支援這項功能的版本:Frontline Standard、Business Plus、Enterprise Standard 和 Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade 和 Education Plus、Enterprise Essentials Plus。 版本比較
如果將 Cloud Identity 或 Google Workspace 使用者帳戶停權,會發生什麼事?
安全 LDAP 服務會使用 Cloud Directory 當做驗證、授權和目錄查詢的依據。已停權帳戶無法登入與 Cloud Identity/Google Workspace 相關的任何應用程式,包括 LDAP 應用程式。雖然已停權帳戶無法透過 LDAP 驗證密碼,用戶端服務仍可利用 LDAP 搜尋來查詢停權的帳戶。
如果在 Google Workspace 或 Cloud Identity 中設定第三方識別資訊提供者/單一登入 (SSO) 服務供應商,會發生什麼事?
由於第三方識別資訊提供者只會影響以 HTTP 為基礎的交易 (例如 SAML 驗證),因此使用安全 LDAP 進行驗證、授權和目錄查詢的操作皆不會受到影響。
注意:如要讓使用者能夠透過與安全 LDAP 連結的應用程式進行驗證,請確保他們知道自己的 Google 使用者名稱和密碼,因為他們需要使用這些憑證 (而非第三方識別資訊提供者的憑證) 進行驗證。
為什麼同時需要憑證和「存取憑證」才能驗證 LDAP 用戶端?
只有憑證才會驗證 LDAP 用戶端。如果用戶端堅持必須同時傳送使用者名稱和密碼,才需要使用存取憑證。存取憑證本身不會授予 LDAP 伺服器或使用者資料的任何存取權,但仍應妥善保存,避免被用來登入特定的 LDAP 用戶端。
如果 LDAP 用戶端要求存取憑證,我們就會同時使用憑證和存取憑證來驗證 LDAP 用戶端。
如果 LDAP 應用程式不支援傳輸層安全標準 (TLS) 憑證,有任何替代方案嗎?
您可以使用 stunnel 當做應用程式和安全 LDAP 之間的 Proxy。如需詳細資訊和操作說明,請參閱將 stunnel 當做 Proxy 使用。
我曾經產生存取憑證,但現在想不起密碼,因此無法設定 LDAP 用戶端的其他執行個體。我可以產生另一組存取憑證嗎?
管理員可以產生另一組採用不同使用者名稱/密碼配對的存取憑證,而且最多可同時讓兩組憑證處於使用中狀態。如果憑證遭駭或不會再使用,則可予以刪除。
如果我懷疑 LDAP 用戶端有安全性問題,如何立即停用此用戶端?
如果您懷疑 LDAP 用戶端有安全性問題 (例如憑證疑似遭駭),則應刪除該用戶端的所有相關數位憑證,即可立即停用用戶端。服務狀態切換為關閉之後,用戶端最多可能要過 24 小時才會停用,因此刪除憑證是立即停用用戶端的最佳方式。
如需操作說明,請參閱刪除憑證。
日後如要啟用用戶端,您必須產生新憑證並將憑證上傳至 LDAP 用戶端。
我的 Linux 電腦在 Google Compute Engine 上沒有外部 IP 位址,我是否還可以連線到安全 LDAP 服務?
可以,如果您的 Linux 電腦在 Google Compute Engine 上沒有外部 IP 位址,且電腦使用了 SSSD 模組,那麼只要啟用 Google 服務內部存取權,您還是可以連線到安全 LDAP 服務。如要進一步瞭解如何設定私人存取權,請參閱設定私人 Google 存取權。
