Utgåvor som stöds för den här funktionen: Frontline Standard; Business Plus; Enterprise Standard och Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade och Education Plus; Enterprise Essentials Plus. Jämför utgåvor
Vad händer om jag stänger av Cloud Identity- eller Google Workspace-användarkontot?
Tjänsten Säker LDAP använder Cloud Directory som grund för autentisering, auktorisering och katalogsökningar. Avstängda konton kan inte logga in på några appar som är relaterade till Cloud Identity/Google Workspace, inklusive LDAP-appar. Avstängda konton kan inte verifiera sina lösenord med LDAP men de är fortfarande sökbara av en klienttjänst med en LDAP-sökning.
Vad händer om jag konfigurerar en extern identitetsleverantör/SSO-leverantör i Google Workspace eller Cloud Identity?
Det påverkar inte användningen av säker LDAP för autentisering, auktorisering och katalogsökningar eftersom externa identitetsleverantörer endast påverkar HTTP-baserade transaktioner som SAML-baserad autentisering.
Obs! Om du vill att användarna ska kunna autentisera med säkra LDAP-appar kontrollerar du att de känner till sina användarnamn och lösenord för Google, eftersom dessa användaruppgifter (inte deras identitetsleverantör från tredje part) krävs för autentisering.
Varför måste jag ha både ett certifikat och ”åtkomstuppgifter” för att autentisera LDAP-klienter?
Det är enbart certifikatet som autentiserar LDAP-klienten. Åtkomstuppgifter finns enbart om klienten insisterar på att även skicka ett användarnamn och lösenord. Åtkomstuppgifter ger i sig inte åtkomst till LDAP-servern eller användardata, men de bör hållas hemliga för att förhindra att de används för att logga in på vissa LDAP-klienter.
I de fall då en LDAP-klient kräver åtkomstuppgifter autentiserar vi LDAP-klienter med både certifikat och åtkomstuppgifter.
Finns det något alternativ om min LDAP-app inte stöder TLS-certifikat?
Ja. Du kan använda stunnel som en proxy mellan din app och Säker LDAP. Mer information och anvisningar finns i Använda Stunnel som proxy.
Jag skapade åtkomstuppgifterna tidigare och nu kan jag inte komma ihåg lösenordet för att konfigurera en annan instans av LDAP-klienten. Kan jag skapa en ny uppsättning åtkomstuppgifter?
Som administratör kan du skapa ytterligare en uppsättning åtkomstuppgifter. Den består av ett distinkt par av användarnamn/lösenord. Du kan ha högst två uppsättningar åtkomstuppgifter aktiva samtidigt. Om en åtkomstuppgift utsätts för intrång eller inte längre används kan du radera den.
Hur kan jag omedelbart inaktivera en LDAP-klient om jag misstänker ett säkerhetsproblem med den?
Om du misstänker ett säkerhetsproblem med en LDAP-klient (till exempel om certifikat eller användaruppgifter har utsatts för intrång eller hamnat i orätta händer) kan du omedelbart inaktivera klienten genom att radera alla digitala certifikat som är kopplade till den. Det här är det bästa sättet att inaktivera en klient omedelbart eftersom det kan ta upp till 24 timmar att inaktivera en klient efter tjänststatusen har angetts till Av.
Mer information finns i Radera certifikat.
Om du vill aktivera klienten vid en senare tidpunkt måste du skapa nya certifikat och ladda upp certifikaten till LDAP-klienten.
Mina Linux-datorer på Google Compute Engine har inga externa IP-adresser. Kan jag ändå ansluta till Secure LDAP-tjänsten?
Ja. Om du använder SSSD-modulen på Linux-datorer utan externa IP-adresser på Google Compute Engine kan du fortfarande ansluta till Secure LDAP-tjänsten så länge du har intern åtkomst till Googles tjänster aktiverad. Läs mer om hur du konfigurerar privat åtkomst. Mer information finns i Konfigurera privat Google-åtkomst.
