Use as informações neste artigo para conectar o cliente LDAP ao serviço LDAP seguro.
IMPORTANTE:
- Leia a documentação do fornecedor
Os detalhes deste artigo para conectar seu cliente LDAP ao serviço LDAP seguro são apenas para referência e estão sujeitos a alterações. Além destas instruções, leia a documentação do fornecedor do seu cliente LDAP para ter acesso às etapas mais atualizadas. - Antes de começar
Antes de usar estas instruções, confirme que você adicionou o cliente ao serviço LDAP seguro, configurou as permissões de acesso, fez o download de um certificado e de uma chave de cliente e, se necessário, criou credenciais de acesso. - Teste de conectividade
Antes de seguir estas etapas, você pode fazer um teste de conexão rápido usando ferramentas simples, como ldapsearch, ADSI e ldp.exe. Também é possível usar essas ferramentas para a solução de problemas se você encontrar erros ao tentar conectar seu cliente LDAP ao serviço. Veja as instruções em Teste de conectividade do LDAP seguro. - Como completar as etapas de configuração
Após conectar o cliente LDAP seguindo as instruções nesta página, você precisará concluir a configuração dele mudando o status do serviço para Ativado no Google Admin Console. Veja mais instruções em 5. Ativar clientes LDAP.
O que está incluído neste artigo
Este artigo inclui estas seções:
- Instruções básicas de configuração: inclui instruções genéricas para conectar clientes LDAP não especificados neste artigo.
- Instruções de configuração de clientes LDAP específicos: inclui instruções para conectar clientes LDAP específicos (como o Atlassian Jira ou o OpenVPN) ao serviço LDAP seguro. As etapas variam dependendo do tipo de cliente.
- Instruções de configuração de apps Java: inclui instruções genéricas para apps baseados em Java que oferecem funcionalidade LDAP.
- Opcional: usar o stunnel como um proxy: esta seção inclui instruções que especificam considerações adicionais para conectar clientes LDAP que não permitem certificados digitais.
As instruções abaixo consideram que você fez o download dos arquivos da chave e do certificado de cliente que se chamam ldap-client.key e ldap-client.crt.
Instruções básicas de configuração
Esta seção inclui instruções genéricas para conectar seu cliente LDAP ao serviço LDAP seguro. Caso seu cliente LDAP não esteja listado nas instruções abaixo, leia a documentação desse app.
Observação: determinados clientes LDAP, como o Atlassian Jira e o SSSD, pesquisam usuários para encontrar mais informações sobre um usuário durante a autenticação. Se você quiser garantir que a autenticação dos usuários funcione corretamente nesses clientes LDAP, ative Ler as informações dos usuários para todas as unidades organizacionais com a opção Verificar as credenciais dos usuários ativada. Veja mais instruções em Configurar as permissões de acesso.
Para conectar o cliente LDAP ao serviço LDAP seguro:
- Configure seu cliente LDAP com o Cloud Directory como o servidor LDAP.
- Faça o upload do certificado para seu cliente LDAP.
O serviço LDAP seguro usa certificados de cliente TLS como o mecanismo de autenticação principal. Para iniciar o processo de upload do certificado para o cliente LDAP, abra as configurações de autenticação ou do diretório do cliente LDAP e digite os detalhes da tabela abaixo.Observação: você encontra todos os detalhes sobre como e onde fazer o upload dos certificados TLS na documentação do fornecedor.
Veja abaixo a tabela com as informações básicas de conexão:
Nome do host |
ldap.google.com |
Portas |
389 para LDAP com StartTLS ativado |
DN de base |
Seu domínio no formato DN. Exemplo: dc=example,dc=com para example.com |
Nome de usuário e senha |
Além da autenticação com certificado, alguns clientes LDAP exigem que você digite um nome de usuário e uma senha. Se os campos de nome de usuário e senha não forem obrigatórios, você poderá pular esta etapa. Gere um nome de usuário e uma senha no Google Admin Console. Veja mais instruções em Gerar credenciais de acesso. |
Arquivos de certificado e de chave do cliente |
Use os arquivos de certificado e de chave armazenados no Google Admin Console e que você copiou localmente. Se o cliente LDAP não indicar um tipo de autenticação com um certificado de cliente, consulte Usar o stunnel como um proxy. IMPORTANTE: alguns clientes LDAP, como o Apache Directory Studio, não permitem o upload de certificados digitais. Veja como resolver esse problema em Usar o stunnel como um proxy. |
Instruções de configuração para clientes LDAP específicos
ADSI Edit (Windows)Siga estas etapas:
- Siga as etapas de 1 a 11 em ldp.exe (Windows) para instalar os certificados do cliente.
- Acesse Action > Connect to….
- Digite as seguintes configurações de conexão:
Name: digite um nome para sua conexão, como Google LDAP.
Connection Point: “Select or type a Distinguished Name or Naming Context”
Digite seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
Computer: “Select or type a domain or server”
ldap.google.com
Use SSL-based Encryption: marcado
- Clique em Advanced... e digite os seguintes detalhes:
Specify credentials: marcado
Username: o nome de usuário da credencial de acesso no Admin Console
Password: a senha da credencial de acesso no Admin Console
Port Number: 636
Protocol: LDAP
Simple bind authentication: marcado
- Clique em OK e em OK novamente.
- Se a conectividade ocorrer, o conteúdo do Active Directory no DN de base será exibido no painel direito.
Para usar o Apache Directory Studio, faça a conexão pelo stunnel e use uma credencial de acesso (nome de usuário e senha) gerada no Admin Console. Considerando que isso foi feito e o stunnel escuta na porta localhost 1389:
- Clique em File > New….
- Selecione LDAP Browser > LDAP Connection.
- Clique em Next.
