4. Conectar clientes LDAP ao serviço LDAP seguro

Siga estas etapas:

1. Siga as etapas de 1 a 11 em ldp.exe (Windows) para instalar os certificados do cliente.
2. Acesse Action > Connect to….
3. Digite as seguintes configurações de conexão:
   
   Name: digite um nome para sua conexão, como Google LDAP.
   Connection Point: “Select or type a Distinguished Name or Naming Context”
   Digite seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
   
   Computer: “Select or type a domain or server”
   ldap.google.com
   
   Use SSL-based Encryption: marcado
    
4. Clique em Advanced... e digite os seguintes detalhes:
   
   Specify credentials: marcado
   Username: o nome de usuário da credencial de acesso no Admin Console
   Password: a senha da credencial de acesso no Admin Console
   Port Number: 636
   Protocol: LDAP
   Simple bind authentication: marcado
    
5. Clique em OK e em OK novamente.
6. Se a conectividade ocorrer, o conteúdo do Active Directory no DN de base será exibido no painel direito.

Para usar o Apache Directory Studio, faça a conexão pelo stunnel e use uma credencial de acesso (nome de usuário e senha) gerada no Admin Console. Considerando que isso foi feito e o stunnel escuta na porta localhost 1389:

1. Clique em File > New….
2. Selecione LDAP Browser > LDAP Connection.
3. Clique em Next.
4. Digite os parâmetros de conexão:
   
   Connection name: escolha um nome, como LDAP do Google
   Hostname: localhost
   Port: 1389 (ou a porta de escuta/aceitação do stunnel)
   Encryption method: sem criptografia. Observação: se o stunnel for executado remotamente, é recomendado usar criptografia entre o stunnel e o cliente.
    
5. Clique em Next.
6. Digite os parâmetros de autenticação:
   
   Authentication Method: autenticação simples
   Bind DN or user: o nome de usuário da credencial de acesso no Admin Console
   Bind password: a senha da credencial de acesso do Admin Console
    
7. Clique em Next.
8. Digite o DN de base.
   Seu nome de domínio no formato DN (por exemplo, (dc=example,dc=com para example.com).
9. Clique em Concluir.

O Atlassian Jira pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Se você quiser garantir que a autenticação dos usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos para todas as unidades organizacionais com a opção Verificar as credenciais dos usuários ativada. Veja mais instruções em Configurar as permissões de acesso.

Importante: as instruções a seguir talvez exponham o valor de "keystorePassword" aos usuários e aos arquivos de registros. Tome as devidas precauções para impedir o acesso não autorizado ao shell local, ao arquivo de registros e ao Google Admin Console. Em vez de seguir as instruções, você pode usar o método stunnel4 (consulte Opcional: usar o stunnel como proxy). 

Observação: as instruções abaixo consideram que o Jira está instalado em /opt/atlassian/jira.

Para conectar um cliente Atlassian Jira ao serviço LDAP seguro:

1. Copie o certificado e a chave para seus servidores Jira. Esse certificado é gerado no Google Admin Console durante a adição do cliente LDAP ao serviço LDAP seguro.
   
   Por exemplo:
   $  scp ldap-client.key user@jira-server:
    
2. Converta o certificado e as chaves no formato Java KeyStore. Você precisará digitar senhas durante esse processo. Para simplificar, escolha uma senha segura e use-a em todas as etapas.
   
   $  openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$  sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
    
3. Configure o Jira para usar o arquivo KeyStore que você criou. Siga as instruções aqui para adicionar opções:
   
   “-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password”
   
   No Linux:
   1. Edite /opt/atlassian/jira/bin/setenv.sh.
   2. Encontre a configuração JVM_SUPPORT_RECOMMENDED_ARGS.
   3. Adicione "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password", substituindo "password" pela senha que você selecionou acima.
4. Reinicie o Jira.
   
   $  /opt/atlassian/jira/bin/stop-jira.sh
$  /opt/atlassian/jira/bin/start-jira.sh
    
5. Faça login na interface da Web do Jira como administrador.
   1. Acesse Settings > User management. Para acessar as configurações, clique no ícone de engrenagem no canto superior direito.
   2. Clique em User Directories.
   3. Clique em Add Directory.
   4. Escolha LDAP como o tipo.
   5. Clique em Next.
6. Digite o seguinte:

   Name	LDAP seguro do Google
   Directory type	OpenLDAP
   Hostname	ldap.google.com
   Port	636
   Use SSL	Marcado
   Username	Gere um nome de usuário e uma senha no Google Admin Console. Veja mais instruções em Gerar credenciais de acesso.
   Password	Gere um nome de usuário e uma senha no Google Admin Console. Veja mais instruções em Gerar credenciais de acesso.
   Base DN	Seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com)
   Additional User DN	Opcional. “ou=Users”
   Additional Group DN	Opcional. “ou=Groups”
   LDAP Permissions	Somente leitura
   Advanced Settings	Não alterado
   User Schema Settings > User Name Attribute	googleUid
   User Schema Settings > User Name RDN Attribute	uid
   Group Schema Settings > Group Object Class	groupOfNames
   Group Schema Settings > Group Object Filter	(objectClass=groupOfNames)
   Membership Schema Settings > Group Members Attribute	member
   Membership Schema Settings > Use the User Membership Attribute	Marcado

    

7. Atribua uma função a um grupo.
   
   O usuário precisa participar de um grupo com acesso ao Atlassian Jira para poder fazer login.
   
