opent u de verificatie- of directoryinstellingen van de LDAP-client en voert u de gegevens uit de tabel hieronder in.Opmerking: Bekijk de documentatie van uw leverancier voor meer informatie over hoe en waar u de TLS-certificaten moet uploaden.
In deze tabel staan de algemene koppelingsgegevens:
Hostnaam |
ldap.google.com |
Poorten |
389 voor LDAP met StartTLS aan |
Base DN |
Uw domein in DN-indeling. Voorbeeld: dc=example,dc=com voor example.com |
Gebruikersnaam en wachtwoord |
Naast verificatie met een certificaat vereisen sommige LDAP-clients dat u een gebruikersnaam en wachtwoord invoert. Als de velden voor de gebruikersnaam en het wachtwoord niet verplicht zijn, kunt u deze stap overslaan. Genereer een gebruikersnaam en wachtwoord in de Google Beheerdersconsole. Zie Toegangsgegevens genereren voor instructies. |
Clientcertificaat en sleutelbestanden |
Gebruik het certificaat en sleutelbestand die u heeft gedownload in de Google Beheerdersconsole. Als de LDAP-client geen manier biedt om te verifiëren met een clientcertificaat, bekijkt u Stunnel gebruiken als proxy. BELANGRIJK: Sommige LDAP-clients, zoals Apache Directory Studio, ondersteunen het uploaden van digitale certificaten niet. Zie Stunnel gebruiken als proxy voor instructies in dit geval. |
Configuratie-instructies voor specifieke LDAP-clients
ADSI Edit (Windows)Volg deze stappen:
- Volg stap 1-11 in ldp.exe (Windows) om de clientcertificaten te installeren.
- Ga naar Action > Connect to… (Actie > Koppelen aan).
- Vul de volgende koppelingsinstellingen in:
Name (Naam): Typ een naam voor de koppeling, zoals Google LDAP.
Connection Point (Koppelingspunt): 'Select or type a Distinguished Name or Naming Context' (Selecteer of typ een DN-naam of naamcontext)
Vul uw domeinnaam in DN-indeling in (bijvoorbeeld dc=example,dc=com voor example.com).
Computer: 'Select or type a domain or server' (Selecteer of typ een domein of server)
ldap.google.com
Use SSL-based Encryption (SSL-gebaseerde versleuteling gebruiken): Aangevinkt
- Klik op Advanced... (Geavanceerd) en vul de volgende gegevens in:
Specify credentials (Inloggegevens opgeven): Aangevinkt
Username (Gebruikersnaam): De gebruikersnaam van de toegangsgegevens uit de Beheerdersconsole
Password (Wachtwoord): Het wachtwoord van de toegangsgegevens uit de Beheerdersconsole
Port Number (Poortnummer): 636
Protocol: LDAP
Simple bind authentication (Eenvoudige koppelingsverificatie): Aangevinkt
- Klik op OK en klik opnieuw op OK.
- Als de koppeling is geslaagd, wordt de Active Directory-content in de base DN weergegeven in het rechtervenster.
Als u Apache Directory Studio wilt gebruiken, moet u koppelen via stunnel en toegangsgegevens (gebruikersnaam en wachtwoord) gebruiken die zijn gegenereerd in de Google Beheerdersconsole. Doe het volgende nadat de gegevens zijn gegenereerd en stunnel wordt gebruikt op localhost-poort 1389:
- Klik op File > New… (Bestand > Nieuw).
- Selecteer LDAP Browser > LDAP Connection (LDAP-browser > LDAP-verbinding).
- Klik op Next (Volgende).
- Voer de koppelingsparameters in:
Connection name (Koppelingsnaam): Kies een naam, zoals Google LDAP
Hostname (Hostnaam): localhost
Port (Poort): 1389 (of de poort waar stunnel luistert/accepteert)
Encryption method (Versleutelingsmethode): No encryption (Geen versleuteling) (Opmerking: Als stunnel op afstand wordt uitgevoerd, wordt versleuteling tussen stunnel en de client aanbevolen.)
- Klik op Next (Volgende).
- Vul de verificatieparameters in:
Authentication Method (Verificatiemethode): Simple Authentication (Eenvoudige verificatie)
Bind DN or user (Koppelings-DN of -gebruiker): De gebruikersnaam van de toegangsgegevens uit de Beheerdersconsole
Bind password (Koppelingswachtwoord): Het wachtwoord van de toegangsgegevens uit de Beheerdersconsole
- Klik op Next (Volgende).
- Voer de base DN in.
Dit is uw domeinnaam in DN-indeling (bijvoorbeeld dc=example,dc=com voor example.com). - Klik op Finish (Voltooien).
Atlassian Jira voert een zoekactie uit naar een gebruiker om meer informatie te krijgen tijdens de verificatie. U moet Gebruikersgegevens lezen en Groepsgegevens lezen aanzetten voor alle organisatie-eenheden waarvoor Inloggegevens van gebruiker controleren aanstaat, om te zorgen dat de gebruikersverificatie correct wordt uitgevoerd voor deze LDAP-client. (Zie Toegangsrechten configureren voor instructies.)
Belangrijk: Als u deze instructies volgt, kan keystorePassword mogelijk worden gezien door gebruikers en in logbestanden. Zorg dat alleen geautoriseerde gebruikers toegang hebben tot de lokale shell, de logbestanden en de Google Beheerdersconsole. Als alternatief voor deze instructies kunt u de stunnel4-methode gebruiken (zie Optioneel: Stunnel gebruiken als proxy).
Opmerking: In deze instructies is Jira geïnstalleerd in /opt/atlassian/jira.
Ga zo te werk om een Atlassian Jira-client te koppelen aan de Secure LDAP-service:
- Kopieer het certificaat en de sleutel naar uw Jira-server(s). (Dit is het certificaat dat wordt gegenereerd in de Google Beheerdersconsole wanneer u de LDAP-client toevoegt aan de Secure LDAP-service.)
Bijvoorbeeld:
$ scp ldap-client.key user@jira-server:
- Converteer het certificaat en de sleutels naar de Java keystore-indeling. Tijdens dit proces wordt u om wachtwoorden gevraagd. Stel een veilig wachtwoord in en gebruik hetzelfde wachtwoord elke keer als u daarom wordt gevraagd, om het eenvoudiger te maken.
$ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key
$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
- Configureer Jira zodat de zojuist gemaakte keystore wordt gebruikt. Volg deze instructies om opties toe te voegen:
“-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”
In Linux:- Bewerk /opt/atlassian/jira/bin/setenv.sh.
- Zoek de instelling JVM_SUPPORT_RECOMMENDED_ARGS.
- Voeg “-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=wachtwoord” toe. Vervang 'wachtwoord' door het wachtwoord dat u hierboven heeft gemaakt.