- Digite os parâmetros de conexão:
Connection name: escolha um nome, como LDAP do Google
Hostname: localhost
Port: 1389 (ou a porta de escuta/aceitação do stunnel)
Encryption method: sem criptografia. Observação: se o stunnel for executado remotamente, é recomendado usar criptografia entre o stunnel e o cliente.
- Clique em Next.
- Digite os parâmetros de autenticação:
Authentication Method: autenticação simples
Bind DN or user: o nome de usuário da credencial de acesso no Admin Console
Bind password: a senha da credencial de acesso do Admin Console
- Clique em Next.
- Digite o DN de base.
Seu nome de domínio no formato DN (por exemplo, (dc=example,dc=com para example.com). - Clique em Concluir.
O Atlassian Jira pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Se você quiser garantir que a autenticação dos usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos para todas as unidades organizacionais com a opção Verificar as credenciais dos usuários ativada. Veja mais instruções em Configurar as permissões de acesso.
Importante: as instruções a seguir talvez exponham o valor de "keystorePassword" aos usuários e aos arquivos de registros. Tome as devidas precauções para impedir o acesso não autorizado ao shell local, ao arquivo de registros e ao Google Admin Console. Em vez de seguir as instruções, você pode usar o método stunnel4 (consulte Opcional: usar o stunnel como proxy).
Observação: as instruções abaixo consideram que o Jira está instalado em /opt/atlassian/jira.
Para conectar um cliente Atlassian Jira ao serviço LDAP seguro:
- Copie o certificado e a chave para seus servidores Jira. Esse certificado é gerado no Google Admin Console durante a adição do cliente LDAP ao serviço LDAP seguro.
Por exemplo:
$ scp ldap-client.key user@jira-server:
- Converta o certificado e as chaves no formato Java KeyStore. Você precisará digitar senhas durante esse processo. Para simplificar, escolha uma senha segura e use-a em todas as etapas.
$ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key
$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
- Configure o Jira para usar o arquivo KeyStore que você criou. Siga as instruções aqui para adicionar opções:
“-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”
No Linux:- Edite /opt/atlassian/jira/bin/setenv.sh.
- Encontre a configuração JVM_SUPPORT_RECOMMENDED_ARGS.
- Adicione "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password", substituindo "password" pela senha que você selecionou acima.
- Reinicie o Jira.
$ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
- Faça login na interface da Web do Jira como administrador.
- Acesse Settings > User management. Para acessar as configurações, clique no ícone de engrenagem no canto superior direito.
- Clique em User Directories.
- Clique em Add Directory.
- Escolha LDAP como o tipo.
- Clique em Next.
- Digite o seguinte:
Name
LDAP seguro do Google
Directory type
OpenLDAP
Hostname
ldap.google.com
Port
636
Use SSL
Marcado
Username
Gere um nome de usuário e uma senha no Google Admin Console. Veja mais instruções em Gerar credenciais de acesso.
Password
Gere um nome de usuário e uma senha no Google Admin Console. Veja mais instruções em Gerar credenciais de acesso.
Base DN
Seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com)
Additional User DN
Opcional. “ou=Users”
Additional Group DN
Opcional. “ou=Groups”
LDAP Permissions
Somente leitura
Advanced Settings
Não alterado
User Schema Settings >
User Name AttributegoogleUid
User Schema Settings >
User Name RDN Attributeuid
Group Schema Settings >
Group Object ClassgroupOfNames
Group Schema Settings >
Group Object Filter(objectClass=groupOfNames)
Membership Schema Settings >
Group Members Attributemember
Membership Schema Settings >
Use the User Membership AttributeMarcado - Atribua uma função a um grupo.
O usuário precisa participar de um grupo com acesso ao Atlassian Jira para poder fazer login.
Veja como atribuir uma função a um grupo:- Acesse Settings > Applications > Application access.
- Na caixa de texto Select group, digite o nome do Grupo do Google com os usuários que poderão acessar o Jira.
Veja instruções sobre como conectar o CloudBees Core ao serviço LDAP seguro em Conectar o CloudBees Core ao Google Cloud Identity / Google Cloud Directory usando o LDAP seguro (em inglês).
Siga estas etapas:
- Instale e configure o FreeRADIUS em /etc/freeradius/3.0/.
Após o FreeRADIUS ser instalado, você poderá instalar o plug-in freeradius-ldap para adicionar a configuração do LDAP.
$ sudo apt-get install freeradius freeradius-ldap
- Copie os arquivos de chave e de certificado do cliente LDAP para /etc/freeradius/3.0/certs/ldap-client.key e /etc/freeradius/3.0/certs/ldap-client.cert respectivamente.
$ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
- Ative o módulo LDAP.
$ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
- Edite /etc/freeradius/3.0/mods-available/ldap.
- ldap->server = 'ldaps://ldap.google.com:636'
- identity = nome de usuário nas credenciais do app
- password = senha nas credenciais do app
- base_dn = ‘dc=domain,dc=com’
- tls->start_tls = no
- tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
- tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
- tls->require_cert = ‘allow’
- Adicione um comentário a todos os campos da localização atual que representam a seção "ldap -> post-auth -> update".
- Edite /etc/freeradius/3.0/sites-available/default.
Isso modifica a conexão do cliente FreeRadius. Se você não estiver usando o cliente padrão, atualize o cliente relevante (túnel interno ou qualquer cliente personalizado) que esteja configurado.
- Modifique a seção authorize para adicionar o seguinte bloco ao final da instrução do protocolo de autenticação de senha:
if (User-Password) {
update control {
Auth-Type := ldap
}
} - Na seção authorize, ative o LDAP removendo o sinal "-" que aparece antes dele.