   Veja como atribuir uma função a um grupo:
   1. Acesse Settings > Applications > Application access. 
   2. Na caixa de texto Select group, digite o nome do Grupo do Google com os usuários que poderão acessar o Jira.

Veja instruções sobre como conectar o CloudBees Core ao serviço LDAP seguro em Conectar o CloudBees Core ao Google Cloud Identity / Google Cloud Directory usando o LDAP seguro (em inglês).

Siga estas etapas:

1. Instale e configure o FreeRADIUS em /etc/freeradius/3.0/.
   
   Após o FreeRADIUS ser instalado, você poderá instalar o plug-in freeradius-ldap para adicionar a configuração do LDAP.
   
   $  sudo apt-get install freeradius freeradius-ldap
    
2. Copie os arquivos de chave e de certificado do cliente LDAP para /etc/freeradius/3.0/certs/ldap-client.key e /etc/freeradius/3.0/certs/ldap-client.cert respectivamente.
   
   $  chown freeradius:freeradius
     /etc/freeradius/3.0/certs/ldap-client.*
$  chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
    
3. Ative o módulo LDAP.
   
   $  cd /etc/freeradius/3.0/mods-enabled/
$  ln -s ../mods-available/ldap ldap
    
4. Edite /etc/freeradius/3.0/mods-available/ldap.
   1. ldap->server = 'ldaps://ldap.google.com:636'
   2. identity = nome de usuário nas credenciais do app
   3. password = senha nas credenciais do app
   4. base_dn = ‘dc=domain,dc=com’
   5. tls->start_tls = no
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = ‘allow’
   9. Adicione um comentário a todos os campos da localização atual que representam a seção "ldap -> post-auth -> update".
5. ​Edite /etc/freeradius/3.0/sites-available/default.
   Isso modifica a conexão do cliente FreeRadius. Se você não estiver usando o cliente padrão, atualize o cliente relevante (túnel interno ou qualquer cliente personalizado) que esteja configurado.
    
   1. Modifique a seção authorize para adicionar o seguinte bloco ao final da instrução do protocolo de autenticação de senha:
      
      if (User-Password) {
    update control {
        Auth-Type := ldap
    }
}  
      
   2. Na seção authorize, ative o LDAP removendo o sinal "-" que aparece antes dele.
      
          #
          #  O módulo ldap lê senhas do banco de dados LDAP.
          ldap
       
   3. Modifique a seção authenticate editando o bloco Auth-Type LDAP da seguinte forma:
      
      # Auth-Type LDAP {
    ldap
# }
       
   4. Modifique a seção authenticate editando o bloco Auth-Type PAP da seguinte forma:
      
      Auth-Type PAP {
    #  pap
    ldap
}

Veja instruções sobre como conectar o GitLab ao serviço LDAP seguro em Configurar o LDAP seguro do Google para GitLab (em inglês).

Veja instruções sobre como conectar o Itopia/Ubuntu ao serviço LDAP seguro em Configurar o LDAP do Google Cloud Identity no Ubuntu 16.04 para logins de usuário (em inglês).

Siga estas etapas:

1. No seu servidor da Web Ivanti, abra OpenLDAPAuthenticationConfiguration.xml ou OpenLDAPSSLAuthenticationConfiguration.xml em um editor de texto nas duas pastas a seguir:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework and C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (onde servicedesk é o nome da instância)
2. Atualize o valor de <Server> para ldap.google.com.
3. Atualize o valor de <Port> para a porta 3268, no caso de texto simples com StartTLS ativado, e use o valor 3269 na porta SSL/TLS (os padrões são 389 na porta de texto simples e 636 na porta SSL/TLS).
4. Defina o valor <TestDN> para seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
5. Para ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config e ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config, adicione a linha:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   ou a linha:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
    
6. No Ivanti Configuration Center, abra a instância necessária.
7. Ao lado do app Service Desk Framework, clique em Edit.
   A caixa de diálogo Edit Application do Service Desk Framework aparece.
8. No grupo Configuration parameters, selecione Explicit only na lista Logon policy e clique em OK.
9. Ao lado do app Web Access, clique em Edit.
   A caixa de diálogo Edit Application do Web Access aparece.
10. No grupo Configuration parameters, selecione Explicit only na lista Logon policy e clique em OK.

Ao fazer login, use a senha de rede do usuário do domínio associado.

Registro de exceção para a autenticação do servidor LDAP

Se você estiver com problemas ao configurar a autenticação do servidor LDAP, ative o registro de exceção para ajudá-lo a identificar o problema. Por padrão, esse recurso fica desativado. Recomendamos que você desative-o novamente quando tiver concluído suas investigações.