- Start Jira opnieuw op.
$ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
- Log als beheerder in bij de Jira-webinterface.
- Ga naar Settings > User management (Instellingen > Gebruikersbeheer). (U vindt Settings onder het tandwielpictogram rechtsboven.)
- Klik op User Directories (Gebruikersdirectory's).
- Klik op Add Directory (Directory toevoegen).
- Kies LDAP als het type.
- Klik op Next (Volgende).
- Voer de volgende gegevens in:
Name (Naam)
Google Secure LDAP
Directory type (Directorytype)
OpenLDAP
Hostname (Hostnaam)
ldap.google.com
Port (Poort)
636
Use SSL (SSL gebruiken)
Aangevinkt
Username (Gebruikersnaam)
Genereer een gebruikersnaam en wachtwoord in de Google Beheerdersconsole. Zie Toegangsgegevens genereren voor instructies.
Password (Wachtwoord)
Genereer een gebruikersnaam en wachtwoord in de Google Beheerdersconsole. Zie Toegangsgegevens genereren voor instructies.
Base DN
Uw domeinnaam in DN-indeling (bijvoorbeeld dc=example,dc=com voor example.com)
Additional User DN (Aanvullende gebruikers-DN)
Optioneel. “ou=Users”
Additional Group DN (Aanvullende groeps-DN)
Optioneel. “ou=Groups”
LDAP Permissions (LDAP-rechten)
Read only (Alleen-lezen)
Advanced Settings (Geavanceerde instellingen)
Ongewijzigd
User Schema Settings (Instellingen voor gebruikersschema) >
User Name Attribute (Kenmerk gebruikersnaam)googleUid
User Schema Settings (Instellingen voor gebruikersschema) >
User Name RDN Attribute (RDN-kenmerk gebruikersnaam)uid
Group Schema Settings (Instellingen voor groepsschema) >
Group Object Class (Klasse groepsobject)groupOfNames (groepmetnamen)
Group Schema Settings (Instellingen voor groepsschema)>
Group Object Filter (Filter groepsobject)(objectClass=groupOfNames)
Membership Schema Settings (Instellingen voor lidmaatschapsschema) >
Group Members Attribute (Kenmerk groepsleden)member (lid)
Membership Schema Settings (Instellingen voor lidmaatschapsschema) >
Use the User Membership Attribute (Het kenmerk Gebruikerslidmaatschap gebruiken)Aangevinkt - Geef een rol aan een groep.
Voordat Atlassian Jira toestaat dat een gebruiker inlogt, moet die gebruiker lid zijn van een groep die toegang heeft tot Jira.
Zo geeft u een rol aan een groep:- Ga naar Settings > Applications > Application access (Instellingen > Apps > App-toegang).
- Voer in het tekstvak Select group (Groep selecteren) de naam in van de Google-groep die u toegang wilt geven tot Jira.
Zie Configure CloudBees Core with Google's Cloud Identity Secure LDAP (CloudBees Core configureren met Secure LDAP van Cloud Identity van Google) voor instructies om CloudBees Core te koppelen aan de Secure LDAP-service.
Volg deze stappen:
- Installeer en configureer FreeRADIUS via /etc/freeradius/3.0/.
Nadat FreeRADIUS is geïnstalleerd, kunt u de LDAP-configuratie toevoegen door de plug-in freeradius-ldap te installeren.
$ sudo apt-get install freeradius freeradius-ldap
- Kopieer de sleutel en certificaatbestanden van de LDAP-client naar respectievelijk /etc/freeradius/3.0/certs/ldap-client.key en /etc/freeradius/3.0/certs/ldap-client.crt.
$ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
- Schakel de LDAP-module in.
$ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
- Bewerk /etc/freeradius/3.0/mods-available/ldap.
- ldap->server = 'ldaps://ldap.google.com:636'
- identity = gebruikersnaam van de app-gegevens
- password = wachtwoord van de app-gegevens
- base_dn = ‘dc=domein,dc=com’
- tls->start_tls = no
- tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
- tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
- tls->require_cert = ‘allow’
- Vul alle velden in de broodkruimel van het gedeelte 'ldap -> post-auth -> update' in
- Bewerk /etc/freeradius/3.0/sites-available/default.
Hiermee wordt de FreeRADIUS-clientkoppeling gewijzigd. Als u niet de standaardclient gebruikt, moet u de client die u heeft geconfigureerd (inner-tunnel of een custom client) updaten.
- Pas het gedeelte authorize (autoriseren) aan en voeg onderaan het volgende blok toe, na het statement 'password authentication protocol (PAP)':
if (User-Password) {
update control {
Auth-Type := ldap
}
}
- Schakel in het gedeelte authorize (autoriseren) LDAP in door het minteken ervoor te verwijderen.
#
# The ldap module reads passwords from the LDAP database.
ldap
- Pas het gedeelte authenticate (verifiëren) aan door het blok Auth-Type LDAP zo te bewerken:
# Auth-Type LDAP {
ldap
# }
- Pas het gedeelte authenticate (verifiëren) aan door het blok Auth-Type PAP zo te bewerken:
Auth-Type PAP {
# pap
ldap
}
- Pas het gedeelte authorize (autoriseren) aan en voeg onderaan het volgende blok toe, na het statement 'password authentication protocol (PAP)':
Zie Configure Google Secure LDAP for GitLab (Google Secure LDAP configureren voor GitLab) voor instructies om GitLab te koppelen aan de Secure LDAP-service.
Zie Configuring Google Cloud Identity LDAP on Ubuntu 16.04 for user logins (Google Cloud Identity LDAP configureren op Ubuntu 16.04 voor inloggen door gebruikers) voor instructies om Itopia/Ubuntu te koppelen aan de Secure LDAP-service.
Volg deze stappen:
- Open op de Ivanti Web-server OpenLDAPAuthenticationConfiguration.xml of OpenLDAPSSLAuthenticationConfiguration.xml in een teksteditor in allebei deze mappen:
C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework en C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (waarbij servicedesk de naam is van de instantie) - Vul bij de waarde <Server> de optie ldap.google.com in.
- Vul bij de waarde <Port> poort 3268 in voor leesbare tekst met StartTLS aan, en poort 3269 voor SSL/TLS-poort (de standaardwaarden zijn 389 voor de poort met leesbare tekst en 636 voor de SSL/TLS-poort).
- Vul bij de waarde <TestDN> uw domeinnaam in DN-indeling in (bijvoorbeeld dc=example,dc=com voor example.com).
- Voeg aan zowel ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config als ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config de volgende regel toe:
<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
of de volgende regel toe:
<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
- Open de vereiste instantie in het Ivanti Configuration Center.
- Klik naast de app Service Desk Framework op Edit (Bewerken).