#
# O módulo ldap lê senhas do banco de dados LDAP.
ldap
- Modifique a seção authenticate editando o bloco Auth-Type LDAP da seguinte forma:
# Auth-Type LDAP {
ldap
# }
- Modifique a seção authenticate editando o bloco Auth-Type PAP da seguinte forma:
Auth-Type PAP {
# pap
ldap
}
- Modifique a seção authorize para adicionar o seguinte bloco ao final da instrução do protocolo de autenticação de senha:
Veja instruções sobre como conectar o GitLab ao serviço LDAP seguro em Configurar o LDAP seguro do Google para GitLab (em inglês).
Veja instruções sobre como conectar o Itopia/Ubuntu ao serviço LDAP seguro em Configurar o LDAP do Google Cloud Identity no Ubuntu 16.04 para logins de usuário (em inglês).
Siga estas etapas:
- No seu servidor da Web Ivanti, abra OpenLDAPAuthenticationConfiguration.xml ou OpenLDAPSSLAuthenticationConfiguration.xml em um editor de texto nas duas pastas a seguir:
C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework and C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (onde servicedesk é o nome da instância) - Atualize o valor de <Server> para ldap.google.com.
- Atualize o valor de <Port> para a porta 3268, no caso de texto simples com StartTLS ativado, e use o valor 3269 na porta SSL/TLS (os padrões são 389 na porta de texto simples e 636 na porta SSL/TLS).
- Defina o valor <TestDN> para seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
- Para ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config e ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config, adicione a linha:
<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
ou a linha:
<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
- No Ivanti Configuration Center, abra a instância necessária.
- Ao lado do app Service Desk Framework, clique em Edit.
A caixa de diálogo Edit Application do Service Desk Framework aparece. - No grupo Configuration parameters, selecione Explicit only na lista Logon policy e clique em OK.
- Ao lado do app Web Access, clique em Edit.
A caixa de diálogo Edit Application do Web Access aparece. - No grupo Configuration parameters, selecione Explicit only na lista Logon policy e clique em OK.
Ao fazer login, use a senha de rede do usuário do domínio associado.
Registro de exceção para a autenticação do servidor LDAP
Se você estiver com problemas ao configurar a autenticação do servidor LDAP, ative o registro de exceção para ajudá-lo a identificar o problema. Por padrão, esse recurso fica desativado. Recomendamos que você desative-o novamente quando tiver concluído suas investigações.
Para ativar o registro de exceções para a autenticação do servidor LDAP, siga estas etapas:
- Abra o arquivo XML de configuração de autenticação adequado em um editor de texto:
DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml, or OpenLDAPSSLAuthenticationConfiguration.xml - Mude a linha:
<ShowExceptions>false</ShowExceptions>
para
<ShowExceptions>true</ShowExceptions>
- Salve as alterações.
Siga estas etapas:
- Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Abra um prompt de comando e siga as instruções:
Se você estiver no macOS ou no Linux, use os seguintes comandos:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Digite uma senha para criptografar o arquivo de saída.
Se você estiver no Windows, use os seguintes comandos:
$ certutil -mergepfx ldap-client.crt ldap-client.p12
Importante: os dois arquivos (<CERT_FILE>.crt e <CERT_FILE>.key) precisam estar no mesmo diretório.Além disso, confirme que key e crt têm um nome idêntico (com uma extensão diferente). Neste exemplo, usamos os nomes ldap-client.crt e ldap-client.key. - Acesse o Painel de Controle.
- Na caixa de pesquisa, pesquise "certificado" e clique em Manage user certificates.
- Acesse Action > All Tasks > Import….
- Selecione Current User e clique em Next.
- Clique em Browse….
- Na lista suspensa file type, no canto inferior direito da caixa de diálogo, selecione Personal Information Exchange (*.pfx;*.p12).
- Selecione o arquivo ldap-client.p12 da etapa 2, clique em Open e depois clique em Next.
- Digite a senha da etapa 2 e clique em Next.
- Selecione o repositório de certificados Personal, clique em Next e em Finish.
- Execute Ldp.exe.
- Acesse Connection > Connect....
- Digite os seguintes detalhes de conexão:
Server: ldap.google.com
Port: 636
Connectionless: desmarcado
SSL: marcado
- Clique em OK.
- Acesse View > Tree.
- Digite o DN de base. Esse é seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
- Clique em OK.
- Se a conectividade ocorrer, o arquivo LDP.exe exibirá o conteúdo do Active Directory, como todos os atributos no DN de base, no painel à direita.
Veja instruções sobre como conectar o Netgate/pfSense ao serviço LDAP seguro em Configurar o Google Cloud Identity como uma origem de autenticação (em inglês).
Para acessar seu diretório LDAP na linha de comando, você pode usar o comando OpenLDAP ldapsearch.
Considerando que os nomes dos arquivos do certificado e da chave de cliente são ldap-client.crt e ldap-client.key, seu domínio é example.com e o nome de usuário é jsilva:
$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'
Isso aponta as variáveis de ambiente relevantes para as chaves do cliente. Você pode substituir as outras opções de ldapsearch pelos filtros que quiser, pelos atributos solicitados etc. Veja mais detalhes nas páginas do ldapsearch man ("man ldapsearch").
Siga estas etapas:
- Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Em um prompt de comando, digite o seguinte:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Digite sua senha para criptografar o arquivo de saída.
- Clique em , no canto superior direito da barra de menus, e digite Keychain Access.
- Abra o app Keychain Access e clique em System na lista à esquerda.
- Clique na opção File, na barra de menu no canto superior esquerdo, e selecione Import Items.
- Acesse o local onde o ldap-client.p12 foi gerado, selecione ldap-client.p12 e clique em Open.
Se for solicitado, digite sua senha.
Um certificado com o nome LDAP Client aparecerá na lista de certificados de System Keychain. - Clique na seta ao lado do certificado do cliente LDAP. Uma chave privada aparece abaixo desse certificado.
