Часто задаваемые вопросы о сервисе Secure LDAP

Эта функция доступна в версиях Business Plus, Enterprise, Education Fundamentals, Standard, Teaching and Learning Upgrade и PlusСравнение версий

Что произойдет, если заблокировать аккаунт пользователя Cloud Identity или Google Workspace?

Пользователи, чьи аккаунты были заблокированы, не смогут войти в приложения, относящиеся к Cloud Identity или Google Workspace (включая LDAP-приложения), так как аутентификация, авторизация и поиск по каталогам в сервисе Secure LDAP выполняются через облачный каталог. Хотя заблокированные пользователи не смогут подтверждать пароли с помощью LDAP, сервис клиента сможет найти их через поиск LDAP.

Что произойдет, если настроить стороннего поставщика идентификационной информации или поставщика системы единого входа в Google Workspace или Cloud Identity?

Это не повлияет на применение Secure LDAP для аутентификации, авторизации и поиска по каталогам, так как данные сторонних поставщиков идентификационной информации передаются только по протоколу HTTP (например, при аутентификации с использованием SAML).

Примечание. Если вы хотите, чтобы сотрудники могли выполнять вход в приложения, связанные с Secure LDAP, убедитесь, что они знают свое имя пользователя и пароль Google. Именно эти данные (а не учетные данные для стороннего поставщика идентификационной информации) нужны для аутентификации.

Почему для аутентификации LDAP-клиента нужен не только сертификат, но и учетные данные?

Аутентификация LDAP-клиентов выполняется с помощью сертификатов. Имя пользователя и пароль могут потребоваться, если их запрашивает клиент. Используя только учетные данные, получить доступ к серверу LDAP или данным пользователей нельзя. Однако во избежание несанкционированного входа в клиенты следует хранить имена пользователей и пароли в безопасности.

Если для LDAP-клиента требуются учетные данные, то аутентификация выполняется с помощью сертификатов и этих данных.

Что делать, если мое LDAP-приложение не поддерживает сертификаты TLS?

Вы можете использовать Stunnel в качестве прокси-сервера между своим приложением и сервисом Secure LDAP. Подробнее…

Мне нужно настроить LDAP-клиент ещё раз, но я не помню пароль. Можно ли создать другие учетные данные?

Да, как администратор, вы можете создать другие учетные данные, то есть уникальное имя пользователя и пароль. Обратите внимание, что одновременно будут действительны только две пары учетных данных. Те из них, которые не используются или стали известны посторонним, можно удалить.

Мне кажется, что LDAP-клиент могут взломать, поэтому я хочу немедленно отключить его. Как это сделать?

Если вы обнаружите, что кто-то посторонний получил доступ к сертификатам или учетным данным, незамедлительно отключите LDAP-клиент, удалив все связанные с ним сертификаты. Это самый быстрый способ остановить его работу. Если изменить статус сервиса на вариант ВЫКЛ, деактивация клиента может занять до 24 часов.

Подробнее о том, как удалить сертификаты

Чтобы снова включить LDAP-клиент, вам понадобится создать другие сертификаты и загрузить их в него.

У моих компьютеров Linux в Google Compute Engine нет внешних IP-адресов. Могу ли я подключиться к сервису Secure LDAP?

Да. Если вы используете модуль SSSD на компьютерах Linux без внешних IP-адресов в Google Compute Engine, вы можете подключиться к сервису Secure LDAP, пока включен внутренний доступ к сервисам Google. Изучите подробную информацию о том, как настроить доступ к сервисам Google с частным IP-адресом (на английском языке).

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false