Het venster Edit Application (App bewerken) wordt geopend voor Service Desk Framework. - Selecteer in de groep Configuration parameters (Configuratieparameters) de optie Explicit only (Alleen expliciet) in de lijst Logon policy (Inlogbeleid) en klik op OK.
- Klik naast de app Web Access op Edit (Bewerken).
Het venster Edit Application (App bewerken) wordt geopend voor Web Access. - Selecteer in de groep Configuration parameters (Configuratieparameters) de optie Explicit only (Alleen expliciet) in de lijst Logon policy (Inlogbeleid) en klik op OK.
Gebruik bij het inloggen het netwerkwachtwoord van de gebruiker van het gekoppelde domein.
Exceptielogboeken voor LDAP-serververificatie
Als u problemen ondervindt bij de configuratie van LDAP-serververificatie, kunt u exceptieregistratie inschakelen om het probleem te identificeren. Dit is standaard uitgeschakeld. We raden u aan exceptielogboeken weer uit te schakelen wanneer u klaar bent met het onderzoek.
Ga zo te werk om exceptielogboeken voor LDAP-serververificatie in te schakelen:
- Open het juiste XML-bestand voor de verificatieconfiguratie in een teksteditor:
DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml of OpenLDAPSSLAuthenticationConfiguration.xml - Wijzig de volgende regel:
<ShowExceptions>false</ShowExceptions>
in
<ShowExceptions>true</ShowExceptions>
- Sla de wijzigingen op.
Volg deze stappen:
- Converteer de certificaat- en sleutelbestanden naar één bestand in PKCS12-indeling. Vul in een opdrachtprompt het volgende in:
Gebruik de volgende opdrachten op macOS of Linux:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Vul een wachtwoord in om het uitvoerbestand te versleutelen.
Gebruik de volgende opdrachten in Windows:
$ certutil -mergepfx ldap-client.crt ldap-client.p12
Belangrijk: De 2 bestanden (<CERT_FILE>.crt en <CERT_FILE>.key) moeten in dezelfde directory staan. Zorg ook dat de naam van key en crt identiek is (met een andere extensie). In dit voorbeeld gebruiken we de namen ldap-client.crt en ldap-client.key. - Ga naar het configuratiescherm.
- Zoek in het zoekvak naar 'certificate' (certificaat) en klik op Manage user certificates (Gebruikerscertificaten beheren).
- Ga naar Action > All Tasks > Import… (Actie > Alle taken > Importeren).
- Selecteer Current User (Huidige gebruiker) en klik op Next (Volgende).
- Klik op Browse… (Browsen).
- Selecteer in het dropdownmenu file type (bestandstype) rechtsonder in het dialoogvenster de optie Personal Information Exchange (*.pfx;*.p12).
- Selecteer het bestand ldap-client.p12 uit stap 2. Klik op Open (Openen) en op Next (Volgende).
- Voer het wachtwoord in uit stap 2 en klik op Next (Volgende).
- Selecteer de certificaatopslag Personal (Persoonlijk). Klik op Next (Volgende) en op Finish (Voltooien).
- Voer Ldp.exe uit.
- Ga naar Connection > Connect... (Koppeling > Koppelen).
- Vul de volgende koppelingsgegevens in:
Server: ldap.google.com
Port (Poort): 636
Connectionless (Zonder koppeling): Niet aangevinkt
SSL: Aangevinkt
- Klik op OK.
- Ga naar View > Tree (Weergave > Structuur).
- Voer de base DN in. Dit is uw domeinnaam in DN-indeling (bijvoorbeeld dc=example,dc=com voor example.com).
- Klik op OK.
- Als de koppeling is geslaagd, wordt de Active Directory-content (zoals alle kenmerken in de base DN) weergegeven in het rechtervenster in LDP.exe.
Zie Configuring Google Cloud Identity as an Authentication Source (Google Cloud Identity configureren als verificatiebron) voor instructies om Netgate/pfSense te koppelen aan de Secure LDAP-service.
U kunt de OpenLDAP-opdracht ldapsearch gebruiken om uw LDAP-directory te openen via de opdrachtregel.
In dit voorbeeld hebben het clientcertificaat en het sleutelbestand de namen ldap-client.crt en ldap-client.key, heeft uw domein de naam example.com en is de gebruikersnaam jsmith:
$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'
Hierdoor worden de relevante omgevingsvariabelen zo ingesteld dat deze wijzen naar de clientsleutels. U kunt de andere ldapsearch-opties vervangen door de gewenste filters, aangevraagde kenmerken etc. Bekijk voor meer informatie de man-pagina's van ldapsearch ('man ldapsearch').
Volg deze stappen:
- Converteer de certificaat- en sleutelbestanden naar één bestand in PKCS12-indeling. Vul in een opdrachtprompt het volgende in:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Vul uw wachtwoord in om het uitvoerbestand te versleutelen.
- Klik rechtsboven in de menubalk op en typ Keychain Access.
- Open de Keychain Access-app en klik in de lijst aan de linkerkant op System (Systeem).
- Klik in de menubalk linksboven op File (Bestand) en selecteer Import Items (Items importeren).
- Ga naar de locatie met het gemaakte bestand ldap-client.p12. Selecteer ldap-client.p12 en klik op Open (Openen).
Voer uw wachtwoord in als daarom wordt gevraagd.
Er staat nu een certificaat met de naam LDAP Client in de lijst met System Keychain-certificaten. - Klik op de pijl naast het certificaat 'LDAP Client'. Er wordt een privésleutel weergegeven.
- Dubbelklik op de privésleutel.
- Selecteer in het dialoogvenster het tabblad Access Control (Toegangsbeheer) en klik linksonder op +.
-
Typ in het venster dat wordt geopend Command+Shift+G om een nieuw venster te openen. Vervang de bestaande tekst door /usr/bin/ldapsearch.
-
Klik op Go (Ga).
Er wordt een venster geopend waarin ldapsearch is gemarkeerd. -
Klik op Add (Toevoegen).
-
Klik op Save Changes (Wijzigingen opslaan) en voer uw wachtwoord in wanneer daarom wordt gevraagd.
U kunt nu de LDAP-directory openen vanaf de opdrachtregel met de opdracht OpenLDAP ldapsearch.
-
Vul het volgende in, ervan uitgaande dat het ldap-client.p12-bestand dat u eerder in de keychain heeft geïmporteerd de naam LDAP Client heeft, dat uw domein example.com is en dat de gebruiker jsmit is:
$ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmit)'
Hierdoor worden de relevante omgevingsvariabelen zo ingesteld dat deze wijzen naar het geïmporteerde clientcertificaat. U kunt de andere ldapsearch-opties vervangen door de gewenste filters, aangevraagde kenmerken etc. Bekijk voor meer informatie de man-pagina's van ldapsearch (man ldapsearch).