- Clique duas vezes na chave privada.
- Na caixa de diálogo, selecione a guia Access Control e clique em + no canto inferior esquerdo.
-
Na janela que é aberta, clique em Command+Shift+G para abrir uma nova janela e substitua o texto por /usr/bin/ldapsearch.
-
Clique em Go.
Isso abre uma janela com "ldapsearch" em destaque. -
Clique em Add.
-
Clique em Save Changes e digite sua senha se necessário.
Agora está tudo pronto para você acessar o diretório LDAP usando o comando OpenLDAP ldapsearch na linha de comando.
-
Se o arquivo ldap-client.p12 que você importou para o conjunto de chaves se chamar LDAP Client, seu domínio for example.com e o nome de usuário for jsmith, digite o seguinte:
$ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'
As variáveis de ambiente relevantes apontarão para o certificado de cliente importado. Você pode substituir as outras opções de ldapsearch pelos filtros que quiser, pelos atributos solicitados etc. Veja mais detalhes nas páginas do ldapsearch man (man ldapsearch).
Siga estas etapas:
- Se necessário, instale e configure o OpenVPN. Se você já tiver feito isso, abra a página de configurações no OpenVPN.
As configurações gerais da VPN (rede privada virtual) não estão incluídas neste artigo. Quando uma VPN é configurada de outra forma, você pode adicionar autenticação e autorização de usuários via LDAP. Para fazer isso, é preciso instalar o plug-in openvpn-auth-ldap.
$ sudo apt-get install openvpn openvpn-auth-ldap
- Copie os arquivos de chave e de certificado do cliente LDAP para /etc/openvpn/ldap-client.key e /etc/openvpn/ldap-client.crt.
- Crie o arquivo /etc/openvpn/auth-ldap.conf com o seguinte conteúdo (considerando que example.com é o nome de domínio):
<LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (ou escolha seu próprio filtro LDAP para os usuários)
RequireGroup false
</Authorization>
- Edite o arquivo de configuração do OpenVPN, que costuma ter o nome /etc/openvpn/server.conf ou algo parecido. Na parte inferior do arquivo, adicione o seguinte:
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
- Reinicie o servidor OpenVPN.
$ sudo systemctl restart openvpn@server
- Configure os clientes VPN para usar os nomes de usuário e as senhas dos usuários. Por exemplo, em uma configuração do cliente OpenVPN, adicione auth-user-pass ao final do arquivo de configuração e inicie o cliente:
$ openvpn --config /path/to/client.conf
- Siga as instruções para usar o stunnel como um proxy.
Veja instruções sobre como conectar o servidor de acesso OpenVPN ao serviço LDAP seguro em Configurar o LDAP seguro do Google com o servidor de acesso OpenVPN (em inglês).
Veja instruções sobre como conectar o PaperCut ao serviço LDAP seguro em Como sincronizar e autenticar usuários do Google Workspace e do Google Cloud Identity no PaperCut (em inglês).
Veja instruções sobre como conectar o Puppet Enterprise ao serviço LDAP seguro em Google Cloud Directory para o Puppet Enterprise (em inglês).
Importante: antes de começar, confirme que você instalou a versão 4.5 (4.5.19808.0) ou mais recente do Softerra LDAP Browser. Saiba mais em Navegador LDAP 4.5.
Siga estas etapas:
- Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Abra um prompt de comando e siga as instruções:
Se você estiver no macOS ou no Linux, use os seguintes comandos:
openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
Digite uma senha para criptografar o arquivo de saída.
Se você estiver no Windows, use os seguintes comandos:
$ certutil -mergepfx ldap-client.crt ldap-client.p12
Importante: os dois arquivos (<CERT_FILE>.crt e <CERT_FILE>.key) precisam estar no mesmo diretório.Além disso, confirme que key e crt têm um nome idêntico (com uma extensão diferente). Neste exemplo, usamos os nomes ldap-client.crt e ldap-client.key. - No Softerra LDAP Browser, instale o par de chaves.
- Acesse Tools > Certificate Manager.
- Clique em Import….
- Clique em Next.
- Clique em Browse.
- Na lista suspensa File type, no canto inferior direito da caixa de diálogo, selecione Personal Information Exchange (*.pfx;*.p12).
- Selecione o arquivo ldap-client.p12 da etapa 2 acima.
- Clique em Open e depois em Next.
- Digite a senha da etapa 2 acima e clique em Next.
- Selecione o armazenamento de certificado Personal.
- Clique em Next.
- Clique em Finish.
- Adicione um perfil de servidor.
- Acesse File > New > New Profile….
- Digite um nome para o perfil, como Google LDAP.
- Clique em Next.
Digite o seguinte:
Host: ldap.google.com
Port: 636
Base DN: digite seu nome de domínio no formato DN. Por exemplo, dc=example,dc=com para example.com)
Use secure connection (SSL): marcado
- Clique em Next.
- Selecione External (SSL Certificate).
- Clique em Next.
- Clique em Finish.
Veja instruções sobre como conectar o Sophos Mobile ao serviço LDAP seguro em Conectar o Sophos Mobile ao Google Cloud Identity / Google Cloud Directory usando o LDAP seguro (em inglês).
Ao conectar o Splunk ao serviço LDAP seguro, use o Splunk 8.1.4 ou mais recente. Ao usar versões mais antigas do Splunk, como o Splunk 8.1.3, um número excessivo de consultas LDAP pode ser enviado para o servidor LDAP e exceder sua cota do LDAP rapidamente. Veja mais informações sobre os problemas no Splunk 8.1.3 em Problemas conhecidos do Splunk.
Siga estas etapas:
- Copie os arquivos de chave e de certificado do cliente LDAP para /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key e /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.cert.
$ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
- Edite o arquivo ldap.conf para adicionar as seguintes configurações:
ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem - Adicione as seguintes configurações no arquivo /home/splunkadmin/.ldaprc do usuário:
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
- Adicione a estratégia LDAP usando a IU da Web do Splunk. Digite os detalhes a seguir e clique em Save:
Name |
LDAP seguro do Google |
Host |
ldap.google.com |
Porta |
636 |
SSL ativado |
Marcado |
Ordem de conexão |
1 |
Vincular DN |
Digite as credenciais de acesso que você gerou no Google Admin Console. |
Vincular a senha do DN |
Digite as credenciais de acesso que você gerou no Google Admin Console. |
DN de base |
Seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para o domínio example.com) |
Filtro de base do usuário |
Digite o filtro de base de usuários da classe de objeto que você quer usar para filtrar seus usuários. |
Atributo de nome de usuário |
uid |
Atributo de nome real |
displayname |
Atributo de e-mail |
|
Atributo de mapeamento de grupo |
dn |
DN de base do grupo |
Esse é seu nome de domínio no formato DN (por exemplo, ou=Groups,dc=example,dc=com para example.com). |
Filtro de pesquisa de grupos estáticos |
Digite o filtro da pesquisa de grupo estático referente à classe de objeto que você quer usar para filtrar grupos estáticos. |
Atributo do nome do grupo |
cn |
Atributo de membro estático |
member |
O SSSD pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Se você quiser garantir que a autenticação dos usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos para todas as unidades organizacionais com a opção Verificar as credenciais dos usuários ativada. Veja mais instruções em Configurar as permissões de acesso.
Para conectar um cliente SSSD no Red Hat 8 ou CentOS 8 ao serviço LDAP seguro, faça o seguinte:
- Adicione o cliente SSSD ao serviço LDAP seguro:
- No Google Admin Console, acesse Apps > LDAP > ADICIONAR CLIENTE.
Faça login com sua conta corporativa e não sua conta pessoal do Gmail. - Digite os detalhes do cliente e clique em CONTINUAR.
- Configure Permissões de acesso:
"Verificar as credenciais do usuário": "Domínio inteiro"
"Ler as informações dos usuários": "Domínio inteiro"
"Ler as informações dos grupos": ativado - Clique em ADICIONAR CLIENTE LDAP.
- Faça o download do certificado gerado.
- Clique em CONTINUAR PARA DETALHES DO CLIENTE.
- Altere o status do serviço para ATIVADO.
- No Google Admin Console, acesse Apps > LDAP > ADICIONAR CLIENTE.
- Instale as dependências:
dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
Descompacte o arquivo .zip do certificado e copie os arquivos .crt e .key para /etc/sssd/ldap
- (Opcional) Teste com o ldapsearch:
LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
Digite a senha do Google do usuário quando necessário.
Observação: uma licença do Google Workspace Enterprise ou do Cloud Identity Premium precisa ter sido atribuída ao usuário. - Crie o arquivo
/etc/sssd/sssd.conf
com o seguinte conteúdo:
[sssd]
services = nss, pam
domains = example.com[domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID - Atualize as permissões e os marcadores SELinux:
chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
- Reinicie o SSSD:
systemctl restart sssd
- Teste:
ssh para servidor:ssh -l user@example.com {HOSTNAME}
Solução de problemas
- Verifique a versão do SSSD (precisa ser 1.15.2 ou mais recente):
# sssd --version
2.2.3
-
No RHEL/CentOS (ou qualquer distribuição com aplicação do SELinux), os arquivos de configuração do SSSD e o arquivo e a chave do certificado precisam estar em um diretório acessível para a função sssd_conf_t:
# egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts
Verifique se há mensagens de negação AVC em /var/log/audit/audit.log.
- Confirme que /etc/nsswitch.conf tem o valor "sss" para as entidades "passwd", "shadow", "group" e "netgroup":
passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
Aqui, os arquivos locais substituem os usuários do LDAP. - Verifique se há erros de configuração em /var/log/sssd.conf:
Exemplo:
[sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Skipping.Ação: execute o comando chmod 600 no arquivo .conf.
Exemplo:
[sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.[sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.
Ação: remova as extensões LDAP da correspondência de grupo incompatível de sssd.conf.
-
Verifique se há erros LDAP/network/auth em /var/log/sssd_{DOMAIN}.log.
Exemplo:[sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]
Ação: adicione "ldap_tls_reqcert = never" a sssd.conf.
Para aumentar o nível de detalhes dos erros, adicione "debug_level = 9" a sssd.conf na seção "domain" e reinicie o SSSD.
O SSSD pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Se você quiser garantir que a autenticação dos usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos para todas as unidades organizacionais com a opção Verificar as credenciais dos usuários ativada. Veja mais instruções em Configurar as permissões de acesso.
Para conectar um cliente SSSD ao serviço LDAP seguro:
- Instale o SSSD versão >= 1.15.2.
$ sudo apt-get install sssd
- Considerando que os nomes dos arquivos do certificado e da chave de cliente são /var/ldap-client.crt e /var/ldap-client.key, e seu domínio é example.com, edite /etc/sssd/sssd.conf com a seguinte configuração:
[sssd]
services = nss, pam
domains = example.com[domain/example.com]
ldap_tls_cert = /var/ldap-client.crt
ldap_tls_key = /var/ldap-client.key
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID
ldap_groups_use_matching_rule_in_chain = true
ldap_initgroups_use_matching_rule_in_chain = true
-
Mude a propriedade e a permissão do arquivo de configuração:
$ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf -
Reinicie o SSSD:
$ sudo service sssd restart
Dica: se você estiver usando o módulo SSSD em computadores Linux sem endereços IP externos no Google Compute Engine, ainda poderá se conectar ao serviço LDAP seguro, desde que tenha acesso interno aos serviços do Google ativados. Veja mais detalhes em Como configurar o Acesso privado do Google.
