支持此功能的版本:Frontline Standard、商务 Plus 版、企业标准版和企业 Plus 版、教育基础版、教育标准版、教与学升级版和教育 Plus 版、Enterprise Essentials Plus。 比较您的版本
如果我暂停了 Cloud Identity 或 Google Workspace 用户帐号,会发生什么?
安全 LDAP 服务以 Cloud Directory 作为身份验证、授权和目录查询的基础。已暂停的帐号无法登录与 Cloud Identity/Google Workspace 相关的任何应用,包括 LDAP 应用。虽然已暂停的帐号无法通过 LDAP 验证密码,仍可通过具有 LDAP 搜索功能的客户端服务来查询这些帐号。
如果我在 Google Workspace 或 Cloud Identity 中配置第三方身份提供商/单点登录提供商,会发生什么?
这不会影响通过安全 LDAP 服务进行身份验证、授权和目录查询,因为第三方身份提供商仅会影响基于 HTTP 的事务,例如基于 SAML 的身份验证。
注意:如果您希望用户可在与安全 LDAP 关联的应用中完成身份验证,请确保用户知道他们的 Google 用户名和密码,因为需要使用这些凭据(而非第三方身份提供商凭据)进行身份验证。
为什么同时需要证书和访问凭据来对 LDAP 客户端进行身份验证?
只有证书才能验证 LDAP 客户端的身份。仅当客户端还要求发送用户名和密码时,才需要使用访问凭据。访问凭据本身不会授予对 LDAP 服务器或用户数据的任何访问权限,但您应该妥善保管,防止他人使用访问凭据登录相应 LDAP 客户端。
如果 LDAP 客户端要求使用访问凭据,我们会同时使用证书和访问凭据对 LDAP 客户端进行身份验证。
如果我的 LDAP 应用不支持 TLS 证书,还有其他选择吗?
有。您可以将 Stunnel 用作应用和安全 LDAP 之间的代理。有关详情和说明,请参阅使用 Stunnel 作为代理。
我是以前生成的访问凭据,但现在不记得密码,无法再设置一个 LDAP 客户端实例。我可以生成另一组访问凭据吗?
作为管理员,您可以生成另一组由不同用户/密码对组成的访问凭据。您最多可以同时保持两组凭据有效。如果凭据已泄露或不再使用,您可以将其删除。
如果我怀疑某个 LDAP 客户端存在安全问题,该如何立即停用该客户端?
如果您怀疑某个 LDAP 客户端存在安全问题(例如,证书或凭据泄露),您可以删除与该客户端关联的所有数字证书,从而立即停用该客户端。这是立即停用客户端的最佳方式。如果您选择将服务状态切换为关闭,系统最长可能需要 24 小时才能停用客户端。
有关说明,请参阅删除证书。
如果以后您又想启用该客户端,则需要生成新证书,然后将生成的证书上传到您的 LDAP 客户端。
我的 Linux 计算机在 Google Compute Engine 中没有外部 IP 地址。我还可以连接到安全 LDAP 服务吗?
可以。如果您的 Linux 计算机在 Google Compute Engine 中没有外部 IP 地址,而您在这些计算机上使用 SSSD 模块,那么只要您启用了对 Google 服务的内部访问权限,就仍然可以连接到安全 LDAP 服务。不妨详细了解如何配置专用访问通道,具体请参阅配置专用 Google 访问通道。