Volg deze stappen:
- Installeer en configureer OpenVPN. Als u dit al heeft gedaan, gaat u naar de instellingenpagina van OpenVPN.
Algemene VPN-configuratie wordt niet behandeld in dit helpartikel. Nadat de VPN is geconfigureerd, kunt u gebruikersverificatie en -autorisatie via LDAP toevoegen. U moet in ieder geval de plug-in openvpn-auth-ldap installeren.
$ sudo apt-get install openvpn openvpn-auth-ldap
- Kopieer de sleutel- en certificaatbestanden van de LDAP-client naar /etc/openvpn/ldap-client.key en /etc/openvpn/ldap-client.crt.
- Maak een bestand met de naam /etc/openvpn/auth-ldap.conf, dat het volgende bevat (ervan uitgaande dat de domeinnaam example.com is):
<LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (of kies uw eigen LDAP-filter voor gebruikers)
RequireGroup false
</Authorization>
- Bewerk het configuratiebestand van OpenVPN. Dit heeft vaak een naam als /etc/openvpn/server.conf. Voeg onderaan het bestand het volgende toe:
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
- Start de OpenVPN-server opnieuw op.
$ sudo systemctl restart openvpn@server
- Configureer de VPN-client om de gebruikersnamen en wachtwoorden van gebruikers te gebruiken. Voeg voor OpenVPN bijvoorbeeld auth-user-pass toe aan het einde van het configuratiebestand en start de OpenVPN-client:
$ openvpn --config /path/to/client.conf
- Volg de instructies om stunnel te gebruiken als proxy.
Zie Configuring Google Secure LDAP with OpenVPN Access Server (Google Secure LDAP configureren met OpenVPN Access Server) voor instructies om OpenVPN Access Server te koppelen aan de Secure LDAP-service.
Zie How to sync and authenticate Google Workspace and Google Cloud Identity users in PaperCut (Google Workspace- en Cloud Identity-gebruikers synchroniseren en verifiëren in PaperCut) voor instructies om PaperCut te koppelen aan de Secure LDAP-service.
Zie Google Cloud Directory for PE (Google Cloud-directory voor PE) voor instructies om Puppet Enterprise te koppelen aan de Secure LDAP-service.
Belangrijk: Voordat u begint, moet u Softerra LDAP Browser met versienummer 4.5 (4.5.19808.0) of hoger hebben geïnstalleerd. Zie LDAP Browser 4.5.
Volg deze stappen:
- Converteer de certificaat- en sleutelbestanden naar één bestand in PKCS12-indeling. Vul in een opdrachtprompt het volgende in:
Gebruik de volgende opdrachten op macOS of Linux:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Vul een wachtwoord in om het uitvoerbestand te versleutelen.
Gebruik de volgende opdrachten in Windows:
$ certutil -mergepfx ldap-client.crt ldap-client.p12
Belangrijk: De 2 bestanden (<CERT_FILE>.crt en <CERT_FILE>.key) moeten in dezelfde directory staan. Zorg ook dat de naam van key en crt identiek is (met een andere extensie). In dit voorbeeld gebruiken we de namen ldap-client.crt en ldap-client.key. - Installeer het sleutelpaar in de Softerra LDAP Browser.
- Ga naar Tools > Certificate Manager (Tools > Certificaatbeheer).
- Klik op Import… (Importeren).
- Klik op Next (Volgende).
- Klik op Browse… (Browsen).
- Selecteer in het dropdownmenu File type (Bestandstype) rechtsonder in het dialoogvenster de optie Personal Information Exchange (*.pfx;*.p12).
- Selecteer het bestand ldap-client.p12 uit stap 2 hierboven.
- Klik op Open (Openen) en op Next (Volgende).
- Voer het wachtwoord in uit stap 2 hierboven en klik op Next (Volgende).
- Selecteer de certificaatopslag Personal (Persoonlijk).
- Klik op Next (Volgende).
- Klik op Finish (Voltooien).
- Voeg een serverprofiel toe.
- Ga naar File > New > New Profile… (Bestand > Nieuw > Nieuw profiel).
- Voer een naam in voor het profiel, zoals Google LDAP.
- Klik op Next (Volgende).
Vul het volgende in:
Host: ldap.google.com
Port (Poort): 636
Base DN: Uw domeinnaam in DN-indeling. (bijvoorbeeld dc=example,dc=com voor example.com)
Use secure connection (SSL) (Beveiligde verbinding (SSL) gebruiken): Aangevinkt
- Klik op Next (Volgende).
- Selecteer External (SSL Certificate) (Extern (SSL-certificaat)).
- Klik op Next (Volgende).
- Klik op Finish (Voltooien).
Zie Connecting Sophos Mobile to Google Cloud Identity / Google Cloud Directory using Secure LDAP (Sophos Mobile koppelen aan Google Cloud Identity/Google Cloud-directory met Secure LDAP) voor instructies om Sophos Mobile te koppelen aan de Secure LDAP-service.
Als u Splunk koppelt met de Secure LDAP-service, moet u Splunk versie 8.1.4 of hoger gebruiken. Als u een oudere Splunk-versie gebruikt, zoals Splunk versie 8.1.3, kunnen er buitensporig grote LDAP-query's naar de LDAP-server worden gestuurd, waardoor uw LDAP-quotum snel wordt bereikt. Bekijk de bekende problemen met Splunk voor meer informatie over problemen met Splunk versie 8.1.3.
Volg deze stappen:
- Kopieer de sleutel- en certificaatbestanden van de LDAP-client naar /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key en /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt.
$ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
- Bewerk het bestand ldap.conf en voeg de volgende configuraties toe:
ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem - Voeg de volgende configuraties toe aan het bestand /home/splunkadmin/.ldaprc van de gebruiker:
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
- Voeg de LDAP-strategie toe met de web-UI van Splunk. Voer de volgende gegevens in en klik vervolgens op Save (Opslaan):
Name (Naam) |
Google Secure LDAP |
Host |
ldap.google.com |
Port (Poort) |
636 |
SSL enabled (SSL ingeschakeld) |
Aangevinkt |
Connection order (Verbindingsvolgorde) |
1 |
Bind DN (Koppelings-DN) |
Voer de toegangsgegevens in die u heeft gegenereerd in de Google Beheerdersconsole |
Bind DN password (Wachtwoord koppelings-DN) |
Voer de toegangsgegevens in die u heeft gegenereerd in de Google Beheerdersconsole |
Base DN |
Uw domeinnaam in DN-indeling (bijvoorbeeld dc=example,dc=com voor het domein example.com) |
User base filter (Filter gebruikersbestand) |
Vul het User base filter in voor de objectklasse waarop u uw gebruikers wilt filteren. |
User name attribute (Kenmerk gebruikersnaam) |
uid |
Real Name Attribute (Kenmerk echte naam) |
displayname |
Email attribute (Kenmerk e-mailadres) |
|
Group mapping attribute (Kenmerk groepstoewijzingen) |
dn |
Group base DN (Base DN groep) |
Uw domeinnaam in DN-indeling (bijvoorbeeld ou=Groups,dc=example,dc=com voor het domein example.com) |
Static group search filter (Statisch zoekfilter voor groepen) |
Vul het Static group search filter in voor de objectklasse waarop u uw statische groepen wilt filteren. |
Group name attribute (Kenmerk groepsnaam) |
cn |
Static member attribute (Statisch kenmerk voor leden) |
member (lid) |
SSSD voert een zoekactie uit naar een gebruiker om meer informatie te krijgen tijdens de verificatie. U moet Gebruikersgegevens lezen en Groepsgegevens lezen aanzetten voor alle organisatie-eenheden waarvoor Inloggegevens van gebruiker controleren aanstaat, om te zorgen dat de gebruikersverificatie correct wordt uitgevoerd voor deze LDAP-client. (Zie Toegangsrechten configureren voor instructies.)
Ga als volgt te werk om een SSSD-client in Red Hat 8 of CentOS te koppelen aan de Secure LDAP-service:
- Voeg de SSSD-client toe aan de Secure LDAP-service:
- Ga in de Google Beheerdersconsole naar Apps > LDAP > CLIENT TOEVOEGEN.
Log in met uw bedrijfsaccount, niet met uw persoonlijke Gmail-account. - Voer de clientgegevens in en klik op DOORGAAN.
- Stel de Toegangsrechten in:
Inloggegevens van gebruiker controleren: Hele domein
Gebruikersgegevens lezen: Hele domein
Groepsgegevens lezen: Aan - Klik op LDAP-CLIENT TOEVOEGEN.
- Download het gegenereerde certificaat.
- Klik op VERDER NAAR CLIENTDETAILS.
- Wijzig de servicestatus in Ingeschakeld.
- Ga in de Google Beheerdersconsole naar Apps > LDAP > CLIENT TOEVOEGEN.
- Installeer de afhankelijkheden:
dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
pak het zip-bestand certificate uit en kopieer de crt- en key-bestanden naar /etc/sssd/ldap
- (Optioneel) Test met ldapsearch:
LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=gebruikeromteverifiëren@example.com)' \
mail dn
Vul het Google-wachtwoord van de gebruiker in wanneer hierom wordt gevraagd.
Opmerking: De gebruiker moet een Google Workspace Enterprise- of Cloud Identity Premium-licentie hebben. - Maak het bestand
/etc/sssd/sssd.conf
met de volgende inhoud:
[sssd]
services = nss, pam
domains = example.com[domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID - Update de rechten en SELinux-labels:
chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
- Start SSSD opnieuw:
systemctl restart sssd
- Test:
ssh to server:ssh -l gebruiker@example.com {HOSTNAME}
Problemen oplossen
- Check de SSSD-versie (moet 1.15.2 of hoger zijn):
# sssd --version
2.2.3
-
Op RHEL/CentOS (of een distro waarvoor SELinux wordt afgedwongen) moeten de SSSD-configuratiebestanden, het certificaatbestand en de certificaatsleutel zich in een directory bevinden die toegankelijk is via de rol sssd_conf_t:
# egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts
Controleer of er AVC-weigeringsberichten staan in /var/log/audit/audit.log.
- Check of in /etc/nsswitch.conf sss staat voor de entiteiten passwd, shadow, group en netgroup entities:
passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
Hier overschrijven lokale bestanden LDAP-gebruikers.
- Controleer of er configuratiefouten staan in /var/log/sssd.conf:
Voorbeeld:
[sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Skipping.Actie: Voer 'chmod 600' uit op het configuratiebestand.
Voorbeeld:
[sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.[sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.
Actie: Verwijder de niet-ondersteunde LDAP-extensies met groepsovereenkomsten uit sssd.conf.
-
Controleer of er LDAP-/netwerk-/autorisatiefouten staan in /var/log/sssd_{DOMAIN}.log.
Voorbeeld:[sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]
Actie: Voeg 'ldap_tls_reqcert = never' toe aan sssd.conf.
Als u het uitgebreidheidsniveau van de foutmeldingen wilt vergroten, voegt u 'debug_level = 9' toe in sssd.conf onder het gedeelte 'domain' en start u sssd opnieuw.
SSSD voert een zoekactie uit naar een gebruiker om meer informatie te krijgen tijdens de verificatie. U moet Gebruikersgegevens lezen en Groepsgegevens lezen aanzetten voor alle organisatie-eenheden waarvoor Inloggegevens van gebruiker controleren aanstaat, om te zorgen dat de gebruikersverificatie correct wordt uitgevoerd voor deze LDAP-client. (Zie Toegangsrechten configureren voor instructies.)
Ga als volgt te werk om een SSSD-client te koppelen aan de Secure LDAP-service:
- Installeer SSSD versie 1.15.2 of hoger.
$ sudo apt-get install sssd
- Bewerk /etc/sssd/sssd.conf met de volgende configuratie. In dit voorbeeld hebben het clientcertificaat en het sleutelbestand de namen /var/ldap-client.crt en /var/ldap-client.key, en heeft het domein de naam example.com:
[sssd]
services = nss, pam
domains = example.com[domain/example.com]
ldap_tls_cert = /var/ldap-client.crt
ldap_tls_key = /var/ldap-client.key
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID
ldap_groups_use_matching_rule_in_chain = true
ldap_initgroups_use_matching_rule_in_chain = true
-
Wijzig het eigendom en de rechten van het configuratiebestand:
$ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf -
Start SSSD opnieuw:
$ sudo service sssd restart
Tip: Als u de SSSD-module op Linux-computers gebruikt zonder externe IP-adressen in Google Compute Engine, kunt u uw LDAP-clients nog steeds koppelen aan de Secure LDAP-service zolang u interne toegang tot Google-services heeft ingeschakeld. Zie Configuring Private Google Access (Privétoegang tot Google configureren) voor meer informatie.
Volg de stappen hieronder om de macOS-client voor gebruikersaccountverificatie te koppelen aan de Secure LDAP-service.
Systeemvereisten
- De macOS moet Catalina versie 10.15.4 of hoger zijn.
- Een gebruikers-ID van een Google-hoofdbeheerder is vereist om stap 1 in de voorbereidingsfase uit te voeren.
- U moet lokale beheerdersrechten hebben om deze configuratie te kunnen uitvoeren.
Inhoud:
Voorbereidingsfase
In deze instructies leest u hoe u macOS-verificatie handmatig kunt instellen en testen met de Secure LDAP-service.