Siga as etapas abaixo para conectar o cliente macOS para autenticação da conta de usuário com o serviço LDAP seguro.
Requisitos do sistema
- A versão do macOS precisa ser 10.15.4 (Catalina) ou mais recente.
- Um ID do usuário de superadministrador do Google é necessário para concluir a etapa 1 na fase de preparação.
- Você precisa ter permissões de administrador local para concluir a configuração.
Conteúdo:
Fase de preparação
As instruções nesta seção mostram como configurar e testar manualmente a autenticação do macOS usando o serviço LDAP seguro.
Etapa 1: integrar o macOS como cliente LDAP no Google Admin Console
Veja as instruções em Adicionar clientes LDAP ou assista a esta demonstração do LDAP seguro. Você também fará o download de um certificado de cliente TLS gerado automaticamente durante o processo.
Etapa 2: importar o certificado para o conjunto de chaves do sistema
- Copie o certificado (o arquivo ZIP transferido por download na etapa 1) e a chave para o computador macOS.
Dica: descompacte o arquivo para encontrar os arquivos de certificado e chave. - Importe o par de chaves para o conjunto de chaves do sistema:
-
Converta a chave e o certificado em um arquivo PKCS 12 (.p12). Execute o seguinte comando no terminal:
openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
Dica: anote o nome do arquivo .p12.
O sistema solicitará que você digite uma senha para criptografar o arquivo .p12. -
Abra o app Acesso às Chaves.
-
Clique no conjunto de chaves Sistema.
-
Clique em Arquivo > Importar Itens.
-
Selecione o arquivo ldap-client.p12 criado acima.
-
Se solicitado, digite a senha do administrador para permitir a modificação do conjunto de chaves do sistema.
-
Digite a senha criada acima para descriptografar o arquivo .p12.
Observação: um novo certificado e uma chave privada associada aparecerão na lista de chaves. O nome talvez seja LDAP Client. Anote o nome do certificado para a próxima etapa abaixo.
- Siga a etapa 6 da seção ldapsearch (macOS) deste artigo para configurar o controle de acesso para a chave privada e adicionar os apps especificados abaixo. Se você não vir a chave privada na categoria Todos os Itens, mude para a categoria Meus Certificados e localize a entrada de chave privada correta expandindo o certificado correspondente.
O app ldapsearch, como especificado nas instruções, só é relevante na solução de problemas e não para outros fins. Normalmente, ele é removido antes que os usuários recebam acesso ao macOS.
Os três apps a seguir precisam ser adicionados à lista de controle de acesso:
/System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl
-
-
Adicione uma linha ao arquivo /etc/openldap/ldap.conf para garantir que "LDAP Client" tenha exatamente o mesmo nome de certificado mostrado no app Keychain Access do macOS após a importação do arquivo .p12 (o nome é baseado no nome real do assunto do X.509 do certificado gerado):
sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'
Etapa 3: apontar o dispositivo para o diretório do Google para autenticação
Abra o app Utilitário de Diretório para criar um novo nó de diretório LDAP:
- Clique no cadeado para fazer alterações e digite sua senha.
- Selecione LDAPv3 e clique no ícone de lápis para editar as configurações.
- Clique em New….
- No nome do servidor, digite ldap.google.com, selecione Encrypt using SSL e clique em Manual.
- Selecione o novo nome do servidor e clique em Editar….
- Escolha um nome descritivo para a configuração, como LDAP seguro do Google.
- Selecione Criptografar usando SSL e confirme que a porta está definida como 636.
- Acesse a guia Busca e Mapeamentos.
- Escolha RFC2307 na lista suspensa Acessar este servidor LDAPv3 usando.
- Quando solicitado, digite as informações relacionadas ao domínio em Sufixo da Base de Busca. Por exemplo, digite
dc=zomato,dc=com
para um nome de domínio de zomato.com. - Clique em OK.
- Configure os atributos no tipo de registro Usuários:
- Na seção Tipos e Atributos de Registro, selecione Usuários e clique no botão +.
- Na janela pop-up, selecione Tipos de Atributo > GeneratedUID e clique em OK para fechar a janela.
GeneratedUID aparecerá na seção "Usuários" quando ela for expandida.
- Clique em "GeneratedUID" e no ícone + na caixa à direita.
- Digite apple-generateduid na caixa de texto e clique em Enter.
- No nó Usuários, clique no atributo NFSHomeDirectory.
- Na tela à direita, atualize o valor do atributo para
#/Users/$uid$
. - Clique em OK e digite sua senha para salvar as alterações.
- Na janela Directory Utility, defina a nova configuração do LDAP:
- Acesse a guia Política de Busca.
- Clique no ícone de cadeado para fazer alterações e digite a senha do usuário atual quando solicitado.
- Mude a opção do menu suspenso de Caminho da Busca para Caminho personalizado.
- Abra a guia Autenticação e clique no ícone +.
- Escolha
/LDAPv3/ldap.google.com
na lista "Domínios de Diretório" e clique em Adicionar. - Clique no botão Aplicar e digite sua senha de administrador, se solicitado.
- Execute os quatro comandos a seguir para desativar os mecanismos de autenticação DIGEST-MD5, CRAM-MD5, NTLM e GSSAPI SASL. O macOS usará o método Simple Bind para a autenticação com o serviço LDAP seguro do Google:
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
- Reinicialize para recarregar a configuração do OpenDirectory.
Etapa 4: criar uma conta móvel (permite o login off-line)
Qualquer usuário do Google Workspace ou do Cloud Identity pode fazer login usando uma conta de rede (Conta do Google) com o próprio nome de usuário e a senha. Esse processo de login requer conectividade de rede. Quando o usuário também precisa fazer login sem estar conectado à rede, é possível criar uma conta móvel. Essa conta permite fazer login com o nome de usuário e a senha da conta de rede (Conta do Google), independentemente do status da conexão. Veja os detalhes em Crie e configure contas móveis no Mac.
