Perguntas frequentes: serviço LDAP seguro

Este recurso está disponível no G Suite Enterprise, no Cloud Identity Premium, no G Suite Enterprise for Education e no G Suite for Education.

O que acontece quando eu suspendo a conta de usuário do Cloud Identity ou do G Suite?

O serviço LDAP seguro usa o Cloud Directory como base para pesquisas de autenticação, autorização e diretório. As contas suspensas não podem fazer login nos apps relacionados ao Cloud Identity/G Suite nem nos apps LDAP. Embora as contas suspensas não verifiquem as senhas com o LDAP, elas ainda podem ser consultadas por um serviço cliente com uma pesquisa LDAP.

O que acontece quando eu configuro um provedor de identidade / provedor de Logon único de terceiros no G Suite ou no Cloud Identity?

Não há impacto no LDAP seguro, porque os provedores de identidade de terceiros só afetam as transações baseadas em HTTP, como a autenticação baseada em SAML.

Por que preciso de um certificado e de "credenciais de acesso" para autenticar clientes LDAP?

Apenas o certificado autentica o cliente LDAP. As credenciais de acesso só existirão se o cliente insistir no envio de um nome de usuário e de uma senha. As credenciais sozinhas não permitem o acesso ao servidor LDAP ou aos dados dos usuários. No entanto, elas não devem ser reveladas porque podem ser usadas para fazer login em determinados clientes LDAP.

Se um cliente LDAP exigir credenciais de acesso, autenticaremos clientes LDAP com certificados e credenciais de acesso.

Se meu app LDAP não permitir o uso de certificados TLS, existe alguma alternativa?

Sim. Você pode usar o stunnel como um proxy entre seu app e o LDAP seguro. Veja mais detalhes e instruções em Usar o stunnel como um proxy.

Gerei credenciais de acesso e não me lembro da senha para configurar outra instância do meu cliente LDAP. Posso gerar novas credenciais de acesso?

Como administrador, você pode gerar outro conjunto de credenciais de acesso, composto por um nome de usuário e uma senha. É possível manter no máximo duas credenciais ativas simultaneamente. Se uma credencial for comprometida ou não estiver mais em uso, você poderá excluí-la.

Se eu suspeitar de um problema de segurança em um cliente LDAP, como posso desativá-lo imediatamente?

Se você suspeitar de um problema de segurança no cliente LDAP (por exemplo, se os certificados ou as credenciais estiverem comprometidos), poderá desativá-lo imediatamente excluindo todos os certificados digitais associados a ele. Essa é a melhor forma de desativar um cliente na hora, porque a seleção do status Desativado pode levar até 24 horas para ser aplicada ao serviço. 

Veja mais instruções em Excluir certificados.

Depois, se você quiser ativar esse mesmo cliente LDAP, precisará gerar novos certificados e fazer o upload dos certificados para ele.

Meus computadores Linux no Google Compute Engine não têm endereços IP externos. Ainda posso me conectar ao serviço LDAP seguro?

Sim. Se você estiver usando o módulo SSSD em computadores Linux sem endereços IP externos no Google Compute Engine, ainda poderá se conectar ao serviço LDAP seguro, desde que tenha acesso interno aos serviços do Google ativados. Saiba mais sobre como configurar o acesso particular. Veja mais detalhes em Como configurar o acesso privado do Google.

Isso foi útil?
Como podemos melhorá-lo?