Stap 1: macOS toevoegen als LDAP-client in de Google Beheerdersconsole
Zie LDAP-clients toevoegen of bekijk deze Secure LDAP-demo voor instructies. Tijdens dit proces downloadt u ook een automatisch gegenereerd TLS-clientcertificaat.
Stap 2: Het certificaat importeren naar de systeemkeychain
- Kopieer het certificaat (het zip-bestand dat u heeft gedownload in stap 1) en de sleutel naar het macOS-apparaat.
Tip: Pak het bestand uit om de bestanden 'cert' en 'key' te zien. - Importeer het sleutelpaar naar de systeemkeychain:
-
Converteer de sleutel en het certificaat naar een PKCS 12-bestand (p12). Voer de volgende opdracht uit in de terminal:
openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
Tip: Schrijf de naam van het p12-bestand op.
Het systeem vraagt u een wachtwoord in te vullen. Voer een wachtwoord in om het p12-bestand te versleutelen. -
Open de Keychain Access-app.
-
Klik op de keychain System (Systeem).
-
Klik op File > Import Items (Bestand > Items importeren).
-
Selecteer het bestand ldap-client.p12 dat u hierboven heeft gemaakt.
-
Voer als hierom wordt gevraagd het beheerderswachtwoord in om wijzigingen aan de systeemkeychain toe te staan.
-
Voer het wachtwoord in dat u hierboven heeft gemaakt om het p12-bestand te ontsleutelen.
Opmerking: Er worden een nieuw certificaat en daaraan gekoppelde privésleutel weergegeven in de lijst met sleutels. Dit certificaat heeft een naam als LDAP Client. Schrijf de naam van het certificaat op voor de volgende stap hieronder.
- Volg stap 6 in het gedeelte ldapsearch (macOS) van dit artikel om toegangsbeheer in te stellen voor de privésleutel om de apps toe te voegen voor de apps die hieronder staan. Als u de privésleutel niet ziet in de categorie All items (Alle items), schakelt u over naar de categorie My Certificates (Mijn certificaten) en zoekt u naar de juiste privésleutelinvoer door het bijbehorende certificaat uit te vouwen.
Zoals in de instructies staat, is de ldapsearch-app alleen nodig voor probleemoplossing, niet voor andere doeleinden. Beheerders verwijderen de app meestal voordat ze gebruikers toegang geven tot macOS.
Zet de volgende 3 apps op de Toegangscontrolelijst:
/System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl
-
-
Voeg een regel toe aan het bestand /etc/openldap/ldap.conf. Zorg hierbij dat LDAP Client exact dezelfde certificaatnaam is als die wordt weergegeven in de macOS Keychain Access-app nadat u het p12-bestand heeft geïmporteerd (de naam komt van de X.509 Subject Common Name van het gemaakte certificaat):
sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'
Stap 3: Het apparaat naar Google laten wijzen voor verificatie
Open de Directory Utility-app om een nieuw LDAP-directoryknooppunt te maken:
- Klik op het slotje om wijzigingen aan te brengen en voer uw wachtwoord in.
- Selecteer LDAPv3 en klik op het potloodpictogram om de instellingen te bewerken.
- Klik op New… (Nieuw).
- Vul als servernaam de waarde ldap.google.com in. Selecteer Encrypt using SSL (Versleutelen met SSL) en klik op Manual (Handmatig).
- Selecteer de nieuwe servernaam en klik op Edit… (Bewerken).
- Voer als configuratienaam een beschrijvende naam in, zoals Google Secure LDAP.
- Selecteer Encrypt using SSL (Versleutelen met SSL) en zorg dat de poort is ingesteld op 636.
- Ga naar het tabblad Search & Mappings (Zoeken en toewijzen).
- Kies RFC2307 in het dropdownmenu Access this LDAPv3 server using (Deze LDAPv3-server openen met).
- Vul als hierom wordt gevraagd de domeingerelateerde gegevens in bij Search Base Suffix (Achtervoegsel zoekbasis).Vul bijvoorbeeld
dc=zomato,dc=com
in als uw domeinnaam zomato.com is. - Klik op OK.
- Configureer kenmerken onder het recordtype Users (Gebruikers):
- Selecteer in het gedeelte Record Types and Attributes (Recordtypen en kenmerken) de optie Users (Gebruikers) en klik op de knop +.
- Kies in het pop-upvenster Attribute Types (Kenmerktypen). Selecteer GeneratedUID en klik op OK om het pop-upvenster te sluiten.
GeneratedUID wordt nu weergegeven onder Users (Gebruikers) als u dit gedeelte uitvouwt.
- Klik op GeneratedUID en klik in het vak aan de rechterkant op het icoon +.
- Vul in het tekstvak apple-generateuid in en druk op Enter.
- Klik onder het knooppunt Users (Gebruikers) op het kenmerk NFSHomeDirectory.
- Update in het scherm aan de rechterkant de waarde voor dit kenmerk naar
#/Users/$uid$
- Klik op OK en voer uw wachtwoord in om de wijzigingen op te slaan.
- Configureer de nieuwe LDAP-configuratie in het venster Directory Utility:
- Ga naar het tabblad Search Policy (Zoekbeleid).
- Klik op het hangsloticoon om wijzigingen aan te brengen. Voer als hierom wordt gevraagd het wachtwoord van de huidige gebruiker in.
- Wijzig de dropdownoptie van Search Path (Zoekpad) in Custom path (Aangepast pad).
- Open het tabblad Authentication (Verificatie) en klik op het icoon +.
- Kies
/LDAPv3/ldap.google.com
in de lijst Directory Domains (Directorydomeinen) en klik op Add (Toevoegen). - Klik op de knop Apply (Toepassen) en voer uw beheerderswachtwoord in als daarom wordt gevraagd.
- Voer de volgende 4 opdrachten uit om de verificatiemechanismen DIGEST-MD5, CRAM-MD5, NTLM en GSSAPI SASL uit te schakelen. macOS gebruikt Simple Bind om te verifiëren met de Google Secure LDAP-service:
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
- Start de computer opnieuw op om de OpenDirectory-configuratie opnieuw te laden.
Stap 4: Een mobiel account maken (offline toegang toestaan)
Elke Google Workspace- of Cloud Identity-gebruiker kan inloggen met een netwerkaccount (Google-account) door een gebruikersnaam en wachtwoord in te voeren. Voor dit inlogproces is een netwerkverbinding vereist. Als een gebruiker moet inloggen met of zonder verbinding met het netwerk, kunt u een mobiel account maken. Met een mobiel account kunt u inloggen met de gebruikersnaam en het wachtwoord van uw netwerkaccount (Google-account), ongeacht of u verbinding heeft met het netwerk. Zie Create and configure mobile accounts on Mac (Mobiele accounts maken en configureren op Mac) voor meer informatie.