Se você quiser criar uma conta móvel para usuários do LDAP seguro, faça o seguinte:
-
Execute este comando para se conectar ao servidor LDAP seguro e configurar um caminho de início e as contas móveis:
sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
Dica: substitua $uid pela parte correspondente ao nome de usuário do endereço de e-mail associado à Conta do Google. Por exemplo, jsmith é a parte correspondente ao nome de usuário de jsilva@solarmora.com. -
Quando o nome de usuário do administrador do SecureToken for solicitado, digite seu nome de usuário de administrador e a senha. Isso adicionará $uid ao FileVault, o que é necessário quando o disco do macOS está criptografado.
Etapa 5 (opcional): definir a preferência de tela de login
- Acesse Preferências do Sistema > Usuários e Grupos > Opções de Início no canto inferior esquerdo.
- Use as credenciais do administrador para desbloquear.
- Altere a opção Exibir janela de início de sessão como para Nome e senha.
Etapa 6: reinicializar e fazer login no dispositivo
- Confirme que o dispositivo está conectado à Internet. Se você não tiver uma conexão de Internet, o login do usuário do LDAP seguro não funcionará.
Observação: a conexão de Internet é necessária apenas para o primeiro login. Depois disso, é possível fazer login sem acesso à Internet. - Faça login no dispositivo com a conta de usuário configurada para autenticação com o LDAP seguro.
Fase de implantação
As instruções nesta seção mostram como automatizar a configuração do dispositivo para seus usuários. Siga as etapas 1 e 2 abaixo no mesmo dispositivo macOS em que você concluiu a configuração manual durante a fase de preparação.
Etapa 1: criar um perfil do Mac com certificado usando o Apple Configurator 2
- Instale o Apple Configurator 2 no computador em que você configurou manualmente a autenticação do macOS com o LDAP seguro.
- Abra o Apple Configurator 2, crie um novo perfil e, na seção "Certificado", clique em "configurar" e importe o arquivo .p12 gerado anteriormente.
Observação: confirme que o arquivo .p12 tem uma senha. Digite essa senha na seção "Senha" do certificado. - Salve o perfil.
- Abra o perfil em qualquer editor de texto e adicione as linhas abaixo na primeira tag <dict>:
<key>PayloadScope</key>
<string>System</string>
Isso é necessário porque o Apple Configurator ainda não é compatível com perfis para o macOS.
- Na segunda tag <dict>, paralela aos dados do certificado, adicione as linhas a seguir:
<key>AllowAllAppsAccess</key>
<true/>
Isso garantirá que todos os apps possam acessar o certificado.
Etapa 2: converter o arquivo de configuração do diretório (plist) em um arquivo XML
Nesta etapa, você extrai para um arquivo XML todas as configurações manuais concluídas durante a etapa 3 da fase de preparação. Você pode usar esse arquivo e o perfil do Mac criado na etapa 1 acima para configurar automaticamente outros dispositivos macOS.
- Copie /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist para a Mesa ou outro local.
- Converta-o em um arquivo XML para examiná-lo em qualquer editor de texto. Execute este comando no terminal:
sudo plutil -convert xml1 <path>/ldap.google.com.plist
Você pode acessar o arquivo como<path>/ldap.google.com.plist
.
- Altere a permissão do arquivo acima para abrir o arquivo XML. Confirme que ele não está vazio.
Etapa 3: criar um script do Python para automatizar a configuração nos dispositivos do usuário final
Copie o script abaixo e salve-o como um arquivo do Python (.py).
Observação: esse exemplo de script é fornecido no estado em que se encontra. O Google não oferece suporte para exemplos de script.
Ldap_pythong_config.py
#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData
import os
import sys
# Para ler a plist:
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()
# Para escrever na plist:
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b'\x00'*32, 32)
request.appendData_(NSData.dataWithBytes_length_(CONFIG, len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)
# Para editar o caminho de pesquisa padrão e anexar o novo nó para permitir o login:
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")
Etapa 4: configurar automaticamente os dispositivos do usuário final
Nos outros dispositivos macOS que você quer configurar, siga estas etapas:
- Copie o arquivo do perfil do Mac gerado na etapa 1, o arquivo de configuração XML gerado na etapa 2 e o script do Python da etapa 3 para o dispositivo.
- Execute o seguinte comando:
sudo
python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
- Se você quiser importar certificados para o conjunto de chaves do sistema macOS, clique duas vezes no arquivo de perfil do Mac gerado na etapa 1 e, quando solicitado, informe suas credenciais de administrador local do macOS. Em seguida, digite a senha do arquivo .p12 definida durante a fase de preparação.
- Reinicie o computador macOS.
- Siga as instruções da etapa 4 da fase de preparação para criar contas móveis e, se necessário, defina preferências adicionais conforme descrito na etapa 5.
Limitações e diretrizes
- Quando um usuário começa a fazer login no macOS com credenciais do Google, o gerenciamento de senha do usuário (redefinição ou recuperação) precisa acontecer no site do Google (por exemplo, em myaccount.google.com ou no Google Admin console). Caso você prefira fazer o gerenciamento usando uma solução de terceiros, confirme que a senha mais recente está sincronizada com o Google.
- Se o administrador criar um novo usuário ou redefinir a senha de um usuário atual com a configuração Solicitar uma alteração de senha no próximo login ativada, o usuário não poderá fazer login no Mac com a senha temporária definida pelo administrador.