Para ativar o registro de exceções para a autenticação do servidor LDAP, siga estas etapas:

1. Abra o arquivo XML de configuração de autenticação adequado em um editor de texto:
   
   DirectoryServiceAuthenticationConfiguration.xml, OpenLDAPAuthenticationConfiguration.xml, or OpenLDAPSSLAuthenticationConfiguration.xml
2. Mude a linha:
   
   <ShowExceptions>false</ShowExceptions>
   para 
   <ShowExceptions>true</ShowExceptions>
    
3. Salve as alterações.

Siga estas etapas:

1. Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Abra um prompt de comando e siga as instruções:
   
   Se você estiver no macOS ou no Linux, use os seguintes comandos:​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Digite uma senha para criptografar o arquivo de saída.
    

   Se você estiver no Windows, use os seguintes comandos:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Importante: os dois arquivos (<CERT_FILE>.crt e <CERT_FILE>.key) precisam estar no mesmo diretório.Além disso, confirme que key e crt têm um nome idêntico (com uma extensão diferente). Neste exemplo, usamos os nomes ldap-client.crt e ldap-client.key.

2. Acesse o Painel de Controle.
3. Na caixa de pesquisa, pesquise "certificado" e clique em Manage user certificates.
4. Acesse Action > All Tasks > Import….
5. Selecione Current User e clique em Next.
6. Clique em Browse….
7. Na lista suspensa file type, no canto inferior direito da caixa de diálogo, selecione Personal Information Exchange (*.pfx;*.p12).
8. Selecione o arquivo ldap-client.p12 da etapa 2, clique em Open e depois clique em Next.
9. Digite a senha da etapa 2 e clique em Next.
10. Selecione o repositório de certificados Personal, clique em Next e em Finish.
11. Execute Ldp.exe.
12. Acesse Connection > Connect....
13. Digite os seguintes detalhes de conexão:
    
    Server: ldap.google.com
    Port: 636
    Connectionless: desmarcado
    SSL: marcado
     
14. Clique em OK.
15. Acesse View > Tree.
16. Digite o DN de base. Esse é seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para example.com).
17. Clique em OK.
18. Se a conectividade ocorrer, o arquivo LDP.exe exibirá o conteúdo do Active Directory, como todos os atributos no DN de base, no painel à direita.

Veja instruções sobre como conectar o Netgate/pfSense ao serviço LDAP seguro em Configurar o Google Cloud Identity como uma origem de autenticação (em inglês).

Para acessar seu diretório LDAP na linha de comando, você pode usar o comando OpenLDAP ldapsearch.

Considerando que os nomes dos arquivos do certificado e da chave de cliente são ldap-client.crt e ldap-client.key, seu domínio é example.com e o nome de usuário é jsilva:

$   LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

Isso aponta as variáveis de ambiente relevantes para as chaves do cliente. Você pode substituir as outras opções de ldapsearch pelos filtros que quiser, pelos atributos solicitados etc. Veja mais detalhes nas páginas do ldapsearch man ("man ldapsearch").

Siga estas etapas:

1. Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Em um prompt de comando, digite o seguinte:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Digite sua senha para criptografar o arquivo de saída.
    
2. Clique em , no canto superior direito da barra de menus, e digite Keychain Access.
3. Abra o app Keychain Access e clique em System na lista à esquerda.
4. Clique na opção File, na barra de menu no canto superior esquerdo, e selecione Import Items.
5. Acesse o local onde o ldap-client.p12 foi gerado, selecione ldap-client.p12 e clique em Open.
   Se for solicitado, digite sua senha.
   Um certificado com o nome LDAP Client aparecerá na lista de certificados de System Keychain.
6. Clique na seta ao lado do certificado do cliente LDAP. Uma chave privada aparece abaixo desse certificado. 
   1. Clique duas vezes na chave privada.
   2. Na caixa de diálogo, selecione a guia Access Control e clique em + no canto inferior esquerdo.

   3. Na janela que é aberta, clique em Command+Shift+G para abrir uma nova janela e substitua o texto por /usr/bin/ldapsearch.

   4. Clique em Go.
      
      Isso abre uma janela com "ldapsearch" em destaque.

   5. Clique em Add.

   6. Clique em Save Changes e digite sua senha se necessário.
      
      Agora está tudo pronto para você acessar o diretório LDAP usando o comando OpenLDAP ldapsearch na linha de comando.

7. Se o arquivo ldap-client.p12 que você importou para o conjunto de chaves se chamar LDAP Client, seu domínio for example.com e o nome de usuário for jsmith, digite o seguinte:
   
   $   LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

As variáveis de ambiente relevantes apontarão para o certificado de cliente importado. Você pode substituir as outras opções de ldapsearch pelos filtros que quiser, pelos atributos solicitados etc. Veja mais detalhes nas páginas do ldapsearch man (man ldapsearch).

