Deze functie wordt ondersteund in de volgende versies: Frontline Standard; Business Plus; Enterprise Standard en Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade en Education Plus; Enterprise Essentials Plus. Versies vergelijken
Wat gebeurt er als ik het Cloud Identity- of Google Workspace-gebruikersaccount opschort?
De Secure LDAP-service gebruikt Cloud Directory als basis voor verificatie, autorisatie en zoekacties in de directory. Opgeschorte accounts kunnen niet inloggen bij apps die zijn gekoppeld aan Cloud Identity/Google Workspace, inclusief LDAP-apps. Hoewel gebruikers met een opgeschort account hun wachtwoord niet kunnen verifiëren met LDAP, kunnen ze wel worden gevonden door een clientservice via een LDAP-zoekopdracht.
Wat gebeurt er als ik een identiteitsprovider / SSO-provider van derden instel in Google Workspace of Cloud Identity?
Dit heeft geen gevolgen voor het gebruik van Secure LDAP voor verificatie, autorisatie en zoekacties in de directory, omdat identiteitsproviders van derden alleen invloed hebben op HTTP-gebaseerde transacties, zoals SAML-gebaseerde verificatie.
Opmerking: Als u wilt dat uw gebruikers kunnen verifiëren met aan Secure LDAP gekoppelde apps, moet u zorgen dat ze hun Google-gebruikersnaam en -wachtwoord weten, omdat deze inloggegevens (niet hun inloggegevens voor de identiteitsprovider van derden) nodig zijn voor de verificatie.
Waarom moet ik zowel een certificaat als toegangsgegevens invoeren om LDAP-clients te verifiëren?
De LDAP-client wordt alleen geverifieerd met het certificaat. U hoeft alleen toegangsgegevens in te voeren als de client ook vereist dat er een gebruikersnaam en wachtwoord worden ingevoerd. De toegangsgegevens zelf geven geen toegang tot de LDAP-server of gebruikersgegevens. U moet ze wel geheim houden zodat mensen niet kunnen inloggen bij bepaalde LDAP-clients.
Als een LDAP-client toegangsgegevens vereist, wordt deze geverifieerd met het certificaat en de toegangsgegevens.
Is er een alternatief als TLS-certificaten niet worden ondersteund in mijn LDAP-app?
Ja. U kunt stunnel gebruiken als proxy tussen uw app en Secure LDAP. Zie Stunnel gebruiken als proxy voor meer informatie en instructies.
Ik heb in het verleden toegangsgegevens gemaakt. Ik wil een andere instantie van mijn LDAP-client instellen, maar ik weet het wachtwoord niet meer. Kan ik nog een set toegangsgegevens genereren?
Als beheerder kunt u nog een set toegangsgegevens genereren. Deze bestaat uit een aparte gebruikersnaam en wachtwoord. Er kunnen maximaal 2 sets gegevens tegelijk actief zijn. Als gegevens gecompromitteerd zijn of niet meer worden gebruikt, kunt u deze verwijderen.
Als ik denk dat er een beveiligingsprobleem is met een LDAP-client, hoe kan ik de client dan onmiddellijk uitschakelen?
Als u denkt dat er een beveiligingsprobleem is met een LDAP-client (bijvoorbeeld als certificaten of inloggegevens zijn gecompromitteerd), kunt u de client onmiddellijk uitschakelen door alle gekoppelde digitale certificaten te verwijderen. Dit is de beste manier om een client onmiddellijk uit te schakelen. Als u namelijk de servicestatus instelt op Uitgeschakeld, kan het 24 uur duren voordat een client wordt uitgeschakeld.
Zie Certificaten verwijderen voor instructies.
Als u de client later weer wilt inschakelen, moet u nieuwe certificaten genereren en de certificaten uploaden naar uw LDAP-client.
Mijn Linux-computers met Google Compute Engine hebben geen externe IP-adressen. Kan ik mijn LDAP-clients nog steeds koppelen aan de Secure LDAP-service?
Ja. Als u de SSSD-module op Linux-computers gebruikt zonder externe IP-adressen in Google Compute Engine, kunt u uw LDAP-clients nog steeds koppelen aan de Secure LDAP-service zolang u interne toegang tot Google-services heeft ingeschakeld. Bekijk meer informatie over hoe u privétoegang kunt instellen. Zie Configuring Private Google Access (Privétoegang tot Google instellen) voor meer informatie.