Como alternativa, o usuário pode fazer login no Google em outro dispositivo (como um smartphone ou outro computador), definir uma senha permanente e fazer login no macOS com a nova senha. - O Mac precisa ter uma conexão de Internet ativa para que ldap.google.com esteja acessível durante o primeiro login após a configuração acima. O acesso à Internet não será necessário para os logins subsequentes se você tiver configurado uma conta móvel.
- A integração do LDAP seguro do Google com o macOS foi testada no macOS Catalina e Big Sur.
Solução de problemas
Se você tiver problemas para se conectar ao serviço LDAP seguro, siga as instruções abaixo.
Etapa 1: verificar a conexão
Verifique a conexão usando o comando "odutil".
Execute o comando odutil show nodenames no terminal.
Verifique se o status de /LDAPv3/ldap.google.com
é on-line. Caso não seja, tente usar o protocolo Telnet.
Verifique a conexão usando o comando "nc".
Execute este comando no terminal: nc -zv ldap.google.com 636
Se não for possível se conectar ao Google dessa forma, tente usar o protocolo IPv4.
Verifique a conexão com o IPv4.
Siga estas etapas para o dispositivo usar o IPv4:
- Acesse Preferências do Sistema > Rede > Wi-Fi > Avançado.
- No menu "Avançado", acesse a guia "TCP/IP".
- Mude a seleção da lista suspensa de Configure IPv6 para Link-local only.
- Clique em OK e em Apply para salvar as alterações.
- Verifique a autenticação do serviço com uma pesquisa válida no Idapsearch.
Etapa 2: verifique se você vê os objetos de diretório.
- Abra o Directory Utility e a guia Directory Editor.
- Selecione o nó /LDAPv3/ldap.google.com na lista suspensa.
- Confirme que você vê os usuários e grupos do seu domínio do Google.
Instruções de configuração de apps baseados em Java
A maioria dos apps baseados em Java que oferecem funcionalidade LDAP pode ser configurada para fazer a autenticação com certificados do cliente. Para isso, instale os certificados do cliente no arquivo KeyStore do app. Os arquivos de configuração podem variar dependendo do app, mas o processo costuma ser parecido. A configuração exige que o OpenSSL e um Java Runtime Environment estejam instalados.
-
Converta o certificado e as chaves no formato Java KeyStore. Você precisará digitar senhas durante esse processo. Escolha uma senha segura e use-a em todas as etapas do processo. As instruções a seguir consideram que o nome do arquivo de chave do cliente é ldap-client.key.
Se você estiver no macOS ou no Linux, use estes comandos:
$ openssl pkcs12 -export -out java-application-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key
Se você estiver no Windows, use estes comandos:$ certutil -mergepfx ldap-client.crt java-application-ldap.pkcs12
Importante: os dois arquivos (<CERT_FILE>.crt e <CERT_FILE>.key) precisam estar no mesmo diretório.Além disso, confirme que key e crt têm um nome idêntico (com as duas extensões diferentes). Neste exemplo, usamos os nomes ldap-client.crt e ldap-client.key.
- Importe o certificado para o keystore:
$ keytool -v -importkeystore -srckeystore java-application-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore java-application-ldap.jks -deststoretype JKS
- As propriedades do Java podem ser configuradas de várias maneiras dependendo do app. Muitas vezes, é possível adicionar a opção -D na linha de comando "java" usada para iniciá-las. Configure as propriedades do Java para seu app:
javax.net.ssl.keyStore = /<path-to>/java-application-ldap.jks
javax.net.ssl.keyStorePassword = <senha selecionada acima>
- Defina as configurações de conexão LDAP do app de acordo com as informações em Instruções básicas de configuração.
Opcional: usar o stunnel como um proxy
Para os clientes que não oferecem uma maneira de autenticação LDAP com um certificado de cliente, use o stunnel como um proxy.
Configure o stunnel para enviar o certificado de cliente ao servidor LDAP e configure seu cliente para estabelecer uma conexão com o stunnel. O ideal é que você execute o stunnel nos mesmos servidores do app e só escute localmente para não expor o diretório LDAP fora do servidor.
Siga estas etapas:
- Instale o stunnel. Por exemplo, no Ubuntu:
$ sudo apt-get install stunnel4
- Crie um arquivo de configuração /etc/stunnel/google-ldap.conf com o seguinte conteúdo (considerando que ldap-client.crt é o certificado e ldap-client.key é a chave):
[ldap]
client = yes
accept = 127.0.0.1:1636
connect = ldap.google.com:636
cert = ldap-client.crt
key = ldap-client.key
- Para ativar o stunnel, edite /etc/default/stunnel4 e defina ENABLED=1.
- Reinicie o stunnel.
$ sudo /etc/init.d/stunnel4 restart
- Configure seu app de modo que ele aponte para ldap://127.0.0.1:1636.
Você poderá substituir "1636" por qualquer porta não usada se também mudar a linha accept no arquivo de configuração acima. Você precisará usar LDAP em texto simples sem o StartTLS/SSL/TLS ativado entre o cliente e o stunnel, já que eles se comunicam localmente.
Observação: se você executar o stunnel em um servidor separado, precisará configurar seus firewalls para que somente os apps necessários acessem o servidor stunnel. Também é possível configurar o stunnel para escutar com o TLS. Isso garante que os dados entre seu app e o servidor stunnel sejam criptografados. Os detalhes dessas duas configurações dependem do seu ambiente.
Próximas etapas
Após conectar o cliente LDAP ao serviço LDAP seguro, você precisará alterar o status do serviço para Ativado no cliente LDAP.
Veja as próximas etapas em 5. Ativar clientes LDAP.
Observação: se necessário, você poderá usar ferramentas simples, como ldapsearch, ADSI ou ldp.exe para a solução de problemas se encontrar erros na tentativa de conexão do seu cliente LDAP ao serviço. Veja mais instruções em Teste e solução de problemas de conectividade.