Siga estas etapas:

1. Se necessário, instale e configure o OpenVPN. Se você já tiver feito isso, abra a página de configurações no OpenVPN.
   
   As configurações gerais da VPN (rede privada virtual) não estão incluídas neste artigo. Quando uma VPN é configurada de outra forma, você pode adicionar autenticação e autorização de usuários via LDAP. Para fazer isso, é preciso instalar o plug-in openvpn-auth-ldap.
   
   $  sudo apt-get install openvpn openvpn-auth-ldap
    
2. Copie os arquivos de chave e de certificado do cliente LDAP para /etc/openvpn/ldap-client.key e /etc/openvpn/ldap-client.crt.
3. Crie o arquivo /etc/openvpn/auth-ldap.conf com o seguinte conteúdo (considerando que example.com é o nome de domínio):
   
   <LDAP>
  URL ldaps://ldap.google.com:636 #
  Timeout 15
  TLSEnable false
  TLSCACertDir /etc/ssl/certs
  TLSCertFile /etc/openvpn/ldap-client.crt
  TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
  BaseDN "dc=example,dc=com"
  SearchFilter "(uid=%u)" # (ou escolha seu próprio filtro LDAP para os usuários)
  RequireGroup false
</Authorization>
    
4. Edite o arquivo de configuração do OpenVPN, que costuma ter o nome /etc/openvpn/server.conf ou algo parecido. Na parte inferior do arquivo, adicione o seguinte:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
    
5. Reinicie o servidor OpenVPN.
   
   $  sudo systemctl restart openvpn@server
    
6. Configure os clientes VPN para usar os nomes de usuário e as senhas dos usuários. Por exemplo, em uma configuração do cliente OpenVPN, adicione auth-user-pass ao final do arquivo de configuração e inicie o cliente:
   
   $  openvpn --config /path/to/client.conf
    
7. Siga as instruções para usar o stunnel como um proxy.

Veja instruções sobre como conectar o servidor de acesso OpenVPN ao serviço LDAP seguro em Configurar o LDAP seguro do Google com o servidor de acesso OpenVPN (em inglês).

Veja instruções sobre como conectar o PaperCut ao serviço LDAP seguro em Como sincronizar e autenticar usuários do Google Workspace e do Google Cloud Identity no PaperCut (em inglês).

Veja instruções sobre como conectar o Puppet Enterprise ao serviço LDAP seguro em Google Cloud Directory para o Puppet Enterprise (em inglês).

Importante: antes de começar, confirme que você instalou a versão 4.5 (4.5.19808.0) ou mais recente do Softerra LDAP Browser. Saiba mais em Navegador LDAP 4.5.

Siga estas etapas:

1. Converta os arquivos de certificado e de chave em um arquivo no formato PKCS12. Abra um prompt de comando e siga as instruções:
   
   Se você estiver no macOS ou no Linux, use os seguintes comandos:​
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   Digite uma senha para criptografar o arquivo de saída.
    

   Se você estiver no Windows, use os seguintes comandos:

   $  certutil -mergepfx ldap-client.crt ldap-client.p12
   
   Importante: os dois arquivos (<CERT_FILE>.crt e <CERT_FILE>.key) precisam estar no mesmo diretório.Além disso, confirme que key e crt têm um nome idêntico (com uma extensão diferente). Neste exemplo, usamos os nomes ldap-client.crt e ldap-client.key.

2. No Softerra LDAP Browser, instale o par de chaves.
   1. Acesse Tools > Certificate Manager.
   2. Clique em Import….
   3. Clique em Next.
   4. Clique em Browse.
   5. Na lista suspensa File type, no canto inferior direito da caixa de diálogo, selecione Personal Information Exchange (*.pfx;*.p12).
   6. Selecione o arquivo ldap-client.p12 da etapa 2 acima.
   7. Clique em Open e depois em Next.
   8. Digite a senha da etapa 2 acima e clique em Next.
   9. Selecione o armazenamento de certificado Personal.
   10. Clique em Next.
   11. Clique em Finish.
3. Adicione um perfil de servidor.
   1. Acesse File > New > New Profile….
   2. Digite um nome para o perfil, como Google LDAP.
   3. Clique em Next.
      
      Digite o seguinte:
      
      Host: ldap.google.com
      Port: 636
      Base DN: digite seu nome de domínio no formato DN. Por exemplo, dc=example,dc=com para example.com)
      Use secure connection (SSL): marcado
      
   4. Clique em Next.
   5. Selecione External (SSL Certificate).
   6. Clique em Next.
   7. Clique em Finish.

Veja instruções sobre como conectar o Sophos Mobile ao serviço LDAP seguro em Conectar o Sophos Mobile ao Google Cloud Identity / Google Cloud Directory usando o LDAP seguro (em inglês).

Ao conectar o Splunk ao serviço LDAP seguro, use o Splunk 8.1.4 ou mais recente. Ao usar versões mais antigas do Splunk, como o Splunk 8.1.3, um número excessivo de consultas LDAP pode ser enviado para o servidor LDAP e exceder sua cota do LDAP rapidamente. Veja mais informações sobre os problemas no Splunk 8.1.3 em Problemas conhecidos do Splunk.

