Unterstützte Versionen für diese Funktion: Frontline Standard; Business Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus; Enterprise Essentials Plus. G Suite-Versionen vergleichen
Was passiert, wenn ich mein Cloud Identity- oder Google Workspace-Nutzerkonto sperre?
In Secure LDAP dient Cloud Directory als Basis für die Authentifizierung, die Autorisierung und die Suche im Verzeichnis. Mit gesperrten Konten können Sie sich nicht in Anwendungen für Google Workspace und Cloud Identity anmelden. Dies schließt LDAP-Clients ein. Passwörter gesperrter Konten lassen sich nicht mit LDAP verifizieren. Sie können jedoch weiterhin von einem Clientdienst mithilfe einer LDAP-Suche abgefragt werden.
Was passiert, wenn ich in Google Workspace oder in Cloud Identity einen externen Identitätsanbieter/SSO-Anbieter konfiguriere?
Das hat keine Auswirkungen auf die Verwendung von Secure LDAP für die Authentifizierung, die Autorisierung und die Suche im Verzeichnis, da externe Identitätsanbieter nur für HTTP-Transaktionen genutzt werden, z. B. für die SAML-basierte Authentifizierung.
Hinweis: Wenn Sie möchten, dass sich Ihre Nutzer bei Secure LDAP-Anwendungen authentifizieren können, müssen sie ihren Google-Nutzernamen und das zugehörige Passwort kennen. Die Anmeldedaten des Identitätsanbieters können dafür nicht verwendet werden.
Warum benötige ich zur Authentifizierung von LDAP-Clients sowohl ein Zertifikat als auch Anmeldedaten?
Der LDAP-Client wird normalerweise nur mit dem Zertifikat authentifiziert. Die Anmeldedaten werden nur benötigt, wenn beim gewünschten Client auch zwingend ein Nutzername und ein Passwort gesendet werden müssen. Anmeldedaten allein ermöglichen jedoch keinen Zugriff auf den LDAP-Server oder auf Nutzerdaten. Sie sollten sie dennoch geheim halten, um zu verhindern, dass sich andere Personen im LDAP-Client anmelden.
Sind für einen LDAP-Client Anmeldedaten erforderlich, erfolgt die Authentifizierung mithilfe des Zertifikats und der Anmeldedaten.
Gibt es Alternativen, wenn TLS-Zertifikate in meiner LDAP-Anwendung nicht unterstützt werden?
Sie können Stunnel als Proxy zwischen Ihrer Anwendung und Secure LDAP verwenden. Weitere Informationen finden Sie unter Optional: Stunnel als Proxy verwenden.
Ich habe Anmeldedaten erstellt, weiß aber das Passwort nicht mehr und muss eine weitere Instanz meines LDAP-Clients einrichten. Kann ich einen zweiten Satz Anmeldedaten generieren?
Als Administrator können Sie weitere Anmeldedaten generieren, bestehend aus einem eindeutigen Nutzernamen und Passwort. Es können jedoch nicht mehr als zwei Sätze gleichzeitig aktiviert sein. Wurden Anmeldedaten kompromittiert oder werden nicht mehr verwendet, sollten Sie sie löschen.
Wie kann ich einen LDAP-Client sofort deaktivieren, wenn ich ein Sicherheitsproblem vermute?
Für den Fall, dass Sie ein Sicherheitsproblem mit einem LDAP-Client vermuten, z. B. falls Zertifikate oder Anmeldedaten gehackt wurden, können Sie den Client sofort deaktivieren, indem Sie alle zugehörigen digitalen Zertifikate löschen. Dies ist der schnellste Weg, einen Client mit sofortiger Wirkung zu sperren. Wenn Sie nur den Dienst deaktivieren, kann es bis zu 24 Stunden dauern, bis dies auf den Client angewendet wird.
Eine Anleitung hierzu finden Sie unter Zertifikate löschen.
Möchten Sie den Client später wieder aktivieren, müssen Sie neue Zertifikate generieren und sie in Ihrem LDAP-Client hochladen.
Meine Linux-Computer auf Google Compute Engine haben keine externen IP-Adressen. Kann ich trotzdem eine Verbindung zu Secure LDAP herstellen?
Ja. Wenn Sie das SSSD-Modul verwenden und der interne Zugriff auf Google-Dienste aktiviert ist, haben Sie auch in diesem Fall die Möglichkeit, eine Verbindung zu Secure LDAP herzustellen. Weitere Informationen finden Sie in der Schritt-für-Schritt-Anleitung. Privaten Google-Zugriff konfigurieren.