Ga als volgt te werk om een mobiel account te maken voor Secure LDAP-gebruikers:
-
Voer de volgende opdracht uit om verbinding te maken met de Secure LDAP-server en een home-pad en mobiele account(s) in te stellen:
sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
Tip: Vervang $uid door het gebruikersnaamgedeelte van het e-mailadres dat is gekoppeld aan het Google-account van de gebruiker. jsmit is bijvoorbeeld het gebruikersnaamgedeelte van jsmit@solarmora.com. -
Als u wordt gevraagd de SecureToken admin user name (Gebruikersnaam van de SecureToken-beheerder) in te vullen, voert u uw beheerdersgebruikersnaam in en voert u in de volgende prompt uw wachtwoord in.$uid wordt dan toegevoegd aan de FileVault. Dit is vereist als de macOS-schijf is versleuteld.
Stap 5: (Optioneel) De voorkeuren voor het inlogscherm instellen
- Ga linksonder naar System preferences (Systeemvoorkeuren) > Users & Groups (Gebruikers en groepen) > Login Options (Inlogopties).
- Ontgrendel dit gedeelte door uw beheerdersinloggegevens in te voeren.
- Kies bij Display login window as (Inlogvenster weergeven als) de optie Name and password (Naam en wachtwoord).
Stap 6: Het apparaat opnieuw opstarten en inloggen
- Controleer of het apparaat verbinding heeft met internet. Als u geen internetverbinding heeft, werkt de inlog voor de Secure LDAP-gebruiker niet.
Opmerking: Een internetverbinding is alleen vereist bij de eerste keer inloggen. Bij volgende inlogpogingen is geen internettoegang nodig. - Log op het apparaat in met het gebruikersaccount dat is geconfigureerd om Secure LDAP te gebruiken voor verificatie.
Implementatiefase
Met de instructies in dit gedeelte kunt u de apparaatconfiguratie voor uw gebruikers automatiseren. Voer stap 1 en 2 hieronder uit op hetzelfde macOS-apparaat als waarop u de handmatige configuratie heeft uitgevoerd tijdens de voorbereidingsfase.
Stap 1: Een Mac-profiel met certificaat maken met Apple Configurator 2
- Installeer Apple Configurator 2 op de computer waarop u macOS-verificatie handmatig heeft geconfigureerd met Secure LDAP.
- Open Apple Configurator 2 en maak een nieuw profiel. Klik in het gedeelte Certificate (Certificaat) op Configure (Configureren) en importeer het p12-bestand dat u eerder heeft gemaakt.
Opmerking: Zorg dat het p12-bestand is beveiligd met een wachtwoord. Voer dit wachtwoord in het gedeelte Password (Wachtwoord) van het certificaat in. - Sla het profiel op.
- Open het profiel in een teksteditor en voeg de volgende regels toe aan de 1e <dict>-tag:
<key>PayloadScope</key>
<string>System</string>
U moet dit toevoegen omdat Apple Configurator nog geen profielen voor macOS ondersteunt.
- Voeg in de 2e <dict>-tag, parallel aan de certificaatgegevens, de volgende regels toe:
<key>AllowAllAppsAccess</key>
<true/>
Alle apps hebben dan toegang tot dit certificaat.
Stap 2: Het directory-configuratiebestand (plist) converteren naar XML
In deze stap extraheert u alle handmatige configuraties die u in stap 3 van de voorbereidingsfase heeft uitgevoerd naar een XML-bestand. U kunt dit bestand en het Mac-profiel dat u in stap 1 hierboven heeft gemaakt, gebruiken om andere macOS-apparaten automatisch te configureren.
- Kopieer /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist naar uw desktop of een andere locatie.
- Converteer het bestand naar XML zodat u het kunt inspecteren in een teksteditor. Voer de volgende opdracht uit in de Terminal:
sudo plutil -convert xml1 <pad>/ldap.google.com.plist
U kunt het bestand openen als<pad>/ldap.google.com.plist
.
- Wijzig de rechten voor het bovenstaande bestand, zodat u het XML-bestand kunt openen. Controleer of het niet leeg is.
Stap 3: Een python-script maken om de configuratie op uw eindgebruikersapparaten te automatiseren
Kopieer het python-script hieronder en sla het op als python-bestand (py-bestand).
Opmerking: Dit voorbeeldscript wordt in de huidige staat aangeboden. Google-support biedt geen support voor voorbeeldscripts.
Ldap_pythong_config.py
#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData
import os
import sys
# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()
# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b'\x00'*32, 32)
request.appendData_(NSData.dataWithBytes_length_(CONFIG, len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)
# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")
Stap 4: Apparaten voor eindgebruikers automatisch configureren
Voer deze stappen uit op andere macOS-apparaten die u wilt configureren:
- Kopieer de volgende bestanden naar het apparaat: het Mac-profielbestand dat u in stap 1 heeft gemaakt, het XML-configuratiebestand dat u in stap 2 heeft gemaakt en het python-script uit stap 3.
- Voer de volgende opdracht uit:
sudo
python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
- Als u certificaten wilt importeren naar de keychain van het macOS-systeem, dubbelklikt u op het Mac-profielbestand dat u in stap 1 heeft gegenereerd en voert u de inloggegevens van de lokale beheerder in wanneer daarom wordt gevraagd. U wordt dan gevraagd het p12-wachtwoord in te voeren dat u tijdens de voorbereidingsfase heeft ingesteld.
- Start het macOS-apparaat opnieuw op.
- Maak mobiele accounts zoals beschreven in stap 4 van de voorbereidingsfase. Stel eventueel aanvullende voorkeuren in die in stap 5 van de voorbereidingsfase worden beschreven.
Beperkingen en richtlijnen
- Als een gebruiker inlogt bij macOS met Google-inloggegevens, moet wachtwoordbeheer voor gebruikers (resetten of herstellen) worden uitgevoerd op de Google-website (bijvoorbeeld op myaccount.google.com of in de Google Beheerdersconsole). Als u ervoor kiest wachtwoordbeheer te gebruiken met een oplossing van derden, moet u zorgen dat het nieuwste wachtwoord is gesynchroniseerd met Google.
- Als de beheerder een nieuwe gebruiker maakt of het wachtwoord van een bestaande gebruiker reset en de instelling Vragen om wachtwoordwijziging bij de volgende keer inloggen is ingeschakeld, kan de gebruiker niet inloggen bij Mac met het tijdelijke wachtwoord dat is ingesteld door de beheerder.