Siga estas etapas:

1. Copie os arquivos de chave e de certificado do cliente LDAP para /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key e /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.cert.
   
   $  cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$  sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$  sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
    
2. Edite o arquivo ldap.conf para adicionar as seguintes configurações:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. Adicione as seguintes configurações no arquivo /home/splunkadmin/.ldaprc do usuário:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
    
4. Adicione a estratégia LDAP usando a IU da Web do Splunk. Digite os detalhes a seguir e clique em Save:
    

Name	LDAP seguro do Google
Host	ldap.google.com
Porta	636
SSL ativado	Marcado
Ordem de conexão	1
Vincular DN	Digite as credenciais de acesso que você gerou no Google Admin Console.
Vincular a senha do DN	Digite as credenciais de acesso que você gerou no Google Admin Console.
DN de base	Seu nome de domínio no formato DN (por exemplo, dc=example,dc=com para o domínio example.com)
Filtro de base do usuário	Digite o filtro de base de usuários da classe de objeto que você quer usar para filtrar seus usuários.
Atributo de nome de usuário	uid
Atributo de nome real	displayname
Atributo de e-mail	mail
Atributo de mapeamento de grupo	dn
DN de base do grupo	Esse é seu nome de domínio no formato DN (por exemplo, ou=Groups,dc=example,dc=com para example.com).
Filtro de pesquisa de grupos estáticos	Digite o filtro da pesquisa de grupo estático referente à classe de objeto que você quer usar para filtrar grupos estáticos.
Atributo do nome do grupo	cn
Atributo de membro estático	member

 

O SSSD pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Se você quiser garantir que a autenticação dos usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos para todas as unidades organizacionais com a opção Verificar as credenciais dos usuários ativada. Veja mais instruções em Configurar as permissões de acesso.

Para conectar um cliente SSSD no Red Hat 8 ou CentOS 8 ao serviço LDAP seguro, faça o seguinte:

1. Adicione o cliente SSSD ao serviço LDAP seguro:
   1. No Google Admin Console, acesse Apps > LDAP > ADICIONAR CLIENTE.
      Faça login com sua conta corporativa e não sua conta pessoal do Gmail.
   2. Digite os detalhes do cliente e clique em CONTINUAR.
   3. Configure Permissões de acesso:
      "Verificar as credenciais do usuário": "Domínio inteiro"
      "Ler as informações dos usuários": "Domínio inteiro"
      "Ler as informações dos grupos": ativado
   4. Clique em ADICIONAR CLIENTE LDAP.
   5. Faça o download do certificado gerado.
   6. Clique em CONTINUAR PARA DETALHES DO CLIENTE.
   7. Altere o status do serviço para ATIVADO.
2. Instale as dependências:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   Descompacte o arquivo .zip do certificado e copie os arquivos .crt e .key para /etc/sssd/ldap
    
3. (Opcional) Teste com o ldapsearch:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   Digite a senha do Google do usuário quando necessário.
   
   Observação: uma licença do Google Workspace Enterprise ou do Cloud Identity Premium precisa ter sido atribuída ao usuário.

4. Crie o arquivo /etc/sssd/sssd.conf com o seguinte conteúdo:
    

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. Atualize as permissões e os marcadores SELinux:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
    
6. Reinicie o SSSD:
   
   systemctl restart sssd
    
7. Teste:
   
   ssh para servidor:

   ssh -l user@example.com {HOSTNAME}

Solução de problemas

1. Verifique a versão do SSSD (precisa ser 1.15.2 ou mais recente):
   
   # sssd --version
2.2.3
    

2. No RHEL/CentOS (ou qualquer distribuição com aplicação do SELinux), os arquivos de configuração do SSSD e o arquivo e a chave do certificado precisam estar em um diretório acessível para a função sssd_conf_t:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   Verifique se há mensagens de negação AVC em /var/log/audit/audit.log.
    

3. Confirme que /etc/nsswitch.conf tem o valor "sss" para as entidades "passwd", "shadow", "group" e "netgroup":
   
   passwd:  files sss
shadow:  files sss
group:   files sss
netgroup:  files sss
   
   Aqui, os arquivos locais substituem os usuários do LDAP.
   
4. Verifique se há erros de configuração em /var/log/sssd.conf:
    

   Exemplo:
   [sssd] [sss_ini_add_snippets] (0x0020): Config merge error: File /etc/sssd/sssd.conf did not pass access check. Skipping.

   Ação: execute o comando chmod 600 no arquivo .conf.

   Exemplo:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_groups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: Attribute 'ldap_initgroups_use_matching_rule_in_chain' is not allowed in section 'domain/{DOMAIN}'. Check for typos.

   Ação: remova as extensões LDAP da correspondência de grupo incompatível de sssd.conf.

5. Verifique se há erros LDAP/network/auth em /var/log/sssd_{DOMAIN}.log.
   
   Exemplo:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)]

   Ação: adicione "ldap_tls_reqcert = never" a sssd.conf.

   Para aumentar o nível de detalhes dos erros, adicione "debug_level = 9" a sssd.conf na seção "domain" e reinicie o SSSD.

