Versioni supportate per questa funzionalità: Frontline Standard; Business Plus; Enterprise Standard ed Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade ed Education Plus; Enterprise Essentials Plus. Confronta la tua versione
Cosa succede se sospendo un account utente Cloud Identity o Google Workspace?
Il servizio LDAP sicuro utilizza Cloud Directory come base per l'autenticazione, l'autorizzazione e le ricerche nella directory. Gli account sospesi non possono accedere alle applicazioni correlate a Cloud Identity/Google Workspace, comprese le applicazioni LDAP. Anche se gli account sospesi non saranno in grado di verificare le loro password con LDAP, possono comunque essere soggetti a ricerche da parte di un servizio client mediante una ricerca LDAP.
Cosa succede se configuro un provider di identità di terze parti o un provider SSO in Google Workspace o in Cloud Identity?
Non ci sarà alcun impatto sull'utilizzo di LDAP sicuro per l'autenticazione, l'autorizzazione e le ricerche nella directory, in quanto i provider di identità di terze parti influiscono solo sulle transazioni basate su HTTP, come l'autenticazione basata su SAML.
Nota: se vuoi consentire ai tuoi utenti di eseguire l'autenticazione con le applicazioni collegate tramite LDAP sicuro, assicurati che conoscano il nome utente e la password Google, dato che queste credenziali (non le loro credenziali per il provider di identità di terze parti) sono necessarie per l'autenticazione.
Perché per l'autenticazione dei client LDAP sono necessari sia il certificato sia le credenziali di accesso?
L'autenticazione di client LDAP richiede soltanto il certificato. Le credenziali di accesso esistono soltanto per quei client che richiedono l'invio di un nome utente e di una password. Le credenziali di accesso da sole non consentono l'accesso al server LDAP o ai dati utente. Tuttavia, la loro riservatezza va preservata per impedire il loro utilizzo per accedere ad alcuni client LDAP.
Nel caso in cui un client LDAP richieda le credenziali di accesso, l'autenticazione di tale client verrà eseguita utilizzando sia il certificato che le credenziali di accesso.
Se un'applicazione LDAP non supporta i certificati TLS, esiste un'alternativa?
Sì. È possibile utilizzare stunnel come proxy tra l'applicazione e LDAP sicuro. Per dettagli e istruzioni, vedi Utilizzare Stunnel come proxy.
Ho generato credenziali di accesso in passato e ora non ricordo la password necessaria per impostare un'altra istanza del mio client LDAP. Posso generare un altro set di credenziali di accesso?
In qualità di amministratore puoi generare un altro set di credenziali di accesso, ossia una coppia costituita da un nome utente e una password univoci. Puoi tenere attivi fino a un massimo di due set di credenziali simultaneamente. Se un set di credenziali viene compromesso o non è più in uso, puoi eliminarlo.
Se sospetto che si sia verificato un problema di sicurezza con un client LDAP, come faccio a disattivarlo immediatamente?
Se sospetti che possa essersi verificato un problema di sicurezza con un client LDAP (ad esempio, se i certificati o le credenziali sono stati compromessi), puoi disattivare il client immediatamente eliminando tutti i certificati digitali associati. Questo è il modo migliore per disattivare immediatamente un client, dal momento che possono trascorrere fino a 24 ore affinché un client sia disabilitato dopo la disattivazione dello stato del servizio.
Per le istruzioni, vedi Eliminare i certificati.
Se vuoi attivare il client in un secondo momento, dovrai generare nuovi certificati e caricarli sul client LDAP.
I miei computer Linux su Google Compute Engine non hanno indirizzi IP esterni. Posso comunque connettermi al servizio LDAP sicuro?
Sì. Se utilizzi il modulo SSSD su computer Linux senza indirizzi IP esterni su Google Compute Engine, puoi comunque connetterti al servizio LDAP sicuro a condizione che l'accesso interno ai servizi Google sia attivo. Ulteriori informazioni sulla configurazione dell'accesso privato. Per maggiori dettagli, leggi come configurare un accesso privato Google.