Oplossing: De gebruiker moet inloggen bij Google met een ander apparaat (bijvoorbeeld een mobiel apparaat of een ander desktopapparaat), een permanent wachtwoord instellen en vervolgens inloggen bij macOS met het nieuwe wachtwoord. - De Mac moet verbinding hebben met internet, zodat ldap.google.com bereikbaar is tijdens de eerste keer inloggen nadat bovenstaande stappen zijn uitgevoerd. Voor inlogpogingen daarna is geen internettoegang vereist als u ervoor heeft gekozen een mobiel account in te stellen.
- De integratie van Google Secure LDAP met macOS wordt getest op macOS Catalina en Big Sur.
Problemen oplossen
Volg de instructies hieronder als u geen verbinding kunt maken met de Secure LDAP-service.
Stap 1: Verbinding controleren
Controleer de verbinding met odutil.
Voer de opdracht odutil show nodenames uit in de terminal.
Controleer of /LDAPv3/ldap.google.com
de status online heeft. Als de status niet 'online' is, probeert u de telnet-optie.
Controleer de verbinding met nc.
Voer de volgende opdracht uit in de terminal: nc -zv ldap.google.com 636
Als u geen verbinding met Google kunt maken met deze aanpak, probeert u verbinding te maken via IPv4.
Controleer de verbinding met IPv4.
Volg deze stappen om uw apparaat aan te passen zodat IPv4 wordt gebruikt:
- Ga naar System Preferences (Systeemvoorkeuren) > Network (Netwerk) > Wi-Fi (Wifi) > Advanced (Geavanceerd).
- Ga in het menu Advanced (Geavanceerd) naar het tabblad TCP/IP.
- Wijzig in het dropdownmenu Configure IPv6 (IPv6 instellen) in Link-local only (Alleen lokaal koppelen).
- Klik op OK en daarna op Apply (Toepassen) om de wijzigingen op te slaan.
- Controleer de serviceverificatie via ldapsearch-connectiviteit en een geldige zoekopdracht.
Stap 2: Controleren of u directoryobjecten kunt zien
- Open Directory Utility. Open daarna het tabblad Directory Editor.
- Selecteer het knooppunt /LDAPv3/ldap.google.com in het dropdownmenu.
- Controleer of u gebruikers en groepen kunt zien in uw Google-domein.
Configuratie-instructies voor Java-apps
De meeste Java-gebaseerde apps met LDAP-functies kunnen worden geconfigureerd om te verifiëren met clientcertificaten door de clientcertificaten te installeren in de keystore van de app. De exacte configuratiebestanden verschillen per app, maar het proces is grotendeels gelijk. Tijdens de installatie moeten OpenSSL en een Java Runtime Environment worden geïnstalleerd.
-
Converteer het certificaat en de sleutels naar de Java keystore-indeling. Tijdens dit proces wordt u om wachtwoorden gevraagd. Stel een veilig wachtwoord in en gebruik hetzelfde wachtwoord elke keer als u daarom wordt gevraagd. In dit voorbeeld is de naam van het sleutelbestand van de client ldap-client.key:
Gebruik de volgende opdrachten op macOS of Linux:
$ openssl pkcs12 -export -out java-application-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key
Gebruik de volgende opdrachten in Windows:$ certutil -mergepfx ldap-client.crt java-application-ldap.pkcs12
Belangrijk: De 2 bestanden (<CERT_FILE>.crt en <CERT_FILE>.key) moeten in dezelfde directory staan. Zorg ook dat de naam van key en crt identiek is (met een andere extensie). In dit voorbeeld gebruiken we de namen ldap-client.crt en ldap-client.key.
- Importeer het certificaat naar de keystore:
$ keytool -v -importkeystore -srckeystore java-application-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore java-application-ldap.jks -deststoretype JKS
- Java-kenmerken kunnen op verschillende manieren worden geconfigureerd, afhankelijk van de app. U kunt vaak de optie -D instellen in de opdrachtregel met 'java' die wordt gebruikt om de app te starten. Stel de Java-kenmerken voor de app in:
javax.net.ssl.keyStore = /<path-to>/java-application-ldap.jks
javax.net.ssl.keyStorePassword = <password selected above>
- Configureer de instellingen voor LDAP-koppelingen van de app met de informatie in Algemene configuratie-instructies.
Optioneel: Stunnel gebruiken als proxy
Als clients geen manier bieden om met een clientcertificaat te verifiëren met LDAP, gebruikt u stunnel als proxy.
U configureert stunnel zodat deze het clientcertificaat levert aan de LDAP-server, en u configureert uw client zodat deze verbinding maakt met stunnel. Het is het beste om stunnel op dezelfde server(s) uit te voeren als de app en deze alleen lokaal gegevens te laten ophalen, zodat uw LDAP-directory niet beschikbaar is buiten deze server.
Volg deze stappen:
- Installeer stunnel. Voer bijvoorbeeld de volgende opdracht uit op Ubuntu:
$ sudo apt-get install stunnel4
- Maak een configuratiebestand met de naam /etc/stunnel/google-ldap.conf met de volgende content (in dit voorbeeld heeft het certificaat de naam ldap-client.crt en de sleutel de naam ldap-client.key):
[ldap]
client = yes
accept = 127.0.0.1:1636
connect = ldap.google.com:636
cert = ldap-client.crt
key = ldap-client.key
- Bewerk /etc/default/stunnel4 en stel ENABLED=1 in om stunnel aan te zetten.
- Start stunnel opnieuw op.
$ sudo /etc/init.d/stunnel4 restart
- Configureer de app zodat deze naar ldap://127.0.0.1:1636 wijst.
U kunt 1636 vervangen door een andere ongebruikte poort. Zorg dan dat u in het configuratiebestand hierboven ook de regel accept aanpast. U gebruikt LDAP in platte tekst zonder dat StartTLS/SSL/TLS aanstaat tussen de client en stunnel, omdat deze lokaal communiceren.
Opmerking: Als u ervoor kiest stunnel op een aparte server uit te voeren, moet u uw firewalls zo configureren dat alleen de benodigde apps toegang hebben tot de stunnel-server. U kunt stunnel ook configureren zodat deze gegevens ophaalt met TLS, zodat gegevens tussen uw app en de stunnel-servers versleuteld zijn. De details van deze configuraties hangen af van uw omgeving.
Volgende stappen
Nadat u de LDAP-client heeft gekoppeld aan de Secure LDAP-service, moet u de servicestatus instellen op Aan voor de LDAP-client.
Zie 5. LDAP-clients inschakelen voor de volgende stappen.
Opmerking: Indien nodig kunt u makkelijk te gebruiken tools als ldapsearch, ADSI en ldp.exe gebruiken om problemen op te lossen als u een foutmelding krijgt wanneer u de LDAP-client koppelt aan de service. Zie De koppeling controleren en problemen met de koppeling oplossen voor instructies.