O SSSD pesquisa um usuário para ter mais informações sobre ele durante a autenticação. Se você quiser garantir que a autenticação dos usuários funcione corretamente neste cliente LDAP, ative Ler as informações dos usuários e Ler as informações dos grupos para todas as unidades organizacionais com a opção Verificar as credenciais dos usuários ativada. Veja mais instruções em Configurar as permissões de acesso.

Para conectar um cliente SSSD ao serviço LDAP seguro:

1. Instale o SSSD versão  >= 1.15.2.
   
   $  sudo apt-get install sssd
    
2. Considerando que os nomes dos arquivos do certificado e da chave de cliente são /var/ldap-client.crt e /var/ldap-client.key, e seu domínio é example.com, edite /etc/sssd/sssd.conf com a seguinte configuração:

   
   [sssd]
   services = nss, pam
   domains = example.com

   [domain/example.com]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = dc=example,dc=com
   id_provider = ldap
   auth_provider = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = entryUUID
   ldap_groups_use_matching_rule_in_chain = true
   ldap_initgroups_use_matching_rule_in_chain = true
    

3. Mude a propriedade e a permissão do arquivo de configuração:
   
   $  sudo chown root:root /etc/sssd/sssd.conf
$  sudo chmod 600 /etc/sssd/sssd.conf

4. Reinicie o SSSD:
   
   $  sudo service sssd restart

Dica: se você estiver usando o módulo SSSD em computadores Linux sem endereços IP externos no Google Compute Engine, ainda poderá se conectar ao serviço LDAP seguro, desde que tenha acesso interno aos serviços do Google ativados. Veja mais detalhes em Como configurar o Acesso privado do Google. 

Siga as etapas abaixo para conectar o cliente macOS para autenticação da conta de usuário com o serviço LDAP seguro.

Requisitos do sistema

• A versão do macOS precisa ser 10.15.4 (Catalina) ou mais recente.
• Um ID do usuário de superadministrador do Google é necessário para concluir a etapa 1 na fase de preparação.
• Você precisa ter permissões de administrador local para concluir a configuração.

Conteúdo:

• Fase de preparação
• Fase de implantação
• Limitações e diretrizes
• Solução de problemas

Fase de preparação

As instruções nesta seção mostram como configurar e testar manualmente a autenticação do macOS usando o serviço LDAP seguro.

Etapa 1: integrar o macOS como cliente LDAP no Google Admin Console

Veja as instruções em Adicionar clientes LDAP ou assista a esta demonstração do LDAP seguro. Você também fará o download de um certificado de cliente TLS gerado automaticamente durante o processo. 

Etapa 2: importar o certificado para o conjunto de chaves do sistema

1. Copie o certificado (o arquivo ZIP transferido por download na etapa 1) e a chave para o computador macOS.
   Dica: descompacte o arquivo para encontrar os arquivos de certificado e chave.
2. Importe o par de chaves para o conjunto de chaves do sistema:

   1. Converta a chave e o certificado em um arquivo PKCS 12 (.p12). Execute o seguinte comando no terminal:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      Dica: anote o nome do arquivo .p12.
      
      O sistema solicitará que você digite uma senha para criptografar o arquivo .p12.

   2. Abra o app Acesso às Chaves.

   3. Clique no conjunto de chaves Sistema.

   4. Clique em Arquivo > Importar Itens.

   5. Selecione o arquivo ldap-client.p12 criado acima.

   6. Se solicitado, digite a senha do administrador para permitir a modificação do conjunto de chaves do sistema.

   7. Digite a senha criada acima para descriptografar o arquivo .p12.

      Observação: um novo certificado e uma chave privada associada aparecerão na lista de chaves. O nome talvez seja LDAP Client. Anote o nome do certificado para a próxima etapa abaixo.
       
   8. Siga a etapa 6 da seção ldapsearch (macOS) deste artigo para configurar o controle de acesso para a chave privada e adicionar os apps especificados abaixo. Se você não vir a chave privada na categoria Todos os Itens, mude para a categoria Meus Certificados e localize a entrada de chave privada correta expandindo o certificado correspondente.
      
      O app ldapsearch, como especificado nas instruções, só é relevante na solução de problemas e não para outros fins. Normalmente, ele é removido antes que os usuários recebam acesso ao macOS.
      
      Os três apps a seguir precisam ser adicionados à lista de controle de acesso:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. Adicione uma linha ao arquivo /etc/openldap/ldap.conf para garantir que "LDAP Client" tenha exatamente o mesmo nome de certificado mostrado no app Keychain Access do macOS após a importação do arquivo .p12 (o nome é baseado no nome real do assunto do X.509 do certificado gerado):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

Etapa 3: apontar o dispositivo para o diretório do Google para autenticação

Abra o app Utilitário de Diretório para criar um novo nó de diretório LDAP:

1. Clique no cadeado para fazer alterações e digite sua senha.
2. Selecione LDAPv3 e clique no ícone de lápis para editar as configurações.
3. Clique em New….
4. No nome do servidor, digite ldap.google.com, selecione Encrypt using SSL e clique em Manual.
5. Selecione o novo nome do servidor e clique em Editar….
6. Escolha um nome descritivo para a configuração, como LDAP seguro do Google.
7. Selecione Criptografar usando SSL e confirme que a porta está definida como 636.
8. Acesse a guia Busca e Mapeamentos.
   1. Escolha RFC2307 na lista suspensa Acessar este servidor LDAPv3 usando.
   2. Quando solicitado, digite as informações relacionadas ao domínio em Sufixo da Base de Busca. Por exemplo, digite dc=zomato,dc=com para um nome de domínio de zomato.com.
   3. Clique em OK.
   4. Configure os atributos no tipo de registro Usuários:
      1. Na seção Tipos e Atributos de Registro, selecione Usuários e clique no botão +.
      2. Na janela pop-up, selecione Tipos de Atributo > GeneratedUID e clique em OK para fechar a janela.
         
         GeneratedUID aparecerá na seção "Usuários" quando ela for expandida.
          
      3. Clique em "GeneratedUID" e no ícone + na caixa à direita.
      4. Digite apple-generateduid na caixa de texto e clique em Enter.
      5. No nó Usuários, clique no atributo NFSHomeDirectory.
      6. Na tela à direita, atualize o valor do atributo para #/Users/$uid$.
      7. Clique em OK e digite sua senha para salvar as alterações.
9. Na janela Directory Utility, defina a nova configuração do LDAP:
   1. Acesse a guia Política de Busca.
   2. Clique no ícone de cadeado para fazer alterações e digite a senha do usuário atual quando solicitado.
   3. Mude a opção do menu suspenso de Caminho da Busca para Caminho personalizado.
   4. Abra a guia Autenticação e clique no ícone +.
   5. Escolha /LDAPv3/ldap.google.com na lista "Domínios de Diretório" e clique em Adicionar.
   6. Clique no botão Aplicar e digite sua senha de administrador, se solicitado.
10. Execute os quatro comandos a seguir para desativar os mecanismos de autenticação DIGEST-MD5, CRAM-MD5, NTLM e GSSAPI SASL. O macOS usará o método Simple Bind para a autenticação com o serviço LDAP seguro do Google:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist 

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
     
11. Reinicialize para recarregar a configuração do OpenDirectory.

Etapa 4: criar uma conta móvel (permite o login off-line)

Qualquer usuário do Google Workspace ou do Cloud Identity pode fazer login usando uma conta de rede (Conta do Google) com o próprio nome de usuário e a senha. Esse processo de login requer conectividade de rede. Quando o usuário também precisa fazer login sem estar conectado à rede, é possível criar uma conta móvel. Essa conta permite fazer login com o nome de usuário e a senha da conta de rede (Conta do Google), independentemente do status da conexão. Veja os detalhes em Crie e configure contas móveis no Mac.

Se você quiser criar uma conta móvel para usuários do LDAP seguro, faça o seguinte:

1. Execute este comando para se conectar ao servidor LDAP seguro e configurar um caminho de início e as contas móveis:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v 
   
   Dica: substitua $uid pela parte correspondente ao nome de usuário do endereço de e-mail associado à Conta do Google. Por exemplo, jsmith é a parte correspondente ao nome de usuário de jsilva@solarmora.com.

2. Quando o nome de usuário do administrador do SecureToken for solicitado, digite seu nome de usuário de administrador e a senha. Isso adicionará $uid ao FileVault, o que é necessário quando o disco do macOS está criptografado. 

Etapa 5 (opcional): definir a preferência de tela de login

1. Acesse Preferências do Sistema > Usuários e Grupos > Opções de Início no canto inferior esquerdo.
2. Use as credenciais do administrador para desbloquear.
3. Altere a opção Exibir janela de início de sessão como para Nome e senha.

Etapa 6: reinicializar e fazer login no dispositivo

1. Confirme que o dispositivo está conectado à Internet. Se você não tiver uma conexão de Internet, o login do usuário do LDAP seguro não funcionará.
   Observação: a conexão de Internet é necessária apenas para o primeiro login. Depois disso, é possível fazer login sem acesso à Internet. 
2. Faça login no dispositivo com a conta de usuário configurada para autenticação com o LDAP seguro. 

Fase de implantação

As instruções nesta seção mostram como automatizar a configuração do dispositivo para seus usuários. Siga as etapas 1 e 2 abaixo no mesmo dispositivo macOS em que você concluiu a configuração manual durante a fase de preparação. 

Etapa 1: criar um perfil do Mac com certificado usando o Apple Configurator 2

1. Instale o Apple Configurator 2 no computador em que você configurou manualmente a autenticação do macOS com o LDAP seguro.
2. Abra o Apple Configurator 2, crie um novo perfil e, na seção "Certificado", clique em "configurar" e importe o arquivo .p12 gerado anteriormente.
   Observação: confirme que o arquivo .p12 tem uma senha. Digite essa senha na seção "Senha" do certificado.
3. Salve o perfil. 
4. Abra o perfil em qualquer editor de texto e adicione as linhas abaixo na primeira tag <dict>:
   
   <key>PayloadScope</key>
<string>System</string>
   
   Isso é necessário porque o Apple Configurator ainda não é compatível com perfis para o macOS.
    
5. Na segunda tag <dict>, paralela aos dados do certificado, adicione as linhas a seguir:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   Isso garantirá que todos os apps possam acessar o certificado.

Etapa 2: converter o arquivo de configuração do diretório (plist) em um arquivo XML 

Nesta etapa, você extrai para um arquivo XML todas as configurações manuais concluídas durante a etapa 3 da fase de preparação. Você pode usar esse arquivo e o perfil do Mac criado na etapa 1 acima para configurar automaticamente outros dispositivos macOS. 

1. Copie /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist para a Mesa ou outro local.
2. Converta-o em um arquivo XML para examiná-lo em qualquer editor de texto. Execute este comando no terminal:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   Você pode acessar o arquivo como <path>/ldap.google.com.plist.
    
3. Altere a permissão do arquivo acima para abrir o arquivo XML. Confirme que ele não está vazio.

Etapa 3: criar um script do Python para automatizar a configuração nos dispositivos do usuário final

Copie o script abaixo e salve-o como um arquivo do Python (.py).

Observação: esse exemplo de script é fornecido no estado em que se encontra. O Google não oferece suporte para exemplos de script. 

Ldap_pythong_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Para ler a plist:
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Para escrever na plist:
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b'\x00'*32, 32)
request.appendData_(NSData.dataWithBytes_length_(CONFIG, len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Para editar o caminho de pesquisa padrão e anexar o novo nó para permitir o login:
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

Etapa 4: configurar automaticamente os dispositivos do usuário final

Nos outros dispositivos macOS que você quer configurar, siga estas etapas:

1. Copie o arquivo do perfil do Mac gerado na etapa 1, o arquivo de configuração XML gerado na etapa 2 e o script do Python da etapa 3 para o dispositivo.
2. Execute o seguinte comando:
   
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
    
3. Se você quiser importar certificados para o conjunto de chaves do sistema macOS, clique duas vezes no arquivo de perfil do Mac gerado na etapa 1 e, quando solicitado, informe suas credenciais de administrador local do macOS. Em seguida, digite a senha do arquivo .p12 definida durante a fase de preparação. 
4. Reinicie o computador macOS.
5. Siga as instruções da etapa 4 da fase de preparação para criar contas móveis e, se necessário, defina preferências adicionais conforme descrito na etapa 5.

Limitações e diretrizes

• Quando um usuário começa a fazer login no macOS com credenciais do Google, o gerenciamento de senha do usuário (redefinição ou recuperação) precisa acontecer no site do Google (por exemplo, em myaccount.google.com ou no Google Admin console). Caso você prefira fazer o gerenciamento usando uma solução de terceiros, confirme que a senha mais recente está sincronizada com o Google.
• Se o administrador criar um novo usuário ou redefinir a senha de um usuário atual com a configuração Solicitar uma alteração de senha no próximo login ativada, o usuário não poderá fazer login no Mac com a senha temporária definida pelo administrador. 
  Como alternativa, o usuário pode fazer login no Google em outro dispositivo (como um smartphone ou outro computador), definir uma senha permanente e fazer login no macOS com a nova senha. 
• O Mac precisa ter uma conexão de Internet ativa para que ldap.google.com esteja acessível durante o primeiro login após a configuração acima.  O acesso à Internet não será necessário para os logins subsequentes se você tiver configurado uma conta móvel.
• A integração do LDAP seguro do Google com o macOS foi testada no macOS Catalina e Big Sur.

Solução de problemas

Se você tiver problemas para se conectar ao serviço LDAP seguro, siga as instruções abaixo.

Etapa 1: verificar a conexão

Verifique a conexão usando o comando "odutil".
Execute o comando odutil show nodenames no terminal.
Verifique se o status de /LDAPv3/ldap.google.com é on-line. Caso não seja, tente usar o protocolo Telnet.

Verifique a conexão usando o comando "nc".
Execute este comando no terminal: nc -zv  ldap.google.com 636
Se não for possível se conectar ao Google dessa forma, tente usar o protocolo IPv4.

Verifique a conexão com o IPv4.
Siga estas etapas para o dispositivo usar o IPv4:

1. Acesse Preferências do Sistema > Rede > Wi-Fi > Avançado.
2. No menu "Avançado", acesse a guia "TCP/IP".
3. Mude a seleção da lista suspensa de Configure IPv6 para Link-local only.
4. Clique em OK e em Apply para salvar as alterações.
5. Verifique a autenticação do serviço com uma pesquisa válida no Idapsearch.

Etapa 2: verifique se você vê os objetos de diretório.

1. Abra o Directory Utility e a guia Directory Editor.
2. Selecione o nó /LDAPv3/ldap.google.com na lista suspensa.
3. Confirme que você vê os usuários e grupos do seu domínio do Google.